Saltar al contenido
Noticias de tecnologia

El gobierno australiano introduce nuevas leyes de vigilancia que permiten a las autoridades modificar o eliminar discretamente las publicaciones de Twitter y Facebook.

El gobierno australiano introduce nuevas leyes de vigilancia que permiten a las autoridades modificar o eliminar discretamente las publicaciones de Twitter y Facebook.

Una nueva ley otorga a la policía australiana poderes sin precedentes para la vigilancia en línea, la interceptación de datos y la alteración de datos. Estos poderes, descritos en el Proyecto de Ley de Enmienda a la Legislación de Vigilancia (Identificar e Interrumpir), plantean preocupaciones sobre el posible uso indebido, la privacidad y la seguridad.

El proyecto de ley actualiza la Ley de dispositivos de vigilancia de 2004 y la Ley de telecomunicaciones (interceptación y acceso) de 1979. En esencia, permite a los organismos o autoridades encargados de hacer cumplir la ley (como la Policía Federal de Australia y la Comisión de Inteligencia Criminal de Australia) modificar, agregar, copiar o eliminar datos al investigar delitos graves en línea.

El Centro Legal de Derechos Humanos dice que el proyecto de ley no tiene suficientes garantías para la libertad de expresión y la libertad de prensa. Digital Rights Watch lo llama un “régimen de vigilancia sin orden judicial” y señala que el gobierno ignoró las recomendaciones de un comité parlamentario bipartidista para limitar los poderes otorgados por la nueva ley.

Además, la piratería legal por parte de las fuerzas del orden puede facilitar que los piratas informáticos accedan ilegalmente a los sistemas informáticos a través de las mismas vulnerabilidades que utiliza el gobierno.

¿Qué hay en la ley?

El proyecto de ley introduce tres nuevos poderes para los organismos encargados de hacer cumplir la ley:

  1. Las “garantías de interrupción de datos” permiten a las autoridades “interrumpir los datos” copiando, eliminando o modificando los datos como mejor les parezca.
  2. Las “garantías de actividad de red” permiten la recopilación de inteligencia de dispositivos o redes que se utilizan, o que es probable que se utilicen, según el sujeto de la orden.
  3. Las “órdenes de toma de posesión de cuenta” permiten a las agencias tomar el control de una cuenta en línea (como una cuenta de una red social) para recopilar información para una investigación.

También existe un procedimiento de “autorización de emergencia” que permite estas actividades sin una orden judicial bajo ciertas circunstancias.

¿En qué se diferencia esto de las leyes anteriores?

La legislación anterior, como la Ley de Telecomunicaciones (Interceptación y Acceso) de 1979 y la Ley de Telecomunicaciones de 1997, contenía mayores protecciones a la privacidad. Esas leyes, y otras como la Ley de Dispositivos de Vigilancia de 2004, permiten a los organismos encargados de hacer cumplir la ley interceptar o acceder a comunicaciones y datos en determinadas circunstancias.

En nuestra opinión, puede ser necesario un acceso específico y dirigido a la información y las actividades de los usuarios para identificar posibles delincuentes o terroristas. En algunos casos, los organismos encargados de hacer cumplir la ley pueden necesitar modificar, eliminar, copiar o agregar contenido de los usuarios para evitar cosas como la distribución de material de explotación infantil. La interceptación legal es clave para proteger la seguridad pública y nacional en la lucha de la comunidad mundial contra los delitos cibernéticos.

¿Cómo funciona la interceptación legal de datos?

La “interceptación legal” es una tecnología de red que permite la vigilancia electrónica de las comunicaciones, según lo autorizado por orden judicial o administrativa. Existen estándares (lo que significa regulaciones y reglas) para que los proveedores de servicios de telecomunicaciones e Internet lo logren, como los recomendados por el Instituto Europeo de Estándares de Telecomunicaciones.

Los organismos encargados de hacer cumplir la ley pueden exigir a los proveedores de servicios que entreguen copias de datos de comunicaciones, datos descifrados o datos interceptados sin notificar a los usuarios. Los proveedores de servicios también pueden tener que poner a disposición herramientas analíticas como gráficos o tablas de comportamientos objetivo.

¿Cuáles son las preocupaciones sobre la privacidad?

La Oficina del Comisionado de Información de Australia y otros también han planteado preocupaciones sobre la privacidad. El proyecto de ley puede afectar a terceros que no sean sospechosos en la investigación de actividades delictivas. En particular, el proyecto de ley puede autorizar el acceso a computadoras, comunicaciones y datos de terceros.

El Human Rights Law Center argumenta que los amplios poderes propuestos pueden potencialmente obligar a cualquier individuo con conocimiento relevante de la computadora o red objetivo a realizar actividades de piratería. En algunos casos, esto puede chocar con el derecho de una persona a no incriminarse a sí mismo.

Permitir que los organismos encargados de hacer cumplir la ley modifiquen las posibles pruebas en un proceso penal también es un tema de gran preocupación. La detección y prevención de la interrupción de datos inapropiados será un tema clave.

La implementación de las nuevas garantías debe estar en consonancia con la Ley de Privacidad de 1988, que se introdujo para promover y proteger la privacidad de las personas y regular las agencias y organizaciones gubernamentales australianas. Cuando algunas agencias pueden tener exenciones contra la Ley de Privacidad, es importante equilibrar los impactos en la seguridad pública y la privacidad.

¿Cuáles son los problemas e impactos de seguridad?

El proyecto de ley de identificación e interrupción es parte de un amplio conjunto de leyes australianas de vigilancia digital, incluida la Ley de enmienda (asistencia y acceso) de telecomunicaciones y otras leyes de 2018 (TOLA) y la Ley de enmienda (retención de datos) de telecomunicaciones (interceptación y acceso). 2015 (el esquema obligatorio de retención de metadatos).

En virtud del proyecto de ley de identificación e interrupción, se puede obtener acceso a datos cifrados que podrían copiarse, eliminarse, modificarse y analizarse incluso antes de que se pueda determinar su relevancia. Esto compromete significativamente la privacidad y los derechos digitales de los usuarios.

El cifrado moderno puede ser muy difícil de descifrar, por lo que los piratas informáticos a menudo aprovechan otras vulnerabilidades de un sistema para obtener acceso a datos no cifrados. Según los informes, los gobiernos también están utilizando estas vulnerabilidades para su propio pirateo legal.

Específicamente, dependen de “exploits de día cero”, que utilizan vulnerabilidades de software que son desconocidas para los proveedores o desarrolladores de software, para piratear un sistema. Estas vulnerabilidades podrían explotarse durante meses o incluso años antes de que se reparen.

Puede surgir un conflicto de intereses si las agencias de aplicación de la ley están utilizando exploits de día cero para piratería legal. Para proteger a los ciudadanos, esperaríamos que estas agencias informen o revelen cualquier vulnerabilidad de software que descubran a los fabricantes de software para que la debilidad pueda ser reparada.

Sin embargo, en su lugar, pueden optar por no denunciarlos y utilizar las vulnerabilidades para su propia piratería. Esto pone a los usuarios en riesgo, ya que cualquier tercero, incluidas las organizaciones delictivas, podría explotar estas vulnerabilidades de día cero.

No es una preocupación abstracta. En 2016, el alijo secreto de herramientas de piratería de la CIA fue robado y publicado, destacando el riesgo de estas actividades. El gobierno chino ha afirmado que la CIA ha estado pirateando objetivos en China durante más de una década utilizando estas y otras herramientas similares.

El uso de herramientas de piratería por parte del gobierno puede resultar en una peor seguridad cibernética en general. Los poderes de autorización otorgados a las agencias policiales australianas pueden proteger la seguridad pública y los intereses nacionales, pero también pueden proporcionar medios poderosos para que los adversarios accedan a los datos del gobierno.

Esto incluye los datos y las cuentas en línea de las personas objetivo, como los funcionarios estatales, que pueden tener un impacto significativo en la seguridad nacional. Esta posibilidad debe considerarse a la luz de la aprobación del nuevo proyecto de ley.

Si bien la justificación del proyecto de ley de seguridad pública sobre la privacidad personal puede ser discutible, no hay duda de que los aspectos de seguridad no deben ser socavados.

Por James Jin Kang, Jumana Abu-Khalaf Miembro de investigación en informática y seguridad, Universidad Edith Cowan