Ciberpatrullaje en Argentina: Análisis de una Resolución problemática 

El pasado mes de mayo fue noticia la Resolución 428 expedida por el Ministerio de Seguridad de la Argentina que, una vez más, vuelve a instalar la figura del ciberpatrullaje en el país ya analizada por el CELE aquí. La Resolución da vía libre a las autoridades de investigación criminal para la persecución de ciertos cibercrímenes a partir de la explotación de las denominadas “fuentes públicas y abiertas”. Entre los elementos novedosos se encuentra la posibilidad de emplear de medios automatizados para dicho fin.

Ahora, del texto de la resolución urgen varios puntos cuestionables, pero nos enfocaremos en tres de ellos. El primero, enlistar crímenes que no entran la categoría de cibercrímenes. El segundo, utilizar una fórmula vaga y abierta a la discrecionalidad policial según la cual no serán objeto de persecución las conductas que sean regulares, usuales o inherentes al uso de internet. Y el tercero, que tiene que ver con las visiones que la Resolución sugiere sobre lo “público” y lo “abierto” en internet.

Pero antes, ¿qué es el Ciberpatrullaje?

Antes de abordar cada punto, hay que advertir de entrada que el ciberpatrullaje es una rara avis. Se trata de una figura que se usa por los cuerpos de policía en países de la región (Colombia [1][2], Argentina [1], Bolivia, Uruguay, México y Brasil) cuyos límites y alcances no terminan de ser claramente delimitados. Las autoridades suelen sugerir que se trata simplemente del típico patrullaje de las calles pero trasladado a internet, cuando la verdad es mucho más compleja. 

En internet no hay calles que nos permitan ver de lejos a la patrulla del barrio mirando de esquina a esquina que todo está en orden, fuera de línea la policía realiza un monitoreo global que no implica la invasión del espacio personal ni las conversaciones de las personas. 

En línea, en cambio, la versión digital del patrullaje implica una transformación de ese monitoreo que se torna personal, específico y detallado. Implica que hay alguien frente a una computadora siguiendo de cerca nuestras interacciones en línea. Podría, en algunos casos, considerarse una violación a nuestra privacidad cuando esos policías, para oír o saber lo que decimos, se “disfrazan” de amigos o conocidos nuestros de manera encubierta.

El ciberpatrullaje es un eufemismo que busca camuflar bajo la realización de una tarea de seguridad ciudadana corriente el despliegue de tareas que, de otra manera, estarían sujetas al estricto control judicial por el impacto que tiene en el ejercicio de derechos en línea. Es una figura rara que precisa de controles –y sobre todo, de ser reconocida como una tarea de vigilancia masiva por manual o artesanal que pueda llegar a ser-, aún cuando las autoridades insistan en lo contrario.

El ciberpatrullaje para la lucha contra cibercrimenes que no son tales

La Resolución en cuestión justifica su expedición para la persecución de cibercrímenes, para lo cual menciona la Convención de Budapest a la que adhirió Argentina y que versa precisamente sobre esa materia. 

Los cibercrimenes, en puridad, deberían agrupar a (i) las conductas que buscar atacar la confidencialidad, integridad o autenticidad de los sistemas informáticos, sistemas de redes o datos (como la interceptación ilegal y robo de datos, el acceso ilegal a redes, etc.), (ii) así como su uso indebido para asistir o facilitar la comisión de otros delitos (como el abuso sexual infantil en línea, por ejemplo) (Ver: Viano, E (ed) (2017). Cybercrime, organized crime, and societal responses. Springer). Sin embargo, la Resolución abre un boquete para sumar delitos convencionales en el paraguas de los ciberdelitos que, aunque resultan críticos en materia de política criminal, no encajan con la visión de la Convención.

La Resolución suma, por ejemplo, la persecución del narcotráfico y lavado de activos, la trata y tráfico de personas, la falsificación de documentos públicos, la venta ilegal de armas y explosivos, la “venta libre de elementos para los cuales se requiera autorización o dispensa legal” (como los medicamentos) y más abiertamente “cualquier otro delito del que se pueda obtener noticia a través del ciberespacio” como crímenes “del espacio cibernético”. Esta forzada apertura de la figura del cibercrimen es inconveniente por varios motivos. 

En primer lugar, por desnaturalizar la esencia misma de ciertos crímenes que están agrupados precisamente en razón al medio por el que se ejecutan –internet— o el medio que buscan atacar o afectar —sistemas informáticos, redes, datos—, lo que deriva en que cualquier conducta criminal en donde se use internet —de manera siquiera incidental— pueda ser calificada como un cibercrimen aunque no lo sea, tal y como sucede con la figura del lavado de activos o la falsificación de documentos públicos, incluidos en la Resolución. 

En segundo lugar, porque la persecución de los cibercrimenes facilita al Estado el despliegue de ciertos poderes de investigación así como de cooperación con otros países y terceros que, de tratarse de otros crímenes convencionales, no tendría a su disposición al menos de manera tan expedita. 

Al haber adherido a la Convención de Budapest, las autoridades argentinas pueden, por ejemplo, obligar a proveedores de servicios de internet a la entrega de los datos que necesiten para su investigación. Se trata de una facultad que, en el marco de la Resolución, puede ser abusada para la investigación de crímenes convencionales que podrían ser investigados mediante otras técnicas o herramientas quizá más razonables.

No es gratuito que la Resolución diga estar justificada en la persecución de cibercrimenes. La manera en que fue redactada la convierte en una autopista que comunica directamente a las autoridades argentinas con plataformas como X o Meta, para que estas últimas entreguen los datos de sus usuarios para la investigación de “cualquier delito” según el enunciado del art 2 literal O. Una facultad que se supone, debería ser empleada como último recurso, pero que ahora podría ser empleada de manera corriente en el marco de esta Resolución.

Sobre los usos regulares, usuales o inherentes de internet

Una expresión tan vaga y abierta como aquella que afirma que no se perseguirá a personas que estén haciendo un uso regular, usual o inherente de internet solo puede dar paso a la discrecionalidad y el abuso (ver art. 3 Lit. D). 

Demás está decir que tal cosa no existe. Ahora, esta expresión tiene como efecto inmediato amenazar el ejercicio de la libertad de expresión en especial en las ocasiones en que la manifestación de una opinión sea considerada incómoda, molesta, chocante y por tanto, “inusual” o “poco inherente” al uso de internet. En esa categoría, existe la posibilidad de que se incluya la difusión de noticias falsas, parodias o críticas como un uso “irregular” de internet.

El fraseo que plantea la Resolución sobre este punto es un eufemismo, una afrenta directa a la libertad de expresión de las personas que puedan ser críticas del gobierno actual, por dar un ejemplo. 

Como si fuera poco, determinar la “normalidad” en el uso de internet convertirá a la policía en jueces de lo que investigan, lo que deterioraría aún más la división de poderes en la investigación y persecución criminal de delitos que delega en los jueces y juezas ese tipo de juicios de valor, si acaso aquellos últimos tuvieren la facultad de determinar lo que es “usual” o “inherente” en el uso de internet.

Lo público y lo abierto en internet

Este es quizá uno de los puntos que complejizan aún más la lectura sobre el impacto futuro de esta Resolución, y en general, es uno de los aspectos más porosos de la figura del ciberpatrullaje. 

Con frecuencia, se advierte que el patrullaje en línea apunta al monitoreo, investigación y obtención de información disponible en las fuentes públicas y abiertas en internet, ¿qué es lo público y abierto, y qué queda excluido de ese conjunto de información?

En esta definición, la respuesta depende en buena medida del actor al que se consulte. La literatura especializada en inteligencia en fuentes abiertas en línea (ver por ejemplo Hassan – 2019 – Gathering Evidence from OSINT Sources), señala con algo de consenso, que en esa categoría se encuentra todo lo que está publicado en internet y que no tenga restricciones de privacidad o de derechos de autor. 

Esa definición incluiría de hecho información que reposa en bases de datos robados o filtrados, sitios web ilegales, bases de datos del Estado que son de acceso público —como las de empadronamiento electoral o de registros de instrumentos públicos que son de consulta abierta en ciertos países—. En esa categoría se incluyen las redes sociales y las publicaciones que no tengan restricciones de visualización o candados —y que recibe el nombre de inteligencia en redes sociales, SOCMINT, sus siglas en inglés— .

En una investigación efectuada en Colombia sobre inteligencia en fuentes abiertas, públicas y redes sociales, la cual es desplegada por las divisiones de inteligencia de la Policía y el Ejército, se determinó que para esos actores lo público y lo abierto es todo lo que esté publicado en línea que no tenga restricciones de privacidad, como un candado que cierra la visualización a cuentas de usuario que no hacen parte de la red social o que se encuentran por fuera de un grupo cerrado. Bajo esta visión, los grupos de servicios de mensajería a los que es posible acceder con invitación –o sin ella–, serían considerados también una fuente pública y abierta.

En una investigación similar en Bolivia, las autoridades de Policía consideran como abierto y público los contenidos que circulan en redes sociales sin importar el candado o restricción, en tanto que allí están habilitados a la creación de perfiles falsos para facilitar su inclusión en grupos cerrados o con restricciones de privacidad.

En Argentina, la Resolución de Ciberpatrullaje da dos pistas clave sobre lo que está dentro de esas dos categorías de lo “público” y lo “abierto”. La primera está en la justificación, que menciona a “las redes sociales de cualquier índole, fuentes, bases de datos públicas y abiertas, páginas de internet, dark-web y espacios de relevancia de acceso público”, y la segunda, en el articulado, que agrega a los “medios de carácter no sensible y sin clasificación de seguridad”.

Bajo esta visión, las redes sociales con o sin restricción de privacidad —como los candados de X, o las configuraciones de audiencia o cuentas en las publicaciones de IG o FB— estarían incluidas en tanto que no son medios que puedan considerarse sensibles o con clasificación de seguridad. Desde luego, para el ingreso del agente de policía a esos espacios cerrados en redes sociales, es esperable que sean empleadas cuentas falsas o anónimas.

La conversación que hay que tener ahora

Más allá de las fronteras de lo público y lo abierto en línea, hay que cuestionar las actividades de ciberpatrullaje (o inteligencia masiva en fuentes abiertas) por el impacto que esta intromisión significa en términos de privacidad y para la libertad de expresión, particularmente cuando se la emplea por el Estado sin controles, supervisión, ni contrapesos. 

Cuando esta tarea la desempeña el Estado (a diferencia de otros actores como la prensa o investigadores de violaciones a los derechos humanos, que enfrentan otros dilemas éticos) se torna crítica por la amenaza que puede representar para nuestra expectativa de privacidad en línea y el ejercicio de la libertad de expresión. El Estado puede, a diferencia de otros actores, privar de la libertad a una persona en razón a la actividad en línea de esta última. 

Cuando publicamos información sobre nuestros gustos, hábitos o tendencias sociales o políticas lo hacemos pensando en conectar con otros o hacer parte del debate público, y no en ofrecer información que pueda ser explotada por el Estado para ser eventualmente empleada en nuestra contra. Al tiempo, la sensación de que nuestra actividad en línea pueda ser usada para generar inteligencia estatal accionable, trae como efectos asociados la disuadiación o autocensura ante el miedo de que un tuit se pueda traducir en el futuro en una orden de captura –chilling effect–.

La conversación en este sentido no versa tanto en si la policía argentina viola o no  –en aplicación de la Resolución– los términos y condiciones de los servicios de redes sociales que no autorizan explícitamente el uso o explotación —manual o automatizada— de sus servicios con fines de inteligencia justificada en la detección de ‘ciberdelitos’; si no en cuán desprotegidos están en verdad los entornos para el ejercicio de las libertades en internet sin que medie la amenaza o acecho de la vigilancia estatal encubierta.

La pregunta ahora es cómo responderá la justicia cuando se cuestione legalmente el contenido de la Resolución. Hasta que lo sepamos, veremos cada vez más casos de usuarios de redes sociales en el ojo de investigaciones criminales fruto de sus tuits

Por último ¿qué limites conviene imaginar para la inteligencia estatal en fuentes públicas y abiertas para que su despliegue –inevitable frente a la fácil disponibilidad y acceso de internet– sea compatible con los derechos humanos? Y ¿cómo imaginar límites que al tiempo no entorpezcan –ni satanicen– su uso por otros actores que persiguen finalidades que sirven a la búsqueda de la verdad judicial, la generación de información de interés público, el acceso a la información y la libertad de expresión?

 

- Por Lucía Camacho G.