El bloqueo de Google en Ecuador también afectó a Colombia

En diciembre de 2015 se realizó la trigésima segunda edición del Chaos Communication Congress, el congreso de hackers más entretenido (y mejor difundido) del que tengo conocimiento. Días antes, mi amiga Bethany Horne me comentó que ella participaría en el congreso con una ponencia sobre Ecuador, país en el que ella creció —sus padres fueron misioneros en nuestra costa—, trabajó y finalmente abandonó a finales de 2013 debido al asedio que sufrió tras la publicación de su artículo en Newsweek sobre la matanza de los Taromenane por parte de un grupo Huaorani.

En Alemania, Bethany compartió escenario con Pedro Noel, uno de los voceros de Ecuador Transparente —el sitio web desde donde se hacen denuncias anónimas en Ecuador. Pedro contó sobre algunas cartas que recibió a nombre de la Secretaría de Inteligencia para bajar contenidos del sitio que aloja sus publicaciones filtradas. Ambos pues, habían sufrido cierto nivel de acoso y esto les motivó a contar su historia, y la de otras personas que hemos sido víctimas de tratos similares, en un congreso donde gran parte de los asistentes idolatra al gobierno ecuatoriano por haber acogido en su embajada a Julian Assange. Titularon la charla «Ecuador: cómo un gobierno autoritario está engañando al mundo entero» y de subtítulo le pusieron «¿Adivinen qué? el gobierno de Rafael Correa en realidad está totalmente en contra de la libertad de expresión y tenemos pruebas de ello».

Fui a hacer canguil en el microondas, busqué el enlace del video y me puse a ver la charla en pleno día de inocentes. No puedo repasar todo lo que ahí se dijo (lo pueden ver acá) pero en el minuto 34:18, Pedro dijo «tenemos evidencia de que [el gobierno] bloqueó Twitter y Google durante algunos días porque un grupo de anonymous publicó documentos de la SENAIN hace dos años». Minutos después se corrige y dice que se trataba de Google y Youtube. La charla termina, preguntas van y vienen. Hubo poca cobertura mediática pero quizá lo más frustrante fue que esa evidencia de la que hablaron no se hacía pública.

Esto cambió cuando, en abril de 2016, Ecuador Transparente publicó este documento que hoy ha sido ampliamente difundido:

Lea el documento completo en https://ecuadortransparente.org/publicaciones/

 

Aunque me alegré de que este tipo de denuncias hayan salido a la luz, de momento no había yo visto evidencia de que tal bloqueo haya existido. Al tratarse de algo tan breve —33 minutos— era factible que esto haya pasado desapercibido. Es verdad, habían otros documentos de Supertel y EcuCERT donde el Estado confesaba el bloqueo de dominios web «para combatir la piratería», pero nada sobre este evento específicamente.

¿Existió el bloqueo?

Sí. Y no sólo que afectó a Ecuador sino que incluso afectó a Colombia. Cuando se tienen grandes proveedores de Internet distribuidos en varias regiones geográficas, las afectaciones no son del todo controladas. Es conocido, por ejemplo, que el bloqueo de sitios web en Colombia (legal en casos de pornografía infantil) suele afectar ciertas regiones en Europa. De hecho, cuando un juez en Brasil ordenó bloquear la aplicación de mensajería Whatsapp en su país, la aplicación presentó problemas de acceso en Argentina, Chile, México y Venezuela. Curiosamente, fueron los clientes de Movistar (Telefónica) los que tuvieron este problema. Y esto es precisamente lo que se puede ver el día del bloqueo que menciona el memorando de Ecuador Transparente.

En el foro afiliadostop.net, el usuario Jarod, de Medellín, escribió el día del incidente:

Buenas tardes señores… pues hoy a las 7:30pm hora de Colombia ¡no puedo ingresar a nada que tenga que ver con google! ¡Ni a Youtube, ni a mis blogs de blogger o adsense o adwords! pedí a amigos que entraran ¡y tenían el mismo problema!

(la hora en la imagen tiene horario GMT por lo que tienen que restar cinco horas para obtener el tiempo local en Colombia y Ecuador)

google caído, 28 de marzo

Carlos: «Hola, soy de Argentina y Google anda perfecto por estos lados. Tal vez se debe algún problema del servidor de tu país» (19:52).

EMV: «México todo correcto» (19:53).

Jarod: «Hola Carlos, pues yo creo que si debe de ser acá en Colombia o por lo menos en mi sector… pero se como que se acaba de normalizar… ¡Saludos!» Son exactamente las 19:54:04.

Unas tres horas más tarde, un par de usuarios de Colombia, Piter y Marlon, le dan la razón. El incidente parece haber sido real, aunque existe una diferencia de diez minutos respecto a cuando Jarod se dio cuenta, la conexión se resuelve justo en el momento en que el memorando dice —segundos más, segundos menos— terminó el incidente. La segunda cosa importante, el bloqueo se dio en los servicios relacionados a Google: el motor de búsqueda, su plataforma de videos (Youtube), su hospedador de blogs (blogger) y su servicio de publicidad. Esto también coincide con los supuestos reportes mencionados en el memorando de Telefónica: problemas de acceso a Google y Youtube.

Si uno busca en Twitter problemas de conexión a Google el 28 de marzo de 2014, también saltan a la vista varias quejas por parte de los usuarios en el vecino país del Norte.

Google caído en Colombia - 28 de marzo de 2014

El primer tuit lo publicó @lmenciso a las 19:18 y el último @biancasuarez a las 19:55. Los tiempos, una vez más, coinciden.

La Asociación de Proveedores de Internet no ha negado la veracidad del documento, solo afirma que «su información es errónea«.  Dice no tener «injerencia en la disponibilidad de los contenidos» y sugiere que, de haber existido problemas de acceso, estos pudieron deberse a «problemas técnicos de diferente índole». No obstante, cuando Ecuador Transparente les solicitó datos sobre el tráfico real del día del evento, manifestaron que estos no estaban disponibles. Telefónica, a quien contacté para aclarar el tema, me supo responder que, en efecto, se habían enterado de la denuncia pero las investigaciones se vieron interrumpidas debido al terremoto que ocurrió dos días después.

Me pareció totalmente comprensible cuando Renán Ordoñez, ‎Jefe de Comunicación Externa de Telefónica Movistar Ecuador me dijo la respuesta debe emitirse por escrito y que la investigación puede tomar «un par de días». Según mis cálculos, la respuesta iba a estar publicada el dos de junio, cuatro días después Renán me dijo que seguían investigando. Ese fue el último correo que me respondió. Ahora que tenemos pruebas de que el bloqueo sí existió —y tras haber yo verificado la denuncia con la fuente— deberíamos preguntarle a Renán por qué Movistar no responde sobre la denuncia de Ecuador Transparente.

Otro leak de la SENAIN (y otro intento de censura)

Captura del tuit original, clic para agrandar

En julio de 2015, tras publicar un gajo de información sobre Hacking Team y sus actividades en Ecuador, un troll infame difundió por twitter una captura de pantalla falsa donde me acusaba de ser agente de la SENAIN. Como para darle veracidad al asunto, colocó mi nombre completo, mi correo electrónico, el número de mi celular y el teléfono de la casa de mis padres. Un amigo me envió al teléfono la captura de pantalla: «Por favor dime que no eres vos».

Y no era. Le pedí la fuente y llegué al tuit original, le pedí al troll que demostrara la página exacta de dónde había encontrado el supuesto correo, pero no hizo falta porque exactamente siete minutos después, Felipe Mogro encontró el correo que utilizaron para fabricar esta argucia en mi contra. Sin querer escarbar profundo en las motivaciones que tuvo esta gente, lo cierto es que no actuar hubiera sido estúpido de mi parte.

Traigo esto a colación porque el día de hoy en el Chaos Communication Congress, Bethany Horne y Pedro Noel dieron una charla titulada: «Ecuador, cómo un gobierno autoritario engaña al mundo entero», el video (en inglés) está más abajo por si lo quieren ven. En un par de diapositivas, Pedro Noel —editor del sitio web Ecuador Transparente— muestra una reclamación por derecho de autor realizada por Ares Rights a nombre de la Secretaría Nacional de Inteligencia (SENAIN).

El reclamo lo realizan sobre los documentos publicados por Ecuador Transparente que demostrarían un espionaje sistemático a políticos y activistas, diciendo que no se pueden publicar porque son textos secretos y esto es prohibido y castigado por nuestro código legal. Dicho sea de paso, cierto es, pero con dos aclaraciones. La primera, Ecuador Transparente tiene de ecuatoriano sólo el nombre y no se ciñe a nuestras leyes. La segunda, que es una vergüenza que el país que muchos consideran campeón en la libertad de expresión, no tenga leyes que protejan a los soplones que denuncian delitos con documentos clasificados como secretos.

Para los que trabajamos en la cuestión de derechos humanos en Internet, esto ya es cacho viejo. Ares Rights es una empresa que saca plata censurando como puede (osea aduciendo infracciones al copyright). Le han cachado reclamando a nombre de Fernando Alvarado, de la SECOM, y de Ecuador TV. En abril de 2014, el exgerente del famoso canal 7 dijo que si Ares Rights estaba haciendo uso de su nombre y se escudaba en la confidencialidad con su cliente para no revelar más información, ellos —como era lógico— reunirían a sus abogados e iniciarían una acción legal. Ecuador TV nunca hizo nada y ahora resulta que la SENAIN aparece involucrada con Ares Rights.

Acá hay tres opciones, (1) que en años pasados alguien absolutamente maquiavélico le haya pagado a Ares Rights para que censure cosas que molestan al gobierno —y así pensemos que esta empresa española trabaja a su lado— para luego hacerle quedar mal queriendo censurar filtraciones que hasta ahora no se han confirmado como verdaderas. O (2) que, de hecho, la SENAIN está usando los servicios de Ares Rights. La tercera, que según mi apreciación es la correcta, es que hay un comedido que dice «da viendo si puedes hacer algo» en todos los casos donde está inmiscuido el gobierno de Alianza País. Podremos saber a ciencia cierta cuando alguien —ojalá el gobierno— demande a Ares Rights en España, para que uno pueda ver los contratos y las facturas o si es que a Ares Rights le pasa lo que a Hacking Team.

Lo cierto es que podemos extraer unas pocas conclusiones de estos hechos:

  1. Ares Rights en el pasado ha censurado a nombre del gobierno ecuatoriano, y el gobierno está consciente de este hecho.
  2. Ares Rights sigue censurando a nombre de instituciones del gobierno, por ende, el gobierno censura sea por acción o por omisión (por no demandar a esa empresa para que deje de reclamar a su nombre).
  3. Si es que hay una vinculación con Ares Rights, y la reclamación a nombre de la SENAIN es legítima, esos documentos son verdaderos y —llamen a los abogados— podría tratarse de un caso de peculado.
  4. Todo estaría mejor si, como sugirió en su charla Bethany Horne, hubieran más mecanismos de control y transparencia para nuestra querida Secretaría Nacional de Seguridad.

PS: En la charla, Ecuador Transparente presentó un nuevo leak sobre la SENAIN y en las preguntas y respuestas, Jacob Appelbaum soltó unas cuantas perlas de su visita a Ecuador en noviembre de 2013:

  • Relató que la SENAIN quiso «ponerlo en problemas» y que fue defendido por el vicepresidente. Le llamó la atención que la clase política era casi incapaz de «defender a sus propios invitados».
  • Dijo haber mantenido una conversación con la exministra de defensa María Fernanda Espinosa, donde ella le confesó que hay muy malos elementos en el gobierno, especialmente en la SENAIN, que quieren matar a personas como ella misma o Rafael Correa.
  • Afirmó que la SENAIN le solicitó construir un sistema de vigilancia masivo a nivel nacional y, específicamente buscaban eludir la revisión judicial porque querían espiar a jueces y a la clase política. Finalmente afirmó que el presidente conocía de este último hecho (pues él se lo dijo personalmente).

Secreto de Estado

Finalmente, el Secretario Nacional de Inteligencia, Rommy Vallejo, compareció ante la comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral de la Asamblea Nacional del Ecuador. Hace dos semanas, cuando el titular de la SENAIN se excusara «motivadamente» de hacerlo, todo el mundo seguía cabreado por el escándalo sobre Hacking Team. La agencia de seguridad local fue tendencia en twitter por varios días y hasta se tuvo que pronunciar el presidente para defender a la institución que nació bajo su mandato, en el 2009. Hoy, en cambio, todos los medios le tomaron su mejor foto a Rommy, sacaron el titular respectivo, pero poco o nada se habló en redes sociales sobre el tema —y pensar que sólo el día de ayer Ecuador Transparente denunció, documentos en mano, que «SENAIN llevó a cabo espionaje sistemático a políticos y activistas«.

Otro agravante a la apatía de la gente es el desdén a la transparencia y fiscalización que debe tener el Estado. Escudándose en la Ley de Seguridad, Vallejo llegó a la Comisión sin dar la cara a periodista alguno, les cerró la puerta e inició una comparecencia reservada. No importa cuántas preguntas le hagan, él puede decidir no responder y si lo hace, lo que ahí se diga no se puede difundir. ¿Qué garantías tenemos los ciudadano de que, incluso en esas condiciones, el comportamiento deshonesto de otras agencias de inteligencia frente a los cuestionamientos de la autoridad no se vuelve a repetir? La respuesta es simple: pocas o ninguna.

Asumamos por un momento que el material publicado por Ecuador Transparente es verdadero. En este caso, estaríamos haciendo frente a dos delitos. El primero, habría sido cometido por la SENAIN al espiar a ciudadanos con motivos puramente políticos. El segundo, es el delito de publicar información «de circulación restringida», que según el Código Penal se castiga con mínimo un año de cárcel —en Ecuador, también nos hace faltan medidas legales para la protección de denunciantes o, como se les dice en inglés, whistleblowers.

A las agencias de seguridad siempre se les va a filtrar información, y la razón es simple, la entropía les juega en contra. Su tarea consiste en construir un muro perfecto, impenetrable, perecedero y que esté al día para combatir los mejores ataques de donde quiera que vengan. Los hackers e informantes internos, en cambio, sólo deben encontrar un único fallo en el sistema a través del tiempo. Por eso, parece que en todo el mundo se siguiera una misma receta en lo que respecta al manejo de información clasificada como «reservada» o «secreta» por las agencias de inteligencia.

Si la SENAIN llegara a demandar a Ecuador Transparente o a Wikileaks por publicar información de carácter secreto, la ecuación es simple: la documentación es verdadera, ergo el espionaje fue cierto; es por esto que en otros países del primer mundo, donde la corrupción también avanza más rápido, se han inventado algo para perseguir denunciantes sin afrontar el costo legal o político de haber transgredido los derechos ciudadanos: cortes secretas.

En Estados Unidos, eran cortes secretas las que debían controlar las actividades de la Agencia Nacional de Seguridad, pero nunca lo hicieron —en 35 años sólo rechazaron 11 de las 34000 solicitudes de espionaje—. Fueron cortes secretas las que llamaban a las empresas de telecomunicaciones como Lavabit para solicitar sigilosamente las claves de sus clientes. En palabras de Edward Snowden: «son jueces secretos, en cortes secretas, haciendo interpretaciones secretas de la ley». La forma perfecta de enjuiciar a los denunciantes de algún secreto de Estado, sin revelar que se ha violado la ley, es esta.

No quiero ser agorero del desastre, pero el secretismo parece ser el juego al que nos quieren someter y si no se toman medidas adecuadas a tiempo, si no se separa a la justicia del otro poder, si no aseguramos mecanismos de transparencia adecuados y dejamos que los mecanismos de fiscalización se conviertan en el maquillaje de un sistema de inteligencia que no parece estar ceñido a la ley, seguramente pronto nos llamarán a una corte sin que podamos decirle a nadie y sin ley que nos pueda defender.

El Wikileaks ecuatoriano: Ecuador Transparente

¿Puede funcionar en el país una plataforma independiente para filtrar información confidencial y procesar denuncias?

 

En Ecuador existe un portal similar a Wikileaks. Es una institución independiente, sin afiliación política, creada por la Associated Whistleblowing Press, una organización internacional dedicada a la defensa de los derechos humanos a través de la promoción de la transparencia, la libertad de información y de expresión, la filtración de documentos y el periodismo investigativo. Se llama Ecuador Transparente. La semana pasada su nombre se popularizó luego de que publicaron cables filtrados que revelaron conversaciones de miembros de la diplomacia ecuatoriana entre el 2011 y el 2012, en los que la Unión Europea amenazaba a Ecuador con eliminarlo de la lista de países que reciben ayudas arancelarias, si no firmaba el Tratado de Libre Comercio. Un miembro de Ecuador Transparente, contactado a través de su página web, contestó una serie de preguntas sobre el funcionamiento de esta plataforma.

Lee la entrevista en GkillCity.
Captura de pantalla de 2014-10-20 08:55:47

Qué hacer y qué no cuando se filtra información

El pasado viernes 5 de septiembre se develó un video en YouTube mediante una cuenta anónima en twitter, en el mismo se puede apreciar la interfaz administrativa de dos páginas de Facebook, el Patriota y Prohibido Olvidar, ambas reconocidas por proferir mensajes contra cierta clase política y la primera por hacerlo en un lenguaje algo agresivo. Resulta que una proporción importante de los administradores es parte de la agencia publicitaria Ximah Digital, involucrada en la campaña All you need is Ecuador y que ha mantenido contratos con varias instituciones del Estado, como se puede apreciar en su página web.

Ivanna Zauzich, uno de los rostros públicos y community manager de la agencia, fue quizá la primera en responder a varios comentarios, preguntas y acusaciones sobre lo que sucedía al respecto, sin tener muy claro qué hacer apenas alcanzó a afrontar la situación. “Pido comedidamente al hacker que muestre que jamás publiqué nada en la cuenta Prohibido Olvidar. Régreseme mi reputación”, decía uno de sus tuits, no la conozco y no es el objetivo de este texto emitir un juicio de valor sobre su papel en este escándalo, pero entiendo que estaba en una posición incómoda bajo una relación de poder y con compromisos previamente adquiridos.

Tomo el ejemplo de Ivanna, como una demostración de lo que sucedió mal con esa filtración. En este caso asociar a la página de Facebook con el dueño de la agencia era inevitable, ya que es él quien consta en los registros públicos como responsable de la firma por cualquier eventualidad. Dado que en esta circunstancia la probable implicación del video no es quién escribe o da clic para publicar un anuncio, sino si el financiamiento para estas cuentas proviene de manos privadas o del sector público, la exposición con nombre y apellido de los empleados era innecesaria.

Un caso similar ocurrió cuando periodistas de The Guardian publicaron irresponsablemente la clave de un archivo que les fue provisto por Wikileaks en uno de sus libros, al momento de la publicación el archivo era públicamente accesible y contenía raw data (identidades personales), gracias a esto se ha tratado de desprestigiar a Wikileaks de poner en riesgo la vida de agentes estadounidenses en territorio extranjero, pero lo que es más grave, esto ha ido en desmedro de las denuncias presentadas, desviando la atención de ciertos crímentes de guerra hacia ataques personales contra quienes filtran información o contra quienes están circunstancialmente en la escena “obedeciendo órdenes”. Poner en riesgo la vida (física o laboral) de la gente no es un juego.

¿Qué nos llevó al punto de publicar irresponsablemente nombres, apellidos y fotos de los empleados de Ximah Digital? Puede haber más de una respuesta a esto, pero creo que María Paula Romo lo resumió muy bien en una de sus declaraciones cuando, tras la eliminación del movimiento Ruptura 25 del padrón electoral, dijo que lo único que se va a lograr eliminando oportunidades de participación ciudadana en la toma de decisiones sería el surgimiento de actos violentos. Éste es uno de ellos.

Son culpables quienes hackearon la cuenta pero también quienes han hecho que el clima hacia la denuncia sea hostil, quienes han cooptado la libertad de expresión de los grandes medios —incluso si tienen dueños corruptos o hay claros conflictos de interés, los medios masivos son una oportunidad para la denuncia— quienes han hecho ilegal el anonimato y han dejado sin defensas a los posibles denunciantes.

¿Cómo podemos entonces hacer una denuncia responsablemente? Evidentemente no es el hacker el llamado a irrumpir en sistemas ajenos, al menos esta no debe ser la primera opción, lo mejor sería que quienes son testigos de actos ilegales o de abuso de poder, transmitan este mensaje al público sin poner en riesgo su identidad. Ecuador Transparente es una página web similar a Wikileaks, parte de la Associated Whistleblowing Press. Mediante el uso del sistema operativo Tails (ejecutable desde una memoria USB), cualquier persona puede ejecutar denuncias de manera segura y anónima. Algo importante es que si se llegara a comprometer la identidad personal de un involucrado sin responsabilidad directa, Ecuador Transparente no lo publicará, es la responsabilidad del denunciante, y sino del grupo editorial, limpiar estos rastros.

Como sociedad civil hemos fallado en comunicar la existencia de estas herramientas. Los medios de comunicación masiva, a su vez, no han integrado herramientas apropiadas como SecureDrop dentro de sus sistemas de publicación. El gobierno no ha establecido mecanismos legales apropiados que protejan a los denunciantes. Todos podemos hacer algo para que no vuelvan a pagar “justos por pecadores” y, en este punto, cuando la inacción ya ha empezado a cobrar sus primeras víctimas, sería irresponsable no hacerlo.