La peligrosa y torpe orden de bloquear páginas web

El viceministro de Conectividad del Ministerio TIC envió el 21 de mayo a los proveedores de internet la orden de bloquear dos URL específicas de acuerdo con una Resolución de la Superintendencia de Industria y Comercio (SIC) que, al parecer, busca proteger los datos personales de funcionarios de la fuerza pública y entidades de gobierno filtrados por Anonymous Colombia al empezar el Paro Nacional. En medio de las tensiones por la protesta y de una fuerte sensación de censura, esta orden que podría ser legal y justificada, termina siendo ilegal y un tiro en el pie.

El primer problema es que la Resolución de la SIC no es pública, de hecho, la última Resolución que publicó esa entidad en su sitio web, mientras escribo estas líneas, es de abril de 2021. ¿Es legal una orden de este tipo si no podemos conocerla? La SIC tiene funciones tanto administrativas como jurisdiccionales, en cualquier caso, su acto está sometido al principio de publicidad que es lo que garantiza el derecho a cuestionarla. El Ministerio TIC también tiene facultades para pedir bloqueos cuando hay contenido de abuso sexual infantil o apuestas ilegales, pero acá actúa es a nombre de la SIC, como el encargado de hacer seguimiento al cumplimiento de la medida que ésta tomó.

Sin conocer la resolución hay un segundo problema; el Viceministro de conectividad -quien firma la comunicación a las empresas y quien está encargado de vigilar su cumplimiento-, no sabe cómo funciona Internet porque la orden es técnicamente imposible de cumplir sin bloquear completamente el sitio web correspondiente. Es decir, el Ministerio debió advertir que la orden era desproporcionada, al aplicarla resulta en la medida más lesiva posible que excede por mucho los beneficios que busca. Los proveedores no podían cumplirla.

Cuando entramos a una página en internet o cuando una aplicación intenta conectarse con sus servidores que usen el protocolo HTTPS, los proveedores de internet solo pueden saber a qué dominio o IP (por ejemplo archive.org) nos estamos conectando, de ahí en adelante la conexión está cifrada, la empresa no puede ver qué recurso o ruta dentro del servidor está siendo accedida. Por esto una orden de bloquear una URL específica tendría que dirigirse no al proveedor de Internet sino a quien administre la página en cuestión (por ejemplo archive.org). Si la empresa proveedora de internet intenta cumplir con la orden, lo que hará será bloquear el sitio completo y por tanto impedirá el acceso a todos los recursos del mismo. En una página de la magnitud de archive.org -que quiere ser el archivo de internet-, el bloqueo es realmente problemático.

Las discusiones de bloqueos de sitios web completos para evitar el acceso a un recurso en concreto, no son nuevas. Por ejemplo en 2010, Movistar bloqueó Rapidshare intentando evitar la difusión de contenido de abuso sexual infantil (mal llamado “pornografía infantil”). Poco después debió corregir porque no podía limitar el bloqueo sin afectar todo el sitio.

El tercer problema habría sido que las empresas unánimemente cumplieran la orden desproporcionada. En general los sitios no están bloqueados hoy, excepto para quienes usan servicios de Emcali o Avantel. En su mayoría las empresas parecen haber hecho su propio análisis de impacto en derechos humanos y no procedieron. Sobre Emcali y Avantel, varias personas reportaron que al usar sus servicios estaban teniendo problemas para ingresar a archive.org y a ghostbin.co -los sitios vinculados con la orden- y lo confirmamos para Avantel y Emcali con datos reportados al Observatorio Abierto de Interferencias en Redes (OONI, por su siglas en inglés).

Así como internet es catalizador de la libertad de expresión, al facilitarnos informarnos e informar, también puede servir como vehículo para actividades ilegales (tales como abuso sexual contra menores, fraude, publicación de datos personales, etcétera). Más allá de la discusión sobre la legalidad de la decisión -que en este caso sigue pendiente-, también es clave el rol de los intermediarios de internet en su cumplimiento, usualmente empresas privadas y en ocasiones públicas -como Emcali-.

En el informe sobre el rol del sector privado para el desarrollo de internet en 2016, el relator de libertad de expresión de la ONU, reconocía el importante papel del sector privado en el respeto a la libertad de expresión en la era digital y esta situación viene a darle la razón. La posible censura en esta oportunidad parece haber sido contenida por la inacción de la gran mayoría de las empresas.

Desde 2015 Karisma, donde trabajo, viene haciendo un análisis del cumplimiento de los compromisos de estas empresas en materia de privacidad y libertad de expresión denominado ¿Dónde están mis datos?, que nos ha permitido ver cómo ellas han mejorado sus compromisos. Sobre los bloqueos de contenidos, por ejemplo, en general todas las empresas -menos Emcali a la que evaluamos, pero nunca ha interactuado ni trabajado en la mejora de sus prácticas- han ido publicando sus procesos y les hemos resaltado la importancia de contar con mecanismos de análisis de cumplimiento de las garantías de los derechos de las personas que usan sus servicios. Adicionalmente, varias de estas empresas publican informes periódicamente indicando al menos quiénes dan órdenes de bloqueo, cuántas son y cuáles son las bases de las mismas. En todo caso, debido a los ciclos de reportes corporativos, la información sobre lo que está pasando durante estos tiempos desconcertantes de 2021, solo la entregarán y conoceremos en 2022.

Ahora bien, este mecanismo autónomo que nos permite un cierto grado de escrutinio público no reemplaza las responsabilidades de las autoridades y del sector público. No puede ser legal una decisión que no es pública, el Ministerio TIC no puede hacer cumplir fallos secretos y mucho menos desproporcionados. Ni Emcali, ni Avantel, están obligadas a cumplir una orden de este tipo, tienen un compromiso con las personas que usan sus servicios de analizar estas órdenes y e negarse a implementarlas cuando no pasan el test.

Que esto suceda en medio de la tensión social de una protesta es especialmente preocupante y alimenta la “sensación de censura”. Sin quitar peso al tema de Avantel, que lo haga Emcali, la empresa estatal que sirve a la ciudad que ha sido el punto neurálgico desde el 28 de abril, es muy delicado. Además, porque son sitios que son usados también para preservar contenidos legales vinculados con la protesta.

En medio de la protesta social ¿quién vigila la obligación del estado de no afectar la conectividad en internet? La vigilancia y control de internet están en cabeza del Ministerio TIC y no de la CRC, el Gobierno vigila al Gobierno.

Finalmente, para las personas usuarias de internet: las razones de un bloqueo son muchas, cuando quieras saber más sobre cuál es tu problema en determinado momento o con determinado servicio, usa OONI, acá te contamos más.

El viceministro de Conectividad del Ministerio TIC envió el 21 de mayo a los proveedores de internet la orden de bloquear dos URL específicas de acuerdo con una Resolución de la Superintendencia de Industria y Comercio (SIC) que, al parecer, busca proteger los datos personales de funcionarios de la fuerza pública y entidades de gobierno filtrados por Anonymous Colombia al empezar el Paro Nacional. En medio de las tensiones por la protesta y de una fuerte sensación de censura, esta orden que podría ser legal y justificada, termina siendo ilegal y un tiro en el pie.

El primer problema es que la Resolución de la SIC no es pública, de hecho, la última Resolución que publicó esa entidad en su sitio web, mientras escribo estas líneas, es de abril de 2021. ¿Es legal una orden de este tipo si no podemos conocerla? La SIC tiene funciones tanto administrativas como jurisdiccionales, en cualquier caso, su acto está sometido al principio de publicidad que es lo que garantiza el derecho a cuestionarla. El Ministerio TIC también tiene facultades para pedir bloqueos cuando hay contenido de abuso sexual infantil o apuestas ilegales, pero acá actúa es a nombre de la SIC, como el encargado de hacer seguimiento al cumplimiento de la medida que ésta tomó.

Sin conocer la resolución hay un segundo problema; el Viceministro de conectividad -quien firma la comunicación a las empresas y quien está encargado de vigilar su cumplimiento-, no sabe cómo funciona Internet porque la orden es técnicamente imposible de cumplir sin bloquear completamente el sitio web correspondiente. Es decir, el Ministerio debió advertir que la orden era desproporcionada, al aplicarla resulta en la medida más lesiva posible que excede por mucho los beneficios que busca. Los proveedores no podían cumplirla.

Cuando entramos a una página en internet o cuando una aplicación intenta conectarse con sus servidores que usen el protocolo HTTPS, los proveedores de internet solo pueden saber a qué dominio o IP (por ejemplo archive.org) nos estamos conectando, de ahí en adelante la conexión está cifrada, la empresa no puede ver qué recurso o ruta dentro del servidor está siendo accedida. Por esto una orden de bloquear una URL específica tendría que dirigirse no al proveedor de Internet sino a quien administre la página en cuestión (por ejemplo archive.org). Si la empresa proveedora de internet intenta cumplir con la orden, lo que hará será bloquear el sitio completo y por tanto impedirá el acceso a todos los recursos del mismo. En una página de la magnitud de archive.org -que quiere ser el archivo de internet-, el bloqueo es realmente problemático.

Las discusiones de bloqueos de sitios web completos para evitar el acceso a un recurso en concreto, no son nuevas. Por ejemplo en 2010, Movistar bloqueó Rapidshare intentando evitar la difusión de contenido de abuso sexual infantil (mal llamado “pornografía infantil”). Poco después debió corregir porque no podía limitar el bloqueo sin afectar todo el sitio.

El tercer problema habría sido que las empresas unánimemente cumplieran la orden desproporcionada. En general los sitios no están bloqueados hoy, excepto para quienes usan servicios de Emcali o Avantel. En su mayoría las empresas parecen haber hecho su propio análisis de impacto en derechos humanos y no procedieron. Sobre Emcali y Avantel, varias personas reportaron que al usar sus servicios estaban teniendo problemas para ingresar a archive.org y a ghostbin.co -los sitios vinculados con la orden- y lo confirmamos para Avantel y Emcali con datos reportados al Observatorio Abierto de Interferencias en Redes (OONI, por su siglas en inglés).

Así como internet es catalizador de la libertad de expresión, al facilitarnos informarnos e informar, también puede servir como vehículo para actividades ilegales (tales como abuso sexual contra menores, fraude, publicación de datos personales, etcétera). Más allá de la discusión sobre la legalidad de la decisión -que en este caso sigue pendiente-, también es clave el rol de los intermediarios de internet en su cumplimiento, usualmente empresas privadas y en ocasiones públicas -como Emcali-.

En el informe sobre el rol del sector privado para el desarrollo de internet en 2016, el relator de libertad de expresión de la ONU, reconocía el importante papel del sector privado en el respeto a la libertad de expresión en la era digital y esta situación viene a darle la razón. La posible censura en esta oportunidad parece haber sido contenida por la inacción de la gran mayoría de las empresas.

Desde 2015 Karisma, donde trabajo, viene haciendo un análisis del cumplimiento de los compromisos de estas empresas en materia de privacidad y libertad de expresión denominado ¿Dónde están mis datos?, que nos ha permitido ver cómo ellas han mejorado sus compromisos. Sobre los bloqueos de contenidos, por ejemplo, en general todas las empresas -menos Emcali a la que evaluamos, pero nunca ha interactuado ni trabajado en la mejora de sus prácticas- han ido publicando sus procesos y les hemos resaltado la importancia de contar con mecanismos de análisis de cumplimiento de las garantías de los derechos de las personas que usan sus servicios. Adicionalmente, varias de estas empresas publican informes periódicamente indicando al menos quiénes dan órdenes de bloqueo, cuántas son y cuáles son las bases de las mismas. En todo caso, debido a los ciclos de reportes corporativos, la información sobre lo que está pasando durante estos tiempos desconcertantes de 2021, solo la entregarán y conoceremos en 2022.

Ahora bien, este mecanismo autónomo que nos permite un cierto grado de escrutinio público no reemplaza las responsabilidades de las autoridades y del sector público. No puede ser legal una decisión que no es pública, el Ministerio TIC no puede hacer cumplir fallos secretos y mucho menos desproporcionados. Ni Emcali, ni Avantel, están obligadas a cumplir una orden de este tipo, tienen un compromiso con las personas que usan sus servicios de analizar estas órdenes y e negarse a implementarlas cuando no pasan el test.

Que esto suceda en medio de la tensión social de una protesta es especialmente preocupante y alimenta la “sensación de censura”. Sin quitar peso al tema de Avantel, que lo haga Emcali, la empresa estatal que sirve a la ciudad que ha sido el punto neurálgico desde el 28 de abril, es muy delicado. Además, porque son sitios que son usados también para preservar contenidos legales vinculados con la protesta.

En medio de la protesta social ¿quién vigila la obligación del estado de no afectar la conectividad en internet? La vigilancia y control de internet están en cabeza del Ministerio TIC y no de la CRC, el Gobierno vigila al Gobierno.

Finalmente, para las personas usuarias de internet: las razones de un bloqueo son muchas, cuando quieras saber más sobre cuál es tu problema en determinado momento o con determinado servicio, usa OONI, acá te contamos más.