Esta es la cuarta parte de la serie de artículos de la EFF sobre la propuesta de Convención de la ONU contra la Ciberdelincuencia. Lea Parte I para conocer los pormenores del borrador cero; Parte  IIII para una inmersión profunda en el Capítulo IV que trata de los poderes de vigilancia nacional; y Parte III para profundizar en el Capítulo V relativo a la cooperación internacional: el contexto histórico, el enfoque del borrador cero, el alcance de la cooperación y la protección de los datos personales.

La propuesta de Convención de las Naciones Unidas sobre la Ciberdelincuencia podría acabar con la seguridad y perjudicar a activistas políticos y sociales, periodistas, investigadores de seguridad, denunciantes de irregularidades y millones de personas más en todo el mundo durante las próximas décadas. auditorio lleno en DEFCON en Las Vegas el jueves, pero aún no es demasiado tarde para impedir que se apruebe este mal tratado.

Las delegaciones de los Estados miembros, así como los observadores de la sociedad civil, se reunirán el 21 de agosto en la Sede de las Naciones Unidas en Nueva York. se reunirán el 21 de agosto en la sede en Nueva York para una sesión de negociación de dos semanas sobre el "borrador cero." El borrador cero es el primer texto completo, resultado de las negociaciones dirigidas por los Estados que comenzaron en febrero de 2022. La EFF estará allí de nuevo este mes para presionar a los Estados miembros y proporcionar la opinión de expertos para garantizar la protección de sus derechos.  Si los Estados miembros no logran un consenso total sobre el texto, éste podría pasar a una votación de los gobiernos de los Estados miembros en la que se requeriría una mayoría de dos tercios para su adopción. La sesión de clausura está prevista para principios del próximo año en Nueva York.

En DEFCON destacamos los principales peligros que plantea el borrador cero y la dirección que parecen tomar las negociaciones. El tratado propuesto consta de cinco capítulos: penalización, o categorización de los actos considerados delito en virtud de este tratado; facultades de espionaje nacionales y transfronterizas, por ejemplo, las facultades y límites para llevar a cabo vigilancia tanto dentro de sus fronteras como a través de fronteras internacionales; y dos capítulos adicionales sobre cooperación técnica y medidas proactivas. 


Nuestra charla en DEFCON se centró en los delitos informáticos que podrían afectar a los investigadores de seguridad, esos programadores y desarrolladores que se dedican a explorar la tecnología de vanguardia. Los investigadores en seguridad y cifrado ayudan a construir un futuro más seguro para todos los que utilizamos tecnologías digitales, pero demasiados investigadores legítimos se enfrentan a graves problemas legales que inhiben su trabajo o lo impiden por completo. La EFF lleva mucho tiempo luchando por los derechos de los programadores en tribunales, congresos y foros políticos internacionales. Es una causa que llevamos en el corazón.

La sección sobre criminalización, por ejemplo, es extremadamente preocupante. Hace referencia a una lista de delitos específicos, tomando prestado el lenguaje del defectuoso Convenio de Budapest. Si el texto final obtiene la aprobación por consenso, podría obligar a 194 Estados miembros a incorporar estos delitos a su legislación nacional. Esto allanará el camino para que las naciones armonicen estos ciberdelitos básicos en todo el mundo y ayuden fácilmente a otras en la vigilancia de objetivos relacionados con estos delitos. Aunque estos ciberdelitos principales se han debatido durante años en USA, conduciendo a avances significativos, pero estos avances no pueden aplicarse automáticamente de forma universal. Organizaciones como la EFF have llevan años abogando por estas reformas legales, pero la capacidad de influir en el sistema jurídico de un país varía mucho de unas naciones a otras: En algunos lugares es imposible, en otros litigar puede ser más arriesgado o costoso. Por eso nuestro objetivo es incorporar estas salvaguardias al proyecto de tratado, de modo que todos los países que lo acaten deban incluirlas en su legislación nacional.

La EFF y otras organizaciones han instado a los Estados miembros que el ámbito de aplicación de este tratado se limite únicamente a los "ciberdelitos principales", como los ataques técnicos específicos contra ordenadores, dispositivos y sistemas de comunicaciones. Pero el borrador cero es un auténtico queso suizo de lagunas que convertiría en ciberdelito cualquier delito que se cometa con tecnología y esté cubierto por cualquier otro tratado al que el país se haya adherido: por ejemplo, el tráfico de drogas. Esto podría extenderse potencialmente a tratados aún más oscuros o a cualquier tratado que se adopte en el futuro. En esencia, el artículo 17 podría obligar a los Estados a refundir los delitos tradicionales como ciberdelitos. Aplicar marcos jurídicos del mundo físico a conductas digitales es una mala práctica legislativa que podría crear más perjuicios que beneficios. Los Estados podrían perder el matiz necesario para distinguir entre delitos digitales y del mundo real. Junto con Article19 y otros estamos luchando para eliminar el artículo 17 del tratado propuesto.

El artículo 22 del proyecto cero, relativo a la jurisdicción, tambien se refiere a esto. Permitiría a una nación reclamar autoridad sobre cualquiera de estos ciberdelitos principales si ocurren dentro de su territorio, o a bordo de sus buques o aeronaves, pero también si el delito implica a sus nacionales como autores o víctimas o se comete contra el propio Estado. Se trata de una pesadilla jurisdiccional que, una vez reclamada contra un investigador de seguridad, podría ser fácilmente tergiversada con fines políticos represivos por gobiernos no democráticos o puede forzar la aplicación de leyes nacionales a corporaciones que podrían ser desproporcionadas y arbitrarias por naturaleza. No creemos que el tratado propuesto sea el lugar adecuado para tratar la jurisdicción.

Otra disposición preocupante es el artículo 6. Obliga a cada nación a legislar y aplicar medidas que garanticen que el acceso no autorizado (o el acceso sin derecho) a un sistema informático o a las tecnologías de la información y la comunicación -sea cual sea el término que se adopte- es un acto delictivo cuando se realiza con intención. Aunque el texto concede a los países flexibilidad para decidir cuándo penalizar el acceso no autorizado, por ejemplo en caso de violación de las medidas de seguridad o de intenciones deshonestas, estas condiciones específicas se dejan en gran medida al criterio y las definiciones de cada Estado. El texto no exige que los actos de ciberdelincuencia contemplados en los artículos 6 y 10 causen daños o perjuicios graves para poder acogerse al tratado.  Tampoco se estipula que la medida de seguridad violada deba ser efectiva. Sostenemos firmemente que sólo las violaciones de medidas de seguridad efectivas deben ser un criterio obligatorio para la criminalización. Esta petición es coherente con la defensa nacional de la EFF de la Ley de Fraude y Abuso Informático -evitando los argumentos de que eludir un bloqueo de IP es un acceso no autorizado, por ejemplo- y con las diversas denuncias que la EFF y nuestros aliados han realizado en nuestras nuestras articulos y cartas durante las negociaciones en Viena.  El texto carece también de cualquier tipo de excepción de interés público para proteger a denunciantes, periodistas o investigadores de seguridad.

Además, el vago concepto de hacer las cosas "sin derecho" podría amenazar con elevar a actividad delictiva las disputas comerciales privadas basadas en normas y condiciones redactadas por los proveedores, no por las legislaturas. Una vez más, esta preocupación es coherente con la defensa nacional de la EFF. En el caso Van Buren del Tribunal Supremo, por ejemplo, el Departamento de Justicia argumentó que un agente de policía que utilizó una base de datos policial para un fin no autorizado incurrió en acceso autorizado porque su uso no estaba permitido en la política de uso aplicable. Podría decirse que esto "carece de derecho", como lo serían todos los casos en los que el propietario del ordenador argumenta que el usuario "debería haber sabido" que su uso no estaba autorizado, como cuando el propietario no protege una zona de un sitio web que obviamente debería ser privada y, en su lugar, la hace de acceso público. En consonancia  con  nuestros  argumentos el Tribunal rechazó tal suposición y adoptó un planteamiento de "puertas arriba o abajo": O se tiene derecho a acceder a la información, o no se tiene. Esta suposición inicial podría criminalizar el periodismo que implica el uso de información oscura pero públicamente disponible en línea. El tratado debe incluir salvaguardias para evitarlo.

El borrador también se hace un lío a la hora de tratar las herramientas y los datos utilizados en la investigación de seguridad o para otros fines cotidianos no delictivos. Por ejemplo, el artículo 10 del borrador cero habla del "uso indebido de herramientas de seguridad", que podría aplicarse cuando tu madre comparte contigo su contraseña de Netflix: Es una infracción  de las  condiciones  del  servicio, es decir, acceso sin derecho. Así que, de nuevo, el tratado podría estar convirtiendo disputas privadas en responsabilidad penal.

Pero lo que podría ser peor del borrador cero es su amenaza para la seguridad.

El Artículo 28 del tratado, vagamente redactado, que contiene  una versión ampliada de una disposición del Convenio de Budapest sobre asistencia forzosa, podría interpretarse en el sentido de ordenar a las personas que tengan conocimientos o habilidades para romper sistemas de seguridad que ayuden a las fuerzas de seguridad a romper esos sistemas. Esto debe eliminarse, para que no se interprete que la facultad incluye la divulgación forzosa de vulnerabilidades y claves privadas. La seguridad ya es bastante difícil; los mandatos gubernamentales para ayudar a romper la seguridad no mejorarán las cosas.

Para ser sinceros, muchas personas de todo el mundo no dedican mucho tiempo a preocuparse por lo que hacen las Naciones Unidas. En este caso, sin embargo, deberían hacerlo: Los tratados son vinculantes para los países firmantes, que están obligados a cumplirlos. Pasan a formar parte del derecho internacional y, en Estados Unidos, los tratados tienen la misma fuerza que las leyes federales. Los malos tratados son una forma de eludir los procesos políticos nacionales democráticos y reflexivos.

Nos complace ver que miles de asistentes a DEFCON han captado el mensaje de que el futuro de la piratería informática, la ciberseguridad y los derechos humanos está en peligro. Con la reanudación de las negociaciones en tan solo unos días, es crucial que todo el mundo alce la voz para garantizar que esta propuesta de tratado no suponga un retroceso de décadas para los derechos humanos y la legislación tecnológica.