Riesgos y amenazas cibernéticas en tiempos electorales.

Desde hace poco más de un año las crecientes y nuevas amenazas cibernéticas han demostrado que no debemos bajar la guardia en el cuadrilátero digital en que vivimos. Miles, tal vez millones de personas fueron afectadas recientemente por diversos vectores conocidos como “ransomware”. El mejor ejemplo de este tipo de códigos maliciosos que secuestran datos de tu computadora (pidiendo rescate para liberar la información) fue el “WannaCry”.

La prensa documentó que muchas empresas, en México y en el mundo, fueron víctimas de este “gusano secuestrador de datos”. Pese a que este fenómeno debió provocar no solo reacciones sino acciones preventivas en todas las áreas de sistemas de empresas, gobiernos e instituciones, luego llegaron otros vectores como “Petya”, “non-Petya”, “HeartBleed” y “Bad Rabitt”, y siguieron haciendo de las suyas secuestrando datos/computadoras alrededor del mundo.

Antes, los cibercriminales se conformaban con entrar a servidores, para luego robar, modificar o destruir información. Hoy, no te roban la información, la dejan en tu computadora pero ésta queda inutilizable hasta que no pagues el rescate que usualmente lo piden en criptomonedas. Estos códigos maliciosos resultaron tremendamente exitosos gracias a su capacidad de auto-propagarse, tal como lo hacen los virus de computadora.

En el entorno electoral en el que nos encontramos inmersos ¿cuáles pueden ser los riesgos y amenazas cibernéticas a los que nos podemos enfrentar?

FAKE NEWS (NOTICIAS FALSAS)

Vales, en Macedonia, solía ser famosa por hacer porcelana para toda Yugoslavia. Hoy esta pequeña ciudad se ha vuelto famosa por ser la sede de docenas de operadores de sitios web dedicados a crear noticias falsas. Se dice que esta ya es una industria millonaria. Estos “emprendedores” pueden no solo crear sitios web con noticias falsas, sino también “fan pages” en Facebook e incluso cuentas en Twitter que promuevan visitas a sus sitios.

De acuerdo con una investigación de CNN, una persona que tiene un ingreso mensual promedio de $400 dólares en Macedonia, puede ganar hasta $2,500 dólares diarios por anuncios colocados en sus sitios web de noticias falsas. Facebook declaró recientemente al Congreso Americano que recibió $100,000 dólares por venta de anuncios políticos pagados por una empresa rusa que estaba buscando influenciar las elecciones presidenciales de 2016.

Los creadores de noticias falsas pueden tener un doble incentivo económico: crear las notas bajo contrato (a petición de alguien) o generar noticias que se hagan virales para aspirar a tener “clics” en los anuncios publicitarios que ahí colocan, situación que puede generarles ingresos económicos considerables.

Aunque los precursores de esta industria de noticias falsas tienen intereses meramente económicos, sus clientes podrían tener otro tipo de objetivos. Mucho se ha especulado sobre la posible influencia de Rusia en las pasadas elecciones presidenciales en Estados Unidos. Incluso el gobierno de dicho país designó a un fiscal especial, que entre otras cosas, está investigando a Facebook y Cambridge Analítica. Y no solo podría ser injerencia extranjera, cualquier persona o institución, puede buscar generar noticias falsas para perjudicar a un adversario, ya sea a un candidato en particular o a un partido político completo.

Recordemos que las noticias falsas no son privativas del terreno electoral. Durante el terremoto de septiembre de 2017, las redes sociales y servicios de mensajería instantánea se vieron inundados con noticias falsas o inexactas.

BOTS (CUENTAS FALSAS)

Desde las pasadas elecciones presidenciales en nuestro país, diversos analistas y expertos en manejo de redes sociales han detectado la existencia de millones de cuentas falsas en redes sociales (especialmente en Twitter, aunque también las hay en Facebook) creadas por equipos cibernéticos de los principales partidos políticos en México. Estas cuentas falsas reciben el nombre de “bots”.

Medios como Aristegui Noticias, Huffington Post, Vanguardia, Sin Embargo y Proceso, han documentado la existencia de miles de bots dedicados a cuidar y proteger la imagen del Presidente de México, situación que ha sido sistemática negada por la Oficina de la Presidencia.

Si usted está pensando, “bueno, es que estos medios pueden estar sesgados, son anti-sistema” o ideas similares, vale la pena mencionar que según el estudio de la Universidad de Oxford, titulado “Troops, Trolls and Troublemakers: A Global Inventory of Organized Social Media Manipulation”, México está entre 29 países que utilizan “cibertropas” o “ejércitos de bots” para influir en las principales redes sociales como Twitter, Facebook y hasta Instagram. Se trata de naciones con Gobiernos democráticos o unipersonales, así como religiosos. Linaloe Flores de SinEmbargo.mx señala que en dicho estudio se afirma que “En México también existen tropas cibernéticas patrocinadas por el Gobierno que atacan a periodistas y provocan la desinformación en los medios de comunicación; estas tropas usan una combinación de la automatización e interacción humana”.

Carlos Alonso Cruz, en su artículo “Los bots que protegen a EPN en Twitter” de HuffingtonPost, comenta que hay dos tipos de bots, los operados por personas reales que se esconden tras cuentas falsas y los bots que están enlazados a un software online que tiene la capacidad de administrar miles de perfiles falsos en Twitter.

Pero no crea usted que los bots son solo instrumento del PRI, realmente son ampliamente utilizados no solo por partidos políticos sino también por empresas e incluso “celebridades”. Existe una herramienta muy popular en Internet llamada “Twitter Audit”, que proporciona información sobre seguidores reales y ficticios de cuentas de Twitter.

El 23 de abril de 2018 realicé consultas en esta página sobre las cuentas de los candidatos a la presidencia de la república. Todos los actuales candidatos a la presidencia de la república hacen uso de “bots”, resaltando la cantidad de seguidores falsos de Andrés Manuel López Obrador (1,492,242), Margarita Zavala (634,908) y José Antonio Meade (468,737). Nótese que la cuenta del Bronco no ha sido auditada en 3 años, por lo que la situación actual puede ser muy distinta.

Esta situación la han documentado diversos medios de prensa, entre ellos Etcétera y Reforma. En el artículo “AMLO encabeza la tabla de bots de candidatos presidenciales en México”, Etcétera señala que la palabra ‘bot’ viene de Robot y sirve para denominar en el argot tecnológico a las cuentas que simulan ser personas en una red social y son creadas con un fin determinado, bastante distinto al normal o habitual de un usuario que simplemente busca interactuar o convivir con otros.

En el menor de los casos estos bots pueden servir para inflar una cuenta para crear la falsa impresión de ser popular al tener una “gran comunidad de admiradores”. Pero en otros casos, estos bots pueden ser usados de manera activa ya sea para alabar o defender a un candidato, para circular dolosamente noticias falsas, o también para lanzar ataques contra adversarios.

Adicionalmente en Twitter existe lo que se conoce como “Trending Topics” (temas que son tendencia en esa red social) que se generan mediante el uso de hashtags o etiquetas. Cualquiera que tenga el control de una red de bots puede manipular fácilmente la creación o incluso bloqueo de un “tema de tendencia” en Twitter.

Según información de la Unidad de Datos de SinEmbargo, ocho millones de cuentas falsas en siete redes sociales actúan en el presente proceso electoral, de acuerdo con un estudio de Metrics una consultora basada en inteligencia artificial. Son los bots y trolls de 2018, esas cuentas que a veces actúan como robots y otras, con las manos de un ser humano; que integran masas virtuales para atacar o defender; que juegan a inflar diálogos y apelar al interés de la opinión pública.

Pero ¿cómo es posible detectar que una cuenta de Twitter es falsa? Aunque no hay fórmulas exactas, se toman en cuenta diversos factores: fecha de creación (cuenta con poca antigüedad), ausencia de fotografía o datos en su perfil, la cuenta sigue a pocas personas y/o tiene muy pocos seguidores, muchas cuentas publicando o “retuiteando” exactamente los mismos mensajes y, finalmente, que no exista evidencia de conversaciones reales o auténticas con otras personas de la red social en su línea de tiempo (timeline).

TROLS (PROVOCADORES CIBERNÉTICOS)

Según Wikipedia, un trol (del nórdico troll) es un temible miembro de una mítica raza antropomorfa del folclore escandinavo. Su papel en los mitos cambia desde gigantes diabólicos —similares a los ogros de los cuentos de hadas ingleses— hasta taimados salvajes más parecidos a hombres que viven bajo tierra en colinas o montículos, inclinados al robo y el rapto de humanos.

Hoy en día, hablar de trols, si bien puede resultar espeluznante, poco o nada tiene que ver con esas creaturas míticas escandinavas. En la actualidad, hablar de “trolls” o “trols” puede tener diferentes conceptos, como “trol de patentes” o “trol de derechos de autor”, pero solo uno de ellos es relevante para el presente artículo.

La enciclopedia libre –Wikipedia– describe a al “trol de internet” como “una persona que sólo busca provocar intencionadamente a los usuarios o lectores, creando controversia, provocar reacciones predecibles, especialmente por parte de usuarios novatos, con fines diversos, desde el simple divertimento hasta interrumpir o desviar los temas de las discusiones, o bien provocar flamewars, enfadando a sus participantes y enfrentándolos entre sí. El troll puede ser más o menos sofisticado, desde mensajes groseros, ofensivos o fuera de tema, sutiles provocaciones o mentiras difíciles de detectar, con la intención en cualquier caso de confundir o provocar la reacción de los demás.”

Para mi, más que “trol de internet”, esta figura debería llamarse “trol de redes sociales”, pues es en ellas en donde estos individuos son más prolíficos y populares. Particularmente en Twitter, los trolls gozan de tremenda notoriedad. Escudándose la mayoría de las veces en cuentas anónimas o falsas identidades, los #trolls twitteros se regocijan causando controversia entre los usuarios de esta red social, burlándose de personajes públicos (artistas, políticos, empresarios), molestando a usuarios que gozan de cierta fama (“celebridades twitteras”), o simplemente ofendiendo a empresas, marcas o usuarios que les caen mal (compañeros de escuela, trabajo, familiares, ex-parejas, etc.) Obviamente los trolls no solo existen en Twitter, pueden tener presencia en Facebook, blogs y comunidades de usuarios (foros de discusión).

En la arena electoral, los trolls son muy prolíficos. Las cuentas de trolls, también son cuentas falsas, pero con la gran diferencia que no se molestan en disimularlo. Un troll electoral es creado primordialmente para provocar al adversario y a sus seguidores abiertamente. Las provocaciones se pueden dar en un amplio rango; los trolls suelen publicar mensajes ridiculizantes, violentos, difamatorios o falsos, usualmente teniendo por objetivo minar la credibilidad, fama o reputación de un candidato o político.

EL CASO “CAMBRIDGE ANALYTICA” (MANIPULACIÓN DE VOLUNTADES)

En las últimas semanas inundó la prensa un tema digno de preocupación. El New York Times y The Guardian revelaron una vulneración de datos de millones de usuarios de Facebook a través de la empresa Cambridge Analytica. Esta es una empresa privada creada en 2013, dedicada al análisis y minería de datos para realizar campañas de comunicación estratégica. En su página web, Cambridge Analytica (en adelante “CA”) afirma que “usa datos para cambiar el comportamiento de la audiencia”. Tiene dos divisiones, una comercial y otra política.

¿Por qué ha estado CA en el ojo del huracán? CA utiliza el análisis de datos para crear perfiles sofisticados de personas para predecir cómo podrían votar. El rol de CA en la campaña electoral de Trump y en la votación por el Brexit generó polémica, por lo que actualmente la empresa se enfrenta a diversas investigaciones en Estados Unidos y en la Reino Unido.

CA es pieza clave en dos investigaciones en el Reino Unido, una por la Comisión Electoral, sobre el posible papel de la empresa en el referéndum de la UE sobre el Brexit, y otra por la Oficina del Comisionado de Información, sobre el análisis de datos con fines políticos.

En los Estados Unidos, el fiscal especial Robert Mueller, encargado de investigar la interferencia de Rusia en la elección de 2016, está analizando las conexiones entre la campaña del presidente Donald Trump y la empresa de análisis de datos Cambridge Analytica.

De acuerdo al reportaje publicado el pasado 20 de marzo por el New York Times, CA extrajo información privada de los perfiles de Facebook de más de 50 millones de usuarios sin su consentimiento, de acuerdo con ex-empleados, ex-asociados y documentos de Cambridge Analytica, lo cual dio como resultado una de las filtraciones más grandes de la historia de las redes sociales.

La filtración permitió a la empresa explotar la actividad privada en redes sociales de un porcentaje enorme del electorado de Estados Unidos para desarrollar técnicas que apuntalaran su trabajo en la campaña de 2016 del presidente Donald Trump.

La investigación del diario neoyorquino encontró que CA, a través de una aplicación, también recopiló la información de los amigos de Facebook de los candidatos, lo que llevó a la acumulación de un grupo de datos de decenas de millones de personas. La política de Facebook permite solo la recopilación de datos de amigos para mejorar la experiencia del usuario en la aplicación y prohíbe su venta o uso para publicidad.

Por su parte, en una nota del 17 de marzo pasado, el diario británico The Guardian señaló que un denunciante reveló cómo Cambridge Analytica usó información personal -tomada sin autorización a principios de 2014- para construir un sistema que pudiera perfilar votantes estadounidenses individuales, con el fin de dirigirles anuncios políticos personalizados.

La app “thisisyourdigitallife” fue construida por el académico Aleksandr Kogan, al margen de su trabajo con la Universidad de Cambridge. A través de su empresa Global Science Research (GSR), en colaboración con Cambridge Analytica, se les pagó a cientos de miles de usuarios para que realicen una prueba de personalidad y acordaron que se recopilaran sus datos para uso académico.

En agosto de 2016, los abogados de Facebook le enviaron una carta a GSR, empresa creada por Kogan para recolectar los perfiles, pidiéndole que destruya todos los datos que habían recolectado. “Debido a que estos datos se obtuvieron y usaron sin permiso, y debido a que GSR no estaba autorizado a compartirlos o venderlos, no se pueden usar legítimamente en el futuro y deben eliminarse de inmediato”, decía la carta.

¿Hay algo que nos deba de preocupar en México? Gerardo Rodríguez, entrevistado por Carmen Aristegui, director general de Cambridge Analytica, estuvo en México el año pasado y tuvo encuentros con 2 líderes de partidos políticos e inclusive probablemente con el gobierno federal.

En una nota, Bloomberg señaló que Cambridge Analytica esperaba utilizar la app móvil latinoamericana Pig.gi para extraer datos para la campaña presidencial de México. Pig.gi, que entrega a 1.2 millones de usuarios en México y Colombia tiempo gratuito de uso y datos a cambio de ver anuncios y completar encuestas, dice que nunca trabajó en una campaña política con Cambridge. Sin embargo, la startup sí compartió resultados sobre dos encuestas electorales y datos agregados ocasionales sobre preferencias no políticas, pero dijo que también lo hace con otros socios.

Francisco Javier Acuña, Comisionado Presidente del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, informó que el INAI investigará a la aplicación Pig.gi, por su relación con Cambridge Analytica. De acuerdo con el Comisionado Presidente, el INAI abrió una investigación de oficio para averiguar si esta empresa violó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y en su caso, establecer las sanciones correspondientes.

En este contexto, el Instituto considera necesario proponer al Congreso de la Unión reformar la Ley Federal de Protección de Datos Personales en Posesión de los Particulares a fin de ampliar las facultades y los supuestos de actuación del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, incluyendo la posibilidad de implementar medidas cautelares cuando se presuman riesgos para los titulares de los datos personales sometidos a tratamiento.

Algo que empezó como un supuesto estudio conductual de índole académico en Reino Unido, acabó como el escándalo de vulneración de datos más grande en la historia de las redes sociales.

HACKERS (CIBERDELINCUENTES)

Finalmente, no podíamos dejar pasar por alto la vieja escuela, los hackers comunes y a veces no tan corrientes. Sin entrar en el eterno debate sobre si el término hacker tiene implicaciones positivas o negativas, para efectos de este artículo entenderemos por “hackers” a los delincuentes cibernéticos.

Bajo la legislación mexicana, en términos generales, comete un delito informático aquel que entra sin autorización a equipos informáticos -protegidos por algún mecanismo de seguridad-, con el objeto de conocer, copiar, modificar, destruir o provocar pérdida de información. Las sanciones que van desde los seis meses hasta los diez años de prisión, se duplicarán cuando la conducta obstruya, entorpezca, obstaculice, limite o imposibilite la procuración o impartición de justicia.

En la práctica, y considerando especialmente el entorno electoral en que vivimos, un hacker podría intentar cualquiera de los siguientes escenarios:

• Hackear los servidores donde se encuentran los sitios web de los candidatos y/o sus respectivos partidos políticos, ya sea para modificar o borrar su contenido.
• Hackear las computadoras o dispositivos informáticos que usan los candidatos y/o sus partidos políticos, con el propósito de conocer y divulgar información sensible, o también de modificar o borrar su contenido.
• Hackear el servidor del Instituto Nacional Electoral donde correrá el Programa de Resultados Electorales Preliminares o “PREP”, ya sea de la manera tradicional (acceso ilícito) o tratar de “tumbar” el servicio mediante un ataque de denegación de servicios.
• Hackear las cuentas de redes sociales de los candidatos y/o sus partidos para publicar información difamatoria, falsa o tendenciosa.
• Intervenir comunicaciones privadas de los candidatos y/o sus equipos de campaña, con el propósito de conocer y divulgar información sensible.
• Alterar información que sobre los candidatos y/o sus equipos de campaña tengan terceros con el propósito de manipularla para incriminarlos o fincarles responsabilidades legales.

CONCLUSIONES

Como podemos apreciar, este proceso electoral por el que estamos pasando puede estar lleno de intrincadas maniobras, simulaciones, amenazas y riesgos que pueden perjudicar no solo a los candidatos y sus plataformas, sino a los ciudadanos y al país entero. Uno de los esfuerzos más loables para mitigar los riesgos asociados a las “fake news” es el proyecto de periodismo colaborativo denominado “Verificado 2018”, que nace con el objetivo de enfrentar estas noticias malintencionadas o imprecisas y desmentirlas con información rigurosa y confirmada. También existe un “Memorándum de Cooperación” firmado entre el INE y Facebook Irlanda, que por clausulado tiene una lista de buenos deseos encaminados a combatir también las noticias falsas.

Es responsabilidad de los partidos políticos, el INE y los tribunales electorales contar con plataformas tecnológicas robustas y seguras, que estén preparadas para enfrentar amenazas cibernéticas en estos tiempos electorales. Es responsabilidad de las empresas prestadoras de servicios de internet y de la prensa, en el ámbito de sus obligaciones éticas, legales y contractuales, evitar la dispersión de noticias falsas. Es responsabilidad de los ciudadanos estar alertas, desconfiar de la información hasta en tanto no sea verificada. Es obligación de todos, ciudadanos, candidatos y autoridades, respetar y hacer respetar el Estado de Derecho.

Publicación original para: FORO JURÍDICO.