El 10 de noviembre, el tribunal fijó la audiencia para el 19 de enero de 2022.
Una inminente audiencia de juicio en Ecuador debería poner en alerta a los tecnólogos que trabajan al servicio del interés público. El programador, activista de Internet y defensor de los derechos humanos Ola Bini, de nacionalidad sueca, comparecerá ante un tribunal en Quito, acusado de intentar desestabilizar al gobierno por acceder sin autorización a un sistema informático. El proceso judicial puede tener un impacto considerable en el desarrollo y uso de comunicaciones digitales seguras, a las que recurren personas de todo el mundo para ejercer sus derechos.
Nuestra capacidad de comunicarnos de manera privada y segura en línea es posible gracias a expertos en seguridad que desarrollan herramientas de protección de la privacidad y que investigan las vulnerabilidades de los sistemas de seguridad digital para protegernos. Algunos de los argumentos que se invocan para procesar penalmente a Bini deberían preocupar no solo a quienes trabajan en seguridad digital, sino también a quienes utilizan o deberían utilizar comunicaciones digitales seguras.
Bini vive en Ecuador desde 2013. Se lo conoce principalmente por su aporte al desarrollo de tecnologías que permiten tener comunicaciones seguras y en la actualidad trabaja en el Centro de Autonomía Digital, una organización sin fines de lucro con sede en Quito, que se dedica a crear un software de código abierto para garantizar un mayor anonimato, seguridad y privacidad digital a las personas.
Bini fue detenido en Quito en abril de 2019. Las autoridades ecuatorianas alegaron que un grupo de piratas informáticos rusos y actores relacionados con Wikileaks se encontraban en el país “colaborando con los intentos de desestabilización en contra del gobierno” en represalia por el desalojo de Julian Assange, fundador de Wikileaks, de la embajada de Ecuador en Londres y la cancelación del asilo que se le había otorgado.
El gobierno le había otorgado asilo a Assange en junio de 2012, por considerar que existía un temor fundado de persecución en caso de ser extraditado a Estados Unidos. Más tarde, el gobierno sostuvo que trabajaba con colaboradores en Ecuador para interferir con los asuntos internos del país. No se revelaron más datos sobre su presunto plan de sabotaje.
Un juez constitucional ordenó la liberación de Bini en junio de 2019, después de haber estado 70 días detenido en forma preventiva. Bini no puede salir de Ecuador. Sus dispositivos fueron confiscados durante la investigación y aún no han sido devueltos. Después de dos años y medio, Bini sigue esperando su audiencia de juicio. Esta estaba programada para el 21 de octubre de 2021, pero el 19 de ese mes se postergó y aún no se anunciado una nueva fecha.
La Fiscalía imputó a Bini por el delito de “acceso no consentido a un sistema informático”, tipificado en el artículo 234 del Código Penal de Ecuador, que criminaliza el mero acceso a sistemas de telecomunicaciones e informáticos, independientemente de la intención con la que se efectúe dicho acceso. El abogado de Bini le informó a Human Rights Watch que una de las pruebas clave en las que se apoya la Fiscalía es una foto de una pantalla de computadora portátil obtenida del teléfono celular de Bini. Se supone que la foto demuestra que Bini perpetró un ataque cibernético a los sistemas de la Corporación Nacional de Telecomunicaciones (CNT).
Human Rights Watch revisó la foto y comparte la preocupación planteada por 19 organizaciones internacionales de derechos digitales y derechos humanos de que esta no indica que Bini haya accedido a un sistema informático sin autorización. Por el contrario, la foto muestra que visitó un servidor de acceso público y luego acató las advertencias del servidor respecto del uso y acceso. En otras palabras, Bini había descubierto, y se había conectado, a un servidor inseguro abierto, pero cuando recibió un mensaje de advertencia para no ingresar sin autorización, cumplió con la advertencia y se abstuvo de continuar el acceso.
La fundación Electronic Frontier (EFF), que llevó a cabo una misión de investigación en Quito por el caso de Bini, sostuvo que este se comunicó con un administrador de sistemas que tenía un vínculo laboral con la CNT, quien le respondió que se pondría en contacto con alguien de esa organización, presuntamente para hacerles saber que el servicio de telnet no era seguro. Esas actividades son absolutamente habituales entre los profesionales de seguridad informática, y forman parte de su trabajo.
Dado que la definición de acceso no consentido a sistemas informáticos y de telecomunicaciones en el Código Penal de Ecuador es demasiado amplia, podría aplicarse de manera injusta y desproporcionada. El caso de Bini demuestra por qué es importante definir con claridad la intencionalidad en los actos constitutivos de ciberdelitos. De lo contrario, esas normas pueden utilizarse para procesar penalmente a denunciantes que accedan a datos o sistemas informáticos para exponer abusos de poder, corrupción u otros perjuicios a la salud pública, la seguridad o el medioambiente.
De igual manera, pueden emplearse en perjuicio de los investigadores de seguridad que, en su afán de revelar vulnerabilidades en los sistemas informáticos, a veces acceden a los sistemas sin permiso, pero sin intención de ocasionar un daño. Dichas actividades se realizan con fines de interés público, ya que mejoran la seguridad para la sociedad en su conjunto al permitir a las empresas y al sector público reforzar la infraestructura y seguridad del software,en beneficio del público en general. La revelación de vulnerabilidades que se realiza en forma responsable se considera esencial para la ciberseguridad; por ese motivo, se alienta a los gobiernos a eliminar obstáculos que generan un riesgo para los investigadores de seguridad, incluyendo aquellos de carácter normativo.
En el caso de Bini, las pruebas que analizamos no indican que haya proseguido en su tarea luego de la advertencia ni que haya accedido al sistema informático sin autorización.
Otro aspecto problemático de este caso es la forma en que se clasifica el uso del cifrado que hizo Bini. La captura de pantalla muestra que Bini utilizó The Onion Router (Tor), un buscador cifrado que se usa habitualmente para evadir medidas locales de manipulación o censura en Internet o para navegar por la red de manera anónima. Después una audiencia preliminar que tuvo lugar en diciembre de 2020, Bini expresó a través de un tuit que un abogado de CNT había sugerido que el uso de Tor indicaba que estaba implicado una actividad ilícita; una conclusión sin dudas problemática. Dicha lógica podría criminalizar las actividades que realizan los defensores de derechos humanos, los periodistas y personas en todo el mundo que se encuentran en riesgo, además de debilitar su seguridad.
El movimiento de derechos humanos y personas de todo el mundo recurren a tecnologías como Tor. Este recurso facilita la navegación anónima y cifrada en Internet, lo que ayuda a que las personas puedan evitar la censura, proteger sus comunicaciones frente a la vigilancia de regímenes abusivos, y reduce el riesgo de que los defensores de derechos humanos y periodistas expongan a sus contactos a represalias.
Human Rights Watch defiende el anonimato y el cifrado fuerte debido a que son fundamentales para la protección de los derechos humanos en la era digital. La libertad de opinión, de expresión y asociación, la libertad de prensa, el derecho a la privacidad y otros derechos dependen de la amplia disponibilidad y el uso del anonimato y el cifrado. Las Naciones Unidas reconocieron la importancia del cifrado, el uso de seudónimos y el anonimato para garantizar el pleno goce de los derechos humanos y señalaron que los Estados no deben interferir con su uso.
Como regla general, los Estados deben proteger de manera integral el anonimato y el cifrado. Solo deben implementar restricciones en casos específicos y de forma tal que cumplan con los estándares internacionales de legalidad, necesidad, proporcionalidad y fin legítimo, además del requisito de que se haya dictado una orden judicial.
Las pruebas analizadas por Human Rights Watch en el caso de Bini permiten suponer que se trató de actividades de rutina realizadas por alguien con experiencia en seguridad, pero no se han planteado argumentos convincentes para afirmar que existió una actividad dolosa o un daño al público. Si las autoridades de Ecuador tienen pruebas de que Bini planificó o llevó a cabo un ataque contra el gobierno, deberían presentarlas.
Los Estados deben alentar las medidas orientadas a promover la alfabetización y la seguridad digital, en vez de penalizarlas. Confundir el trabajo de expertos en seguridad, en cuyo conocimiento se amparan los defensores de derechos humanos, periodistas, activistas, disidentes y el público en general para comunicarse de manera segura y sin riesgos, con una actividad ilícita constituye una peligrosa afrenta a los derechos digitales. No solo pone en riesgo estos derechos, sino que puede tener un efecto absolutamente amedrentador para las personas que utilizan comunicaciones digitales seguras para ejercer sus derechos humanos en todo el mundo.