Así logramos que el más grande operador de telecomunicaciones mexicano dejara de bloquear la internet segura

Publicado originalmente, en Global Voices, el 18 de agosto de 2020.

En México, el más grande operador de telecomunicaciones bloqueó por cinco años una manera de acceder a la internet de forma segura. Pocos se dieron cuenta de que Telmex se había convertido en barrera para el desarrollo de modelos tecnológicos alternativos, hasta que un grupo de investigadores voluntarios lo averiguaron.

Este tipo de prácticas contrarias al ejercicio de derechos no solo pueden ir en contra de la privacidad sino además pueden tener un impacto muy real en un país en donde la libertad de expresión está amenazada. Por ejemplo, no poder navegar seguramente en la internet es un problema para periodistas y defensores de derechos humanos en México, pues a menudo arriesgan su vida haciendo su trabajo. Según Reporteros sin Fronteras, en 2020, México quedó en el lugar 143 de 180 países en términos de libertad de la prensa

Es por eso que me uní como voluntario en 2016, junto con el Proyecto Magma y el proyecto de Mecanismos de Privacidad y Anonimato de la Universidad Nacional Autónoma de México, a ayudar a las personas a eludir la censura y mantener su privacidad mientras utilizan internet, por medio de la participación de iniciativas de cooperación global como la red Tor. Estábamos guiados por principios que plantean la construcción de infraestructuras para el ejercicios de derechos humanos, como la libertad de expresión y la privacidad, y una de las cosas que hacíamos fue compartir nuestras conexiones de internet para alojar nodos de la red Tor. Por mi parte, operaba nodos en Canadá. 

Cuando, a finales de 2015, el más grande operador de telecomunicaciones en México decidió que no sería posible instalar nodos de la red Tor desde México, los operadores de nodos se dieron cuenta porque sus nodos en México dejaron de funcionar. Telmex negó la medida de bloqueo cuando el grupo de voluntarios solicitó conocer el motivo del bloqueo en el 2016.

Poco a poco me uní a la investigación de los voluntarios acerca del bloqueo. Una vez que comprendimos que hubieron 7 direcciones IP centrales bloqueadas para el alojamiento de nodos de la red Tor, acudieron con el Consejo Consultivo del Instituto Federal de Telecomunicaciones (IFT), una institución federal encargada de regular el sector de telecomunicaciones, e interpusimos nuestra respectiva queja por las prácticas de bloqueo por parte de Telmex. Sin embargo pasó un año y el IFT no logró investigar el bloqueo, y mucho menos poder explicar lo que estaba pasando, hechos que su propio Consejo Consultivo reconoció. Advirtió que se trataban de una posible violación a la neutralidad de la red, mediante el acuerdo CC/IFT/311019/18.

Como última medida el grupo de voluntarios — que a estas alturas ya nos habíamos convertido en analistas especialistas en forense de red — decidió dar a conocer dos estudios técnicos y metodológicamente validados en publicaciones académicas y presentados en conferencias a partir del 2018.

En 2020, decidimos contar la historia en Global Voices Advox. Tor inmediatamente dio visibilidad a la historia en su cuenta de Twitter:

Frente a los medios de comunicación que retomaron el tema, Telmex respondió en mayo 2020.  Reconoció que en efecto realizaban el bloqueo de 7 direcciones IP de la red Tor bajo el supuesto de que se trataba de una medida de mitigación contra el malware Wannacry registrado en 2017 y que su propagación fue de cuatro días. 

Con emoción, nosotros, los ahora reconvertidos en analistas, al tener noticias de Telmex y saber que reconocían el bloqueo, con una actitud de cooperación y algunas certezas sobre la medida, y sobre todo bajo la creencia que podría llegarse a la resolución, nos comunicamos con la empresa para informar que si lo que pretendían era mitigar Wannacry estaban en el camino equivocado, y su medida estaba teniendo un impacto al ejercicio de derechos. Por dos motivos de fondos: 

  1. Wannacry se registró en 2017 y duró un par de días. Mientras que el inicio del bloqueo fue registrado a finales del 2015.
  2. El bloqueo de las 7 direcciones no aportaba beneficio técnico para la mitigación de Wannacry, por el contrario, afecta el alojamiento de nodos desde México.

Al día siguiente de la comunicación enviada a Telmex, las 7 direcciones fueron liberadas del bloqueo ejercido a discreción, sin conocer las motivaciones reales del operador de telecomunicaciones para mantener el bloqueo por casi 5 años, al no coincidir su justificación con la realidad técnica. 

El Instituto Federal de Telecomunicaciones por su parte tampoco ha investigado los motivos por los que Telmex estuvo realizando el bloqueo. Institución que contó con estudios y mediciones de red aportadas por las comunidades afectadas e investigadores. 

Finalmente la red de Telmex ahora cuenta con 5 nodos de la red Tor, mismos que fueron instalados después de que terminó el bloqueo.

Para que pudiéramos realizar las investigaciones que ayudaron a comprender mejor las medidas de bloqueo del más grande operador de telecomunicaciones en México fueron clave el esfuerzo común, que existiese consenso sobre la teorías de investigación utilizadas, y contar con espacios para la discusión como Global Voices. Estos fueron algunos de los factores más destacables.

Consideramos que esta clase de bloqueos constituyen un exceso en las facultades de un prestador de servicios de internet, contrariando los principios de libre elección, no discriminación y gestión de tráfico que constituyen la neutralidad de la red conforme al artículo 145 de la Ley Federal de Telecomunicaciones y Radiodifusión, así como de los principios de calidad en el servicio del 146 de la misma ley, sin mencionar que podría representar interferencias en el libre ejercicio de los derechos fundamentales de privacidad y anonimato.

Es difícil saber que tanto impacto tendrá en el futuro cercano la irrupción de la computación y análisis forense en la impartición de justicia y su utilidad en América Latina para mostrar y denunciar abusos. Pero hay fuertes indicios que nos la bosquejan como una área de trabajo dinámica y viva, con sus propios amenazas, oportunidades y batallas. 

En México, el más grande operador de telecomunicaciones bloquea la internet segura

Publicado originalmente, en Global Voices Advox, el 1 de junio de 2020. Bajo la coautoria de Vasilis Ververis, del proyecto Magma.

En América Latina, México es uno de los países que participa más en la red Tor, pero el sistema central de la red es bloqueado casi totalmente por el operador de telecomunicaciones más popular en el país, Telmex. Esto es lo que un grupo de investigadores de la Universidad Nacional Autónoma de México (UNAM) y del proyecto Magma, del cual los autores de este artículo forman parte, encontró en sus recientes investigaciones. Este hallazgo preocupa a defensores de la libre expresión y de la privacidad, pues lo ven como un obstáculo para el ejercicio de derechos.

La red Tor es una tecnología usada mundialmente que ofrece alternativas a personas que quieren ejercer libertad de acceso y expresión en la internet manteniendo su privacidad y anonimato. Para lograrlo, depende de una red de más de 6000 mil nodos o relevos (relays) que permiten un ruteo anónimo alrededor del mundo también llamado metafóricamente “enrutamiento cebolla” por las capas que componen la red.

México es un país donde la libertad de expresión está amenazada, lo que podría explicar el interés en tener una forma segura de interactuar en la internet. En 2020, México quedó en el lugar 143 de 180 países en términos de libertad de la prensa, según Reporteros sin Fronteras. Periodistas y defensores de derechos humanos a menudo arriesgan su vida haciendo su trabajo.

El enrutamiento cebolla permite el anonimato, pues consiste en llevar los datos de los sitios web que visitamos por medio de tres nodos para así el destino final no pueda conocer el origen de la conexión. En México, hay entre 10 mil y 15 mil usuarios y usuarias diarios y el uso de la red Tor ha sido impulsada por la sociedad civil y colectivos. Sus proyectos se focalizan en la implementación de buzones anónimos en redacciones periodísticas y en el trabajo de la defensoría de derechos humanos.

En los últimos años un grupo de académicos, estudiantes y defensores derechos humanos han empujado para que universidades como la UNAM o la Universidad Autónoma Metropolitana colaboren con infraestructura para la red Tor. Unos lo ven incluso como “autodefensa digital,” es decir como una acción política de autogestión para construir alternativas desde las comunidades.

Dicha participación se ve reflejada en el incremento numérico de nodos instalados en México. En los últimos tres años, se pasó de entre uno y dos nodos a más de 20 nodos en los registros de mayor actividad, según las fuentes de la red Tor, pero su número se redujo drásticamente cuando Telmex empezó a bloquearlo.

¿Una red bloqueada por Telmex?

El operador de telecomunicaciones más extendido en México, Telmex, bloquea a la red Tor, como lo documenta un análisis realizado por un grupo de investigadores de la UNAM y el proyecto Magma.

Los operadores interesados en continuar o iniciar su participación dentro de la red Tor se vieron obligados a buscar otros proveedores de internet que Telmex.

El primer informe público de las y los operadores de la red Tor sobre el bloqueo de Telmex data de 2016. Un operador de un nodo de la red Tor informó en una lista de correo electrónico del proyecto Tor:

He estado ejecutando un nodo (retransmisión sin salida) durante aproximadamente 5 años. Desde el año nuevo, noté que mi nodo se cayó, y que no apareció en los lugares habituales.

El operador del nodo agregó que solía haber entre 5 y 8 nodos Tor ubicados en México pero que en su momento, solo uno aparecía en línea. Su reporte coincide con los registros históricos de la red Tor, que muestra un decrecimiento dramático de los nodos entre 2015 y 2017.

El operador del nodo agregó que solía haber entre 5 y 8 nodos Tor ubicados en México pero que en su momento, solo uno aparecía en línea. Su reporte coincide con los registros históricos de la red Tor, que muestra un decrecimiento dramático de los nodos entre 2015 y 2017.

La arquitectura de la red de Tor se basa en 9 servidores y uno de respaldo llamados “autoridades directorio” que están ubicadas en Europa, Estados Unidos y Canadá.

Telmex bloqueó el acceso a 7 de las autoridades directorio. En este contexto, se puede acceder a la red Tor como usuario pero no es posible la instalación de nodos debido a que no se logra una conexión estable con las autoridades directorio desde 2016, necesarias para la confiabilidad de toda la red Tor.

La gráfica a la derecha captura el resultado de mediciones realizados periódicamente entre enero y junio del 2019. Las mediciones que se muestran en rojo o marrón para la red de Telmex muestran que están bloqueados 7 de las 10 autoridades directorio de Tor.

La gráfica a la derecha captura el resultado de mediciones realizados periódicamente entre enero y junio del 2019. Las mediciones que se muestran en rojo o marrón para la red de Telmex muestran que están bloqueados 7 de las 10 autoridades directorio de Tor.

La instancia gubernamental encargada de la regulación de las telecomunicaciones, el Instituto Federal de Telecomunicaciones, tuvo conocimiento formal del bloqueo por parte de Telmex el 31 de octubre 2019, a través de la Recomendación relacionada con prácticas que afectan la Neutralidad de la Red, emitida por su consejo consultivo. En su recomendatorio, el consejo argumenta sobre la práctica de bloqueo lo siguiente:

(…) se puede tener una posible violación al no permitir la libre elección de privacidad y anonimato que una persona pueda elegir al usar servicio de internet de determinado proveedor.

Adicionalmente agregó:

Como es evidente, la privacidad y la neutralidad serán letra muerta en las leyes mientras el instituto no actué de forma más proactiva.

El Instituto aun no reaccionó, aunque la Ley Federal de Telecomunicaciones mexicana establece que los proveedores de internet deberán sujetarse a la “Libre elección, No discriminación, Privacidad, Gestión de tráfico, Calidad y Desarrollo” sostenido de la infraestructura.

Por su parte, Telmex ha negado el bloqueo a operadoresen repetidas ocasiones, cuando le han solicitado que deje de realizar el bloqueo.

Las y los operadores reconocen este bloqueo como una brecha para el ejercicio de derechos humanos en México en el contexto digital. Pero a pesar del bloqueo, la comunidad de operadores y operadoras de nodos en México logró tener más de 20 nodos de la red Tor para luego estabilizarse en más de 10 en los últimos tres años sorteando con otros proveedores. Sin embargo la medida de Telmex es una barrera difícil de eludir al ser el mayor proveedor extendido en el país.

Internet en bicicleta

Publicado originalmente en Sursiendo

Si hago un recorrido por uno de mis primeros contactos con la artesanía, este sería, sin duda, andar en bicicleta. Porque para mí significa aquella experiencia para explorar sobre la confianza y la libertad, en donde el cuerpo conforma la memoria de tus trayectos realizados.

Con regularidad, de niño, unas veces con itinerario otras sin él, realicé recorridos sobre terrenos distintos, cada exploración una oportunidad para aprender de mí mismo. Sin embargo, había algo que con el tiempo sucedió: me volví mucho más consciente de lo que implicaba cada movimiento en tensión con la física, en donde las capas de conciencia no eran del todo verbalizables, pero sí habitables en cada recorrido, como sucede con la artesanía.

En uno de mis recorridos conocí a experimentadores de la radiofrecuencia. Supe que una fuente de poder es la encargada de suministrar y mantener con energía un circuito eléctrico, pero sobre todo que los circuitos eléctricos pueden ser conectados por transmisiones de ondas entre longitudes y distancias, y para ello existe técnica y pericia, además del conocimiento para calcular las características que requieres para transmitir en los 27 Mhz, que hay una Ley de Ohm, y que la potencia se mide en Watts.

Recuerdo la emoción de recibir, por primera vez, una tarjeta de papel desde el otro lado del Atlántico llamada QSL o tarjeta de confirmación de llamado, con la que termina el contacto entre dos corresponsales, enviada por correo postal después del contacto por medio de la radio. En la que se escribe un informe de recepción de sus emisiones.

Uno de los primeros retos fue la elaboración de un puente rectificador para transformar la corriente eléctrica del sistema de suministro eléctrico municipal a una corriente directa para alimentar el circuito del aparato transmisor de la radio. En suma, la posibilidad de aprender de ti mismo por medio de las cosas que construyes, prueba, ensayo y error, con el contacto con otros.

Más tarde realicé mi primera conexión a Internet vía dial-up, la que no llamó mi atención tanto como los trayectos con los dispositivos de telecomunicaciones analógicas.

Cuando de verdad generé una conexión con Internet fue hasta los 14 años que encontré comunidades que desarrollaban software (libre) bajo principios parecidos a las comunidades de radio experimentadores, eso me emocionó. Fue la posibilidad de entender los diferentes conceptos que hacen funcionar Internet experimentando al instalar software y lograr algún servicio para probarlo, como un sitio web o la resolución de nombres de dominio

La bióloga y hacktivista Mayeli Sánchez suele proyectar en presentaciones una imagen con las empresas actuales más conocidas de Internet y se refiere a ella como la nueva historia del internet, para posteriormente preguntarse que si esa nueva historia será la historia del Internet y de esta manera introducir y poner en discusión las disputas de los entramados de las historias y su no linealidad, y quién las cuenta.

Para Jamie McClelland, tecnólogo que ha participado dentro de los movimientos sociales como administrador y desarrollador de sistemas, señala que tanto Facebook y Twitter están basados en los diseños de la red social Indymedia o Centro de Medios Independientes de los movimientos sociales de los noventa, que tenía las capacidades democráticas para posibilitar la publicación de noticias y después comentarlas.

Pensar en Internet nos puede conducir al desarrollo de una arquitectura que toma como punto de partida la idea de que cada nodo de la red tendría igual capacidad para crear, transmitir y recibir mensajes, los cuales se dividirían en paquetes (Sterling, B.), lo que se materializa en protocolos como el del correo electrónico o el que permite funcionar a un sitio web, entre otros.

En ello es quehacer reconocer tres momentos de su génesis: la relacionada a los años setenta en donde se dieron las primeras investigaciones sobre el desarrollo de una red capaz de comunicarse ciudad a ciudad, en los laboratorios de la RAND, DARPA, MIT y NPL. Un segundo momento altamente colaborativo y comunitario donde toman forma muchos de los protocolos que actualmente usamos para comunicarnos. Un tercer momento que comienza tras la crisis de los punto com, en donde las compañías adoptan a los datos de las personas como uno de sus modelos de negocio Sparrow (2014).

Retomando las ideas del artesano Jamie, los protocolos adquirieron un claro sentido social en los años noventa a través de proyectos como Riseup Networks en Estados Unidos, SinDominio y Nodo50 en España, ASCII (the now silent Amsterdam Subversive Center for Information Interchange) en Holanda, Aktivix y Plentyfact en UK Reino Unido, SO36 y Nadir en Alemania y Autistici/Inventati en Italia, quienes reivindicaron la pertenencia de los protocolos Milan (2013) fuera del Estado y las corporaciones.

Actualmente observamos varias discusiones intensas y tensiones sobre el futuro de Internet en aspectos de regulación, uso-desarrollo, en un modelo centrado en los datos guiados por el valor de mercado.

Mientras, los operadores de telecomunicaciones dicen que todo mundo hace dinero sobre su infraestructura y que no reciben lo suficiente por el aprovisionamiento de la conectividad o los que dicen que necesitan incentivar el uso de sus redes y por eso hay que tener servicios “gratuitos” en donde ellos reciban algún tipo de intercambio por acuerdo con estos servicios.

Esto ocurre en un contexto donde los órganos reguladores estatales cada vez tienen menos información sobre los costos reales que implica el aprovisionamiento de infraestructura, así como datos de las formas de despliegue. Por otra parte, las corporaciones más importantes dependen cada vez menos de la infraestructura ‘pública’ de Internet y tiran sus propios cables para interconectar sus centros de datos.

Los pueblos que han decidido desarrollar tecnología autónoma de telecomunicaciones bajo los modelos económicos y sociales de su vida comunitaria se enfrentan no solo a que las fibras ópticas para interconectar sus propias redes lleguen a pocas ciudades y con altos precios, consecuencia de una sobreventa intencional, sino también a las implicaciones de conectarse a modelos guiados por la explotación de los datos lo que obliga en el mediano plazo a que estas comunidades tengan su propia infraestructura en las diferentes capas de aprovisionamiento, para que puedan tener la capacidad de autodeterminación (Gómez, T, 2017).

Los ataques informáticos y los colapsos por fallas que implican problemas de seguridad son constantes. Síntoma de ello es que también estos ataques de escala han adoptado modelos de monetizarse. No solamente por los secuestros remotos de computadoras, que posteriormente piden un rescate para regresar su acceso, sino por el mercado de vulnerabilidades que son parte de productos con diferentes finalidades y costos.

La computadora bajo el concepto de propósito general tiende a desaparecer por mecanismos de obsolescencia programada y licenciamiento, al no poder ser más dueños de las máquinas que compramos, solo son de alquiler mientras dura el período de los términos de la licencia del software.

Uno de los elementos que conforman el conjunto de tecnologías de Internet, es la confianza. Visualizar sus conexiones y mecanismos resulta ejercicio para saber sobre el futuro de estas tecnologías.

Imaginemos que alguien tiene el control de millones de computadoras en todo el mundo (incluyendo la tuya y mía) y que puede tener privilegios completos sobre nuestros dispositivos y actualizar software remotamente. Esto puede parecer problemático, pero depende desde la perspectiva que se vea. Porque siempre colocamos un nivel de confianza al usar un programa u otro.

En los grupos de artesanos de tecnología que conozco, la confianza mantiene una relación profunda entre las limitaciones de la tecnología que desarrollan y sus errores. Sobre todo el reconocimiento de lo que el código no puede lograr en términos de sus características intrínsecas.

Uno de los valores culturales de la artesanía tecnológica conocida son los mecanismos tecnosociales para desarrollar la confianza. Estos no resuelven la complejidad de tensiones que se desprenden de toda tecnología, pero provoca condiciones para pensar-hacer como una tarea activa de reconocimiento de sus fallas y posibilidades.

Cuando entré en contacto con comunidades de software libre conocí que hay errores o fallas en el software que pueden implicar problemas de seguridad y que pueden ser explotadas como vulnerabilidades para lograr intrusiones, sin embargo dentro de las comunidades de software libre la relación entre error y posibilidad es una situación que se enmarca dentro de su propia cultura como suele indicarlo Richard Sennett: “…lo más frecuente es que cuando la gente resuelve un «error», vea abrirse nuevas posibilidades para el empleo del software. El código evoluciona constantemente, no es un objeto acabado y fijo”.

En las prácticas de desarrollo de tecnología un error dentro de, por ejemplo, un código de software es conocido en inglés como bug y una de sus localizaciones al español es la de «bicho». Hay discusiones sobre el momento en el que se hizo esta asociación conceptual por primera vez, pero dentro de los diferentes relatos se habla de polillas que generaban problemas en ordenadores electromecánicos o en otros términos algún tipo de interferencia o mal funcionamiento.

Conocí varios sistemas operativos de software libre y el que decidí que me acompañaría fue Debian GNU/Linux. A lo largo de su historia en el proyecto Debian han participado aproximadamente 5400 personas voluntarias en las diferentes tareas para su desarrollo. Se calcula que más de 50% de instalaciones GNU/Linux están basadas o corren sobre este sistema operativo (W3Techs,2016).

Quienes desarrollan Debian tienen la confianza de millones de personas. Cuando instalamos este sistema operativo, incluso desde su descarga, nos conectamos y nos ponemos en un entramado de cadenas de confianza. Desde esa dimensión su comunidad de desarrollo tienen el control de millones de computadoras en varias locaciones distintas en el mundo.

Debian es distribuido por medio de servidores, llamados espejos, en donde se descarga un sistema base, para su instalación. Estos servidores están en varias partes del mundo y se sincronizan para tener el mismo software, en cada uno de estos. Por lo general los servidores son mantenidos por voluntarios. También estos espejos cuentan con un repositorio de software, para instalar programas y recibir actualizaciones de seguridad vía red, en las instalaciones de este sistema operativo.

Los mecanismos para el desarrollo de la confianza y los entramados entre los colaboradores, desarrolladores y quienes instalan este sistema operativo es complejo. Pero desde la perspectiva de la artesanía destaca un punto en su contrato social, explícitamente el número 3, indica:

No ocultaremos los problemas. Mantendremos nuestra base de datos de informes de error accesible al público en todo momento. Los informes de error que los usuarios envíen serán visibles por el resto de usuarios de forma inmediata.” Contrato social Debian

Y por otro lado un sistema que hace uso de la criptografía y rituales de cooperación para el intercambio de llaves, realizada por medio de una reunión anual en la que intercambian identidades digitales por medio de la verificación in situ. Por medio de estas llaves se consigue la verificación del software que descargas, para saber que en efecto es preparado por esta comunidad y no por otras personas.

Esta comunidad se enfrenta todo el tiempo a aprendizajes que implican patentes, leyes, jurisdicciones, códigos de ética, métodos de licenciamiento, marcas, fuerzas económicas y políticas.

Si abordamos en los aspectos legales, no solamente han construido licencias que permiten que un código de software pueda ser usado, estudiado, modificado y redistribuido. También en el tránsito de lo legal y el código de software estas comunidades han aprendido que sortear una patente tiene tres posibilidades: evitar la patente, conseguir una licencia de uso o invalidar una patente en la corte Stallman (2002) o el uso de patentes para la defensa de proyectos de código abierto y software libre.

La dinámica que se da en este tipo de comunidades frente a sus fallos es que cuando se encuentra una vulnerabilidad, se corrige en el código y está disponible para quienes usan el sistema operativo. Sin embargo tenemos de frente el mercado de vulnerabilidades de reciente popularidad en los medios. Las llamadas vulnerabilidades del día cero, aquellas que su modelo de gestión está relacionado al desarrollo de tecnologías y servicios de vigilancia, al ser vulnerabilidades que solo conoce un grupo reducido de personas, no existe arreglo, son materia prima de productos de intrusión que buscan eficacia. Dentro de estos como lo son el malware.

Recientemente otro aprendizaje de espacios afines a estas prácticas de desarrollo, se ve reflejada en la declaración realizada por el proyecto Tor en la que dicen que “No podemos construir herramientas libres y de código abierto que protejan a periodistas, activistas de derechos humanos y gente común en todo el mundo si también controlamos quién utiliza esas herramientas”.

En estos últimos años los proyectos como Debian, F-Droid, FreeBSD, Fedora, Tails, Tor Browser, entre otros, han estado trabajando en algo llamado Reproducible Builds que tiene como objetivo el desarrollo de herramientas para la verificación de código binario para con esto verificar que el código binario que ejecutas en tu máquina, es en efecto el código preparado por estos proyectos. En sus propias palabras:

“Las Reproducible Builds son un conjunto de prácticas de desarrollo de software que crean una ruta verificable desde el código fuente legible por humanos al código binario utilizado por las computadoras”.

La tecnología siempre va a ser vulnerable, ya sea por su diseño intrínseco, su contexto o una mezcla de factores. La diferencia son los mecanismos que tenemos para confiar en ella. La artesanía tecnológica es un camino posible para aprender de nosotros al tiempo que construimos nuevas tecnologías.

El colectivo de comunicación y cultura digital Sursiendo (2017) refiere a que dentro de la biodiversidad tecnológica hay “grupos que siguen construyendo cotidianamente un entorno de internet que valora a las personas y los procesos colectivos, la privacidad y el anonimato, la circulación del conocimiento y los aprendizajes mutuos”.

Una de las principales tensiones para la artesanía tecnológica futura y presente es que los bugs conforman parte de la economía de los ataques informáticos, los mismos que han adoptado los mecanismos del capitalismo financiero.

La gestión de los errores y fallas es uno de los puntos de confianza entre los artesanos y la gente en el seno de sus comunidades. En el mediano plazo los mecanismos de reconocimiento del trabajo de las personas involucradas en la investigación de vulnerabilidades jugará un papel importante, ya que serán parte de los andamiajes que den la batalla a los ataques informáticos y sus economías.

Vale la pena reflexionar en estos procesos que han permitido construir tecnologías de gran calidad artesanal. Pero sobre todo en tecnologías que nos permitan aprender de nosotras y nosotros mismos.

Referencias
Milan, S, (2013). Social Movements and Their Technologies, Palgrave Macmillan
Sennett, R, (2009). El artesano, España, Anagrama
Sterling, B.(1993, febrero). A Short History of the Internet
Sursiendo. (2017). Biodiversidad tecnológica para saltar los jardines vallados de internet. Recuperado de https://sursiendo.com/blog/2017/05/biodiversidad-tecnologica-para-saltar-los-jardines-vallados-de-internet
Sparrow, E. (2014, 9 de octubre). How Silicon Valley Learned to Love Surveillance. Recuperado de https://modelviewculture.com/pieces/how-silicon-valley-learned-to-love-surveillance
Sánchez, M. (2016). Por Amor a La Libertad. Seminario de ética hacker. Universidad del Claustro de Sor Juana. México
Löding, T, Rosas, E., (productores). (2017). Telecomunicaciones Independientes en Resistencia. México: Producciones Marca Diablo
Contrato social de Debian. Recuperado de https://www.debian.org/social_contract.es.html
Murdock, I. (1993). El manifiesto de Debian. Recuperado de https://www.debian.org/doc/manuals/project-history/ap-manifesto.es.html
Hacking Team: a zero-day market case study. Recuperado de https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/
Tor Project. (2017). The Tor Project Defends the Human Rights Racists Oppose. Recuperado de https://blog.torproject.org/blog/tor-project-defends-human-rights-racists-oppose
W, Gunnar. Fortalecimiento del llavero de confianza en un proyecto geográficamente distribuido. Recuperado de https://gwolf.org/node/4055
W3Techs. (2016). Historical trends in the usage of Linux versions for websites. Recuperado de https://w3techs.com/technologies/history_details/os-linux
Reproducible Builds. Recuperado de https://reproducible-builds.org/
Stallman, Richard. Software patents — Obstacles to software development. Recuperado de >https://www.gnu.org/philosophy/software-patents.html
Gómez, T. (2017). Los hackers que conectan a pueblos olvidados. Recuperado de http://nwnoticias.com/#!/noticias/los-hackers-que-conectan-a-pueblos-olvidados

La participación de radiaficionados en el restablecimiento de las telecomunicaciones después del 19s

En la Ciudad de México un grupo de radiofacionados realizaba prácticas meses antes a la mañana del 19 de septiembre con la intención de participar en el simulacro en el marco de la conmemoración de los 32 años del sismo de 1985; sin embargo no pudieron participar porque la confirmación de parte de las autoridades llegó demasiado tarde.

 

Ese martes, después del simulacro, pasando el medio día,  se registró el evento sísmico de 7,1 Mw a las 13:14:40 horas con epicentro localizado a 12 km al sureste de Axochiapan, Morelos, según el informe especial preliminar del Servicio Sismológico Nacional de México.

Tras el terremoto las comunicaciones colapsaron, en muchos lugares las redes de telefonía móvil estaban caídas o funcionaban de manera  intermitente. Protección Civil solicitó al grupo de radioaficionados apoyo, en esos momentos sus habilidades, conocimientos así como sus  equipos de transmisión civil de telecomunicaciones eran muy necesarios, cuenta con pasión y orgullo Alejandro Sánchez, integrante del Radio Club Unión de Radioaficionados Mexicanos (URAM).

Con sus equipos de telecomunicaciones, Alejandro se instaló en una de las esquinas de las calles de Amsterdam y Laredo, sus compañeros del radio club se movilizaronn a las oficinas de Protección Civil y al Colegio Enrique Rebsamen.

Mientras tanto un remolque con las letras XE1CRG emprendió la marcha terrestre desde el Club de Radio Amateur del Estado de Guanajuato. Aquella es una unidad equipada con radios para operar en varias bandas del espectro radioeléctrico y con la capacidad de envío, por ejemplo, de correos electrónicos sin necesidad de una conexión a internet.

En entrevista Alejandro reflexiona que el objetivo no era que  “la comunicación tiene que pasar por nosotros, no vamos a solucionar nada, estábamos ahí por si nos necesitaban”.

Si bien las telecomunicaciones y las redes ya habían comenzando a trabajar, tuvieron caídas e interrupciones, los grupos de radioaficionados estaban listos para entrar por si algo no funcionaba. También prestaron sus equipos a los Topos.

Los radioaficionados mexicanos participaron activamente en restablecer las comunicaciones desde la Ciudad de México y otras localidades del país afectadas por los sismos, además de Alejandro, el radio club URAM fue parte del grupo de personas y colectivos que creen firmemente que en situaciones de emergencia tanto sus conocimientos, equipos y el espectro radioeléctrico deben estar al servicio civil y de la población.

 

Pero ¿qué significa ser un radioaficionado?, dejemos que nos lo cuente el mismo Alejandro.

JN: ¿Cómo te iniciaste en la radioafición y radioexperimentación?

AS: Me acuerdo perfectamente bien de todo eso. Si tomamos en cuenta que tengo 50 años, para ubicarnos en distancia de tiempo, mi papá trabajaba en la Ford Motor Company,  muchas veces traía revistas de ingeniería y cosas así, le gustaba mucho lo más nuevo, teníamos grabadoras de carrete abierto que eran como una maleta y grababan como cinco minutos. Desde entonces siempre me gustó la electrónica y todo esto; yo diseñé una videocasetera 10 años antes de que existiera una, imagínate. Nada más me faltaba la cinta, yo quería transmitir por mi televisión.

Cuando ya tuve edad suficiente para comprarme mis cosas, me compré mi primer radio de banda civil. Estamos hablando de hace 35 años. Lo puse aquí, y le daba lata a los vecinos, porque transmitía e interfería sus aparatos, lo tuve un tiempo, me gustó mucho, andaba yo con todo lo que es banda civil, pero luego llegaron las computadoras, y me gustaron más, vendí todo para comprarme una. Y ahí paró la radioafición. Tuve contacto con una persona que era radioaficionado y con los radios, pero las computadoras me atraparon más, y hace unos 4 o 5 años regresé nuevamente al tema de los radios.  Todo lo atribuyo a la edad, uno siempre regresa en el tiempo, cuando ves que la vida no va y te vas regresando, así regresé igual a la banda civil.

Después empecé a meterme más, porque la banda civil no te llena o no me llenaba, entonces investigué cómo ser radioaficionado. Lo que te digo, ser radioaficionado es casi una secta mística, filosófica, misteriosa. Los illuminati, son más vistos que los radioaficionados, yo quería ser radioaficionado y tardé un año en encontrar cómo serlo. O más bien: intenté ser porque todo es muy secreto, y luego ya entré al radio club.

El hobby del radioaficionado resulta peculiar, su experimentación tiene beneficios directos para la sociedad en la que se desarrolla, hay quienes incluso suelen decir que salva vidas y que genera conocimiento, riqueza y cultura para un país.

 

JN: ¿En qué momento pasaste del hobby, del experimento a otro tipo de actividades, por ejemplo en una emergencia?

AS: Bueno, la radioafición siempre ha sido y será un hobby pero uno de nuestros preceptos, es el de servir a la comunidad y eso lo hacemos, es parte del decálogo del radioaficionado. Uno de los preceptos es que nuestros equipos siempre estarán al servicio de la comunidad para lo que se necesite. La prueba más fuerte y de ahí la tradición fue el sismo de hace 32 años, cuando literalmente el mundo creyó que la Ciudad México se había destruido. La primera transmisión que sale es de un radioaficionado “aquí estamos, todavía existimos”. En aquel entonces no existía Protección Civil, ni por error. Protección civil nace de los sismos de 1985.

Alejandro Sánchez, conocido en el mundo de la radioafición como XE1GNU pronunciado con el alfabeto: X-ray, Echo, Uno, Golf, November, Uniform.

JN: El uso del espectro con fines civiles por los radiaficionados, ¿cómo es reconocido por los gobiernos?

AS: Depende, en México pareciera que nos quieren destruir. En Japón, Estados Unidos y Europa están de la mano con los gobiernos. Cuando vino la ley Televisa, se cambió toda la Ley de Telecomunicaciones en México y se les olvidó que existían los radioaficionados, entonces como que alguien en el último momento se acordó y dijo: “chin qué hacemos con estos cuates” pues “pónlos al mismo nivel de Televisa” y ahora no tenemos una licencia de uso sino ahora son concesiones. Se les olvidó ponernos frecuencias, y de pronto nos dijeron: “¿pues sabes qué?, ya no las tienen” y nosotros les dijimos “lo sentimos mucho porque esas son frecuencias internacionales amparadas por tratados internacionales ratificados por el Senado y las tienen que regresar”, y no las regresaron, no había vuelta de hoja.

 

JN: Cuando veo las tecnologías sobre las que trabajan, veo que una parte importante son sistemas analógicos, ¿qué representan los sistemas digitales para la radiación?

AS: Básicamente lo digital es lo que tenemos, pero ahora vamos a transmitir en unos y ceros. Los aparatos van a poder hacer más cosas, qué cosas, todavía no sabemos, no existen radios digitales para radioaficionado. Todo lo digital que hay es a nivel comercial, para las empresas. Pero, como buenos experimentados estamos tomando esos radios, estamos modificándolos y se están haciendo cosas.  Lo digital es una bocanada de aire fresco.

La hipótesis sobre el 19s de los radioexperimentadores coincide en que las redes de telecomunicaciones no tuvieron daños físicos, o al menos no de gran impacto, lo que permitió levantar con relativa velocidad las redes, y lo que causó la intermitencia y su colapso fue debido a que las redes están sobrevendidas, en la explicación de Sánchez.

AS: Cada antena tiene un número de posibles conexiones, hay una estadística que hacen las empresas que dicen: a ver, en esta calle cuánta gente vive, no pues mil, entonces la estadística dice que de esas mil se van a conectar siempre al mismo tiempo 300, ah ok, entonces mi antena debe ser para 300, ok, pero yo voy a vender 900.

Básicamente esa es nuestra participación, estar ahí. De haber sido un terremoto de dimensiones del 85, pues sí hubiéramos sido la columna vertebral, quizá, de la comunicación.


Remolque de la unidad movil de radioaficionados del Club de Radio Amateur del Estado de Guanajuato,

Así  termina mi charla con Alejandro Sánchez conocido en el mundo de la radioafición como XE1GNU pronunciado con el alfabeto: X-ray, Echo, Uno, Golf, November, Uniform.

Testimonios como el de los radiaficionados nos recuerdan el papel que pueden llegar a tener el uso de un bien público desde una perspectiva civil, en este caso el espectro radioeléctrico, donde la tecnología ––de acuerdo a su aceptación social–– se vuelve un espacio propio para entretejer comunidades que buscan dar una interpretación al uso de la tecnología hecha desde dentro. Como también lo fue la red de personas y organizaciones que impulsaron #Verificado19s para priorizar y hacer fluir las tareas de rescate y salvar vidas.

Por mi parte, me uno respetuosamente a la reafirmación y sentir de que el terremoto cambió nuestra historia, en donde la vida de quienes murieron no puede reducirse sólo a una cifra más, y comparto el Memorial19s.mx, una de las iniciativas colectivas que busca recordar a las víctimas del sismo.

Las batallas por la estandarización técnica de la internet

A la memoria de Maria Elena Meneses

Wikipedia recientemente amaneció cerrada en protesta a la directiva sobre derechos de autor que se votó el 20 de junio de este año en el Parlamento Europeo. Durante 26 horas al tratar de acceder al contenido habitual de la enciclopedia se podía leer el mensaje de oposición a dicha propuesta, ya que “de aprobarse, debilitará los valores, la cultura, y el ecosistema en los que se basa Wikipedia”.

Lo que hace peculiar y polémica esta directiva es su búsqueda de impactar directamente en las configuraciones tecnológicas de los servicios de la internet. El artículo 13, uno de los más criticados, propone obligar a los proveedores de servicios a que implementen filtros automáticos que detecten el contenido de los archivos que los usuarios carguen a través de su servicio.

De implementarse dicha resolución habría un impacto en la libertad de expresión y la privacidad de los usuarios de internet. En la privacidad debido a que los servicios desplegarían mecanismos de vigilancia para poder determinar qué contenidos pueden ser subidos a los servidores y cuáles no; y para la libertad de expresión ya que la implementación automática de criterios mayormente definidos por un sector industrial podría devenir en casos de censura previa que contravienen los principios de libertad de expresión.

Para Joe McNamee de European Digital Rights dicha legislación “apoya un «algoritmo de verdad» para filtrar el material protegido por derechos de autor. ¿Por qué? El copyright desde siempre se usa como punta de lanza de políticas muy invasivas”.

A lo cual desde la Fundación Wikimedia responsable legal de la Wikipedia Allison Daveport y Anna Mazgal respondieron con el mensaje: “No obliguen a las plataformas a reemplazar las comunidades con algoritmos” para advertir que quienes escriben las leyes poco a poco introducen soluciones tecnológicas para hacer frente a contenido que puede ser infractor de derechos de autor. En otras palabras les pedían a los legisladores “que consideren los derechos de los usuarios de internet y que dejen margen para el lado humano de la moderación de contenido”.

Cuando delegamos tareas a los algoritmos computacionales, por ejemplo, ordenar y clasificar a las personas en bases de datos, en ese proceso hay dos insumos centrales que los algoritmos necesitan para hacer esta tarea: datos y definiciones. En esa dimensión los algoritmos parten de sistemas de creencias que comienzan desde su diseño. Hay quienes por estos motivos suelen decir que los algoritmos son opiniones que se embeben en código.

En la línea del análisis de McNamee la propuesta representa una ventaja competitiva para Google o Facebook debido a que, para la imposición de un “algoritmo de verdad” con base en los criterios definidos por el sector industrial editorial o musical y dada la naturaleza de diseño de esta legislación de amplio espectro en los estándares tecnológicos, dichas compañías “ya tienen sus filtros en marcha —porque no quieren estar sujetos a licencias—, [si fuera el caso] sólo ellos tendrán el poder financiero para lidiar con el desarrollo de los mecanismos de filtrado en constante cambio, algo que será exigido por los tribunales”.

Una de las primeras discusiones alrededor de la autonomía en la toma de decisiones sobre el diseño de las tecnologías que conforman la internet, sucedió en 1992 en torno a los protocolos. En ese momento, el grupo de Ingeniería y estandarización de internet (IETF), con la meta de “mejorar” y “expandir” el servicio entre las primeras redes disponibles, empujó la problemática sobre quién decide sobre el futuro de internet desde los aspectos técnicos: su propia comunidad o la Junta de Arquitectura de internet (IAB), creada por la Agencia de Proyectos de Investigación Avanzada de Defensa del Departamento de Defensa (DARPA) de los Estados Unidos. La discusión antes mencionada arribó en una reestructuración del grupo de trabajo encargado de la estandarización técnica de internet con la que IAB ya no estaría involucrada en la aprobación de los estándares. Lo cual significó una victoria para la comunidad en su posibilidad de tomar sus propias decisiones.

La definición de los estándares tecnológicos que conforman la internet siempre ha llevado tensiones entre las comunidades de usuarios, legisladores, proveedores de servicio y compañías de internet. Un ejemplo es la incorporación de candados digitales conocidos como Digital Restrictions Management en el protocolo HTTP para la web, introducidos por Microsoft, Netflix y Google como recomendación de estándar bajo el nombre de Encrypted Media Extensions World Wide Web Consortium (W3C).

Frente a la inminente incorporación del controvertido estándar EME en 2016, un grupo de investigadores y tecnólogos enviamos una misiva al W3C donde expresamos lo siguiente:

“[…] los navegadores del futuro serán la interfaz universal para todos nuestros sistemas automatizados, desde los implantes médicos hasta los vehículos. Los investigadores de seguridad del mundo deben saber que las empresas no tendrán la capacidad de amordazarlos con amenazas legales cuando avergüencen a las empresas al revelar sus errores”.

La preocupación principal es que cuando se establecen sistemas de candados digitales para el estudio de la seguridad, estas herramientas pueden devenir en medidas de carácter punitivo o en la criminalización de quienes estudian o aprenden tecnología, investigadores o a cualquier usuario del internet.

Esto nos permite comprender el papel que tienen los estándares en la definición del uso de las tecnologías. El hecho de restringir el uso de las arquitecturas de internet desde su diseño coloca al usuario en una situación de desventaja para explorar en ellas.

Regresando a la emblemática Wikipedia, un proyecto que en su ADN tiene principios fundacionales del software libre. Se trata de una enciclopedia en donde las personas han jugado un papel en la escritura de sus herramientas, mecanismos de confianza y acoplamientos comunes para la moderación de sus contenidos, con sus batallas culturales. Finalmente la propuesta de reforma a la ley de copyright fue rechazada por el Parlamento Europeo y con ello se contuvo el impulso de dar a la industria musical y editorial el control de regular la actividad de los usuarios de internet, por ahora. Pero habrá que estar atentos debido a que el el texto regresará nuevamente a discusión en septiembre.

Para Danny O’Brien y Dia Kayyali, el internet ha abierto posibilidades para la comunicación pero también refleja problemas sociales como el acoso. De cara a ello mantienen un escepticismo sobre las “soluciones” centralizadas y en manos de las empresas. Se inclinan más por pensar que un camino posible es “la descentralización, la creatividad, la comunidad y la capacitación del usuario”.

Si bien es cierto que podemos pensar que estas directivas proponen algo que, incluso técnicamente es ineficiente, no podemos subestimar la intencionalidad de las ideas detrás de una propuesta de ley como esta. La fuerza que se esconden detrás de esta propuesta de directiva sobre los derechos de autor de la Unión Europea, hace visible lo que entienden, tantos los prestadores de servicio, los monopolios y los legisladores, de las tecnologías que conforman internet o lo que quieren entender por ellas.

La autodeterminación de la red refuerza la naturaleza distribuida de internet, dice Luca Belli cuando habla de la internet como derecho humano al tomar como ejemplo los ejercicios de comunidades que desarrollan sus propias redes y las gestionan bajo modelos alternativos para conectarse a la Internet. En un escenario donde parecería que el paradigma de los servicios escalables y masivos es inevitable no dependa de infraestructuras, servicios y plataformas chinas y norteamericanas.

 

Fotografía “cell tower near railway” por Acid Pix bajo licencia CC BY 2.0

¿Cuál es el futuro de GitHub tras su compra por Microsoft?

Los sistemas de los que dependemos son complejos y los componentes que los integran no son desarrollados por una única comunidad o un grupo de programadores. Son interdependientes, como los sistemas operativos de nuestras computadoras, teléfonos, tabletas. Necesitan desde editores de texto, compiladores, controladores y muchas otras partes que vamos instalando como aplicaciones día a día, cada una con diferentes orígenes y autores.

Para desarrollar sistemas de gran dimensión y complejidad se requieren de plataformas y herramientas en las que los desarrolladores puedan trabajar en cada una de las piezas conjuntamente, ver las modificaciones y cambios entre versiones. Estas herramientas reciben el nombre de sistemas de control de versiones.

El sociólogo Richard Sennett suele decir que el “código evoluciona constantemente, no es un objeto acabado y fijo” para referirse a la manera en que comunidades de programadores encuentran errores y realizan mejoras en nuevas versiones de software, al tiempo que encuentran nuevas posibilidades, como una práctica cultural en las comunidades de software libre.

Fuente: http://codicesoftware-es.blogspot.com/2010/11/la-historia-del-control-de-versiones.html

Uno de estos sistemas populares entre los desarrolladores es Git, un software de control de versiones creado ex profeso para el desarrollo de Linux. Fue una respuesta a las problemáticas del licenciamiento de la herramienta utilizada antes para el control de versiones, BitKepper, que era incompatible con los principios del software libre para ser estudiada, usada, modificada y distribuida.

Uno de los servicios basados en Git y que cobró popularidad en los años recientes, y no sólo entre programadores, es GitHub.com. Según sus propios reportes, al 2017 24 millones de personas hicieron uso de esa plataforma. Contaba con 67 millones de repositorios de software.

Sitio web de github.com, en 2008.

Gabriela Rodríguez Berón, desarrolladora que ha estado usando GitHub desde casi el principio del servicio en 2007, describe en entrevista: “Tenía muchas funcionalidades que eran muy potentes en la época y nos dejaban compartir código de mejor manera, con muchas más funcionalidades que otros servicios de repositorios”.

El 4 de junio se conoció en los medios informativos que Microsoft anunció la compra de GitHub por 7,500 millones de dólares, en una operación que se espera cierre antes de fin de año. Nat Friedman asumirá la dirección, según se publicó en el blog de GitHub.

Las reacciones en medios sociales comenzaron con la etiqueta #movingtogitlab para señalar la migración masiva de proyectos de desarrollo de software libre de GitHub al servicio GitLab, un control de versiones y desarrollo de software colaborativo basado también en Git. Los propios reportes del servicio sobre los proyectos importantes desde GitHub comenzaron a crecer por día a más de 10,000.

GitLab felicitó publicamente a GitHub por el anuncio de compra y dijo que su estrategia difiere en enfoques porque “Ser ‘núcleo abierto’ significa que todos pueden construir las herramientas”.

Nat Friedman en la red social reddit expresó que se tomará con seriedad “la responsabilidad de ganarse la confianza” de los desarrolladores y dijo que se sintió triste al ver que distintos desarrolladores sintieran la necesidad de mover su código a otra plataforma.

Para Rodríguez Berón, la compra de GitHub es el anuncio oficial de su muerte. “GitHub ha estado perdiendo desde hace un tiempo a quienes están codeando (escribiendo código) de forma abierta. Y se ha convertido en una herramienta mucho más corporativa. Por un lado han tenido que buscar un modelo de negocios que los ayude a sostenerse y a la vez han escalado demasiado y muy rápido más allá de las propias capacidades. De alguna forma se han tomado el koolaid de scaling de donde están plantados”, en referencia a que se han tragado el cuento de que todo servicio en internet tiene que escalar.

Reporte de GitLab sobre importación de proyectos desde GitHub. Tomado de https://twitter.com/gitlab/status/1004777869862580224

El desarrollador Benjamin Mako Hil suele dar conferencias sobre las herramientas de desarrollo en el contexto de las comunidades de software libre y su opinión de GitHub es que le resulta irónico: “Git fue creado como una forma de escapar de la dependencia de una compañía de software prrivativo que opera un servicio centralizado. Y de muchas maneras, GitHub ha creado muchos de los problemas por los que Git había sido creado”. Se refiere así a la posibilidad de las herramientas de desarrollo para ser replicadas, ejecutadas y construidas de manera descentralizad, como lo es el diseño de Git. Además de no tener que confiar en un sistema central, sino poder colocar instancias independientes o diferentes servicios.

Rodríguez Berón consideró que un aspecto positivo es la oportunidad para la descentralización de los repositorios de software libre, porque “GitHub ha centralizado demasiado el desarrollo de software y es muy bueno que podamos tener otras instancias de Git servers”. Auguró que GitHub va disminuir su uso entre proyectos de software libre y se convertirá más en un proyecto para empresas.

Fotografía “GitHub Office” Por Ben Scholzen
Bajo licencia
CC BY 2.0

Publicado en El Economista en linea el 11 de junio de 2018, y en su versión en papel el 12 de junio de 2018.

Una nueva herramienta de censura en Internet ha sido aprobada en México

La censura en internet por la vía legal ahora es más fácil en México, con la reforma a la ley del derecho de autor.

El pasado jueves 26 de abril el Senado mexicano aprobó un problemático dictamen que reforma la Ley Federal del Derecho de Autor, el cual habilita a las y los jueces para ordenar que se bajen contenidos de Internet que presuntamente violen derechos de autor, sin necesidad de probarlo mediante juicio o sentencia alguna.

Dentro de las medidas que contempla se encuentran la suspensión y remoción de contenidos públicos, e incluso “el aseguramiento cautelar”  de los equipos que permiten la difusión de los mismos.

Además, la aprobación de la reforma se realizó de forma apresurada, sin haberse llevado conforme al proceso legislativo.

La noticia circuló ampliamente bajo la etiqueta #MadrugueteAInternet:

Esta reforma a la ley ha sido criticada por organizaciones, colectivos y asociaciones que trabajan en temas relacionados con derechos digitales, internet y tecnologías de la información y comunicación, por considerar que esto abre paso a la censura previa en internet y atenta contra la libertad de expresión en el ámbito digital.

Por su parte el capítulo mexicano de la Fundación Wikimedia alertó que las modificaciones aprobadas “criminalizan el acto de la copia” y “legalizan actos de violación a derechos fundamentales y constitucionales de difusión de las ideas, libertad de expresión, imprenta, comunicación personal, difusión e información”.

Cabe señalar que toda iniciativa o dictamen que se somete a discusión del Senado de la República debe atravesar un proceso legislativo específico, el cual, en este caso, no fue respetado.

Dicho proceso contempla que toda iniciativa debe someterse a discusión de aquellas Comisiones que estén relacionadas con el tema del proyecto, las cuales analizan y discuten los asuntos que se les turnan, para después elaborar y votar un anteproyecto. Una vez que este anteproyecto es aprobado por las Comisiones respectivas, se debe notificar al Presidente de la Mesa Directiva del Senado para que el dictamen se pueda presentar y votar en el pleno.

Usuarios que han dado seguimiento al tema denunciaron en redes sociales las irregularidades en las que incurrieron los senadores que empujaron la presentación del dictamen ante el pleno:

Así, pareciera que los senadores empujaron por modificar el orden del día, lo cual sólo podrían haber conseguido con la anuencia del presidente de la Mesa Directiva, puesto que actualmente ocupa Ernesto Cordero, quien votó a favor de la reforma en cuestión.

El dictamen ya ha sido enviado al poder Ejecutivo, por lo que sólo resta la aprobación del presidente para que los cambios empiecen a surtir efecto.

Ante este panorama, organizaciones tales como la Red en Defensa de los Derechos Digitales (R3D) han manifestado su interés de impugnar el dictamen a través de un amparo para lograr, no sólo que se declare su inconstitucionalidad, sino para exigir que la reforma no surta efectos sino hasta que la Corte determine su validez. De otra manera, la impugnación podría llevar un proceso de años, periodo en el cual el derecho a la libertad de expresión de las y los usuarios de Internet se vería violentado.

Escrito por Giovanna Salazar y Jacobo Nájera. Publicado en Global Voices Advox, el 1 de mayo de 2018.

Fotografía: The Problem with Censorship is XXXXXXXXX por Cory Doctorow, bajo licencia CC BY-SA 2.0.

 

Reporte de vulnerabilidades en software para servidores de correo: urge actualización en máquinas de todo el mundo

Es común que se encuentren fallas en el código informático que permite el funcionamiento de servicios en Internet, como lo son el correo electrónico, sitios web, mensajería, entre otros; estas fallas pueden ir desde un problema de funcionalidad o estético, hasta brechas de seguridad que exponen la integridad de los sistemas que usamos.

Hoy vamos a realizar el recuento de dos fallos de seguridad descubiertos y publicados del software para servidores de correo Exim (software publicado en 1995 con Licencia Pública General del proyecto GNU), su proceso de solución en una nueva versión de código y la actualización en los servidores del mundo, conectados a Internet.

El 23 de noviembre de 2017 fue reportado un fallo en bugs.exim.org, el sistema de reportes del software con el número 2199. Posteriormente fue incorporado a la lista de vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures o CVE), donde se documentan vulnerabilidades de seguridad conocidas. Al día siguiente otro fallo fue reportado, quedó registrado como CVE-2017-16944.

Estas dos fallas no se trataban de un problema meramente de funcionalidad sin una implicación mayor, sino que representan fallas que han sido y son aprovechadas para realizar ataques remotos como denegaciones de servicio o ejecución remota de código.

Exim como proyecto vivo y activo estudió estos reportes para sacar un arreglo que hiciera frente a estas vulnerabilidades, para ello publicó una nueva versión de software sin estas fallas, la 4.89.1. Proyectos como el sistema operativo Debian han lanzado actualizaciones de este programa, con arreglos a estos ataques.

En Enjambre Digital corrimos un análisis sobre Internet en Ipv4 que muestra que 13 millones de máquinas tienen los puertos para dar servicios de correo electrónico, de ahí solo 336542 máquinas resultaron analizables al tener los letreros/banderas/anuncios de software activados.

A continuación de muestran por nombre de software los resultados:

Del 4% correspondiente al software Exim con 15009 instalaciones de software, sólo el 9% tiene la versión 4.89.1 que hace frente a las dos vulnerabilidades aquí tratadas, para el 8 de diciembre de 2017.

Esta vez Exim ha reaccionado como proyecto, así que si eres un administrador o tienes alguna máquina a tu cargo corriendo con Exim para entregar correos, ten en mente que es necesario actualizar inmediatamente.

Fotografía: Felipe Vidal, CC BY-SA 3.0

El gobierno mexicano ha sistematizado el espionaje de sus ciudadanos

La industria de tecnologías para actividades de vigilancia ha llegado a México para quedarse. Anualmente no solamente se desarrollan ferias comerciales, sino también la relación entre empresas fabricantes y distribuidores con el gobierno mexicano se ha intensificado y se comienzan a ver síntomas y los efectos de las tareas de espionaje.

Diversas filtraciones, investigaciones periodísticas, así como independientes realizadas por organizaciones de la sociedad civil han dado cuenta de esta relación desde 2013.

Las compras de equipos de espionaje

Desde 2013, el laboratorio Citizen Lab de la Universidad de Toronto publicó que el equipo de espionaje de la empresa Gamma Group estaba operando en las telecomunicaciones mexicanas, lo que desembocó en una investigación empujada desde varias organizaciones de la sociedad civil. Se logró documentar, junto con trabajo periodístico, que en efecto, el software de espionaje FinFisher/FinSpy había sido adquirido por varias autoridades mexicanas a través de la empresa Obses de México.

En 2015, a raíz de una filtración masiva, supimos que el gobierno mexicano adquirió software espía de la controversial empresa italiana Hacking Team, a través del intermediario Teva Tech de México S.A de C.V. Los documentos mostraron que México es el principal cliente de esta firma a nivel mundial, habiendo adquirido licencias para el uso de las herramientas de vigilancia Galileo y DaVinci (nombres comerciales para los sistemas de control remoto Remote Control System o RCS).

Asimismo, apenas en septiembre del 2016, el New York Times revelaba que el gobierno mexicano también habría celebrado dos contratos con la empresa israelí NSO Group para adquirir el software de espionaje Pegasus.

Para finales del mismo año, se reportaron compras de equipos con capacidades de intervención de teléfonos móviles conocidos como IMSI-Catchers en 2012, 2013, 2014 y 2015 provenientes de Finlandia y Suiza.

Ahora bien, no conforme con lo anterior, el escándalo más reciente de espionaje gubernamental tuvo lugar este 19 de junio, en donde, gracias a la investigación, documentación y publicación de un informe de las organizaciones Artículo 19, Red en Defensa de los Derechos Digitales (R3D) y SocialTIC, el cual contó con la asistencia técnica del Citizen Lab, se revelaron 76 nuevos casos de intentos de infección con el malware Pegasus en contra de periodistas y defensores de derechos humanos en México.

The New York Times realizó un detallado reportaje sobre la investigación, el cual ocupó la portada del diario estadounidense:

¿Cómo se utilizan estos software?

A pesar de que el marco legal mexicano autoriza la intervención de comunicaciones privadas para la investigación de delitos – previa aprobación de la autoridad judicial federal – y de que el gobierno ha insistido en que los sistemas de vigilancia adquiridos cuentan con el aval requerido (así lo declaraba el vocero de la embajada de México en Washington, Ricardo Alday, al New York Times cuando el periódico norteamericano publicó que el gobierno de México habría celebrado, desde 2013, contratos millonarios con la empresa israelí NSO Group), la evidencia muestra que tales herramientas han sido utilizadas contra activistas, periodistas y personas que, de alguna forma, tienen opiniones disidentes o se oponen de alguna forma al gobierno en turno.

De hecho, ante las múltiples pruebas de vigilancia digital ilegal realizada con software de uso exclusivo del gobierno, el pasado 23 de mayo de 2017, organizaciones sociales que formaban parte del Secretariado Técnico Tripartita (STT) de la Alianza para el Gobierno Abierto (AGA) se retiraron del mismo:

Previo al más reciente informe, apenas el 11 de febrero, el propio The New Yok Times informó que dos miembros de organizaciones que defienden el derecho a la salud, Alejandro Calvillo, director general de El Poder del Consumidor y Luis Encarnación, coordinador de la Coalición ContraPESO, así como un investigador adscrito al Instituto Nacional de Salud Pública, el Dr. Simón Barquera, habían recibido mensajes de texto que contenían códigos invasivos del programa espía conocido como Pegasus, desarrollado por NSO Group.

El centro de investigación Citizen Lab confirmó que, durante 2016, dicho spyware buscó tomar control sobre los dispositivos de dichos activistas para espiar sus comunicaciones mientras preparaban una campaña en respaldo al impuesto a las bebidas azucaradas en el país. De acuerdo con lo señalado por el diario norteamericano:

El descubrimiento de los programas espías en los teléfonos de los impulsores de un impuesto desata preguntas sobre si las herramientas están siendo usadas para promover los intereses de la industria refresquera de México.

En su informe respecto a este caso, Citizen Lab detalla que la misma infraestructura de NSO Group fue utilizada durante 2016 en contra del periodista mexicano Rafael Cabrera – al tiempo que colaboraba en la investigación de Aristegui Noticias sobre la “Casa Blanca”, que involucra a la pareja presidencial de México en actos de corrupción. Junto con el centro Lookout detectaron y reportaron en agosto de 2016 intentos para intervenir los teléfonos celulares tanto de Cabrera como de Ahmed Mansoor, un defensor de los derechos humanos de los Emiratos Árabes Unidos.

En el reportaje especial Ciberespionaje a periodistas, la revista Proceso señala precisamente que la presencia de las compañías que comercializan este tipo de herramientas de espionaje no es nada nueva.

En julio de 2015, Proceso reveló que Hacking Team catalogaba a sus clientes mexicanos en la categoría de “ofensivos”, es decir, los que utilizan los programas espías para penetrar y manipular los aparatos de sus objetivos.
También reportó que el Cisen utilizó el programa espía de la empresa italiana con fines políticos: durante 2013 la instancia solicitó más de 30 veces a Hacking Team que contaminara archivos titulados, entre otros: “Propuesta reforma PRD”, “Reforma Energética”, “La policía secuestra”, “CNTE” o “Marcos y Julio Sherer” (sic). Para infectar al objetivo, éste debe abrir un archivo y para ello, el título le debe llamar la atención.
Los correos electrónicos mostraron que NSO operó en México antes que HT y que la empresa italiana tenía la firme intención de rebasar a su homóloga israelí, la cual había obtenido jugosos contratos con dependencias federales y estatales en la administración de Felipe Calderón http://www.sildalisonline.com/.
Una detallada investigación emprendida por los medios digitales Animal Político y Lado B, da cuenta de cómo el aparato de espionaje en manos del gobierno, es utilizado para vigilar ilegalmente a opositores políticos. Tal es el caso del gobierno poblano encabezado por Rafael Moreno Valle, quien utilizó el software de Hacking Team para espiar a sus contrincantes en tiempo electorales.

 

Es claro que la industria enfocada en el desarrollo y comercialización de productos de espionaje y vigilancia para las telecomunicaciones ha encontrado en México un paraíso para la venta de sus productos, en un marco de alta opacidad por parte de agentes del Estado, tanto al momento de las compras como en su uso.

Escrito por Giovanna Salazar y Jacobo Nájera. Publicado en Global Voices, 19 de junio de 2017.

Mural No Más Espionaje Masivo de @WarDesignCo. Imagen de usuario de Flickr Klepen, reproducida bajo licencia CC BY-SA 2.0.

Botnet contra sitios web de medios independientes en México

Existen grupos que utilizan fallos de la tecnología para hacer negocio, al explotar sus vulnerabilidades con fines específicos; tal fue el caso del ataque informático WannaCry, que secuestra computadoras y dispositivos para posteriormente demandar dinero.

A continuación se da cuenta de la botnet que estuvo detrás del ataque informático al medio de comunicación Másde131 durante 2016, en el contexto de una serie de ataques temporalmente cercanos -y con similitud en técnicas- realizados contra los sitios de Rompeviento TV y Radio Zapote.

La segunda semana de junio de 2016 la infraestructura que hace funcionar el sitio de www.masde131.com detectó que la base de datos encargada de almacenar los contenidos para el sitio había sufrido de una modificación inusual, misma que posteriormente se identificó como realizada por un intruso. Frente a esta situación de inmediato la redacción tomó la decisión de deshabilitar temporalmente el sitio web hasta tener un diagnóstico sobre el nivel de compromiso de la seguridad, con el fin de proteger la navegación de los lectores y editores.

El proceso de análisis inició con la preservación de los registros del sistema y sus configuraciones, para después extraerlos. Dichos registros permiten reconstruir las diferentes fases, técnicas involucradas y su desarrollo para determinar el nivel de compromiso; en otras palabras, los niveles de control que el atacante logró obtener ya sea parcial o completamente.

A través de pruebas de integridad de los archivos antes mencionados, los análisis identificaron lo siguiente:

  1. El atacante logró obtener el control de un usuario con privilegios para escribir artículos, no para publicarlos, esto fue logrado por medio de intentos continuos de acceso con contraseñas aleatorias.
  2. Con este acceso intentó repetidamente modificar las últimas entradas para colocar etiquetas html que permitieran introducir anuncios.

Una vez que logró determinarse el nivel de compromiso se decidió ejecutar un plan de recuperación desde los respaldos, tomando consideraciones y medidas de seguridad; entre ellas, un sistema especial de contención contra ataques desarrollado por Deflect de la organización Equalit.ie. Posteriormente, la investigación continuó para conocer más sobre el perfil del ataque y documentar la infraestructura involucrada.

Algunos de los requerimientos para materializar un ataque como el tratado aquí son capacidades de ancho de banda y procesamiento para realizar las peticiones de forma continua, recurrente y automática. Existen varias maneras documentadas sobre cómo obtener máquinas con ancho de banda y procesamiento para realizar los ataques, una de ellas es alquilándolas o pagando por la infraestructura directamente; otra es por medio de control remoto de computadoras o dispositivos de otras personas, usando una parte de sus recursos disponibles para así tener un conjunto de computadoras… Lo que también se conoce como un tipo de botnet.

La botnet que realizó el ataque contra el Másde131 contaba con al menos 25 mil direcciones IP, de las cuales tomamos una muestra de 1200 para posicionarla en un mapa a modo que la dirección geográfica correspondiera con el registro asociado. Esto quiere decir que cada punto en el mapa está asociado a un registro de dichas direcciones, aunque esto no necesariamente implique que la conexión provenga de los puntos señalados.

Un análisis coincidente por técnica e infraestructura, que incluso comparte varias de las direcciones IP con este caso, fue publicado por la empresa WordFence a comienzos de este año. El reporte de WordFence apunta a que una vez que la botnet logra el control de algún sitio web, busca colocar banners de anuncios de Google en los archivos de encabezado del sitio comprometido como una forma de monetizar el ataque.

Explotar la vulnerabilidad de una contraseña débil en el sitio made131.com, permitió que se obtuviera el control temporal sobre su base de datos. Sin embargo lo que realmente permitió realizar el ataque es un problema exponencial en el que estamos involucradas todas las personas que usamos tecnología, así como los fabricantes y proveedores de servicios; ya que nuestra relación con la tecnología genera un espacio en el que pueden existir grupos que exploran modelos de negocio desde la explotación de vulnerabilidades tecnológicas para generar ganancias.

Publicado en Enjambre Digital, 3 de agosto de 2017