AccessNow y la Universidad de Harvard publicaron un extenso informe sobre la persecución de la comunidad de practicantes de seguridad de la información en América latina. Este informe en el que contribuimos desde Fundación Vía Libre fue realizado por las investigadoras Fernanda Gomez Balderas y Payton Wulff, bajo la coordinación de Jessica Fjeld.
El reporte está disponible en línea y analiza casos de Argentina, Colombia, Ecuador y México a la vez que articula recomendaciones para los tomadores de decisiones de políticas públicas relacionadas. La persecución de la comunidad de infosec no es una excepción ni se configuran casos aislados, sino que aparecen continuidades e ideas comunes de criminalización de ciertos conocimientos y ciertas prácticas que se verifican claramente en el documento de estas investigadoras que recomendamos con énfasis.
El caso de Javier Smaldone se encuentra destacado y nos interesa especialmente ya que no sólo es un colega que regularmente contribuye y hace aportes sustantivos al trabajo de nuestra organización sino que configura una situación dramática en relación al debido proceso judicial en Argentina.
Compartimos aquí la traducción realizada por el propio Javier sobre su caso integrado a este informe.
Javier Smaldone es un investigador en seguridad y experto en TI reconocido en la comunidad de seguridad informática de la Argentina. En el pasado, Smaldone ha realizado investigaciones de seguridad sobre el uso de máquinas de voto electrónico en la Argentina y ha expuesto ante el Senado argentino compartiendo su experiencia en el tema y desaconsejando el uso de tales dispositivos. Smaldone mantiene un blog personal en el que a menudo es crítico con las prácticas de ciberseguridad del Gobierno, y también es activo en su cuenta personal de Twitter con respecto a estos temas.
En octubre de 2019, la policía argentina detuvo a Smaldone para interrogarlo bajo sospecha de “hackear” y filtrar información de sistemas gubernamentales, un ataque informático que luego fue conocido como “La Gorra Leaks 2.0”. La policía detuvo a Smaldone por un total de 12 horas antes de liberarlo. Las autoridades también allanaron su domicilio, incautando y registrando varios de los teléfonos, computadoras y pendrives de su propiedad.
En los días posteriores a su detención, Smaldone, sabiendo de su propia inocencia, solicitó al tribunal los documentos que presentó la policía para obtener una orden de detención. Le sorprendió descubrir que la principal “evidencia” que utilizó la policía para obtener una orden judicial fueron sus tweets discutiendo y analizando las filtraciones de datos de “La Gorra Leaks 2.0”.
Además, Smaldone se dio cuenta de que la policía había estado construyendo su investigación en su contra durante unos meses. Su investigación incluyó: “ciberpatrullaje” en Twitter y otras de sus cuentas de redes sociales; solicitudes de registros personales de su celular a su proveedor de servicios móviles para la ubicación de su teléfono y sus registros de llamadas entrantes y salientes; solicitud de información de su cuenta de WhatsApp, incluidas las direcciones IP utilizadas para conectarse durante los meses previos a la investigación; solicitud registros del uso de su tarjeta de transporte público “Sube” durante el año previo a la investigación; vigilancia de Smaldone en público y toma de fotografías; y la colocación de cámaras de vigilancia fuera del hogar de sus hijos. Este atroz nivel de vigilancia por sí solo debe considerarse persecución, especialmente considerando que la policía no tenía evidencia real de la participación de Smaldone en las filtraciones de datos antes de comenzar su investigación.
Si bien Smaldone nunca fue acusado formalmente bajo el código penal, su caso ejemplifica cómo alguien con conocimientos técnicos de sistemas de TI, que está asociado con la comunidad de seguridad informática, puede ser perseguido sin una causa justa. La policía argentina esencialmente describió a Smaldone como un hacker criminal debido a su experiencia técnica y su papel vehemente en la denuncia y el análisis de los ataques a través de su cuenta de Twitter, y quizás también por sus opiniones críticas sobre cómo el Gobierno ha manejado estos problemas en el pasado. Como resultado, fue objeto de intimidación e invasiones de su privacidad.
El caso de Smaldone ejemplifica cómo la narrativa en torno al “hacking” puede ser perjudicial para quienes realizan investigaciones de seguridad legítimas o para quienes simplemente se sabe que son miembros de la comunidad de seguridad informática. Aquellos en posiciones de poder a menudo perpetúan esta narrativa dañina debido a sus propias motivaciones políticas, su falta de comprensión técnica de estos conceptos, o ambos. Según su blog, Smaldone ve su caso como una persecución política, y ahora está preocupado por lo que podría sucederle a él o a otras personas que trabajan en el ámbito de la seguridad informática de la Argentina en el futuro.