Este artículo fue publicado originalmente en inglés. Traducción de RGC para Tlatolli Ollin
Crear un marco de ciberseguridad que tenga en cuenta las cuestiones de género significa trabajar en mecanismos que mitiguen los daños en internet, tanto dentro como fuera de los organismos encargados de establecer estándares. Los procesos de formulación de normas no son suficientes, y requieren colaboración de las distintas comunidades para impulsar políticas y normativas que respondan a los daños específicos que amenazan a las mujeres y a las personas con sexualidad diversa en el Sur global. Esta fue una de las principales conclusiones de una mesa redonda virtual de dos horas de duración sobre perspectivas de género en la ciberseguridad, organizada por la Asociación para el Progreso de las Comunicaciones (APC) a finales de septiembre.
Una veintena de expertos/as en género, tecnología feminista, política y gobernanza de ciberseguridad participaron en la mesa redonda titulada: "Enfoques de género en la ciberseguridad: integración de debates sobre política, investigación y normas técnicas". Uno de los principales objetivos de la reunión, que incluyó presentaciones y una sesión práctica de intercambio de ideas, era crear un espacio para poner en contacto a las partes interesadas que trabajan en distintos ámbitos y comunidades sobre la intersección entre género y ciberseguridad. Para ello, se compartieron distintas experiencias de América Latina, África y Asia, se intercambiaron perspectivas y puntos de vista y se estudiaron posibles formas de colaboración en el futuro.
“Miedo condicionado por el género”
Los/as ponentes compartieron investigaciones y casos que ilustraron la amplitud de los posibles daños en línea que deben considerarse para abordar de manera efectiva las amenazas de ciberseguridad que enfrentan las mujeres y las personas sexualmente diversas. Entre estos daños se incluyen la violencia de género facilitada por la tecnología (TFGBV, por su sigla en inglés), la desinformación con sesgo de género, la incitación al odio, las campañas de difamación, el doxxing (divulgación de información personal sobre alguien sin su consentimiento) la exposición o pérdida de datos personales y sensibles, así como la vulneración de los derechos de privacidad a través del scooping (prácticas de recopilación masiva o invasiva de datos personales) la vigilancia y el pirateo informático. También se destacaron los riesgos derivados de la aplicación excesivamente estricta de leyes por parte de los Estados.
Un ejemplo sobre el que se trabajó fueron las campañas de desinformación en Uganda y el modo en que afectan a las mujeres que participan en política. Las mujeres que ejercen su trabajo en este ámbito son habitualmente objeto de "rumores sexualizados" o del escarnio corporal. La intención de estos ataques públicos es "debilitar su credibilidad y, con el tiempo, erosionar la confianza pública y deslegitimar su liderazgo". En un caso, los ataques fueron tan destructivos que la líder de la oposición se vio obligada a abandonar la política: "Estos ataques realmente la sacaron del sistema de tal manera que no había forma de que se volviera a presentar a las elecciones". En ese país, las estrategias para abordar este problema pasaban por trabajar con los medios de comunicación y las plataformas de redes sociales. También, afirmó una de las presentadoras, es necesario que la violencia de género en línea se incluya en la Ley de Delitos Sexuales del país.
Una línea de ayuda feminista creada en Brasil (una de tantas creadas en distintos puntos de América Latina) reveló que "los casos más comunes denunciados están relacionados con las redes sociales". Al igual que en Uganda, donde las mujeres que ejercen la política fueron atacadas mediante el escarnio a su cuerpo y falsos rumores sobre su vida sexual, los ciberataques a defensores/as de los derechos humanos no se limitaron a atacar sus posturas políticas como activistas, sino que se centraron en "la identidad y la intimidad".
En Tailandia, los ataques contra mujeres y personas activistas de los derechos sexuales incluyen "discursos abusivos y de odio", campañas de difamación y doxxing. Los impactos documentados han incluido graves daños psicológicos y autocensura. Se creó un efecto inhibidor por el que "muchas personas abandonan su labor activista o incluso se abstienen de utilizar las redes sociales en absoluto".
Como explicó la persona presentadora , "Quienes se mueven en el ámbito del activismo son ahora muy cautelosas con respecto a fotos o vídeos íntimos o familiares que puedan tener en sus teléfonos. [Les] provoca mucho nerviosismo y les da pánico saber quién tiene sus datos: ¿Qué capturaron? ¿Cuánto tiempo lo tendrán? ¿Cuánto falta para que lo usen contra ellas?".
"Su experiencia del miedo está condicionada por el género", afirmó.
Necesidad de respuestas y regulación por parte del Estado
En América Latina y en Asia, una preocupación compartida es el papel de los programas de espionaje en los daños relacionados con el género que se producen en línea, incluido el uso de la inteligencia artificial (IA) en la vigilancia. Algunas organizaciones distinguen entre programas espía y programas espía "altamente invasivos" (como Pegasus y Predator) diseñados para "recoger todos los datos de manera predeterminada". Los programas espía altamente invasivos nunca pueden ser respetuosos con los derechos humanos, porque las herramientas digitales utilizadas no pueden auditarse de forma independiente, afirmaron presentadoras durante la sesión. Por lo tanto, es necesario estudiar las modificaciones técnicas de los reglamentos y normas para que el uso de las herramientas se ciña a la ley. No obstante, con cualquier forma de espionaje, el Estado tiene el papel y el deber de examinar las diferentes repercusiones que pueda tener sobre las mujeres y las personas sexualmente diversas. En la actualidad esto no ocurre, señaló una presentadora.
Mientras que en América Latina, como en otros lugares, el pirateo o hackeo se realiza normalmente para cometer fraude o extorsión financiera, el pirateo de perfiles se ha convertido en algo habitual en el contexto de acoso sexual, control y vigilancia. El stalkerware (software malicioso diseñado para espiar a una persona sin su conocimiento o consentimiento) se identificó como una cuestión crítica que requería más atención. A menudo se comercializa como una tecnología para fines como la vigilancia de padres a hijos y el control de los empleados, "ambos problemáticos en sí mismos". Sin embargo, puede adaptarse para facilitar la violencia de género en línea, dadas sus funcionalidades. Una de las ponentes sugirió que algunos productos de stalkerware se comercializan discretamente para vigilar íntimamente a la pareja. Estos productos también se aprovechan de las lagunas en la regulación de las grandes empresas.
La necesidad de un sector privado receptivo
Como sugirió una participante, dentro del sector privado hay quien es consciente de la necesidad de protección contra la violencia de género en contextos digitales. Varias empresas han rediseñado sus tecnologías e incorporado mecanismos como líneas de ayuda y sistemas de alerta. Sin embargo, aún queda mucho por hacer, como estudiar la posibilidad de que el sector privado financie programas de alfabetización digital y obligar a algunas grandes empresas tecnológicas a tomarse más en serio sus mecanismos de información.
En América Latina, por ejemplo, existe la sensación generalizada de que los mecanismos para denunciar abusos no son eficaces cuando han sido empleados por las comunidades: "Estas plataformas deberían ofrecer mejores mecanismos de denuncia que realmente hagan un seguimiento y devuelvan el control a sus usuarios/as. Deberían incorporar esto en su diseño [y ser receptivos a] las diferentes necesidades de los usuarios/as", dijo un presentador, y añadió: "Puedes denunciar tantas veces como sea posible y normalmente les importa".
Trabajar con organismos de normalización y participar en el diseño de tecnologías
Uno de los principales problemas del discurso y la práctica actuales en materia de ciberseguridad es que, en primer lugar, las normas se centran demasiado en los sistemas y dispositivos informáticos y, en segundo lugar, la ciberseguridad se considera sobre todo un tema de seguridad empresarial y nacional. Para remediarlo, un ponente argumentó que es necesario un enfoque centrado en el ser humano y no en los sistemas. La ciberseguridad debe considerarse "como una cuestión de seguridad social, centrada en las amenazas en contra de la sociedad". De este modo, "se crea una idea mucho más amplia de la ciberseguridad, en la que las cuestiones de género están realmente en el centro, en lugar de ser algo que se aborda desde fuera".
Organismos de normalización como la Unión Internacional de Telecomunicaciones (UIT) y la Organización Internacional de Normalización (ISO) han tenido en cuenta el género en su trabajo, por ejemplo, a través del Grupo de Expertos sobre la Mujer en la Normalización de la UIT y el Plan de Acción de Género de la ISO. Sin embargo, cabe preguntarse hasta qué punto han influido de manera significativa en los debates específicos relacionados con ciberseguridad.
Un reto clave es la participación de las comunidades marginadas en los debates sobre la formulación de normas y en el diseño de tecnologías. Como explicó una de las ponentes, a menudo no se reconocen, o ni siquiera se registran, los tipos de amenazas específicas a las que se enfrentan las distintas comunidades del Sur global y, por tanto, no se tienen en cuenta en estos debates y procesos. En efecto, son invisibles. Sin embargo, "las amenazas, los modelos y los actores son diferentes en las distintas comunidades. [...] Incluso la idea de agresor es diferente".
Se puso el ejemplo de Apple lanzando su servicio de localización, que se pensó que sería una herramienta útil en caso de pérdida del teléfono. Sin embargo, también puede utilizarse para una vigilancia abusiva o para controlar a activistas. "Resulta que ninguna de las personas que estaban sentadas a la mesa cuando se diseñaban estas funciones de localización [...] cuestionó esta tecnología, porque nunca se habían enfrentado a este tipo de abusos, por lo que los límites de su mundo eran demasiado estrechos", afirmó la presentadora. Es necesario un diseño participativo de la tecnología, donde "haya diferentes experiencias y comunidades presentes". La inclusión es igualmente necesaria al momento de establecer nuevas normas tecnológicas.
Ciberseguridad inclusiva: trabajar desde dentro y desde fuera
Sin embargo, para fomentar la participación de la comunidad en los procesos de formulación de normas habrá que hacerlos comprensibles para participantes sin grandes conocimientos tecnológicos. Tendrán que navegar por dinámicas institucionales complejas y a veces alienantes, y lidiar con una jerga técnica opaca. Un reto fundamental es la falta de interpretación y traducción de documentos de los organismos encargados de establecer estándares, incluso de protocolos fundacionales como el Protocolo de Internet.
"Esto es una batalla", dijo una persona participante. "Cuando invitamos [a participantes de las comunidades a los foros de normalización] proporcionamos traducción en vivo, pero se trata de un esfuerzo individual y no hay apoyo del organismo de normalización".
Los desequilibrios de poder también están implícitos en función de dónde se celebren los debates normativos, ya que a menudo son geográficamente inaccesibles y resulta costoso que las comunidades históricamente marginadas puedan participar en ellos. Aunque hay que evitar la representación simbólica, tampoco basta con tener a las "personas adecuadas en la mesa". "Necesitamos estructuras y procesos que sean afirmativos, que hagan oír las voces y garanticen que se tengan en cuenta. Tenemos que encontrar la manera de que esas voces no sólo estén presentes, sino que participen activamente".
Era importante abordar estas dinámicas de poder, porque aunque algunos organismos encargados de establecer estándares promueven un proceso "basado en el consenso", está claro que "al final, si una gran empresa tecnológica quiere presionar en un sentido y una pequeña organización de derechos humanos quiere presionar en otro, lo más probable es que acabemos yendo por donde quieren las grandes tecnológicas", comentó una de las personas participantes. Lo que se necesitan son estructuras y sistemas para hacer frente a estos inevitables desequilibrios de poder a medida que se produzcan.
Sin embargo, los organismos también son limitados. Las normas suponen una "infraestructura básica", pero no pueden abordar todos los daños predominantes y sólo pueden responder en cierta medida a las preocupaciones en materia de derechos humanos. Para complementar lo anterior, es necesario abogar simultáneamente por normativas adecuadas y otros mecanismos, como "marcos jurídicos interseccionales", abordando de forma integral los daños por razón de género en internet. También es necesario generar evidencia a través de la investigación de la sociedad civil, y desarrollar herramientas prácticas para apoyar a activistas y a víctimas de abusos.
Establecer relaciones de colaboración a largo plazo
Durante la mesa, también se subrayó la importancia de establecer relaciones de colaboración entre personas y organizaciones que trabajen en la intersección de política y gobernanza en materia de género y ciberseguridad, así como de las normas técnicas y el diseño tecnológico. Es fundamental un enfoque transversal. Esto incluye la participación de organizaciones dedicadas "al comercio y otras cuestiones de responsabilidad corporativa, porque la mayor parte de lo que vemos está motivado por el dominio de las mayores empresas tecnológicas". Se requiere, además, trabajar con proveedores de servicios tecnológicos, que se consideran mejor posicionados para abordar los daños por razón de género.
Otra conclusión clave fue que es necesario amplificar las voces de los participantes del Sur global. Las áreas prácticas de colaboración en este sentido incluyen traducción, localización e investigación para la divulgación, además de la colaboración en necesidades administrativas como los visados para ayudar a las comunidades infrarrepresentadas a asistir a procesos de elaboración de normas.
La colaboración debe verse como un compromiso a largo plazo en términos de compromiso y desarrollo de capacidades: "Es crucial mantener la influencia a lo largo del ciclo de vida de las normas o el diseño", afirmó una persona participante. Lo que se ha dado en llamar "defensa corporativa posterior a la creación del estándar o norma" también es necesaria para garantizar que las empresas apliquen realmente las normas que ayudamos a crear.
La necesidad de una investigación interseccional
Es cada vez más necesario generar conciencia sobre las intersecciones entre género y ciberseguridad, especialmente en el Sur global. La investigación es importante porque aporta la evidencia necesaria para influir en los procesos de formulación de normas y contribuye a garantizar que las experiencias de las mujeres e identidades diversidas en la red no se pasen por alto en el diseño de la tecnología. La evidencia también es necesaria para elaborar reglamentaciones, políticas y leyes adecuadas, y para abogar por mejores respuestas del sector privado a los daños en internet.
También es importante fomentar la investigación dirigida por la comunidad, para que no sean sólo las perspectivas y voces de expertos las que influyan en las políticas y el diseño de las tecnologías. Para ello es necesario adoptar un enfoque interseccional que ayude a comprender cómo las diversas identidades, ya sean de género, raza, estatus socioeconómico u otras, se entrecruzan y repercuten en las experiencias de ciberseguridad. Como se señaló durante la reunión, es importante "enmarcar la ciberseguridad como una cuestión centrada en el ser humano, y no como un mero asunto de polémicas entre empresas o países".
Temas prioritarios de investigación
La mesa redonda también identificó temas prioritarios de investigación de cara al futuro.
Uno de los enfoques propuestos para priorizar en la investigación fue, en primer lugar, centrarse en el "mayor daño", identificando lo que pudiera considerarse como la amenaza más grave y generalizada para las mujeres y personas sexualmente diversas en internet en ese momento, y, en segundo lugar, considerar la "facilidad de intervención política", o dónde es más probable que se pueda producir el cambio más eficaz. Entre los métodos de investigación y los resultados propuestos figuran la investigación participativa basada en evidencia, la elaboración de guías prácticas y la narrativa, que se consideró necesaria para llegar a partes interesadas "improbables", "no solo a usuarios de internet muy visibles, sino también a personas de otras organizaciones, movimientos e incluso a personas cuyo uso de la tecnología y su presencia en ella sea limitada".
Entre las propuestas de investigación figuran la intersección entre género y programas espía; guías que desmitifiquen los procesos de creación de estándares y otros organismos y procesos técnicos; investigaciones que vislumbren futuros digitales feministas para las mujeres en política; y profundizar en la diferencia entre el hecho de que hay personas que se vuelven objeto de agresiones por motivos de género y el hecho de que los impactos son diferentes dependiendo del género de la persona afectada.
Las participantes también señalaron la necesidad de realizar investigaciones que exploren la conexión entre ciberseguridad y las estructuras de género más amplias que producen discriminación y apoyan el patriarcado. Como dijo una participante, en Tailandia, el impacto de los daños en línea "se ve influido por las barreras estructurales existentes y los prejuicios de género que ya experimentan las mujeres y las personas queer en [el país] debido a su género y orientación sexual".
Recursos
Las participantes compartieron varios recursos, entre ellos:
- Marco para el desarrollo de una política de ciberseguridad que responda a las cuestiones de género – APC
- Ciberseguridad y género – GenderIT.org
- Líneas de atención feministas
- Maria d'Ajuda, la primera línea de ayuda en seguridad digital hecha por feministas brasileñas
- Tailandia: La violencia digital respaldada por el Estado se utiliza para silenciar a mujeres y activistas LGBTI – Amnistía Internacional