¿Es el sistema Aadhaar de India una herramienta de vigilancia?

Registro de huellas digitales para Aadhaar, fotografía vía Wikimedia Commons, de Kannanshanmugham. CC BY 3.0.

La primera parte de este informe abordó los antecedentes y las preocupaciones en torno la seguridad generadas por Aadhaar, la base única de datos biométricos de India, la mayor de su clase en el mundo.

A medida que surgen preguntas en torno a las deficientes medidas de seguridad utilizadas para proteger la base de datos de identificación digital de India, las autoridades gubernamentales están defendiendo el sistema –e incluso tomando medidas contra quienes están revelando sus defectos.

El plan desarrollado por el Gobierno de la Unión en 2009, requería la creación de la Autoridad de Identificación Única (UIDAI en inglés) que emitiera números de identidad únicos (UID) para todos los residentes de India. Bajo este esquema, ahora conocido como Aadhaar (que significa «fundación» o «base» en hindi), el número de UID enlaza varios datos demográficos y biométricos de una persona, incluyendo su fotografía, diez huellas dactilares y una imagen de su iris. Esta información se almacena en una base de datos centralizada. Según UIDAI, un UID pretende ser «lo suficientemente sólido como para eliminar identidades duplicadas y falsas, y puede ser verificado y autenticado de una manera fácil y rentable».

El programa hasta ahora registra 1,13 mil millones de ciudadanos indios y residentes en India, lo que la convierte en la mayor base de datos biométricos del mundo.

En un informe de 2016 titulado Dividendos Digitales, el Banco Mundial incluyó la «identificación digital» entre los denominados cuatro herramientas digitales para el desarrollo. Según sostienen los autores del informe, con sistemas de identificación sólidos, es posible «prestar servicios vitales a las personas, gobernar eficazmente, eliminar programas duplicados o ineficientes, hacer uso eficiente de recursos limitados y producir estadísticas con precisión».

Pero hasta ahora, el sistema Aadhaar de India no ha logrado alcanzar estos objetivos y en algunos casos ha incrementado los obstáculos para los ciudadanos que buscan acceder a servicios públicos básicos, como subsidios alimentarios. El sistema tampoco ha llegado a toda la población: Una solicitud de derecho a la información que fue presentada por Ujjainee Sharma y Trishna Senapaty reveló que a partir de junio de 2015, el 0,03 por ciento de todos los números de Aadhaar emitidos correspondían a personas sin documentos de identificación preexistentes. Los solicitantes sospechan que el número total de residentes de India que carecen de números de identificación es mucho mayor.

Las autoridades toman medidas contra críticos e investigadores

Además de los desafíos que surgen de la divulgación, la mala gestión de datos y los errores de máquina, recientes acontecimientos han demostrado que los números de Aadhaar pueden ser fácilmente revelados, publicados en línea y utilizados con fines maliciosos. El 1 de mayo, investigadores del Centro de Internet y Sociedad de Bangalore informaron que se había producido la filtración de unos 135 millones de números de Aadhaar de cuatro bases de datos distintas del gobierno.

A pesar de la advertencia del gobierno de que publicar información de UID en los portales puede conducir a una pena de tres años de prisión, una norma que probablemente logre disuadir a algunos de abstenerse de publicar números de UID en línea, también quienes que han denunciado fallas de seguridad en el sistema han sufrido consecuencias.

Cuando Sameer Kocchar, presidente del grupo Skoch, mostró en un videoblog en febrero de 2017 cómo el UID puede ser hackeado, UIDAI respondió acusándolo de violar el artículo 37 de la Ley Aadhaar.

El artículo 37 dice: «Todo aquel que por cualquier medio divulgare, transmitiere, copiare o difundiere cualquier información de identidad recopilada durante la inscripción o autenticación a cualquier persona no autorizada en virtud de esta ley o de normas dictadas en su conformidad, o en contravención de cualquier acuerdo formalizado según las disposiciones de esta ley, será punible con pena de prisión por un período máximo de tres años o con una multa de hasta diez mil rupias o, en el caso de que se tratare de una empresa, con una multa de hasta un lakh o 100,000 rupias (cerca de 1,500 dólares), o ambos».

En otro incidente, se inició una demanda contra un periodista que mostró en un programa de televisión cómo era posible obtener dos números de UID distintos. Para complicarlo todo aun más, puede que uno nunca sepa si sus datos han sido vulnerados, pues la UIDAI se niega a revelar ese tipo de información por medio de solicitudes de derecho a la información.

En Twitter, numerosos usuarios han etiquetado a @ceo_uidai y a @uidai en tuits relevantes, y alertado acerca del potencial mal uso de los datos biométricos o de filtraciones de la información de UID. Pero las cuentas de Twitter de algunos de los que plantearon críticas han sido bloqueadas por cuentas del Gobierno. En respuesta a una posterior solicitud de derecho a la información en la que se consultaba a UIDAI si había bloqueado a alguien de sus cuentas en Twitter, los funcionarios negaron dicha afirmación.

¿Una herramienta para la vigilancia?

Otra preocupación de los expertos en seguridad y privacidad es que el UID se convierta en una herramienta de vigilancia masiva para el gobierno u otros actores.

Varios portavoces del gobierno sostienen que UIDAI recopila información mínima. Si bien eso es cierto, los servicios basados en UID recopilan más que información mínima. @kingslyj proporciona ejemplos de dos entidades del gobierno que hacen precisamente eso:

@pranesh Observa la diferencia entre los formularios de inscripción de Aadhaar en Karnataka y Kerala.

La herramienta también puede seguir siendo programada para recopilar más información en el futuro. Según revelaciones del investigador legislativo Meghnad de un debate en la Cámara Baja del Parlamento a principios de 2017, algún día podría incluir datos de ADN:

Dato divertido: cuando se le preguntó si el ADN sería parte de los datos biométricos recopilados en Aadhaar, el ministro de finanzas dijo que podría serlo en el futuro.

Sunil Abraham, Director Ejecutivo del Centro para Internet y la Sociedad, se ha referido abiertamente a Aadhaar como una herramienta de vigilancia:

Repite después de mí: Aadhaar es tecnología de vigilancia disfrazada de tecnología de autenticación segura.

Numerosos expertos nacionales en derecho, privacidad y tecnología han manifestado su preocupación sobre las implicaciones del programa en materia de fraude y vigilancia. Apar Gupta, abogado de Nueva Delhi, que ha debatido varios casos relacionados con la privacidad ante el Tribunal Supremo, explicó en una entrevista con BuzzFeed News:

If your data is compromised in any way, there is absolutely nowhere that you as a citizen can turn to. There are no judicial remedies built into the Aadhaar program in case of identity theft.

Si tus datos han sido comprometidos de alguna manera, no existe absolutamente ningún lugar donde como puedas recurrir ciudadano. No existen recursos judiciales en el programa Aadhaar en caso de robo de identidad.

Algunos de los peores temores de los detractores de Aadhaar fueron confirmados cuando una compañía privada tuiteó una foto de lo que podían hacer con UID. El tuit ha sido eliminado, pero la imagen original ha continuado circulando en línea:

Si no entiendes todo el significado de la frase «el camino al infierno está pavimentado con buenas intenciones», echa un buen vistazo a @India_Stack

En una de las siete cartas abiertas dirigidas al Comité Parlamentario Permanente de Finanzas que estaba examinando lo que entonces se conocía como la ley de la Autoridad Nacional de identificación de India, el Centro para Internet y Sociedad determinó los problemas inherentes y las trampas del uso de la biometría como instrumento de autenticación, y ofreció recomendaciones técnicas destinadas a evitar la explotación indebida del sistema.

El multimillonario Nandan Nilekani, principal arquitecto de UID y cofundador de la empresa de tecnología de la información Infosys, ha reconocido que la regulación de la privacidad es un «elemento adicional» de la innovación y que India necesita fuertes leyes de privacidad después de afirmar durante años que el esquema había incorporado funciones de privacidad y seguridad. Rajeev Chandrasekhar, diputado de la Cámara Alta, no dejó de percibir el cambio de actitud de Nilekani.

Las opiniones «evolucionan» ??
2015 – Aadhaar asegura la privacidad con su diseño;
2016-2017 se registran infracciones y una masiva fuga de datos;
2017 – Se requiere una ley de privacidad de datos

En el contexto del debate en curso, el Fiscal General de India ha argumentado ante el tribunal que ‘la privacidad no es un derecho fundamental’ e incluso se ha referido a él como una preocupación de la élite o de los corruptos.

Es preocupante ver que el Gobierno no responde adecuadamente a las preocupaciones planteadas por los ciudadanos, e incluso castiga a quienes han sacado a la luz los defectos de Aadhaar. Esto, combinado con una negación generalizada de la privacidad como derecho fundamental da la impresión de que no planean poner fin o siquiera abordar los problemas del sistema.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.