El debate sobre la reautorización de la Sección 702 de FISA tiene implicaciones transatlánticas- ISMS.online

El debate sobre la reautorización de la Sección 702 de FISA tiene implicaciones transatlánticas

Por Danny Bradbury • 25 July 2023

La segunda mitad de este año será importante para el Congreso de Estados Unidos mientras lucha por reautorizar legislación clave sobre inteligencia.

La legislación en cuestión es parte de la Ley de Inteligencia y Vigilancia Extranjera (FISA), que se introdujo por primera vez en 1978. FISA se ocupaba de la recopilación de inteligencia extranjera en suelo nacional. Según esta ley, los agentes gubernamentales tenían que obtener una orden judicial del Tribunal de Vigilancia de Inteligencia Extranjera (FISC) antes de espiar a ciudadanos estadounidenses para averiguar sobre entidades extranjeras.

En 2008, el Congreso introdujo una nueva parte de FISA llamada Título VII. El Título VII expiró originalmente en 2017, pero el Congreso lo reautorizó. El Título VII expirará el 31 de diciembre de este año a menos que los legisladores lo vuelvan a autorizar.

La parte controvertida del Título VII siempre ha sido la sección 702, que aborda la recopilación de datos sobre personas no estadounidenses ubicadas fuera de los EE. UU. No requiere órdenes judiciales individuales para realizar escuchas telefónicas a objetivos basándose en una causa probable de la misma manera que lo hace FISA. En cambio, el FISC puede aprobar previamente grupos de consultas. Esto representa una relajación de los requisitos originales de FISA.

La Sección 702 permite al FBI y a varias agencias de inteligencia preguntar a los proveedores de servicios de telecomunicaciones sobre las conversaciones electrónicas que se ejecutan en sus redes. Pueden realizar esas consultas en función del remitente o destinatario del mensaje.

Se supone que las consultas se centran en conversaciones que podrían revelar cosas valiosas sobre personas no estadounidenses que no residen en los EE. UU. Sin embargo, existe el riesgo de recoger comunicaciones que involucran a residentes nacionales de los EE. UU. en algo que podríamos llamar coloquialmente "consultas desde el vehículo". .

Esto es especialmente cierto para un tercer vector de consulta más controvertido: los identificadores "acerca de". Estos surgen en comunicaciones en las que el destinatario no es el remitente ni el destinatario de un mensaje, pero aparecen incidentalmente en el contenido de ese mensaje. Entonces, si dos personas mencionaron su nombre en un correo electrónico que estaba leyendo una comunidad de inteligencia, la agencia podría usarlo para realizar una consulta sobre sus conversaciones con otras personas.

El mal uso de la Sección 702 genera preocupación

Un informe de 2014 encontró que la NSA recopiló demasiada información utilizando este vector de recopilación "acerca de", extrayendo decenas de miles de comunicaciones totalmente nacionales. Sin embargo, después de evaluar ese informe, la FISC continuó permitiendo la práctica.

En 2017, la NSA dijo que había detenido la recopilación "sobre" porque las recopilaciones "hacia" y "desde" eran más fructíferas. Cuando el Congreso reautorizó el Título VII en 2018, prohibió la reanudación de la recopilación "sobre" a menos que el Fiscal General y el Departamento de Inteligencia Nacional notificaran primero al Congreso.

Sin embargo, los requisitos de recopilación de datos "hacia" y "desde" son herramientas poderosas que pueden resultar peligrosas si se utilizan incorrectamente. Este año, la Oficina del Director de Inteligencia Nacional (ODNI) publicó un tribunal FISC desclasificado pero muy redactado. (reporte) en procedimientos de consulta 702 y no se ve bien.

El documento reveló que los analistas del FBI habían utilizado 702 para investigar a personas sospechosas de estar involucradas en los disturbios del 6 de enero y otras involucradas en las protestas durante mayo y junio de 2020 que probablemente fueron una respuesta al asesinato policial de George Floyd.

FISA no encontró ninguna expectativa razonable de participación de partes extranjeras para justificar estas consultas. En general, una auditoría realizada por el FBI encontró 278,000 consultas basadas en la Sección 702 que no cumplían con los datos brutos de FISA realizadas por el personal de la Oficina en un solo año, al menos una de las cuales era una gran consulta por lotes sobre decenas de miles de personas a la vez.

Estas infracciones tienen preocupados a los legisladores de ambos lados del Senado. Piden reforma antes de reautorizar la sección 702 en una demanda del Congreso asar a la parrilla del personal de inteligencia y de aplicación de la ley sobre prácticas de interrogatorio en junio.

Parece que se están preparando algunas reformas. Se dice que el senador Ron Wyden (demócrata por Ore) está trabajando en un proyecto de ley de reforma de la vigilancia que abordará el tema. El FBI también ha emitido un nuevo conjunto de directrices de rendición de cuentas para el personal. Aún así, queda por ver si eso apaciguará al grupo de trabajo del Congreso que actualmente aborda el tema de la reautorización.

Qué significa la sección 702 para Europa

Aparte de las implicaciones para los ciudadanos estadounidenses en territorio nacional, la sección 702 tiene implicaciones en Europa. En julio, la Comisión Europea aprobada el último marco de privacidad de datos (DPF), que es el tercer intento de llegar a un acuerdo de adecuación entre la UE y EE.UU. Max Schrems, el abogado austriaco que impugnó con éxito los dos primeros intentos, no está contento con el estado actual del artículo 702. es que la legislación no protege a las personas no estadounidenses, lo que impide el intercambio seguro de privacidad de datos con los EE. UU.

“Estados Unidos continúa insistiendo en que las personas no estadounidenses no tienen derechos constitucionales en Estados Unidos, dijo noyb ('no es asunto tuyo'), la organización sin fines de lucro que Schrems cofundó para hacer cumplir la privacidad a través de medios legales. “Por lo tanto, la Cuarta Enmienda no cubre la violación de su derecho a la privacidad”.

El probable próximo desafío de Noyb al DPF entre EE.UU. y la UE no ayudará a los defensores de la privacidad en el Reino Unido post-Brexit, quienes necesitarían impugnar un acuerdo de adecuación de privacidad de datos planeado con EE.UU. a nivel local. Según el DPF de EE. UU. y la UE, ambos países están utilizando la Orden Ejecutiva 14086 del presidente Biden, aprobada en 2022, para ayudar a disipar las preocupaciones sobre la recopilación de datos de inteligencia estadounidense sobre personas no estadounidenses.

Titulada “Mejora de las salvaguardias para las actividades de inteligencia de señales de los Estados Unidos”, la EO 14086 restringe la vigilancia a un conjunto de objetivos legítimos, centrándose en la lucha contra el espionaje, el terrorismo y la integridad electoral. No se puede utilizar para suprimir la disidencia o la privacidad ni atacar a personas en función de factores como la raza, la identidad de género o la región.

La EO también creó el Tribunal de Revisión de Protección de Datos (DPRC) a través del Fiscal General. Este escuchará las quejas de las partes afectadas presentadas a través del Oficial de Protección de Libertades Civiles de la Oficina del Director de Inteligencia Nacional. Sin embargo, Noyb no cree que la República Popular Democrática del Congo sea lo suficientemente responsable.

Si bien existe una fuerte presión interna para reformar la Sección 702 para proteger a los residentes estadounidenses, parece poco probable que el Congreso estadounidense preste tanta atención a los derechos de los no residentes. Esto es motivo de preocupación para los defensores de la privacidad al otro lado del charco, porque en una sociedad global conectada, lo que sucede (o no sucede) en una región tiene repercusiones en todo el mundo.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury