211service.com
Esta es la historia real de las bases de datos biométricas afganas abandonadas a los talibanes
Andrea Daquino
Mientras los talibanes arrasaban Afganistán a mediados de agosto, declarando el final de dos décadas de guerra, informes rápidamente circuló que también habían capturado dispositivos biométricos militares estadounidenses utilizados para recopilar datos como escaneos de iris, huellas dactilares e imágenes faciales. Algunos temían que las máquinas, conocidas como HIIDE, pudieran usarse para ayudar a identificar a los afganos que habían apoyado a las fuerzas de la coalición.
Sin embargo, según los expertos que hablaron con MIT Technology Review, estos dispositivos en realidad solo brindan acceso limitado a los datos biométricos, que se almacenan de forma remota en servidores seguros. Pero nuestro informe muestra que existe una mayor amenaza de las bases de datos del gobierno afgano que contienen información personal confidencial que podría usarse para identificar a millones de personas en todo el país.
MIT Technology Review habló con dos personas familiarizadas con uno de estos sistemas, una base de datos financiada por EE. UU. conocida como APPS, Afghan Personnel and Pay System. Utilizado tanto por el Ministerio del Interior afgano como por el Ministerio de Defensa para pagar al ejército y la policía nacionales, es posiblemente el sistema más sensible de su tipo en el país, llegando a niveles extremos de detalle sobre el personal de seguridad y sus redes extendidas. Otorgamos el anonimato a las fuentes para protegerlas contra posibles represalias.
Historia relacionada
Los afganos están siendo evacuados a través de WhatsApp, Google Forms o por cualquier medio posible La única esperanza para muchos atrapados por la toma de poder de los talibanes es una respuesta caótica y, a veces, arriesgada de voluntarios en línea.
Iniciado en 2016 para reducir el fraude de cheques de pago que involucra identidades falsas o soldados fantasmas, APPS contiene alrededor de medio millón de registros sobre cada miembro del Ejército Nacional Afgano y la Policía Nacional Afgana, según estimaciones de personas familiarizadas con el programa. Los datos se recopilan desde el día en que se alistó, dice una persona que trabajó en el sistema, y permanece en el sistema para siempre, ya sea que alguien permanezca activamente en el servicio o no. Los registros podrían actualizarse, agregó, pero no estaba al tanto de ninguna política de eliminación o retención de datos, ni siquiera en situaciones de contingencia, como una toma de poder por parte de los talibanes.
A presentación sobre el proceso de reclutamiento de policías del Comando de Entrenamiento de Seguridad Combinado de la OTAN-Afganistán muestra que solo uno de los formularios de solicitud recopiló 36 puntos de datos. Nuestras fuentes dicen que cada perfil en APPS contiene al menos 40 campos de datos.
Estos incluyen información personal obvia, como nombre, fecha y lugar de nacimiento, así como un número de identificación único que conecta cada perfil con un perfil biométrico mantenido por el Ministerio del Interior afgano.
Pero también contiene detalles sobre la carrera y especialidad militar de los individuos, así como datos relacionales sensibles como los nombres de su padre, tíos y abuelos, así como los nombres de los dos ancianos tribales por recluta que sirvieron como garantes. para su alistamiento. Esto convierte lo que era un simple catálogo digital en algo mucho más peligroso, según Ranjit Singh, becario postdoctoral en el grupo de investigación sin fines de lucro Data & Society que estudia las infraestructuras de datos y las políticas públicas. Él lo llama una especie de genealogía de conexiones comunitarias que está poniendo en riesgo a todas estas personas.
Solo uno de los formularios para el reclutamiento policial capturó 36 piezas de información, incluidos datos sobre los solicitantes y sus familias que incluían detalles como 'fruta favorita y verdura favorita'.
La información también tiene un profundo valor militar, ya sea para los estadounidenses que ayudaron a construirla o para los talibanes, los cuales buscan redes de simpatizantes de sus oponentes, dice Annie Jacobsen, periodista y autora de Primer pelotón: una historia de guerra moderna en la era del dominio de la identidad .
Pero no todos los datos tienen un uso tan claro. El formulario de solicitud de identificación de la policía, por ejemplo, también parece pedir la fruta y verdura favorita de los reclutas. La Oficina del Secretario de Defensa remitió las preguntas sobre esta información al Comando Central de los Estados Unidos, que no respondió a una solicitud de comentarios sobre qué deberían hacer con dichos datos.
'No me sorprendería si miraran las bases de datos y comenzaran a imprimir listas... y ahora están cazando ex militares'.
Si bien preguntar sobre frutas y verduras puede sentirse fuera de lugar en un formulario de reclutamiento policial, indica el alcance de la información que se recopila y, dice Singh, apunta a dos preguntas importantes: qué datos es legítimo recopilar para lograr el propósito del estado y ¿Es adecuado el equilibrio entre los beneficios y los inconvenientes?
En Afganistán, donde las leyes de privacidad de datos no se escribieron ni promulgaron hasta años después de que el ejército estadounidense y sus contratistas comenzaran a capturar información biométrica, estas preguntas nunca recibieron respuestas claras.
Los registros resultantes son extremadamente completos.
Dame un campo que crees que no recopilaremos y te diré que estás equivocado, dijo uno de los involucrados.
Luego se corrigió: creo que no tenemos los nombres de las madres. A algunas personas no les gusta compartir el nombre de su madre en nuestra cultura.
Creciente temor a represalias
Los talibanes han declarado públicamente que no llevarán a cabo represalias específicas contra los afganos que hayan trabajado con el gobierno anterior o las fuerzas de la coalición. Pero sus acciones, históricamente y desde que tomaron el poder, no han sido tranquilizadoras.
El 24 de agosto, la Alta Comisionada de Derechos Humanos de la ONU dijo en una reunión especial del G7 que su oficina había recibido informes creíbles de ejecuciones sumarias de civiles y combatientes de las fuerzas de seguridad nacionales afganas.
No me sorprendería si miraran las bases de datos y comenzaran a imprimir listas basadas en esto... y ahora están cazando ex militares, nos dijo una persona familiarizada con la base de datos.
Una investigación por Amnistía Internacional descubrió que los talibanes torturaron y masacraron a nueve hombres de etnia hazara después de capturar la provincia de Ghazni a principios de julio, mientras que en Kabul ha habido numerosos informes de talibanes que iban de puerta en puerta para registrar a personas que habían trabajado para el gobierno o proyectos financiados internacionalmente.
La biometría ha desempeñado un papel en dicha actividad desde al menos 2016, según las cuentas de los medios locales. En un incidente ampliamente difundido de ese año, los insurgentes tendieron una emboscada a un autobús que se dirigía a Kunduz y tomó a 200 pasajeros como rehenes , matando finalmente a 12, incluidos los soldados locales del Ejército Nacional Afgano que regresaban a su base después de visitar a su familia. Los testigos le dijeron a la policía local en ese momento que los talibanes usaban algún tipo de escáner de huellas dactilares para verificar la identidad de las personas.
No está claro qué tipo de dispositivos eran estos, o si eran los mismos que usaron las fuerzas estadounidenses para ayudar a establecer el dominio de la identidad: el objetivo del Pentágono de saber quiénes eran las personas y qué habían hecho.
Historia relacionada
Los talibanes, no Occidente, ganaron la guerra tecnológica de Afganistán La coalición liderada por Estados Unidos tenía más potencia de fuego, más equipo y más dinero. Pero fueron los talibanes los que más se beneficiaron del progreso tecnológico.
Los funcionarios estadounidenses estaban particularmente interesados en rastrear identidades para desbaratar las redes de fabricantes de bombas, que evadían con éxito la detección, ya que sus letales artefactos explosivos improvisados causaron un gran número de bajas entre las tropas estadounidenses. Con los dispositivos biométricos, el personal militar podría capturar los rostros, los ojos y las huellas dactilares de las personas, y usar esos datos únicos e inmutables para conectar a las personas, como los fabricantes de bombas, con incidentes específicos. Los datos sin procesar tendían a ir en una sola dirección, de los dispositivos a una base de datos clasificada del Departamento de Defensa, mientras que la información procesable, como las listas de personas a las que se debía buscar, se descargaba nuevamente en los dispositivos.
Incidentes como el de Kunduz parecían sugerir que estos dispositivos podrían acceder a conjuntos de datos más amplios, algo que el Ministerio de Defensa afgano y los funcionarios estadounidenses tienen por igual. repetidamente negado .
“Estados Unidos ha tomado medidas prudentes para garantizar que los datos confidenciales no caigan en manos de los talibanes. Estos datos no están en riesgo de mal uso. Desafortunadamente, eso es todo lo que puedo decir”, escribió Eric Pahon, un portavoz del Departamento de Defensa, en un comunicado enviado por correo electrónico poco después de la publicación.
También deberían haber pensado en asegurarlo.
Pero Thomas Johnson, profesor de investigación en la Escuela Naval de Posgrado en Monterey, California, ofrece otra posible explicación de cómo los talibanes pueden haber utilizado la información biométrica en el ataque de Kunduz.
En lugar de tomar los datos directamente de los dispositivos HIIDE, dijo a MIT Technology Review, es posible que los simpatizantes de los talibanes en Kabul les proporcionaran bases de datos de personal militar con las que podrían verificar las huellas. En otras palabras, incluso en 2016, pueden haber sido las bases de datos, en lugar de los dispositivos en sí, las que representaban el mayor riesgo.
Independientemente, algunos lugareños están convencidos de que la recopilación de su información biométrica los ha puesto en peligro. Abdul Habib, de 32 años, un exsoldado de la ANA que perdió amigos en el ataque de Kunduz, culpó al acceso a los datos biométricos por sus muertes. Estaba tan preocupado de que las bases de datos también pudieran identificarlo, que abandonó el ejército, y la provincia de Kunduz, poco después del ataque al autobús.
Cuando habló con MIT Technology Review poco antes de la caída de Kabul, Habib había estado viviendo en la capital durante cinco años y trabajaba en el sector privado.
Cuando se presentó por primera vez, estaba feliz con este nuevo sistema biométrico, dijo. Pensé que era algo útil y que el ejército se beneficiaría de ello, pero ahora, mirando hacia atrás, no creo que sea un buen momento para presentar algo así. Si están creando un sistema de este tipo, también deberían haber pensado en asegurarlo.
E incluso en Kabul, agregó, no se ha sentido seguro: a un colega le dijeron que 'eliminaremos sus datos biométricos del sistema', pero que yo sepa, una vez que se guardan, no pueden eliminarlos. .
La última vez que hablamos con él, justo antes de la fecha límite de retiro del 31 de agosto, mientras decenas de miles de afganos rodeaban el Aeropuerto Internacional Hamid Karzai en Kabul en un intento de salir en un vuelo de evacuación, Habib dijo que había logrado entrar. Sus datos biométricos eran comprometido, pero con un poco de suerte, se iría de Afganistán.
¿Qué otras bases de datos existen?
APPS puede ser uno de los sistemas más complicados de Afganistán, pero no es el único, ni siquiera el más grande.
El gobierno afgano, con el apoyo de sus donantes internacionales, ha adoptado las posibilidades de la identificación biométrica. La biometría ayudaría a nuestros socios afganos a comprender quiénes son sus ciudadanos... ayudaría a Afganistán a controlar sus fronteras; y ... permitir que GIRoA [el Gobierno de la República Islámica de Afganistán] tenga un 'dominio de la identidad', como lo expresó un oficial militar estadounidense en un conferencia biométrica 2010 en Kabul.
El centro de la iniciativa fue la base de datos biométricos del Ministerio del Interior, denominada Sistema de identificación biométrica automática afgana (AABIS, por sus siglas en inglés), pero a la que a menudo se hace referencia simplemente como el Centro de biometría. AABIS en sí se inspiró en el sistema biométrico altamente clasificado del Departamento de Defensa llamado Sistema de identificación biométrica automática, que ayudó a identificar objetivos para ataques con drones.
Historia relacionada
Los afganos están siendo evacuados a través de WhatsApp, Google Forms o por cualquier medio posible La única esperanza para muchos atrapados por la toma de poder de los talibanes es una respuesta caótica y, a veces, arriesgada de voluntarios en línea.
Según el libro de Jacobsen, AABIS pretendía cubrir el 80% de la población afgana para 2012, o aproximadamente 25 millones de personas. Si bien no hay información disponible públicamente sobre cuántos registros contiene ahora esta base de datos, y ni el contratista que administra la base de datos ni los funcionarios del Departamento de Defensa de EE. UU. respondieron a las solicitudes de comentarios, una cifra no confirmada del perfil de LinkedIn de el administrador del programa lo sitúa en 8,1 millones de registros.
AABIS fue ampliamente utilizado en una variedad de formas por el gobierno afgano anterior. Las solicitudes para puestos y funciones gubernamentales en la mayoría de los proyectos requerían una verificación biométrica del sistema MOI para garantizar que los solicitantes no tuvieran antecedentes penales o terroristas. También se requerían verificaciones biométricas para las solicitudes de pasaporte, identificación nacional y licencia de conducir, así como para las inscripciones para el examen de ingreso a la universidad del país.
Otra base de datos, un poco más pequeña que AABIS, se conectó a la e-tazkira, la tarjeta de identificación nacional electrónica del país. Cuando cayó el gobierno, tenía aproximadamente 6,2 millones de solicitudes en proceso, según el Autoridad Nacional de Estadística e Información , aunque no está claro cuántos solicitantes ya habían presentado datos biométricos.
La biometría también fue utilizada, o al menos publicitada, por otros departamentos gubernamentales. La Comisión Electoral Independiente utilizó escáneres biométricos en un intento de prevenir el fraude electoral durante las elecciones parlamentarias de 2019. con resultados cuestionables . En 2020, el Ministerio de Comercio e Industrias Anunciado que recopilaría datos biométricos de aquellos que estaban registrando nuevos negocios.
A pesar de la plétora de sistemas, nunca estuvieron completamente conectados entre sí. Un Auditoría de agosto de 2019 por los EE. UU. descubrió que, a pesar de los 38 millones de dólares gastados hasta la fecha, APPS no había cumplido muchos de sus objetivos: los datos biométricos aún no estaban integrados directamente en sus archivos de personal, sino que solo estaban vinculados por el número biométrico único. El sistema tampoco se conectaba directamente con otros sistemas informáticos del gobierno afgano, como el del Ministerio de Finanzas, que enviaba los salarios. Las APPS también seguían dependiendo de los procesos de entrada manual de datos, dijo la auditoría, lo que dejaba margen para el error humano o la manipulación.
Un problema mundial
Afganistán no es el único país que adopta la biometría. Muchos países están preocupados por los llamados beneficiarios fantasmas: identidades falsas que se utilizan para cobrar salarios u otros fondos ilegalmente. Prevenir dicho fraude es una justificación común para los sistemas biométricos, dice Amba Kak, directora de políticas y programas globales del instituto AI Now y experta legal en sistemas biométricos.
Es muy fácil pintar esto [APPS] como excepcional, dice Kak, quien coeditó un libro sobre políticas biométricas globales . Parece tener mucha continuidad con las experiencias globales en torno a la biometría.
'La identificación biométrica como el único medio eficiente para la identificación legal es... defectuosa y un poco peligrosa'.
Amber Kak, IA Ahora
Es ampliamente reconocido que tener documentos de identificación legales es un derecho, pero combinar la identificación biométrica como el único medio eficiente para la identificación legal, dice, es defectuoso y un poco peligroso.
Kak cuestiona si la biometría, en lugar de las correcciones de políticas, es la solución adecuada para el fraude y agrega que a menudo no se basan en evidencia.
Pero impulsado en gran medida por los objetivos militares de EE. UU. y la financiación internacional, el despliegue de tales tecnologías en Afganistán ha sido agresivo. Incluso si APPS y otras bases de datos aún no hubieran alcanzado el nivel de funcionamiento para el que estaban destinadas, todavía contienen muchos terabytes de datos sobre ciudadanos afganos que los talibanes pueden extraer.
Dominio de la identidad, pero ¿por quién?
La creciente alarma por los dispositivos biométricos y las bases de datos que quedan atrás, y la montones de otros datos sobre la vida ordinaria en Afganistán , no ha detenido la recopilación de datos confidenciales de las personas en las dos semanas entre la entrada de los talibanes en Kabul y la retirada oficial de las fuerzas estadounidenses.
Esta vez, los datos están siendo recopilados principalmente por voluntarios bien intencionados en formularios y hojas de cálculo de Google no seguros , destacando que las lecciones sobre seguridad de datos aún no se han aprendido, o que todos los grupos involucrados deben volver a aprenderlas.
Singh dice que se debe prestar más atención al tema de lo que sucede con los datos durante los conflictos o el colapso gubernamental. No lo tomamos en serio, dice, pero deberíamos hacerlo, especialmente en estas áreas devastadas por la guerra donde la información puede usarse para crear muchos estragos.
Kak, el investigador de leyes biométricas, sugiere que quizás la mejor manera de proteger los datos confidenciales sería si este tipo de infraestructuras [de datos]... no se construyeran en primer lugar.
Para Jacobsen, el autor y periodista, es irónico que la obsesión del Departamento de Defensa por usar datos para establecer la identidad pueda ayudar a los talibanes a lograr su propia versión de dominio de la identidad. Ese sería el miedo a lo que están haciendo los talibanes, dice.
En última instancia, algunos expertos dicen que el hecho de que las bases de datos del gobierno afgano no fueran muy interoperables en realidad puede ser una gracia salvadora si los talibanes intentan usar los datos. Sospecho que APPS todavía no funciona tan bien, lo que probablemente sea algo bueno a la luz de los eventos recientes, dijo por correo electrónico Dan Grazier, un veterano que trabaja en el grupo de vigilancia Project on Government Oversight.
Pero para aquellos conectados a la base de datos de APPS, que ahora pueden encontrarse a sí mismos o a sus familiares perseguidos por los talibanes, es menos ironía y más traición.
El ejército afgano confió en sus socios internacionales, incluidos los EE. UU. y liderados por ellos, para construir un sistema como este, dice una de las personas familiarizadas con el sistema. Y ahora esa base de datos se va a utilizar como arma del [nuevo] gobierno.
Este artículo ha sido actualizado con comentarios del Departamento de Defensa. En una versión anterior de este artículo, una fuente indicó que no había una política de eliminación o retención de datos; desde entonces ha aclarado que no estaba al tanto de tal política. La historia ha sido actualizada para reflejar esto.