Cómo la policía puede obtener tus datos privados en línea

English

¿Puede la policía obtener tus datos en línea? En términos generales, sí. Existen diversas leyes federales y estatales de EE. UU. que otorgan a las fuerzas del orden la facultad de obtener la información que usted proporciona a los servicios en línea.

Sin embargo, hay medidas que usted, como usuario o proveedor de servicios, puede tomar para mejorar la privacidad en línea. La exigencia de las fuerzas del orden de acceder a sus datos privados en línea se remonta a los inicios de Internet. De hecho, uno de los primeros casos de la EFF, Steve Jackson Games contra el Servicio Secreto, ejemplificó la historia, ahora tan familiar, en la que unas acusaciones infundadas sobre un comportamiento ilegal dieron lugar a una incautación excesiva de mensajes de usuarios. Pero ya no estamos en los años 90, Internet se ha convertido en una parte integral de la vida de todos. Ahora todos confiamos en organizaciones grandes y pequeñas para que gestionen nuestros datos, desde grandes proveedores de servicios como Google, Meta o tu proveedor de servicios de Internet, hasta aficionados que alojan un blog o un servidor Mastodon.

No existe la «nube», solo el ordenador de otra persona, y cuando la policía llama a su puerta, estos anfitriones deben estar dispuestos a defender la privacidad y saber cómo hacerlo en toda la medida de la ley. Es importante que los usuarios conozcan estos límites legales, no solo para mitigar los riesgos en su plan de seguridad a la hora de elegir dónde compartir datos, sino también para saber si estos hosts van a defenderlos. Actuando juntos, los hosts de servicios y los usuarios pueden impedir que las fuerzas del orden obtengan más datos de los que les está permitido, protegiendo no solo a sí mismos, sino también a las poblaciones objetivo, tanto en el presente como en el futuro.

Esto es distinto de los métodos de recopilación de datos públicos por parte de las fuerzas del orden, como la información que se recopila actualmente sobre los solicitantes de visados de estudiante. La policía puede utilizar herramientas de vigilancia de las redes sociales y cuentas falsas para recopilar lo que compartís públicamente, o incluso dentro de comunidades «privadas». La policía también puede obtener el contenido de las comunicaciones por otros medios que no requieren autorización judicial, como la vigilancia pasiva del tráfico de la red para capturar metadatos y, posiblemente, el uso de herramientas avanzadas para revelar parcialmente información cifrada. Incluso pueden comprar información directamente a corredores de datos en línea. Lamentablemente, existen pocas restricciones o controles sobre estas prácticas, algo por lo que la EFF está luchando para cambiar. A continuación, sin embargo, se ofrece un desglose general de los procesos legales utilizados por las fuerzas del orden de EE. UU. para acceder a datos privados, y las categorías de datos privados que estos procesos pueden revelar. Dado que se trata de un resumen general, no es exhaustivo ni debe considerarse asesoramiento legal. Busca ayuda legal si tienes necesidades específicas en materia de privacidad y seguridad de datos.

Tipos de información	Proceso usado	¿Algún problema antes de la divulgación?	Necesidad de pruebas
Información del subscriptor	Subpoena	Si	Relevantes a una investigacion
Información sin contenido, metadata	orden judicial, a veces subpoena	Si	Hechos específicos y articulables que la información es relevante para una investigación.
Contenido almacenado	Orden de registro	No	Causa probable de que la información brinde pruebas de un delito.
Contenido en tránsito	Super warrant	No	Causa probable más agotamiento y minimización

Tipos de datos que se pueden recopilar

Las leyes que protegen los datos privados en línea suelen seguir un patrón: cuanto más sensibles son los datos personales, mayor es la carga fáctica y jurídica que debe cumplir la policía antes de poder obtenerlos. Aunque no es una lista exhaustiva, a continuación se indican algunas categorías de datos que puedes compartir con los servicios y los motivos por los que la policía podría querer obtenerlos.

Datos de los suscriptores:

Información que proporcionas para utilizar el servicio. Piensa en la información de identificación o de pago, la ubicación de la dirección IP, el correo electrónico, el número de teléfono y cualquier otra información que hayas proporcionado al registrarte.
- Las fuerzas del orden pueden averiguar quién controla una cuenta anónima y encontrar otros proveedores de servicios de los que obtener información.
Datos no relacionados con el contenido, o «metadatos»: Se trata de información guardada sobre tus interacciones en el servicio, como cuándo lo has utilizado, durante cuánto tiempo y con quién. Es similar a lo que un cartero puede deducir de una carta sellada con la información de la dirección.
- Las fuerzas del orden pueden utilizar esta información para deducir un gráfico social, el historial de inicio de sesión y otra información sobre el comportamiento de un sospechoso.

Contenido almacenado: es el contenido real que envías y recibes, como tu historial de mensajes directos o los borradores guardados. Esto puede incluir cualquier información privada a la que pueda acceder tu proveedor de servicios.
- Estos datos tan sensibles se recopilan para revelar pruebas criminales. Las solicitudes demasiado amplias también permiten búsquedas retroactivas, información sobre otros usuarios y pueden sacar la información de su contexto original.
Contenido en tránsito:
Es el contenido de tus comunicaciones tal y como se transmiten. Este acceso en tiempo real también puede recopilar información que normalmente no almacena un proveedor, como tu voz durante una llamada telefónica.
- Las fuerzas del orden pueden obligar a los proveedores a intervenir sus propios servicios para un usuario concreto, lo que también puede afectar a la privacidad de los usuarios con los que interactúa.

Procesos legales utilizados para obtener tus datos

Cuando las fuerzas del orden estadounidenses identifican un servicio que probablemente dispone de estos datos, disponen de varias herramientas para obligar legalmente a dicho servicio a entregarlos y evitar que los usuarios sepan que se está recopilando información.

Citación

Las citaciones son requerimientos de un fiscal, las fuerzas del orden o un gran jurado que no requieren la aprobación de un juez antes de ser enviadas a un servicio. La única restricción es que este requerimiento sea relevante para una investigación. A menudo, el único momento en que un tribunal revisa una citación es cuando un servicio o un usuario la impugna ante los tribunales.

Debido a la falta de supervisión judicial directa en la mayor��a de los casos, las citaciones son propensas al abuso y a la extralimitación. Los proveedores deben examinar cuidadosamente estas solicitudes con un abogado y oponerse a ellas antes de revelar la información, especialmente cuando las fuerzas del orden intentan utilizar las citaciones para obtener datos más privados, como el contenido de las comunicaciones.

Orden judicial

Se trata de una solicitud similar a las citaciones, pero suele estar relacionada con una ley específica que exige que un tribunal autorice la solicitud. En virtud de la Ley de Comunicaciones Almacenadas, por ejemplo, un tribunal puede emitir una orden para obtener información no relacionada con el contenido si la policía proporciona hechos específicos que demuestren que la información solicitada es relevante para una investigación.

Al igual que las citaciones, los proveedores suelen poder impugnar las órdenes judiciales antes de la divulgación e informar a los usuarios de la solicitud, salvo que las fuerzas del orden obtengan una orden de silencio (más información al respecto a continuación).

Orden de registro

Una orden judicial es una solicitud emitida por un juez para permitir a la policía registrar lugares o personas específicos. Para obtener una orden judicial, la policía debe presentar una declaración jurada (una declaración escrita bajo juramento) en la que se establezca que existe una probabilidad razonable (o «causa probable») de que se encuentren pruebas de un delito en un lugar concreto o en una persona concreta.

Por lo general, los servicios no pueden impugnar una orden judicial antes de la divulgación, ya que estas solicitudes ya han sido aprobadas por un magistrado. A veces, la policía solicita a los jueces que impongan órdenes de silencio a los destinatarios de la orden judicial, lo que impide a los anfitriones informar al público o al usuario de la existencia de la orden.

Superorden judicial

La policía que desea interceptar comunicaciones en el momento en que se producen suele enfrentarse a la mayor carga legal. Por lo general, la declaración jurada no solo debe establecer la causa probable, sino también dejar claro que no son viables otros métodos de investigación (agotamiento) y que la recopilación evita la captura de datos irrelevantes (minimización).

Algunas leyes también exigen una aprobación de alto nivel dentro de las fuerzas del orden, como la dirección, para aprobar la solicitud. Algunas leyes también limitan los tipos de delitos en los que las fuerzas del orden pueden utilizar las escuchas telefónicas durante sus investigaciones. Las leyes también pueden exigir a las fuerzas del orden que informen periódicamente al tribunal sobre las escuchas telefónicas, incluyendo si están minimizando la recopilación de comunicaciones no pertinentes.

Por lo general, estas exigencias no pueden impugnarse mientras se está llevando a cabo la intervención telefónica, y los proveedores tienen prohibido informar a los objetivos sobre la intervención. Sin embargo, algunas leyes exigen que se informe a los objetivos y a quienes se comunicaban con ellos una vez finalizada la intervención.

Órdenes de silencio

Muchas de las autoridades legales descritas anteriormente también permiten a las fuerzas del orden prohibir simultáneamente al servicio que informe a la persona objeto del proceso legal o al público en general de que se está llevando a cabo la vigilancia. Estas órdenes de no divulgación son propensas al abuso y la EFF ha luchado contra ellas en repetidas ocasiones porque violan la Primera Enmienda y prohíben que el público conozca el alcance de la vigilancia policial.

Cómo pueden (y deben) protegerte los servicios

Este proceso no siempre es claro, y los proveedores de servicios deben cumplir en última instancia con las solicitudes legales de datos de los usuarios, incluso cuando las impugnan y los tribunales confirman las solicitudes del gobierno.

Los proveedores de servicios fuera de los Estados Unidos tampoco están totalmente libres de responsabilidad, ya que a menudo deben cumplir con las solicitudes de las fuerzas del orden estadounidenses. Esto se debe normalmente a que tienen presencia legal en los Estados Unidos o a que pueden ser obligados a ello mediante tratados de asistencia jurídica mutua y otros mecanismos legales internacionales.

Sin embargo, los servicios pueden hacer mucho siguiendo unas cuantas buenas prácticas para defender la privacidad de los usuarios, limitando así el impacto de estas solicitudes y, en algunos casos, haciendo que su servicio sea una puerta menos atractiva para que la policía llame.

Someted a la policía al proceso

Lo más importante es la voluntad del proveedor de servicios de defender a sus usuarios. Hacer excepciones o facilitar información voluntariamente fuera del marco legal erosiona el derecho a la privacidad de todos. Incluso en circunstancias atenuantes y urgentes, la responsabilidad de decidir qué compartir no recae en ti, sino en el proceso legal.

Los hosts más pequeños, como los de servicios descentralizados, pueden sentirse intimidados por estas solicitudes, pero consultar a un asesor legal garantizará que las solicitudes sean impugnadas cuando sea necesario. Organizaciones como la EFF a veces pueden proporcionar ayuda legal directamente o poner en contacto a los proveedores de servicios con asesores alternativos.

Impugna las solicitudes indebidas

No es raro que las fuerzas del orden se extralimiten o realicen solicitudes onerosas. Antes de ofrecer información, los servicios pueden rechazar de manera informal una demanda indebida y luego continuar haciéndolo en los tribunales. Si la demanda es demasiado amplia, viola los derechos de la Primera o Cuarta Enmienda de un usuario o tiene otros defectos legales, un tribunal puede dictaminar que es inválida e impedir la divulgación de la información del usuario.

Incluso si un tribunal no invalida por completo la solicitud legal, rechazarla de manera informal o ante un tribunal puede limitar la cantidad de información personal que se divulga y mitigar el impacto en la privacidad.

Proporcionar notificación

A menos que existan restricciones, los proveedores de servicios deben notificar las solicitudes y divulgaciones tan pronto como sea posible. Esta notificación es vital para que los usuarios puedan buscar apoyo legal y preparar su defensa.

Sé claro con los usuarios

Es importante que los usuarios comprendan si un proveedor de alojamiento se compromete a rechazar las solicitudes de datos en la medida en que lo permita la ley. Las políticas de privacidad con umbrales difusos como «cuando se considere oportuno» o «cuando se solicite» hacen que no quede claro si se respetará el derecho a la privacidad de los usuarios. Las mejores prácticas para los proveedores no solo exigen claridad y voluntad de rechazar las solicitudes de las fuerzas del orden, sino también el compromiso de ser transparentes con el público sobre dichas solicitudes. Por ejemplo, con informes de transparencia periódicos que desglosen los países y estados que realizan estas solicitudes de datos.

Los servicios de redes sociales también deben considerar directrices claras para encontrar y eliminar las cuentas falsas operadas por las fuerzas del orden en la plataforma, ya que estas sirven como puerta trasera para la vigilancia gubernamental.

Minimizar la recopilación de datos

No se te puede obligar a revelar datos que no tienes. Si recopilas muchos datos de los usuarios, las fuerzas del orden acabarán exigiéndotelos. La prestación de un servicio suele requerir cierta recopilación de datos de los usuarios, aunque solo sea la información de inicio de sesión. Pero el problema surge cuando se empieza a recopilar información más allá de lo estrictamente necesario.

Este exceso de recopilación puede considerarse conveniente o útil para el funcionamiento del servicio, o a menudo como potencialmente valioso, como el seguimiento del comportamiento utilizado para la publicidad. Sin embargo, cuanto más se recopila, más se convierte el servicio en objetivo de demandas legales y violaciones ilegales de datos.

En el caso de los datos que permiten funciones deseables para el usuario, las opciones de diseño pueden hacer que la privacidad sea la opción predeterminada y ofrecer a los usuarios opciones adicionales (preferiblemente opcionales) para compartir.

Retención más corta

Como otra estrategia de minimización, los hosts deben eliminar de forma regular y automática la información cuando ya no sea necesaria. Por ejemplo, la eliminación de los registros de actividad de los usuarios puede limitar el alcance de la vigilancia retrospectiva de las fuerzas del orden, quizá limitando una orden judicial a los últimos 30 días en lugar de a toda la vida de la cuenta.

Una vez más, las opciones de diseño, como dar a los usuarios la posibilidad de enviar mensajes que desaparecen y eliminarlos del servidor una vez descargados, también pueden limitar aún más el impacto de futuras solicitudes de datos. Además, estas opciones de diseño deben tener por defecto la preservación de la privacidad.

Evitar el intercambio de datos

Dependiendo del servicio alojado, puede ser necesario recurrir a otro servicio para que todo funcione correctamente para los usuarios. Los servicios de inicio de sesión o publicidad de terceros son ejemplos comunes que incorporan cierto grado de seguimiento. La información compartida con estos terceros también debe minimizarse y evitarse, ya que es posible que no tengan un compromiso estricto con la privacidad de los usuarios. Los casos más notorios son los de los corredores de datos que venden datos publicitarios, que pueden proporcionar otra vía legal a las fuerzas del orden al permitirles simplemente comprar los datos recopilados en muchas aplicaciones. Esto se extiende a las decisiones sobre qué información se hace pública por defecto, y por lo tanto accesible a muchos terceros, y si eso queda claro para los usuarios.* *

(Verdadero) Cifrado de extremo a extremo

Ahora que HTTPS está realmente en todas partes, la mayor parte del tráfico entre un servicio y un usuario puede protegerse fácilmente, de forma gratuita. Esto limita lo que los observadores pueden recopilar sobre los usuarios del servicio, ya que los mensajes entre ambos se encuentran en un «sobre» seguro. Sin embargo, esto no cambia el hecho de que el servicio abre este sobre antes de pasarlo a otros usuarios o devolverlo al mismo usuario. Con cada mensaje abierto, hay más información que defender.

Mejor aún es el cifrado de extremo a extremo (e2ee), que simplemente significa proporcionar a los usuarios sobres seguros que ni siquiera el proveedor del servicio puede abrir. Así es como una aplicación de mensajería con muchas funciones como Signal puede responder a las solicitudes con solo tres datos: el identificador de la cuenta (número de teléfono), la fecha de creación y la última fecha de acceso. Muchos servicios deberían seguir su ejemplo y limitar el acceso mediante el cifrado.

Ten en cuenta que, aunque e2ee se ha convertido en un término de marketing muy popular, es simplemente inexacto para describir cualquier uso del cifrado diseñado para ser roto o eludido. Implementar «puertas traseras de cifrado» para romper el cifrado cuando se desee, o simplemente recopilar información antes o después de que el sobre se selle en el dispositivo de un usuario («escaneo del lado del cliente») es contrario al cifrado. Por último, ten en cuenta que el e2ee no protege contra la obtención del contenido de las comunicaciones por parte de las fuerzas del orden si estas acceden a cualquier dispositivo utilizado en la conversación o si el historial de mensajes se almacena en el servidor sin cifrar.

Cómo protegerte a ti mismo y a tu comunidad

Como se ha señalado, la seguridad de tus datos personales depende a menudo de los proveedores de servicios que elijas utilizar. Pero como usuario, aún tienes algunas opciones. Surveillance Self-Defense (Autodefensa contra la vigilancia) de la EFF es un recurso actualizado con muchos pasos detallados que puedes seguir. En resumen, debes evaluar tus riesgos, limitar los servicios que utilizas a aquellos en los que confías (en la medida de lo posible), mejorar la configuración y, cuando todo lo demás falle, complementar con herramientas que impidan el intercambio de datos desde el principio, como la extensión para navegadores Privacy Badger de la EFF.

Recuerda que la privacidad es un deporte de equipo. No basta con realizar estos cambios a título individual, es igual de importante compartir y educar a los demás, así como luchar por una mejor política de privacidad digital en todos los niveles de gobierno. Aprende, organízate y pasa a la acción.

Related Issues

Privacy

End-to-End Encryption

Security

Related Updates

Deeplinks Blog by Paige Collings | August 1, 2025

No, the UK’s Online Safety Act Doesn’t Make Children Safer Online

Young people should be able to access information, speak to each other and to the world, play games, and express themselves online without the government making decisions about what speech is permissible. But in one of the latest misguided attempts to protect children online, internet users of all ages...

Deeplinks Blog by Rindala Alajaji | July 28, 2025

Fuiste a un espectáculo de drag queens y ahora el estado de Florida quiere tu nombre

La EFF lleva mucho tiempo advirtiendo sobre este tipo de abuso de poder: cuando una ley o política supuestamente destinada a la seguridad pública se convierte en una herramienta de represalia política o vigilancia masiva. Ir a un espectáculo de drag queens no debería significar perder su anonimato. No debería...

Deeplinks Blog by Adam Schwartz | July 21, 2025

EFF to Court: Protect Our Health Data from DHS

The federal government is trying to use Medicaid data to identify and deport immigrants. So EFF and our friends at EPIC and the Protect Democracy Project have filed an amicus brief asking a judge to block this dangerous violation of federal data privacy laws.Last month, the AP...

Deeplinks Blog by Paige Collings | July 21, 2025

Dating Apps Need to Learn How Consent Works

Staying safe whilst dating online should not be the responsibility of users—dating apps should be prioritizing our privacy by default, and laws should require companies to prioritize user privacy over their profit. But dating apps are taking shortcuts in safeguarding the privacy and security of users in favour of developing...

Deeplinks Blog by Hudson Hongo, Adam Schwartz | July 21, 2025

Cuando su medidor de energía se convierte en una herramienta de vigilancia masiva

Sacramento’s power company and law enforcement agencies have been running an illegal mass surveillance scheme for years, using our power meters as home-mounted spies. The Electronic Frontier Foundation (EFF) is seeking to end Sacramento’s dragnet surveillance of energy customers and have asked for a court order to stop this practice...

Deeplinks Blog by David Greene, Christoph Schmon | July 17, 2025

We Support Wikimedia Foundation’s Challenge to UK’s Online Safety Act

The Electronic Frontier Foundation and ARTICLE 19 strongly support the Wikimedia Foundation’s legal challenge to the categorization regulations of the United Kingdom’s Online Safety Act.The Foundation – the non-profit that operates Wikipedia and other Wikimedia projects – announced its legal challenge...

Deeplinks Blog by Andrew Crocker | July 10, 2025

EFF Tells Virginia Court That Constitutional Privacy Protections Forbid Cops from Finding out Everyone Who Searched for a Keyword

Online queries can give insight into our private details and innermost thoughts, but police increasingly access them without adhering to longstanding limits on government investigative power.

Deeplinks Blog by Paige Collings, Matthew Guariglia | July 9, 2025

Data Brokers are Selling Your Flight Information to CBP and ICE

For many years, data brokers have existed in the shadows, exploiting gaps in privacy laws to harvest our information—all for their own profit. They sell our precise movements without our knowledge or meaningful consent to a variety of private and state actors, including law enforcement agencies. And they...

Deeplinks Blog by Matthew Guariglia, Hannah Zhao | July 8, 2025

EFF to US Court of Appeals: Protect Taxpayer Privacy

EFF has filed an amicus brief in Trabajadores v. Bessent, a case concerning the Internal Revenue Service (IRS) sharing protected personal tax information with the Department of Homeland Security for the purposes of immigration enforcement. Our expertise in privacy and data sharing makes us the ideal organization to step in...

Deeplinks Blog by Adam Schwartz | July 6, 2025

Cómo construir sobre la ley «Mi salud, mis datos» de Washington

The State of Washington enacted one of the strongest consumer data privacy laws in recent years: the “My Health, My Data” Act. While the law only applies to one category of personal data—our health information—its structure could be used to protect all manner of data.

Related Issues

Privacy

End-to-End Encryption

Security

Cómo la policía puede obtener tus datos privados en línea

Cómo la policía puede obtener tus datos privados en línea

Tipos de datos que se pueden recopilar

Procesos legales utilizados para obtener tus datos

Citación

Orden judicial

Orden de registro

Superorden judicial

Órdenes de silencio

Cómo pueden (y deben) protegerte los servicios

Someted a la policía al proceso

Impugna las solicitudes indebidas

Proporcionar notificación

Sé claro con los usuarios

Minimizar la recopilación de datos

Retención más corta

Evitar el intercambio de datos

(Verdadero) Cifrado de extremo a extremo

Cómo protegerte a ti mismo y a tu comunidad

Related Issues

Related Updates

Related Issues

Follow EFF:

Contact

About

Issues

Updates

Press

Donate