Cuando los talibanes ocuparon Afganistán a mediados de agosto, declarando el final de dos décadas de guerra, rápidamente empezaron a circular informes de que también se habían hecho con dispositivos biométricos militares estadounidenses usados para recopilar datos como escáneres de iris, huellas dactilares e imágenes faciales. Algunos temían que las máquinas, conocidas como HIIDE, pudieran usarse para identificar a los afganos que habían apoyado a las fuerzas de la coalición.

Sin embargo, de acuerdo con los expertos que hablaron con MIT Technology Review, estos dispositivos solo ofrecen acceso limitado a los datos biométricos, que se mantienen de forma remota en unos servidores seguros. Pero nuestra investigación muestra que existe una mayor amenaza relacionada con las bases de datos del Gobierno afgano que contienen información personal confidencial, ya que se podrían usar para identificar a millones de personas en todo el país.

MIT Technology Review habló con dos personas familiarizadas con uno de estos sistemas: la base de datos financiada por Estados Unidos conocida como APPS, el sistema afgano de funcionarios y de pagos. Utilizado tanto por el Ministerio del Interior afgano como por el Ministerio de Defensa para pagar al ejército y a la policía nacional, es posiblemente el sistema más sensible de su tipo en el país, con niveles extremos de detalles sobre el personal de seguridad y sus redes más amplias. Nuestras fuentes se mantendrán en el anonimato para protegerse de posibles represalias.

El sistema APPS, que se lanzó en 2016 para reducir el fraude de los cheques de pago con identidades falsas o 'soldados fantasma', contiene alrededor de medio millón de registros sobre cada miembro del Ejército Nacional Afgano (ANA) y la Policía Nacional Afgana (ANP), según las estimaciones de las personas familiarizadas con el programa. Los datos se recogían "desde el día en el que se apuntaban", afirma una persona que trabajó en el sistema, y permanecían en el sistema para siempre, independientemente de si esos funcionarios seguían activos en el servicio o no. Los registros podían actualizarse, agregó, pero no estaba al tanto de si había una política de eliminación o retención de datos, ni siquiera en situaciones de contingencia, como la toma de control de los talibanes.

Una presentación sobre el proceso de reclutamiento de la policía del Comando Conjunto de Formación en Seguridad de la OTAN en Afganistán muestra que uno de los formularios recopilaba 36 puntos de datos. Nuestras fuentes aseguran que cada perfil en el sistema APPS contiene al menos 40 campos de datos. Estos incluyen información personal obvia como el nombre, la fecha y el lugar de nacimiento, así como el número de identificación único que conecta a cada persona con su perfil biométrico mantenido por el Ministerio del Interior afgano. Pero también contiene detalles sobre la especialidad militar y la trayectoria profesional de las personas, así como datos relacionales sensibles como el nombre de sus padres, tíos, abuelos y los dos ancianos tribales por cada recluta que eran como garantes para su alistamiento.

Esto convierte lo que era un simple catálogo digital en algo mucho más peligroso, según el investigador posdoctoral del grupo de investigación sin ánimo de lucro Data & Society que estudia las infraestructuras de datos y las políticas públicas Ranjit Singh. Según él, se trata de una especie de "genealogía" de las "conexiones comunitarias" que está "poniendo en riesgo a todas estas personas".

Foto: Solo uno de los formularios para el reclutamiento policial recogía 36 puntos de información, incluidos los datos sobre los solicitantes y sus familias que incluían muchos detalles como "fruta favorita" y "verdura favorita".

Esa información también tiene un profundo valor militar, ya sea para los estadounidenses que ayudaron a construirla o para los talibanes, que "buscan las redes" de los partidarios de sus oponentes, destaca la periodista y autora de First Platoon: A Story of Modern War in the Age of Identity Dominance, Annie Jacobsen.

Pero no todos los datos tienen un uso tan claro. El formulario de identificación de la policía, por ejemplo, también parece pedir la fruta y verdura favorita de los reclutas. La Secretaría de Defensa remitió preguntas sobre esta información al Comando Central de Estados Unidos, que no respondió a una solicitud de comentarios sobre qué iban a hacer con dichos datos.

"No me sorprendería que miraran las bases de datos y comenzaran a imprimir las listas... y que estuvieran buscando ya a los ex militares"

Si bien preguntar sobre frutas y verduras puede parecer fuera de lugar en un formulario de reclutamiento policial, eso indica el alcance de la información que se recopila y, según Singh, apunta a dos preguntas importantes: ¿qué datos es legítimo recoger para lograr el propósito del estado? Y ¿es adecuado el equilibrio entre los beneficios e inconvenientes?

En Afganistán, donde las leyes de privacidad de datos no se redactaron ni promulgaron hasta varios años después de que el ejército estadounidense y sus aliados comenzaran a reunir la información biométrica, estas preguntas nunca recibieron respuestas claras.

Los registros resultantes son muy detallados. Una de las personas involucradas dijo: "Si piensa que hay algún dato que no recogemos, se equivoca". Luego se corrigió: "Creo que no tenemos los nombres de las madres. En nuestra cultura, a algunas personas no les gusta compartir el nombre de su madre".

El creciente miedo a las represalias 

Los talibanes han declarado públicamente que no llevarán a cabo represalias específicas contra los afganos que habían trabajado con el gobierno anterior o con las fuerzas de la coalición. Pero sus acciones, históricamente y desde su toma de posesión, no han sido tranquilizadoras.

El 24 de agosto, la alta comisionada de las Naciones Unidas para los Derechos Humanos declaró en una reunión especial del G7 que su oficina había recibido informes fiables de "ejecuciones sumarias de civiles y miembros de combate de las fuerzas afganas de seguridad nacional".

Una persona familiarizada con la base de datos nos resaltó: "No me sorprendería si miraran las bases de datos y comenzaran a imprimir las listas basadas en ellas... y si estuvieran buscando ya al expersonal militar".

Una investigación realizada por Amnistía Internacional descubrió que los talibanes habían torturado y masacrado a nueve hombres de etnia hazara después de ocupar la provincia afgana de Ghazni a principios de julio, mientras que en Kabul (Afganistán) ha habido numerosos informes de talibanes yendo de puerta en puerta para "registrar" a las personas que habían trabajado para el Gobierno o en los proyectos financiados internacionalmente.

La biometría ha tenido un papel en dicha actividad desde al menos 2016, según las noticias de los medios locales. En un incidente ampliamente denunciado de ese año, los insurgentes realizaron una emboscada a un autobús que iba a Kunduz (Afganistán) y tomaron como rehenes a 200 pasajeros, de los que mataron a 12, incluidos los soldados locales del Ejército Nacional Afgano que regresaban a su base después de haber visitado a sus familiares. Los testigos contaron a la policía local entonces que los talibanes habían usado algún tipo de escáner de huellas dactilares para verificar la identidad de las personas.

No se sabe qué tipo de dispositivos eran, o si eran los mismos que usaban las fuerzas estadounidenses para establecer el 'dominio de la identidad', el objetivo del Pentágono de saber quiénes eran las personas y qué habían hecho. Las autoridades estadounidenses estaban especialmente interesadas en determinar las identidades para interrumpir las redes de los fabricantes de bombas, que esquivaban con éxito su detección, mientras que sus improvisados artefactos explosivos mortales causaban un gran número de bajas entre las tropas estadounidenses. Con los dispositivos biométricos, el personal militar podía recoger los rostros, ojos y huellas dactilares de las personas, y utilizar esos datos únicos e inmutables para conectar a las personas, como los fabricantes de bombas, con algunos incidentes específicos. Los datos sin procesar solían ir en una sola dirección, desde los dispositivos hasta una base de datos clasificada del Departamento de Defensa, mientras que la información procesable, como las listas de personas a las que "habría que vigilar", se descargaba de nuevo en los dispositivos.

Algunos incidentes como el de Kunduz parecían sugerir que estos dispositivos podrían acceder a los conjuntos de datos más amplios, algo que tanto el Ministerio de Defensa afgano como las autoridades estadounidenses han negado repetidamente. El portavoz del Departamento de Defensa, Eric Pahon, escribió en una declaración por correo electrónico poco después de la publicación de este reportaje: "Estados Unidos ha tomado medidas prudentes para garantizar que los datos confidenciales no caigan en manos de los talibanes. Estos datos no están en riesgo de uso indebido. Lamentablemente, eso es todo lo que puedo decir".

"También tenían que haber pensado en asegurarlo"

Pero el profesor de investigación de la Escuela de Posgrado Naval en Monterey (California, EE. UU.) Thomas Johnson propone otra posible explicación de cómo los talibanes podían haber utilizado la información biométrica en el ataque de Kunduz. En vez de sacar los datos directamente de los dispositivos HIIDE, Johnson explicó a MIT Technology Review que probablemente los simpatizantes de los talibanes en Kabul les proporcionaran las bases de datos de personal militar con las que verificar las huellas dactilares. En otras palabras, incluso en 2016, podrían haber sido las bases de datos, en lugar de los dispositivos en sí, las que representaban el mayor riesgo.

Además, algunos lugareños están convencidos de que la recogida de su información biométrica los ha puesto en peligro. El exsoldado de ANA Abdul Habib, de 32 años y que perdió a varios amigos en el ataque de Kunduz, culpó de sus muertes al acceso a los datos biométricos. Estaba tan preocupado de que las bases de datos también pudieran identificarlo a él, que abandonó el ejército y la provincia de Kunduz poco después del ataque al autobús.

Al hablar con MIT Technology Review poco antes de la caída de Kabul, Habib llevaba cinco años viviendo en la capital y trabajando en el sector privado. Confesó: "Cuando se presentó por primera vez, me gustó este nuevo sistema biométrico. Pensé que era algo útil y que el ejército se beneficiaría de ello; pero ahora, mirando hacia atrás, no creo que fuera un buen momento para implementar algo así. Si han creado un sistema de este tipo, también tenían que haber pensado en asegurarlo".

Habib no se sentía seguro ni siquiera en Kabul. Añadió: "A un colega le dijeron que iban a 'eliminar sus datos biométricos del sistema'; pero, que yo sepa, una vez guardados, no pueden eliminarlos".

La última vez que hablamos con Habib, justo antes de la fecha límite de la retirada del 31 de agosto, cuando decenas de miles de afganos llenaron el aeropuerto internacional Hamid Karzai en Kabul en un intento de salir en un vuelo de evacuación, dijo que lo había conseguido. Sus datos biométricos estaban en peligro, pero con un poco de suerte, iba a dejar Afganistán.

¿Qué otras bases de datos existen?

La base de datos APPS puede ser uno de los sistemas más completos de Afganistán, pero no es el único, ni siquiera el más grande.

El Gobierno afgano, con el apoyo de sus donantes internacionales, ha aprovechado las posibilidades de la identificación biométrica. Un oficial militar estadounidense declaró en una conferencia sobre la biometría de 2010 que tuvo lugar en Kabul que la biometría "ayudaría a nuestros socios afganos a comprender quiénes son sus ciudadanos […], ayudaría a Afganistán a controlar sus fronteras; y […] permitiría que GIRoA [el Gobierno de la República Islámica de Afganistán] tenga el 'dominio de la identidad'".

Un elemento central de ese esfuerzo fue la base de datos biométrica del Ministerio del Interior, denominada Sistema de Identificación Biométrica Automática de Afganistán (AABIS), pero a menudo se refería a este sistema simplemente como Centro de Biometría. El propio AABIS se inspiró en el sistema biométrico altamente clasificado del Departamento de Defensa de EE. UU. llamado Sistema de Identificación Biométrica Automática, que ayudó a identificar los objetivos de los ataques con drones.

Según el libro de Jacobsen, AABIS tenía como objetivo cubrir el 80 % de la población afgana hasta 2012, o aproximadamente 25 millones de personas. Aunque no hay información disponible públicamente sobre cuántos registros contiene esta base de datos en la actualidad (ni el administrador de la base de datos ni los funcionarios del Departamento de Defensa de EE. UU. han respondido a las solicitudes de comentarios), una cifra no confirmada del perfil de LinkedIn de su administrador del programa con sede en EE. UU. lo sitúa en 8,1 millones de registros.

El anterior Gobierno afgano utilizó ampliamente y de diversas formas el sistema AABIS. Postularse para los puestos gubernamentales y para la mayoría de los proyectos requería una verificación biométrica del sistema del Ministerio del Interior para comprobar que los solicitantes no tuvieran antecedentes penales o terroristas. También se realizaban los controles biométricos para las solicitudes de pasaportes, documentos de identificación nacional y permisos de conducir, así como para las inscripciones en el examen de ingreso a la universidad del país.

Otra base de datos, un poco más pequeña que AABIS, estaba conectada a la "e-tazkira", el carné electrónico de identificación nacional del país. Cuando cayó el Gobierno, tenía aproximadamente 6,2 millones de solicitudes en proceso, según la Autoridad Nacional de Estadísticas e Información, aunque no se sabía cuántos solicitantes ya habían presentado sus datos biométricos.

La biometría también fue utilizada, o al menos publicitada, por otros departamentos gubernamentales. La Comisión Electoral Independiente utilizó escáneres biométricos en un intento de prevenir el fraude electoral durante las elecciones parlamentarias de 2019, con resultados cuestionables. En 2020, el Ministerio de Comercio e Industria anunció que iba a recoger los datos biométricos de los que registraran nuevas empresas.

A pesar de la gran cantidad de sistemas, nunca estuvieron completamente conectados entre sí. Una auditoría de agosto de 2019 realizada por EE. UU. descubrió que, a pesar de los 38 millones de dólares (32,18 millones de euros) gastados hasta la fecha, APPS no había cumplido muchos de sus objetivos: la biometría aún no se integraba directamente en sus archivos de personal, sino que solo se vinculaba por el número biométrico único. El sistema tampoco se conectaba directamente a otros sistemas informáticos del Gobierno afgano, como el del Ministerio de Finanzas, que enviaba los salarios. APPS también dependía de los procesos manuales de introducción de datos, según la auditoría, lo que dejaba margen para errores humanos o la manipulación.

Un problema global

Afganistán no es el único país que adoptó la biometría. Muchos países están preocupados por los llamados 'beneficiarios fantasma', identidades falsas que se utilizan para cobrar ilegalmente salarios u otros fondos. La prevención de este tipo de fraude es una justificación común para los sistemas biométricos, asegura la directora de Estrategia Global y Programas del Instituto AI Now y experta jurídica en sistemas biométricos, Amba Kak.

"Es realmente fácil describirlo [APPS] como excepcional", afirma Kak, que coeditó un libro sobre las políticas biométricas globales. "Pero parece tener mucha continuidad con las experiencias globales" en torno a la biometría.

"La identificación biométrica como el único medio eficaz para la identificación legal es […] un error y un poco peligroso"

Amber Kak, Instituto AI Now

Es ampliamente reconocido que tener documentos legales de identificación es un derecho, pero Kak cree que "la identificación biométrica como el único medio eficaz para la identificación legal", es "un error y un poco peligroso". Cuestiona si la biometría, en vez de las medidas políticas, es la solución adecuada para el fraude y añade que a menudo "no se basa en pruebas".

Pero, debido en gran parte a los objetivos militares estadounidenses y la financiación internacional, la implementación de tales tecnologías en Afganistán ha sido agresiva. Incluso si APPS y otras bases de datos aún no habían alcanzado el nivel de función planeado, todavía contienen muchos terabytes de datos sobre los ciudadanos afganos que los talibanes podrían extraer.

'Dominio de la identidad', pero ¿por parte de quién?

La creciente alarma sobre los dispositivos biométricos y las bases de datos que quedan atrás, y la gran cantidad de otros datos sobre la vida cotidiana en Afganistán, no ha detenido la recogida de datos confidenciales de las personas en las dos semanas transcurridas entre la entrada de los talibanes en Kabul y la retirada oficial de las fuerzas estadounidenses.

Esta vez, los datos los recopilan principalmente voluntarios bien intencionados en hojas de cálculo y Google Forms no seguros, que muestran que las lecciones sobre la seguridad de los datos aún no se han aprendido o que todos los grupos involucrados deben volver a aprenderlas de nuevo.

Singh considera que se debería prestar más atención a lo que sucede con los datos durante los conflictos o el colapso gubernamental. Valora: "No nos lo tomamos en serio, pero deberíamos, especialmente en estas áreas devastadas por la guerra donde la información se puede usar para crear muchos estragos".

Kak, como investigadora de leyes biométricas, sugiere que quizás la mejor manera de proteger los datos confidenciales sería si " para empezar este tipo de infraestructuras [de datos] […] no se construyeran ".

Para Jacobsen, escritora y periodista, es irónico que la obsesión del Departamento de Defensa por usar datos para establecer la identidad pueda ayudar a los talibanes a lograr su propia versión del dominio de la identidad. "Es el temor sobre lo que están haciendo los talibanes", admite.

En última instancia, algunos expertos creen que el hecho de que las bases de datos del Gobierno afgano no fueran muy interoperables podría en realidad ser una salvación si los talibanes intentan utilizar esos datos. El veterano que trabaja en el grupo de vigilancia Project on Government Oversight Dan Grazier escribió en un correo electrónico: "Me imagino que APPS todavía no funciona tan bien, lo que probablemente sea algo bueno a la luz de los eventos recientes".

Pero, para los que están conectados a la base de datos APPS, que actualmente podrían encontrarse a sí mismos o a sus familiares perseguidos por los talibanes, es menos ironía y más traición. Una de las personas familiarizadas con el sistema resalta: "El ejército afgano confiaba en sus socios internacionales, incluido Estados Unidos y dirigidos por EE. UU., para construir un sistema como este. Y ahora resulta que esa base de datos se utilizará como arma del [nuevo] Gobierno".