Esta semana la organización Access Now (dedicada a monitorear temas de derechos digitales) hizo pública una carta en la que les pide a los gobiernos del mundo que apoyen el uso y la expansión de tecnologías de cifrado de comunicaciones. El documento está apoyado por más de 150 expertos y organizaciones de 37 países y sus firmantes incluyen a personas como Bruce Schneier, uno de los criptógrafos más reconocidos en el mundo, o Jacob Appelbaum, hacker e investigador en seguridad informática.
Esta semana, también, se conocieron detalles de una reunión de hace un par de semanas que un grupo de altos funcionarios del gobierno de Estados Unidos sostuvo con líderes de empresas de tecnología como Facebook, Google, Microfost y Apple. El motivo del encuentro era discutir temas de seguridad digital y, entre varias cosas, reiterar la posibilidad de que las autoridades tengan acceso privilegiado a los métodos de cifrado que estas compañías emplean en productos como iMessage o Gmail, por poner dos ejemplos.
Lo cierto es que el pulso por intervenir las tecnologías de cifrado no es un asunto que venga de esta semana y sus implicaciones con toda seguridad afectarán el desarrollo futuro de la tecnología misma, pero también el ejercicio de derechos como la privacidad en entornos digitales. Hablamos con Javier Pallero, analista de Access Now, acerca de la importancia de una discusión que, plagada de detalles técnicos, tiene implicaciones muy íntimas para prácticamente cualquier persona.
¿Por qué hacer la carta?
Es una respuesta a lo que viene sucediendo en Estados Unidos desde hace año y medio sobre la discusión respecto del cifrado: los organismos de seguridad, en particular el FBI, les estaban pidiendo a las empresas de comunicaciones y tecnología (en particular a Apple) que se les diera acceso a los dispositivos que estaban cifrados por defecto. Lo que ellos piden justamente es tener una política, que ya se había discutido en los años 90 durante lo que se llamó las Crypto Wars (algo así como guerras del cifrado), mediante la cual quieren tener una copia de las llaves de cifrado para las comunicaciones de los usuarios, como una especie de llave maestra. Todo esto tiene la intención de luchar contra el crimen organizado y el terrorismo, dos cosas que, por supuesto, son deberes del Estado. Las organizaciones que estamos en este movimiento reconocemos el deber legítimo que tienen los Estados de proveerles seguridad a sus ciudadanos y el interés de hacerlo mediante los medios tecnológicos más eficientes. Con lo que no estamos de acuerdo es que se rompa la tecnología para poder ejercer esta función.
¿Cuál es el problema de esta política?
Acá empiezan a chocar el interés legítimo de proveer seguridad y la tecnología: no se conoce una manera de ofrecer una seguridad robusta de extremo a extremo y, al mismo tiempo, ofrecer un acceso privilegiado a la comunicación, lo que se conoce famosamente como backdoor. Si existe una vulnerabilidad en el cifrado, ésta puede ser explotada por cualquiera, no sólo por el Estado en su labor de vigilancia con orden judicial suficiente y completa. Es una puerta que queda abierta para todos. El debilitamiento del cifrado afecta otros intereses a los que también sirve la tecnología, como el comercio, la custodia de los datos personales de los usuarios y hasta la seguridad nacional: este tipo de herramientas también son usadas para proteger elementos sensibles de los mismos Estados. Como sucedió en EE. UU., en donde presuntos atacantes chinos lograron penetrar la base de datos de todos los empleados federales de ese país. Lo que queremos es que haya otras soluciones que no impliquen obligar a las empresas a debilitar los estándares de seguridad.
¿Qué otras soluciones hay?
Éstas varían de acuerdo con la intención de las autoridades, aunque generalmente este asunto siempre tiene que ver con temas de seguridad y lucha contra el terrorismo. En este último caso, por ejemplo, se ha probado que existen maneras de luchar contra éste mediante técnicas de investigación que, quizá, son más clásicas: el seguimiento personal, el análisis de los metadatos (que se realiza sobre los datos técnicos de la comunicación y no sobre el contenido como tal) y la inteligencia en asuntos como el seguimiento de las fuentes de financiación, entre otras cosas. A los terroristas del último ataque en Francia se les encontró porque se comunicaban por mensajes de texto, que es un método de comunicación sin cifrado de ningún tipo y que se puede conseguir mediante los registros de llamadas, de las celdas de ubicación de los teléfonos celulares. No hace falta debilitar una tecnología para lograr esto.
Pero las autoridades de seguridad suelen decir que el cifrado impide sus labores…
Vamos a hacer una aclaración: el hecho de que una parte de las comunicaciones estén cifradas no quiere decir que todo un aparato necesariamente está cifrado y esté en la oscuridad, más allá del alcance de las fuerzas del orden. Se puede analizar el uso de las líneas, la huella calórica de un dispositivo. También existe el monitoreo de las redes sociales que, por ejemplo, es uno de los principales medios de reclutamiento del Estado Islámico. Eso no está ni en la Deep Web, ni hace falta prohibir TOR para llegar a eso, ni frenar el cifrado. Hay más herramientas tecnológicas para lograr estos fines de vigilancia y seguridad.
¿Cuál es el panorama del cifrado en Latinoamérica?
En América Latina no hay mucha discusión de este tema aún. Lo que es bueno y malo al mismo tiempo. Es bueno en la medida en la que al no hablar de esto, entonces no se busca prohibirlo. Lo malo es que tampoco se discute la posibilidad de implementar el cifrado a nivel gubernamental. Sí hay un debate grande sobre la ciberseguridad. La cosa es que los entes de ciberseguridad, que por lo general están en manos de militares, quieren que las empresas de servicios de internet les compartan mucha información: qué tipo de tráfico tienen, de dónde viene, hacia dónde va y así. Esto entraña varias preocupaciones para la privacidad de los usuarios. Pero, aparte de esto, se escucha muy poco acerca de la necesidad de cifrar la información puertas adentro: usar herramientas fuertes de cifrado es, también, una buena medida para proteger la seguridad en línea y digital de los gobiernos. Los ataques en este caso no sólo buscan afectar infraestructura crítica, dejar a un país sin internet, sino también robar información sensible comercial, de salud, industrial.
¿Por qué no se discute este tema en el continente?
Por dos situaciones. La primera tiene que ver con la ignorancia que hay a nivel técnico. Por lo general, los políticos y los encargados de las políticas de seguridad no conocen mucho del tema. La segunda está relacionada con una visión que hay desde el punto de vista de la concepción de la seguridad: el cifrado es malo porque no permite ver qué está diciendo la gente. En América Latina, por su historial de dictaduras militares y la intervención de gobiernos foráneos, se ha instalado la creencia de que la vigilancia es buena. En este contexto, el cifrado es la antítesis de la vigilancia.En EE. UU. se superó esta discusión hace tiempo porque, al ver que iba a ser difícil analizar el contenido de las comunicaciones, se enfocaron en estudiar los datos técnicos de estas.
¿Hacia dónde cree que avance la discusión sobre el cifrado en 2016?
Nos preocupa porque vemos muchos proyectos de ley para tratar de intervenir el cifrado. La opinión mundial está muy sensibilizada por el terrorismo islámico. En este ambiente la gente, por lo general, puede estar dispuesta a sacrificar libertades. Y el tema del cifrado parece un detalle técnico que poco toca a éstas, pero que en el fondo tiene grandes implicaciones para la privacidad de la gente.