Tras 17 años de espionaje en Internet, ¿de qué nos sorprendemos?

“En el pasado, si el Gobierno quería violar la intimidad de los ciudadanos corrientes, tenía que gastar sus recursos en interceptar, abrir al vapor y leer el correo y escuchar, grabar y transcribir las conversaciones telefónicas. Eso era como pescar con caña, de uno en uno. Por el contrario, los mensajes de e-mail son más fáciles de interceptar y se pueden escanear a gran escala, buscando palabras interesantes. Esto es como pescar con red, existiendo una diferencia orwelliana cuantitativa y cualitativa para la salud de la democracia”.

Estas palabras forman parte de la declaración de Phil Zimmermann ante el Subcomité de Política Económica, Comercio y Medio Ambiente de la Cámara de Representantes de los EEUU, el 26 de junio de 1996. Este subcomité lo estaba investigando por un supuesto incumplimiento de la ley que prohibía exportar software de cifrado con una longitud de clave superior a lo que EEUU consideraba descifrable. Fue uno de los primeros casos en los que se evidenció el potencial de la red como soporte de información que podía ser obtenida fácilmente para cualquier interés estratégico del gobierno norteamericano.

Phil Zimmermann había desarrollado el programa Pretty Good Privacy (PGP) que frustraba  la opción del ciberespionaje en tres sentidos:

  1. Permitía ajustar la longitud de la clave hasta cifras de 1.024 bits, 2.048 bits y superiores, que en 1996 eran prácticamente indescrifrables.
  2. Utilizaba clave asimétrica, lo cual impedía utilizar técnicas de análisis criptográfico basado en la recuperación de la clave oculta en el propio mensaje cifrado.
  3. No tenía puertas traseras, lo que impedía descrifrar los mensajes si no se disponía de la clave privada.

La normativa que regula la exportación de tecnología de doble uso (civil y militar) establece en todos los países miembros del Acuerdo de Wassenaar un control sobre la exportación de algoritmos de cifrado y cualquier tecnología que los utilice. En España, la lista de productos y tecnologías de doble uso ha sido actualizada recientemente mediante la Orden ECC/705/2013, de 26 de abril (PDF), que incluye los procedimientos de cifrado en el apartado e) del subartículo 11.a.

En EEUU este control hizo que la versión internacional de programas tan populares en 1996 como Netscape, no pudiesen utilizar claves de más de 64 bits el protocolo SSL. Ello hacía que la visualización del candado en el navegador, que indicaba que estábamos visitando un servidor seguro (https) fuese una mera ilusión. De hecho, ya se decía por aquel entonces que la seguridad era un estado de la mente. Posteriormente se establecieron excepciones que permitieron, por ejemplo, utilizar claves de 128 bits en servidores de banca electrónica extranjeros.

En 1.999, aunque posiblemente fue antes, el control gubernamental llegó a los sistemas operativos. En el caso de Windows, existen evidencias de que en ese año se introdujo una puerta trasera en el sistema operativo que permitía el acceso al contenido de cualquier ordenador que lo tuviera instalado. El propio Phil Zimmerman tuvo que publicar un comunicado en el que desmentía los rumores de que su programa PGP tenía una puerta trasera.

Posteriormente se tendría conocimiento de la existencia de COFEE (Computer Online Forensic Evidence Extractor), una utilidad que supuestamente permitía el acceso a ordenadores con Windows a través de una puerta trasera. Aunque no lo he visto realmente en ningún concurso público, hace años que existe la tesis de que los gobiernos que adquieren sistemas operativos norteamericanos reciben una versión diferente a la que utilizan las empresas. La versión gubernamental estaría desprovista de puertas traseras. Un ejemplo a analizar es el de Google Apps for Government, destinado a la administración pública norteamericana. En el apartado relativo a la seguridad establece como principal garantía, y en negrita: “Your data belongs to you”, de lo que podría interpretarse que, si no eres un organismo público norteamericano, los datos no te pertenecen, en el sentido de que pueden ser espiados ;-).

La distribución de software de base y de cifrado con puertas traseras, unido al desarrollo de sistemas avanzados de interceptación de comunicaciones es uno de los fundamentos de la llamada red Echelon, siempre asociada a la teoría de la conspiración y claro antecedente de PRISM.

Con este historial de espionaje, no entiendo la sorpresa causada por la constatación de unos hechos que eran de dominio público. Me imagino que la novedad reside en el carácter irrefutable de las pruebas actuales y en el alcance y la intensidad del espionaje.

Baudelaire decía que la astucia más perfecta del diablo consiste en convencernos de que no existe, pero es mucho más astuto el que abiertamente, sin ocultar su existencia:

  1. te vende una casa que tiene una puerta trasera abierta para que pueda entrar cuando quiera (sistema operativo),
  2. te vende cerraduras avanzadas para que tengas una falsa sensación de seguridad y se queda una copia de la llave (sistemas de cifrado),
  3. te vende un sistema de comunicaciones que está bajo su control (Internet), y, para completar la operación,
  4. te deja un estante en su caja fuerte para que guardes en ella todos tus datos, (cloud computing), de manera que ya no necesita la puerta trasera ni la copia de la llave para acceder a los datos.

Y todos seguimos religiosamente los pasos 1, 2, 3 y 4, porque cada uno fue una moda en su tiempo que había que seguir para no quedarse fuera del primer mundo, hasta conseguir que la astucia descrita por Baudelaire quedase en un juego de niños. Y encima pagando.

Por suerte, estamos hablando de big data, con todas sus consecuencias y dificultades, por lo que, en vez de ocultar la información con cifrado desarrollado por los mismos que nos espían, tal vez es mejor que aprendamos que la mejor forma de esconder una aguja es en un pajar. Pero EEUU también es uno de los países que más ha aprendido a gestionar grandes volúmenes de datos no estructurados.

Al final, si sabemos que el gran hermano pesca con red, como decía Phil Zimmermann, sólo nos quedará la opción de obligarle a desempolvar la caña. Pero como no se trata de volver a utilizar palomas mensajeras ni de escribir cartas a mano, supongo que tendremos que acostumbrarnos a que, en los concursos públicos multimillonarios que convocan algunos países emergentes, las empresas españolas tengan que competir con empresas norteamericanas que además de tecnología y producto, tendrán información, mucha información.

En cualquier caso, la lectura positiva de las noticias de las últimas semanas, es que si tengo que comentar algo confidencial con un cliente, voy a intentar mantener una reunión presencial con él. Así recuperaremos el contacto personal que se había distanciado con el correo electrónico.

Escribir a mano, verse cara a cara… suena raro que lo diga yo, apasionado “early adopter” de cualquier tecnología, pero ya hace tiempo que estamos hablando de volver a lo básico y esta es una buena excusa.

ACTUALIZACIÓN 16/07/2013: El Kremlin recupera la máquina de escribir como herramienta de inteligencia. Parece que la tendencia de evitar el uso de las nuevas tecnologías, y especialmente de Internet, para dificultar el ciberespionaje está calando. Las autoridades rusas han firmado ya la compra de máquinas de escribir eléctricas por valor de 15.000 dólares con el fin de utilizar el papel como soporte y medio de transmisión de información confidencial.

 

6 pensamientos en “Tras 17 años de espionaje en Internet, ¿de qué nos sorprendemos?

  1. Uno de los artículos mejor documentado y armado sobre este tema. De vez en cuando se agradece gente que va al fondo de las cuestiones y capaz de “dar en el clavo”…

    • Muchas gracias por tu comentario, Miguel Ángel. Por cierto: no conocía tu blog y me ha encantado. Enhorabuena. Xavier

  2. Pingback: Posibles canales para el ciberespionaje de nuestros datos y mensajes | Xavier Ribas

  3. Pingback: ¿Una orden judicial para ver un correo electrónico de mi propia empresa? | Xavier Ribas

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s