La empresa canadiense que administra Ashley Madison lo deja claro en sus condiciones de uso: la empresa no puede asegurar al 100% los datos de sus clientes. En su punto 14 la empresa explica que no puede garantizar que el servicio sea “seguro” ni tampoco que “estará libre de errores”. Incluso la empresa deja un poco más adelante que puede compartir los datos de sus clientes con otras empresas: “[no garantizamos] que la información que usted proporcione o que nosotros recopilemos no será divulgada a terceros”.

En realidad todo el punto 14 epígrafe B es una oda a la desprotección del usuario en una empresa que no puede asegurar nada de lo que intenta vender.

El portal para casados infieles Ashley Madison fue 'hackeado' hace un mes por un grupo llamado “Impact Team”. Este grupo pedía que la empresa de esta red social, Avid Life Media, cerrase el sitio junto a otros lugares similares de la empresa canadiense como Cougar Life enfocado a mujeres maduras o Established Men para hombres en busca de mujeres a las que mantener. Esta semana se han publicado los datos personales de clientes, incluyendo nombres, teléfonos, correos y datos bancarios. 

El 17 de agosto el grupo lanzó un torrent con 9.7GB de supuestos datos de clientes de esta red social, diseñada especialmente para que personas en pareja estable puedan tener relaciones con otras personas. El sitio se vende a los usuarios como un lugar seguro donde poner información personal y tener relaciones, a pesar de que en la letra pequeña de sus condiciones de servicio la empresa no garantiza que protegerá los datos de sus clientes.

Aunque Avid Life Media publicó un comunicado acerca de esta última filtración no ha sido hasta hoy cuando se ha confirmado que parte de los datos son de usuarios reales. Según la agencia Reuters el FBI junto a los cuerpos de seguridad de Ontario y Toronto, además del cuerpo de la Policía Montada de Canadá, ya están investigando la filtración.

No se conoce la identidad del denominado Impact Team. Aunque existen rumores que implican a extrabajadores de la empresa, esto no se ha confirmado.

La realidad es que la mayoría de empresas de contactos personales de este tipo tienen unas declaraciones de privacidad muy similares. Por ejemplo la aplicación Tinder explica en sus declaraciones de privacidad que toman medidas de seguridad para salvaguardar la información personal ante el acceso no autorizado, pero “ningún sistema es completamente seguro.

El grupo Meetic tiene una declaración de privacidad similares: “el usuario […] reconoce que las características y las limitaciones de Internet no permiten garantizar la seguridad, la disponibilidad ni la integridad de las transmisiones de datos a través de Internet”.

El portal de contactos español Badoo también tiene mantiene una información similar a lo que recopilación de datos se refiere, en concreto cuando los datos de los usuarios ya están su servicio, Badoo aclara: “Una vez hayamos recibido tus datos, disponemos de una serie de funciones y medidas de seguridad para tratar de evitar el acceso no autorizado a ellos”.

Ninguna empresa puede garantizar que los datos personales estén a salvo de ataques.

“¡Se acabó el tiempo!”

Fig. 1: Mensaje de Impact Team tras cumplir un mes de sus demandas

El mensaje de Impact Team titulado “Time’s Up!” (“¡Se acabó el tiempo!”) ha sido publicado en varios sitios, originalmente en páginas web en la red segura Tor, pero también en otros lugares como Reddit o 4Chan. En el mensaje de los supuestos perpetradores del robo de información personal comentan que tras no cumplir sus demandas en los 30 días que les dieron de límite para cerrar sus sitios, la información ahora es pública, disponible en torrents. Ya existen varios buscadores para comprobar si un correo electrónico está en la base de datos de Ashley Madison como ashleymadisonleakeddata.com o ashley.cynic.al.

Este grupo intenta explicar este robo de información ante la supuesto “fraude, engaño y la estupidez de ALM y de sus miembros”.

Durante 2013 demandaron a Ashley Madison por una supuesta estafa al contratar a personas con capacidad de escribir en varios idiomas y mantener perfiles falsos y así atraer a más hombres (su perfil mayoritario) para que accedan y sigan pagando por el servicio.

Fig. 2: Captura de pantalla de los archivos presentes en el torrent filtrado

El mismo mensaje indica a las personas que puedan estar buscando a sus parejas que tengan en cuenta que “el sitio es una estafa con miles de perfiles de mujeres falsos”.

¿Son los datos verdaderos? Por ahora no hay forma de decir a ciencia cierta que todos los datos publicados en este enorme fichero son reales, aunque algunas personas registradas en el sitio han empezado comentar que sus correos aparecen en el listado publicado.

El experto en seguridad Brian Krebs ha publicado en su blog que el anterior CTO de la empresa, Raja Bhatia, empezó a colaborar de nuevo tras las primeras noticias de que sus sistemas habían sido comprometidos. Otras supuestas filtraciones eran falsas, pero en esta se ha comprobado que hasta las cuentas públicas en Bugmenot están presentes.

Per Thorsheim, otro experto en seguridad independiente también ha corroborado que existen cuentas suyas de investigación presentes en la base de datos. El blogger de Gawker Sam Biddle también ha confirmado que el correo que usó para investigar el sitio durante 2012 también está presente en la filtración.

Es importante recalcar que para registrarse en Ashley Madison no había que confirmar la cuenta de correo electrónico, por lo que cualquier persona podría registrar a otra sin necesidad de hacer una segunda comprobación de identidad.

Entre los archivos también se incluye información de la empresa como documentos internos, planos de sus oficinas, archivos Excel con cuentas de Paypal y sus respectivas contraseñas, datos financieros e incluso información del propietario de Avid Life Media, Noel Biderman.

eldiario.es ha podido revisar algunos de los archivos filtrados y ha encontrado usuarios falsos o que parecen haber sido registrados bajo correos de otras personas.

Varias listas publicadas muestran una gran cantidad de correos electrónicos que por su dominio (.va) pueden parecen del Vaticano, como han publicado varios medios de comunicación internacionales para señalar una contradicción moral. Sin embargo, según ha podido comprobar eldiario.es, la mayoría de estos correos no pertenecen al Vaticano sino a empresas u organismos oficiales que cuentan con esas siglas (VA) o a correos relacionados al estado de Virginia, en Estados Unidos.

Foto: Cristian V.

En Alemania Facebook no podrá impedir que sus usuarios utilicen un seudónimo. Hasta ahora los términos y condiciones de la red social obligan a que cada uno de sus miembros se registre y muestre su nombre real. Las autoridades de protección de datos de Hamburgo han establecido que la compañía no puede tener la potestad de pedir a sus usuarios el nombre que figura en su documento de identidad oficial.

Facebook tampoco podrá cambiar unilateralmente el alias que un usuario haya escogido para colocar en su lugar su nombre auténtico. Las autoridades de Hamburgo han actuado a partir de la queja de una mujer, que vio como la red social bloqueaba su cuenta porque estaba usando un seudónimo. La compañía le pidió una copia de su documento de identidad y puso su nombre real en su perfil sin contar con ella.

La mujer no quería utilizar su nombre real en Facebook para evitar que la contactaran por cuestiones de trabajo. Y el organismo de protección de datos de Hamburgo ha dictaminado que obligar a los usuarios a utilizar nombres reales viola su derecho a la privacidad. En otro orden de cosas, se establece que las condiciones de Facebook, en lo tocante a la cláusula sobre los nombres de usuario, excede la legalidad en Alemania.

La red social alega que el anonimato perjudicaría la seguridad y la transparencia de la plataforma. Pero se ha dado el caso de activistas que en países con poca libertad de expresión empleaban un seudónimo para protegerse. Para estas ocasiones Facebook apunta que se puede tener un perfil con el nombre real y crear una página desde la que publicar con otra marca.

Facebook, sujeto a la legislación de cada estado

La anterior fórmula no satisface a todo el mundo, pues el uso de una página es diferente al de un perfil personal. Hasta ahora Facebook se había amparado en el hecho de que su sede europea está en Irlanda, país donde en 2011 las autoridades de privacidad concluyeron que la política de nombres reales no iba en contra de las leyes irlandesas.

Sin embargo, la apertura de oficinas en los diferentes estados nacionales (en España abrió en 2010) ha cambiado la situación. Sergio Carrasco, profesor de Derecho y especialista en telecomunicaciones, compara el caso de la red social con el de Google. “Ahora que tiene sedes, aunque sea a meros efectos comerciales, en los diferentes territorios y ofrece servicios dirigidos a España, Alemania y Francia, por ejemplo, el mismo criterio que se utilizó en su momento para Google es también aplicable a Facebook”.

Es ahora cuando los juzgados y las autoridades competentes están considerando que las sedes nacionales llevan a cabo una actividad íntimamente relacionada, que no tiene sentido por sí sola. Son, por tanto, filiales que obligan a someter todas las operaciones de la compañía en los territorios nacionales a la legislación correspondiente.

En lo que respecta a España Facebook sigue exigiendo el nombre auténtico. Permiten seudónimos solo para complementar el nombre real, para facilitar la búsqueda por parte de otros usuarios, no para proteger al individuo. La Agencia Española de Protección de Datos (AEPD) está analizando la nueva política de Facebook (que entrara en vigor el 30 de enero) mediante unas actuaciones globales, previas a la investigación.

Cuando la AEPD termine su análisis entregará sus conclusiones sobre todas las dudas que penden sobre Facebook, entre las que podría estar el tema de los nombres reales, el rastreo de usuarios o el mecanismo opt-out, que obliga a los usuarios a ser proactivos para no dar consentimiento. A pesar de que la actuación de los organismos de protección de datos europeos sueles estar coordinada, en este caso el grupo de Hamburgo se ha movido conforme a su propio ordenamiento jurídico.

Esto es lo que confirman desde la AEPD a eldiario.es. Aunque en opinión de Carrasco el uso de seudónimos es un tema lo suficientemente relevante como para dejar que cada país tome su propio camino. “Hay muchos derechos que están en juego aquí, siendo el más importante el de la libertad de expresión. La privacidad también es importante. Si un ciudadano se traslada de un país a otro, ¿le piden usar su nombre real?”, reflexiona el jurista, quien descarta la opción de no usar Facebook debido al abultado número de usuarios de la red social. “Si no estoy en Facebook me estoy cerrando un marco muy grande”, apunta.

La modificación del código penal, ‘ley Mordaza’ y nombres reales

La polémica de los nombres reales en Facebook lleva tiempo coleando. El pasado año un grupo de drag queens de Estados Unidos se reunión con la compañía para exigir que les dejaran utilizar el nombre por el que en realidad eran conocidas, en lugar del que consta en su partida de nacimiento. La red social había bloqueado automáticamente algunos perfiles hasta que no dieran su nombre auténtico.

A día de hoy la red social sí permite el uso de nombres identificativos de la persona, tales como un nombre artístico. Pero la identidad del individuo siempre tiene que quedar clara. En España esta política podría tener otras implicaciones aparte de las que ya tiene en otros países, debido a la introducción de la Ley de Seguridad Ciudadana, apodada ‘ley Mordaza’ y a la reciente modificación del Código Penal.

“Si realizas la convocatoria de una manifestación, una cosa es que la hagas a través de un seudónimo y otra muy distinta que la hagas a través de tu nombre real”, señala Carrasco. Esto facilita el trabajo de investigación a la policía. Además, la modificación del Código Penal ha convertido faltas y delitos en infracciones administrativas, de manera que los mecanismos de investigación quedan más limitados en estos casos, pues únicamente se puede requerir la IP a una operadora cuando hay sospecha de un delito grave. Si en el perfil de Facebook figura el nombre real se facilita la eficacia de las sanciones.

El Centro Nacional de Inteligencia (CNI) contrata al menos desde 2010 los servicios de una empresa italiana de seguridad informática para adquirir sofisticado material con el que realizar espionaje en las telecomunicaciones. La información ha quedado al descubierto como consecuencia del ataque perpetrado en las últimas horas por un grupo de hackers contra la empresa Hacking Team, con sede en Milán, al que el CNI habría abonado cientos de miles de euros por sus servicios en los últimos cinco años.

Entre los servicios adquiridos por el CNI a Hacking Team figura una herramienta por la que poder penetrar en terminales móviles y ordenadores con distintos sistemas operativos: IOS y Mac OSX –ambos de Apple–, Windows –Mobile, XP y Vista–, Android, Blackberry y Symbian. Según explicó a eldiario.es el investigador Narseo Vallina-Rodríguez, la empresa facilita el sistema con el que explotar las vulnerabilidades de esos sistemas, de tal forma que, antes de que las los fabricantes de dispositivos y sistemas operativos tapen el agujero o actualicen la versión, el cliente puede colarse y obtener la información perseguida, ya sean llamadas, chats, imágenes, geolocalización, grabaciones por micrófono o contraseña, entre otras.

Antes, el servicio de Inteligencia debería colocar cebos en la Red –archivos PDF, banners o enlaces– para que el usuario del que se quiere obtener la información pinche en ellos y abra la puerta al sistema de espionaje. Para Vallina-Rodríguez, que trabaja en el International Computer Science Institute, un centro asociado a la Universidad de Berkeley, este tipo de herramientas no difere en exceso de los conocidos como virus troyanos.  

La pirueta de los hackers que han atacado la firma italiana pasa por haber publicado los datos secretos desde la propia cuenta de Twitter de Hacking Team. Durante la noche del domingo al lunes 6 de julio la cuenta de la empresa @hackginteam empezó a publicar extraños mensajes, iniciados por un tuit en el que se indicaba: “Al no tener nada que esconder, estamos publicando todos nuestros correos electrónicos, archivos y código fuente”. A continuación, se mostraban dos enlaces a archivos torrents para descargar más de 400GB de datos. El nombre de la empresa en Twitter se cambió por “Hacked Team”, como mofa a la empresa: de equipo hackeador pasaban a ser equipo hackeado. 

eldiario.es se puso en contacto con el Centro Nacional de Inteligencia, que enmarcó la documentación filtrada de Hacking Team en la “relación contractual” que mantiene con distintas empresas, entre ellas la firma italiana. Un portavoz del CNI aseguró que se trata de contratos firmados de acuerdo a la Ley de Contratos del Sector Público y que pueden ser explicados ante los órganos de control del gasto público, como el Tribunal de Cuentas. Los fondos empleados, añadió, son parte del presupuesto del centro para inversión y no salen de los fondos reservados.

El investigador Vallina-Rodríguez destaca que los servicios de Inteligencia que contratan con Hacking Team lo hacen para obtener herramientas “ofensivas”, es decir, de obtención de información, mientras que otro grupo de empresas, principalmente bancos, lo hacen de productos “defensivos”. Entre los datos filtrados a lo largo del lunes se mencionaba a la Policía española como otro de los clientes de Hacking Team, aunque eldiario.es no pudo obtener, al cierre de esta edición, documentos que detallen la vinculación del Cuerpo con la empresa hackeada. Hacking Team tampoco ofreció respuestas acerca de este incidente.

En cuanto a las facturas de Hacking Team con el CNI aparecen varias por la citada herramienta para la infiltración con sus correspondientes cargos por mantenimiento, los Sistemas de Control Remoto (RCS, en sus siglas en inglés) y sus módulos de adaptación a los diferentes sistemas operativos. Por ejemplo, 31 de diciembre de 2010, la empresa italiana carga al CNI servicios por valor de 17.500, 52.000 y 72.000 euros en estos conceptos. Dos meses antes, en octubre, Hacking Team factura al CNI 67.500 euros por Asistencia Técnica y de Mantenimiento y licencias de RCS móvil en exclusiva para el sistema operativo Android.

A finales de 2010 hay una oferta para vender una vulnerabilidad de tipo Zero Day por 48.000 euros. Esta herramienta es la que busca el agujero en el sistema para lanzar el ataque en el 'Día Cero', como se conoce al momento en el que la empresa de la que depende el sistema operativo desconoce esa vulnerabilidad. En la misma oferta, se incluye por 24.000 euros una actualizacion para módulos de actualización distintos de Windows. Cabe destacar que en esta oferta, la empresa italiana envía al CNI documentación que acredita que está al tanto del pago a sus trabajadores y que se encuentra en paz con el fisco italiano, así como la existencia de una auditoría a cargo de PwC.

Quiénes son y qué hace Hacking Team

Según la web de la empresa su principal misión es la de ofrecer soluciones ofensivas para la investigación cibernética, o lo que es lo mismo, aplicaciones que permiten acceder a ordenadores y conexiones de otras personas para gobiernos y sus agencias de seguridad, sobre todo soluciones spyware capaz de tomar el control de un equipo.

Según investigó en 2013 The Verge, todo empezó con dos hackers llamados Alberto Ornaghi (ALoR) y Marco Valleri (NaGA) que publicaron Ettercap, una solución de código abierto que permitía interceptar datos de redes o inyectar datos en conexiones activas. La empresa se fundó en 2003 añadiendo a Valeriano Badeschi y David Vincenzetti según la información oficial de la compañía, dos expertos en seguridad que lograron en 2007 una inyección de capital importante por parte dos inversores de capital de riesgo italianos. Desde entonces han logrado una cartera de clientes muy importante, destacando gobiernos y cuerpos de seguridad de primeras potencias.

En la actualidad la solución “Da Vinci” se da a conocer como una aplicación de control remoto capaz de romper cifrados y permitir a cuerpos y agencias de seguridad monitorear archivos, correos electrónicos cifrados, incluso con PGP; aunque esta tecnología de cifrado por ahora se ha demostrado segura. También se comenta que su software sería capaz de leer conversaciones de WhatsApp, según las investigaciones de Forbes. Esta herramienta permite a cuerpos de seguridad coleccionar más datos que otros programas conocidos como PRISM de la NSA, aunque según Hacking Team nunca venderían este software a países en la lista negra de las Naciones Unidas.

El grupo o individuo todavía no identificado accedió a los sistemas de Hacking Team, robando información sensible como correos electrónicos, información financiera y código fuente de sus aplicaciones. Según los tuits publicados en su cuenta oficial de Twitter que ya han sido eliminados, parece una respuesta al vender software spyware a países que han sido declarados por Naciones Unidas como opresores contra periodistas o los derechos humanos, como es el caso de Etiopía o Kazajistán, tal y como adelantó The Intercept en octubre de 2014.

La información que implicaba a la empresa italiana Hacking Team vendiendo software spyware a gobiernos como Etiopía fue rápidamente desmentida por el CEO de la empresa. Otros medios como Citizen Lab de la Universidad de Toronto, demostraron que el gobierno de Etiopía estaba atacando a periodistas etíopes con soluciones spyware de Hacking Team.

La empresa nunca ha dudado de dar a conocer al mundo sus herramientas. En un vídeo promocional de su aplicación Galileo, muestran las capacidades de interceptación de información para todos los sistemas operativos, tanto de escritorio como móviles existentes, y para saltarse sistemas de cifrado.

En un documento de los archivos disponibles a todo el mundo existe un listado de clientes, que aún no ha podido ser verificado en su totalidad. En esta lista se encuentran organizaciones y empresas de todo el mundo, desde democracias occidentales a regímenes dictatoriales de todos los continentes. Así, aparecen Chile, Estados Unidos, Australia, Polonia, Alemania, Italia, Corea del Sur y Rusia, junto a otros como Etiopía, Bahrein, Arabia Saudí, Malasia o Azerbaiyan.

En Bélgica, la Comisión de Privacidad ha demandado a Facebook, acusándolo de rastrear de forma ilegal a los usuarios. Podría ser la primera de las actuaciones que se están llevando a cabo en varios países de la Unión Europea. Las autoridades de protección de datos de Alemania, Holanda, Francia y la AEPD (Agencia Española de Protección de Datos) también han dado los primeros pasos en ese sentido.

“Estas actuaciones previas a la investigación se iniciaron ante los cambios en la política de privacidad (de Facebook) y diversos análisis que apuntan a posibles incumplimientos de la legislación europea de protección de datos por parte de la compañía”, señalan fuentes de la AEPD. El 30 de enero de este año entraron en vigor los nuevos términos de servicio de la red social.

La AEPD pertenece al Grupo de Trabajo del Artículo 29, el órgano consultivo que supervisa la protección de datos a nivel europeo, y está actuando de forma coordinada con las autoridades nacionales de los otros países. Por el momento el procedimiento consiste en un estudio de toda la información disponible públicamente. Después de esto se reúnen datos de la compañía, lo que puede hacerse mediante una inspección, y posteriormente se analiza todo lo recabado.

Se trata de actuaciones orientadas a determinar si hay indicios de vulneración de datos. En el caso de que los haya se abriría un procedimiento sancionador. Desde la AEPD se muestran prudentes y recuerdan que el procedimiento en esta fase ofrece una serie de garantías por las que no se hacen públicos más detalles.

A pesar de ser una actuación coordinada entre varios estados miembros de la UE, “los procedimientos se han abierto conforme a las legislaciones nacionales, en función del propio ordenamiento jurídico de los países”, indican desde la AEPD. Lo que indica que no solo se está tomando como referencia la Directiva europea sobre privacidad sino también las normativas nacionales.

Juicio en Bélgica

La Comisión de Privacidad belga ha llevado a Facebook ante los tribunales, afirmando que el modo en que la red social rastrea a sus usuarios –tanto los registrados como los que no lo están (hay un tipo de cookies que se guardan aunque el usuario no inicie sesión)– es ilegal. Es la primera vez que un grupo de privacidad nacional europeo demanda a Facebook por no cumplir con la legislación sobre protección de datos.

Los argumentos de la demanda tienen su raíz en el informe que publicó hace unos meses el Centro Interdisciplinario para las Leyes y las Tecnologías de la Información y de la Comunicación, perteneciente a la Universidad de Lovaina. En este documento, a petición de la Comisión de Privacidad de Bélgica, se analizaba el estado en el que había quedado la privacidad de los usuarios tras la introducción de los nuevos términos de servicio.

Con la documentación aportada por el informe, el Grupo de Trabajo del Artículo 29 llegó a la conclusión de que el mecanismo opt-out (los usuarios tienen que dar su negativa al rastreo) de Facebook no es el adecuado para obtener el consentimiento por parte de los usuarios, especialmente en lo que concierne a la publicidad online. La Comisión de Privacidad de Bélgica ha estimado que esto, junto con el hecho de que la red social rastrea el comportamiento de gente que no se ha registrado en la plataforma, viola la Directiva sobre privacidad de la Unión Europea. En estos días está previsto que el caso se presente ante un tribunal y que la Comisión de Privacidad se reúna con Facebook.

Los roces de Facebook con la AEPD

El pasado año el presidente de la AEPD José Luis Rodríguez Álvarez ya calificó el comportamiento de Facebook de “inaceptable” cuando la compañía publicó que había manipulado la información que aparecía en el feed de sus usuarios, con el fin de obtener datos para un estudio académico.

La agencia ya inició actuaciones en el año 2010, a requerimiento de una denuncia de FACUA. Se estudiaba la transmisión de datos de los usuarios de Facebook a través de las distintas aplicaciones ofrecidas desde la plataforma. En esta ocasión las actuaciones no tuvieron mayores consecuencias, como tampoco lo tuvo otra denuncia presentada por FACUA en 2012, en relación con la publicación en medios de comunicación de supuestos mensajes privados.

Se han cumplido dos años desde que Edward Snowden revelase al mundo los programas de espionaje de la NSA y, como consecuencia, el mundo digital ha dejado de ser el mismo. Empresas como Google han mejorado la seguridad de sus sistemas para preservar la privacidad de los usuarios y también han surgido múltiples servicios para mejorar el secreto de nuestras comunicaciones.

El sector privado no es el único que ha reaccionado ante los casos de espionaje masivo de la NSA y algunos gobiernos, además de mostrarse críticos, han tomado cartas en el asunto para mitigar la exposición de las comunicaciones de sus ciudadanos. En un mundo en el que más del 90 % del tráfico de datos mundial viaja a través de cables submarinos de fibra óptica, que según las revelaciones de Snowden se podían interceptar, la Unión Europea ha anunciado el despliegue de un cable submarino para unir, de manera directa, el territorio europeo con Latinoamérica.

La red BELLA y el cable EulaLink

La red BELLA (Building Europe Link to Latin America) de la Unión Europea es mucho más que un cable submarino. Es un ambicioso proyecto de despliegue de red que unirá, mediante enlaces terrestres, Venezuela, Colombia, Ecuador, Perú, Chile, Argentina y varios puntos de Brasil para, después, desplegar un cable submarino para unir esta red con el continente europeo, concretamente con Portugal.

Este cable submarino que unirá Latinoamérica con Europa era un asunto del que se venía hablando desde hacía tiempo: un proyecto de despliegue que surgió a raíz de las revelaciones de Snowden y que estaba planificado para ejecutarse en este año 2015. El EulaLink, que es como se llama este cable, es un proyecto que llevarán a cabo Telebras (el antiguo operador gubernamental de comunicaciones de Brasil) e IslaLink (un operador de cable de España que es especialista en desplegar y operar redes de cables submarinos) y para el que la UE aportará 25 millones de euros.

Los 25 millones de euros que aporta la Unión Europea seguramente sean insuficientes para cubrir el presupuesto total del proyecto. Siempre se comentó que el gobierno de Brasil también iba a sufragar parte del mismo y, según ha indicado la Unión Europea en su nota de anuncio, el proyecto se articulará mediante una colaboración público-privada, por tanto, tanto IslaLink como Telebras también aportarán capital (además de ejecutarlo).

Uno de los objetivos es apoyar la investigación científica y la cooperación Europa-Latinoamérica. Una comunicación directa permite reducir el retardo y, por tanto, abre las puertas a trabajar en remoto con sistemas como el LHC de Ginebra o el Observatorio de Atacama en Chile. Además, también es un importante refuerzo para el despliegue de conexiones de banda ancha en Latinoamérica. La Unión Europea tipifica en que un 10 % de aumento de penetración de banda ancha en la población de un país tiene un impacto positivo de 1,4% de aumento del PIB de ese país.

Sin embargo, el despliegue de este cable submarino también supone un hecho muy significativo desde la perspectiva de la independencia tecnológica de Estados Unidos. Este despliegue que arrancará este año y que culminará en 2017, supondrá que las comunicaciones de datos entre Europa y Latinoamérica no pasarán por Estados Unidos (y actualmente, prácticamente la totalidad de las mismas pasan por el país que puso en marcha los programas de espionaje masivo de la NSA).

La independencia de Estados Unidos

Cuando Edward Snowden destapó los programas de espionaje de la NSA, Brasil fue uno de los países que respondió de manera más firme. Entre las decisiones que adoptó la presidenta del país (además de cancelar un viaje oficial a Estados Unidos), se encontraba el desarrollo de un sistema de correo electrónico para los ciudadanos de Brasil y el despliegue de un cable submarino propio.

En aquel momento, estaba planificado el despliegue (que culminará en 2016) del cable SACS (South Atlantic Cable System), un cable submarino con capacidad de transmisión 40 Tbps y que une Sangano (Angola) con Fernando de Noronhay Fortaleza (Brasil). A esta infraestructura Brasil ha sumado el despliegue de este cable de 5.800 kilómetros que, cruzando el Océano Atlántico, unirá Lisboa (Portugal) con Fortaleza (Brasil), con paradas en Madeira, Gran Canaria y Praia, una isla de Cabo Verde) y que será financiado tanto por la Unión Europea como por Brasil.

Si tenemos en cuenta que, según los datos de la Comisión Europea, el 90 % del tráfico de datos entre Latinoamérica y Europa termina pasando por Estados Unidos, este despliegue de la Unión Europea es una gran apuesta por la privacidad y la independencia tecnológica. Si bien es cierto que ya existía un cable submarino que unía Europa con Latinoamérica (Atlantis-2), este solamente está destinado a cursar llamadas telefónicas y no ofrece capacidad para cursar grandes volúmenes de datos (el cable entró en servicio en el año 2000).

Tender un puente directo para cursar comunicaciones de datos entre Europa y Latinoamérica es un objetivo que tanto Brasil como la Unión Europea llevan tiempo preparando. Basta echar un vistazo a un mapa de cables submarinos para darse cuenta que la mayoría de las líneas de comunicación entre América y Europa parten de Estados Unidos y pasaban o terminaban en Reino Unido; un hecho especialmente preocupante si tenemos en cuenta que el GCHQ de Reino Unido, supuestamente, es capaz de interceptar comunicaciones ópticas y que, en alguna ocasión, se ha hablado de las “habitaciones secretas” de la NSA en las infraestructuras de los operadores de telecomunicaciones de Estados Unidos.

Las infraestructuras que sustentan nuestras comunicaciones

Prácticamente el 90% de las comunicaciones de datos que cursamos terminan pasando por esas grandes autopistas de información que forman las redes de cables submarinos. Desde que en el año 1850 se tendiese el primer cable submarino de cobre para unir Francia e Inglaterra (a través del Paso de Calais), los fondos de mares y océanos se han convertido en la base para nuestras comunicaciones.

Esta gran red submarina permite unir países y continentes a través de cables que se despliegan lentamente (por medio de los “buques cableros”) y que gracias a servicios como TeleGeography o Cable Map podemos observar con bastante detalle.

Precisamente, para entender mejor la importancia del despliegue de la red BELLA de la Unión Europea podemos observar en estos mapas las infraestructuras actuales. Uno de los aspectos clave es que, tal y como comentamos, Latinoamérica y Europa solamente tienen un enlace directo (el Atlantis-2) que es para comunicaciones de voz; por tanto, Latinoamérica depende de cables que pasan por Estados Unidos.

Entre estos cables destaca el Cable submarino Panamericano (PAN-AM) une Chile, Perú, Ecuador, Colombia, Venezuela, Aruba, Panamá y Estados Unidos, cubriendo un trazado de 14490 kilómetros y ofrece una capacidad de 190 Gbps, el cable SAm-1 de Telefónica que ofrece 2 Tbps y une Estados Unidos, Puerto Rico, Brasil, Argentina, Chile, Perú, Guatemala, Ecuador y Colombia o el anillo que forma el cable ARCOS-1 entre Estados Unidos, el Caribe, México, Colombia y Venezuela entre otros países.

Imágenes: Comisión Europea, TeleGeography, Brian Yap (Flickr), Jonathan Khoo (Flickr) y Global Marine Systems (Flickr)

Facebook anunció recientemente que sus usuarios ya pueden cifrar las notificaciones que reciben por email empleando claves PGP. Este sistema consiste en una combinación te técnicas de criptografía orientadas a garantizar que un mensaje solo puede ser leído por el emisor y por el destinatario. PGP, o Pretty Good Privacy (este es el simpático significado de unas siglas que asustan a primera vista), permite lo que se llama cifrado de la comunicación end-to-end o extremo a extremo.

Este tipo de cifrado está pensado para evitar que una comunicación pueda ser interceptada por un tercero. Sin las claves necesarias para descifrar el mensaje, este tercero no será capaz de encontrar sentido a la información que ha capturado. Facebook ha implementado esta medida –que tiene que ser activada por el usuario– para sus notificaciones por email, pues las comunicaciones que se producen dentro de la red social se protegen utilizando una conexión HTTPS.

En todo caso se trata de un elemento más de seguridad en un momento en el que las tecnológicas están experimentando con soluciones de protección de este tipo. Google, que el pasado año se mostraba favorable al uso de PGP en Gmail, trabaja en un sistema de comunicación end-to-end, así como Yahoo. Mientras tanto, Apple ya ha reforzado su sistema operativo con esta técnica.

Son movimientos que vienen marcados por la presión social y mediática que las tecnológicas estadounidenses han sufrido tras la revelación del espionaje de la NSA. Dos años después la imagen pública de las compañías no se ha recuperado del golpe. Una manera de hacerlo es asegurar las comunicaciones y los datos de los usuarios lo más posible. Han hecho incluso más, irrumpiendo en medio del debate que se trae la Casa Blanca para regular el nivel de seguridad de los productos informáticos, pidiendo que no se tomen medidas en contra de la protección de sus servicios.

La estela del espionaje de la NSA

El programa PRISM revelado por Edward Snowden ha hecho mucho daño a las compañías tecnológicas estadounidenses. Dejando la imagen de marca aparte, las consecuencias económicas se han dejado sentir en la evaporación de contratos de miles de millones a nivel internacional. Al principio el perjuicio económico era difícil de cuantificar, solo se podían lanzar previsiones en base a los movimientos que estaban llevando a cabo gobiernos como el de Brasil, Rusia o China, orientados a reducir el uso de tecnología estadounidense.

A medida que va pasando el tiempo hay más datos para calibrar las consecuencias económicas. En un reciente estudio elaborado por el think tank Information Technology and Innovation Foundation, con sede en Washington, se estima en 35.000 millones de dólares lo que las compañías estadounidenses podrían perder en 2016 debido al programa de espionaje de la NSA. El informe señala que gobiernos y empresas están apostando por mantener dentro de las fronteras nacionales los datos de sus usuarios, lo que sería uno de los motivos principales de la pérdida de ingresos.

PGP para los emails de Facebook

La funcionalidad que Facebook ha lanzado para asegurar las notificaciones por email mediante PGP requiere de la colaboración del usuario. Este debe entrar en su perfil, pinchar en ‘Actualizar información’ y después, en la columna izquierda, ir a ‘Información básica y de contacto’. En esta pestaña aparecerá la opción de ‘Añadir una clave pública’.

Para poder continuar el usuario tiene que contar con una clave pública, lo que deberá haber generado previamente con uno de los múltiples programas que existen. De esta forma se puede agregar una clave PGP a un perfil de usuario de Facebook. El sistema se basa en una clave pública y en otra privada, que se combinan para cifrar un mensaje de tal forma que solo el receptor tiene los códigos necesarios para descifrarlo. A pesar de haber sido inventado en 1991 por criptógrafo Phil Zimmermann, el PGP sigue siendo efectivo para proteger las comunicaciones.

El sistema que ha lanzado Facebook contempla el que la red social tenga acceso al cifrado, como recuerdan desde VentureBeat, con lo que no se puede decir que las comunicaciones sean end-to-end exactamente. Posiblemente uno de los principales beneficios de establecer PGP será que en caso de olvido de la contraseña el email de recuperación que nos llegue lo hará cifrado, con lo que nadie podrá acceder a él aunque nuestra cuenta esté intervenida.

Imagen: C_osett

Tras las revelaciones del caso Snowden y los programas de espionaje masivo, los usuarios nos hemos concienciado sobre la importancia del secreto de nuestras comunicaciones y, por tanto, comenzamos a tomar en consideración el grado de privacidad a la hora de usar un servicio u otro.

Google anunció el cifrado extremo a extremo entre los usuarios de Gmail, precisamente, para garantizar a los usuarios de su servicio el secreto de sus comunicaciones. Siguiendo esta senda han surgido extensiones como ShadowCrypt para cifrar mensajes o el desarrollo de proyectos como Dark Mail para implementar un sistema de correo electrónico seguro e “inmune” al espionaje e intromisiones no autorizadas.

Si tenemos en cuenta que a través de conversaciones telefónicas, o incluso a través de servicios de mensajería, podemos llegar a intercambiar información sensible, tiene bastante sentido que tomemos en consideración la privacidad de nuestras conversaciones y, por tanto, que busquemos aplicaciones y servicios que garanticen el cifrado “extremo a extremo” en los dispositivos que usamos a diario.

La EFF (Electronic Frontier Foundation) publicó, el pasado mes de noviembre, un informe en el que evaluaba la seguridad de los servicios de mensajería más utilizados por los usuarios de smartphones que, precisamente, no dejaba en demasiado buen lugar a los servicios más utilizados (WhatsApp, BlackBerry Messenger, etc.).

Que un servicio ofrezca un canal cifrado entre nuestro terminal y sus servidores no garantiza el secreto de nuestras comunicaciones, debe existir un canal cifrado “extremo a extremo” (de terminal a terminal), es decir, en los servidores del servicio no debería estar accesible nuestra conversación.

Otro detalle importante es la posibilidad de hacer auditorías a los servicios que usamos, si el código fuente está accesible, al menos se puede revisar por terceros independientes y verificar que las especificaciones declaradas se cumplen y que no hay “funcionalidades ocultas” no declaradas.

Llamadas cifradas desde el móvil: Android y iOS

Afortunadamente, cada vez tenemos más opciones disponibles tanto para iOS como para Android.

Signal es uno de los productos que han desarrollado desde Open Whisper Systems y que está orientado a realizar llamadas telefónicas seguras entre dispositivos iOS (basándose en una comunicación cifrada extremo a extremo).

El uso es extremadamente sencillo: instalar la aplicación e indicar nuestro número de teléfono. Acto seguido la aplicación exporta nuestra agenda de contactos para verificar qué contactos usan el servicio y, a partir de ahí, podremos llamarles (aunque, eso sí, será una comunicación sobre la red de datos puesto que es una llamada IP sobre canal seguro).

En el caso que usemos un dispositivo Android, la misma compañía nos ofrece la aplicación RedPhone para que podamos realizar también llamadas de voz sobre un canal seguro de comunicaciones (usando, igualmente, nuestra conexión de datos o bien a través de una conexión Wi-Fi).

¿Y qué pasa si queremos establecer una comunicación entre iOS y Android? No hay ningún problema, Signal y RedPhone son interoperables; por tanto, desde Signal se pueden realizar llamadas a usuarios de RedPhone y viceversa. En ambos casos, el código de las aplicaciones está disponible para ser auditados y las comunicaciones se apoyan sobre el protocolo seguro ZRTP por lo que, a priori, es un servicio confiable.

Mensajería cifrada tanto desde escritorio como en dispositivos móviles

Hay varias opciones para proteger nuestros mensajes, algunas tan conocidas como Telegram que, en su modalidad de chat secreto, ofrece cifrado extremo a extremo y en esta opción las conversaciones no están accesibles desde los servidores de Telegram.

Otra opción conocida, y extendida en el mercado, son los servicios iMessage y FaceTime de Apple; disponibles en OS X e iOS, estos servicios de mensajería y videollamadas ofrecen también cifrado extremo a extremo aunque, eso sí, el código fuente no está accesible a terceros, y debemos confiar en Apple para su secreto. 

Si lo que queremos cifrar son los SMS, una tercera alternativa para comunicarnos de manera segura desde Android es Text Secure aunque, eso sí, está orientada únicamente a mensajería instantánea vía texto.

En el caso de iOS, Signal incluye tanto llamadas como mensajería escrita; en Android, hay que recurrir a dos aplicaciones distintas, por un lado RedPhone para llamadas y, por otro lado, a Text Secure para mensajes de texto (puesto que esta aplicación sustituye al contenedor de SMS del terminal para usar un almacén seguro y cifrado y que requiere de contraseña para acceder a los mensajes almacenados).

Otro servicio interesante, y además multiplataforma, es CryptoCat. Disponible tanto para iOS como para navegadores de escritorio, este servicio de chat (mensajería escrita) nos permite cifrar los mensajes que se intercambian los usuarios (salen cifrados y no se descifran hasta que la información llega al cliente destino) y, además, es un proyecto en código abierto por lo que se puede someter a auditoría para verificar su funcionalidad. En principio, el canal de comunicación es seguro aunque desde el servicio intentan ser algo conservadores y advierten claramente que “no es una herramienta infalible a la que debas confiar tu vida” (un dato a tener en cuenta).

Cryptocat lanzó el año pasado una campaña de crowdfunding con el objetivo de poder extender sus funcionalidades pero, finalmente, lo consiguió la cantidad que se había marcado (así que, por ahora, los chats de audio y vídeo y la aplicación para Android tendrán que esperar).

BitTorrent hace tiempo que desarrolla un sistema de mensajería instantánea segura y descentralizada que, al no depender de la nube, hace que la información circule de manera directa entre los usuarios sin necesidad de pasar por servidores intermedios. Bleep, que es como se llama este servicio, pretende ser una alternativa segura y descentralizada a WhatsApp o Telegram, ofreciendo cifrado extremo a extremo y disponible tanto en iOS como en Android.

Que la comunicación sea directa entre los usuarios y, además cifrada, colocan a Bleep como una de las mejores opciones a tener en cuenta a la hora usar una aplicación para establecer comunicaciones seguras (al no pasar por servidores intermedios).

Finalmente, los usuarios de dispositivos Android deberían tener en cuenta a Surespot que podría considerarse una especie de combinación entre WhatsApp y Snapchat con cifrado de comunicaciones. El servicio nos permite intercambiar imágenes, texto o mensajes de voz mediante un canal seguro (comunicaciones cifradas punto a punto con clave simétrica AES-GCM de 256 bits utilizando claves creadas con 521 bits ECDH) y con la posibilidad de poder borrar, a voluntad, mensajes que ya hemos enviado (manteniendo siempre el control de la información que intercambiamos).

El servicio de Surespot se apoya sobre servidores intermedios, por tanto, es un factor a tener en cuenta a la hora de evaluar su uso.

Vestida completamente de negro con una sudadera de capucha, la periodista de Wikileaks Sarah Harrison pasa desapercibida entre la multitudinaria audiencia a la última charla de Jacob Appelbaum durante Re:publica, la mayor conferencia europea sobre Internet y Sociedad, celebrada hace unos días en Berlín.

La capital alemana se ha convertido en su particular exilio desde donde continúa su lucha por la libertad de expresión y la protección a quienes filtran ilegalidades como miembro de la Fundación Courage, por lo que para ella “la estatua es un excelente recordatorio para el mundo, no solo como muestra de apoyo a esta gente que ha realizado un gran acto de valentía sino también para urgir a que el siguiente paso tiene que venir por parte de la ciudadanía, para que también seamos valientes”, comenta a eldiario.es.

El 1 de mayo, mientras Berlín celebraba una de sus fiestas en la calle más representativas y populares, una enorme estatua de bronce acaparaba todas las miradas en la turística plaza de Alexanderplatz. A tamaño real, Chelsea Manning, Edward Snowden y Julian Assange se alzaban erguidos y desafiantes sobre sus respectivas sillas, mientras una cuarta silla vacía está dispuesta para ser ocupada para quien tenga “algo que decir”. 'Anything to say' es el título original de la instalación del artista italiano Davide Dormino y el autor estadounidense Charles Glass.

Anything to say? a public art project for freedom from NUfactory on Vimeo.

No es de extrañar que Harrison fuera una de las primeras personas en subirse a esa cuarta silla, tomar el altavoz y gritar al mundo entero que la estatua es “un excelente recuerdo de los actos heroicos que realizaron estas tres personas, que siguen demostrando su valentía al no redimir ante las presiones en los tribunales, al seguir contribuyendo al debate público que ellos mismos comenzaron y al seguir publicando a pesar de que su derecho de asilo siga siendo bloqueado”.

El impacto que las revelaciones de Snowden han tenido en nuestras vidas y tendrán en nuestra sociedad “está aún por ver” opina Harrison. “Muchos de los cambios que veremos tendrán que ver con modificaciones en la legislación y puede llevar años, pero sobre todo creo que el verdadero cambio vendrá por parte de la comunidad informática, que están creando las herramientas necesarias para que todo el mismo pueda protegerse por sí mismo” en lo que respecta a seguridad y privacidad como usuarios.

Pero la periodista no ha sido la única cara conocida en tomar la palabra. Junto a otros muchos ciudadanos anónimos y referentes de la libertad de expresión como Michael Rediske, responsable de la sección alemana de Reporteros Sin Fronteras, se pronunció otra histórica de la defensa de la figura del whistleblower, Annie Machon. La extrabajadora de los servicios de inteligencia británica MI5, y también presente en Re:publica, quiso compartir su experiencia de huida y exilio tras denunciar en 1996 el intento de asesinato del presidente libio Gadafi por parte de los servicios de seguridad nacional. Machon dijo:

Este proyecto de arte público para la defensa de la libertad, que ya ha sido bautizado como “la santísima trinidad de los whistleblowerswhistleblowers”, ha contado con el apoyo de figuras prominentes de distintos ámbitos como Noam Chomsky, Daniel Ellsberg o Roberto Saviano, así como de cientos de personas anónimas a través de la campaña de crowdfunding lanzada el pasado año en la plataforma Kickstarter con el objetivo de recaudar 100.000 libras para la realización de la obra.

Anything to say que sigue expuesta en Berlín, en otra localización menos turística (ufaFabrik, Viktoriastraße 18) tiene previsto comenzar una gira mundial por distintos lugares, pero para Harrison resulta especialmente significativo que haya sido presentada en la capital alemana “por la investigación que el país tiene abierta” contra las prácticas de vigilancia de la NSA dentro de sus fronteras.

Una fundación de apoyo para 'whistleblowers' de todo el mundo

Harrison alaba la valentía de estos informadores, pero ella misma ha pasado a formar parte en cierto modo de ese reducido grupo de personas que arriesgan su vida para denunciar irregularidades o ilegalidades de las que son testigos.

Un 23 de junio de 2013 la vida de la joven periodista británica cambió por completo cuando tomó la decisión de subirse a un avión en Hong Kong rumbo a Moscú para acompañar y asesorar legalmente a Edward Snowden en su proceso de asilo. Su vinculación con Wikileaks –es una de las personas de máxima confianza de Julian Assange— y Snowden en su huida tras la gran filtración, le han convertido también en “una amenaza” para el Gobierno del Reino Unido, por lo que no puede regresar a su país, tal y como denuncia la propia periodista en una columna publicada en el diario británico The Guardian.

Sin embargo, desde la capital alemana Harrison se ha convertido en un pilar indispensable en la defensa del 'derecho a saber' como una de las fundadoras de la Courage Fundation. Esta es una organización que nace para apoyar a aquellas personas que ponen en riesgo su vida o su libertad para denunciar irregularidades de calado significativo, ofreciéndoles financiación para su defensa legal y pública.

“Es muy nueva, no tiene ni un año, y ya hemos tenido tres beneficiarios, y otros que han solicitado nuestra ayuda y haremos público pronto. Desde la fundación trabajamos muy duro por seguir dando a conocer las historias de nuestros beneficiarios en los medios y asegurarnos que tienen apoyo económico para sus defensas legales”, ha recordado la británica.

Harrison, clave en la protección de Snowden

“La primera vez que se le concedió asilo a Snowden fue cuando estuve con él en Rusia, sólo para un año. Con la fundación hemos trabajado para conseguir una renovación, que se ha conseguido y ahora tiene residencia legal para tres años. Pero obviamente la pregunta es qué pasará cuando acabe ese plazo”, explica Harrison. “Y es una pregunta que principalmente tienen que hacerse el resto de países del mundo: si van a ayudar a Rusia y ofrecer apoyo para que Snowden pueda viajar, particularmente a Alemania, por ejemplo, donde hay una investigación en marcha y para la que se ha solicitado su presencia como testigo”, reclama.

El gobierno alemán decidió bloquear en 2014 la comparecencia ante el parlamento de Edward Snowden como testigo en la investigación que el Alemania tiene abierta por el espionaje de la NSA en el país. Miembros de Die Linke y el partido de los verdes presentes en la comisión de investigación habían insistido en que el extrabajador de la NSA es un testigo clave y por ello debía comparecer en persona, para evitar posibles injerencias de Rusia en su testimonio. Esta sería una oportunidad única para que Snowden pudiera entrar en el país en calidad de testigo y realizar su solicitud de asilo en persona en el país, razón esgrimida por Alemania para denegar dicha tramitación en junio de 2014.

El embrión de Psiphon surgió hace poco más de diez años pero su primer lanzamiento se produjo en 2006, como servicio P2P. En esos momentos la idea era que los usuarios de Norteamérica o Europa ayudaran a los de China o Irán a acceder contenido que en sus países estaba censurado.

Poco después el servicio, desarrollado por el Citizen Lab de la Universidad de Toronto, se constituyó en una compañía que trabaja con software libre y desde entonces se han lanzado tres versiones de Psiphon. La primera era un servidor proxy, una simple URL simple que la gente la visita y a partir de la cual acceder al contenido censurado. Después llegó la versión para Windows y en 2012, una versión móvil, que supone el despegue definitivo. Actualmente son millones los usuarios que usan la aplicación móvil –disponible para Android– con el fin de acceder a internet.

Karl Kathuria, el consejero delegado de Psiphon, profundiza en el uso de la herramienta y comenta la campaña para concienciar sobre la censura que la compañía ha lanzado recientemente en español.

¿Qué diferencias hay entre Psiphon y un servidor proxy?

Psiphon básicamente se conecta a una red entera de servidores que nosotros gestionamos. Tu conexión es federal, lo que significa que cuando te conectas a nuestra red te puedes conectar a cualquiera de los servidores. Podemos operar un número amplio de servidores en cualquier momento y la versión de tu software se conectará a uno de ellos. Esto puede cambiar en el tiempo, así que es muy difícil bloquear un software porque nuestra red está cambiando constantemente.

¿Hacen falta conocimientos técnicos para usar el servicio?

No, es muy fácil de usar para la gente. No tienes que recordar una dirección proxy y después hacerte con otra nueva cuando la anterior se bloquee. Solo tienes que iniciar el software, que encontrará un servidor en la red y te dejará acceder a Internet. Diseñamos el software pensando en la gente normal y creo que esto es lo que nos ha dado después una audiencia tan grande a nivel global. Lo importante es que un usuario inicia Psiphon y ya funciona. Aunque dejamos configurar ciertas cosas no tienes que ser muy técnico para usarlo.

¿Qué versión es la más popular?

La versión móvil, sin duda. Sobre todo en 2014 hemos visto el uso de la versión móvil crecer mucho y superar el uso de la versión de ordenador. Esto concuerda con lo que dicen los analistas de la industria, sobre el incremento de los móviles. Vemos a gente saltarse la generación de los ordenadores e ir directamente a los dispositivos móviles para acceder a Internet.

Al instalar el software en el móvil, ¿todas las aplicaciones se conectarán a partir de Psiphon?

Puedes usar todo el dispositivo a través de Psiphon, con lo que todas tus aplicaciones pasarán a través de nuestra red. Algo que hay que tener en cuenta es que esta es una aplicación que está diseñada para que accedas al contenido. No es herramienta de seguridad, no te va a proporcionar anonimato, solo una capa de privacidad en la red local.

¿Dónde se está usando su aplicación?

El año pasado hubo un par de historias importantes. La primera en Turquía, cuando Twitter fue bloqueado. La gente buscaba formas de tuitear, aunque era un bloqueo muy simple de DNS. Encontraron nuestro software y se lo pasaron entre ellos. Y esto fue sobre todo en los móviles. En Irán, también el año pasado, bloquearon todas las redes sociales por un periodo breve. Llegaron 1,8 millones de personas a nuestra red desde Irán y esto fue un 95% móvil.

¿Qué utilidad tiene su servicio en países donde no suele haber censura?

Tenemos a gente de todo el mundo usando el software y no es solo para acceder a sitios bloqueados. El software se puede usar como una herramienta muy básica para protegerte, por ejemplo si estás en una conexión WiFi abierta, en un cibercafé o un Starbucks. Psiphon te dará una capa de protección contra cualquiera en esa red que quiera rastrear tu tráfico y ver lo que estás haciendo.

¿Por qué han lanzado ahora su campaña anticensura en español?

Hemos lanzado una serie de avisos diseñados para concienciar sobre la libertad de Internet, en el contexto de lo que está haciendo Psiphon. Para que la gente sea consciente de que este tipo de cosas pueden suceder, que las redes sociales pueden ser bloqueadas, al igual que los sitios web personales, y que está ocurriendo en algunas partes del mundo. La campaña en España se ha puesto en marcha porque cuando estos avisos se lanzaron por primera vez mucha gente estaba hablando de ellos en España, así que decidimos sacarlos en español también. Y así la gente en España y en países hispanohablantes podía saber lo que está pasando. Tenemos a mucha gente usando nuestro software en Latinoamérica, así que los países hispanohablantes son importantes para nosotros.

¿Cuál es el objetivo de la campaña?

Queremos que la gente se dé cuenta de lo que pasa en el mundo. Creemos que es importante que la gente sepa que sitios como Twitter o YouTube a veces se bloquean en ciertos lugares. Y que nosotros estamos ahí para ayudar a la gente a que permanezca conectada. En Irak, por ejemplo, la razón por la que se bloquearon las redes sociales fue por la llegada del ISIS. Pero las consecuencias de bloquear las redes sociales tuvieron un amplio alcance. La gente normal, que quería compartir fotos familiares u otro contenido, no podía. Y esto es para lo que la gente usa nuestro software. Quieren conectarse con gente de fuera del país, amigos o parientes. Es importante que la gente en España y en todo el mundo sepa esto.

La aplicación está disponible para Windows y Android, ¿tienen planes para expandirse a otros sistemas operativos?

Sí. Trabajamos constantemente en proyectos de investigación buscando el lanzamiento en nuevas plataformas. Ahora estamos centrados en las dos que tenemos porque son las que más se usan en los países donde estamos más activos. Pero tenemos planes para lanzar en otros sistemas operativos también. Aunque preferimos no decir nada hasta que no estén listos para lanzarse.

¿Qué importancia tiene el código abierto para Psiphon?

Queremos que la gente esté cómoda usando nuestro software y que sepan qué es lo que estamos haciendo. Tener el código en open source quiere decir que cualquiera puede revisarlo. Somos muy disciplinados a la hora de asegurarnos de que cada vez que hacemos un lanzamiento el código fuente esté disponible. Nuestros desarrolladores son muy activos con cualquiera que envíe un informe o una sugerencia en el ámbito del código abierto.

Proporcionan servicios comerciales, ¿de qué tipo?

Sobre todo trabajamos con emisores de contenido. Trabajamos con la Broadcasting Board of Governors, donde están Radio Voice of America, Radio Free Europe, Radio Free Asia. Lo que hacemos es darles sus propias versiones de Psiphon. Por ejemplo hay una versión de VOA (Voice of America), que en cuanto se lanza carga la página de VOA y hace que los usuarios accedan a su contenido antes de ir a cualquier otro sitio. Es una manera de que los emisores de contenido alcancen una audiencia que de otra forma no podría alcanzar, porque sus sitios están bloqueados.

¿Es sostenible económicamente la empresa?

Sí. Esto es un negocio y trabajamos con otras organizaciones en este sentido, para asegurar que podemos cubrir el coste de la red que tenemos.

La cara de Leo Selvaggio es perfectamente reconocible. La piel lisa se extiende por unas mejillas sonrosadas y se topa con una perilla ligera que enmarca la boca, nariz y cejas guardan cierta simetría. De los ojos no se puede decir mucho. Su rostro es conocido por la máscara que ha creado con su propia cara. Por eso los ojos de Selvaggio son la única parte que permanece oculta para el gran público.

Este artista reside en Chicago y tal vez esta circunstancia le haya impulsado a luchar en la medida de sus posibilidades contra el reconocimiento facial, pues la ciudad posee una red de 24.000 cámaras instaladas. El pasado año se produjo el primer arresto de una persona en base a este sistema de videovigilancia y a un algoritmo que identifica los rasgos de la cara.

La adopción de la tecnología de reconocimiento facial está creciendo y sus aplicaciones se expanden. Desde que en 2011 Facebook acercara al gran público esta técnica con el etiquetado automático de fotos, la detección se ha hecho más precisa. Sin embargo, sigue fallando, a pesar de lo cual en Estados Unidos las autoridades ya están empezando a usar la tecnología para practicar detenciones.

El programa de espionaje masivo de la NSA revelado por Snowden también espolea la inquietud frente al reconocimiento facial. Estos son los argumentos que manejan algunos artistas que han puesto en marcha iniciativas para que la gente evite ser identificada con esta tecnología. Leo Selvaggio es uno de estos artistas. A él se le ocurrió que si todo el mundo tuviera la misma cara el reconocimiento facial sería inútil. Y, por qué no, esa cara podría ser la suya.

Selvaggio creó el diseño en tres dimensiones de una máscara con una recreación hiperrealista de sus facciones. El modelo se puede fabricar con una impresora 3D gracias a una resina pigmentada que imita el tono de piel y el pelo. El proyecto se llama URME Surveillance y la idea es que cualquiera pueda comprar una máscara para llevarla puesta en la calle. De esta forma se podría dar la circunstancia de que hubiera cientos de Leos caminando por las calles de una ciudad, como en una suerte de V de Vendetta o Anonymous, pero con facciones reales.

La máscara guarda el suficiente detalle como para confundir a los algoritmos de reconocimiento facial y al mismo tiempo evita llamar la atención de la gente en la calle. Esto último no lo consigue el maquillaje de Adam Harvey. Su propósito también es evitar que un software pueda identificar a una persona mediante la lectura del rostro, aunque el método es un poco más llamativo para emplearlo en sitios públicos.

Harvey, también artista y asentado en Nueva York ha creado el proyecto Computer Vision Dazzle o CV Dazzle con el mismo fin que Selvaggio puso en marcha su propia iniciativa. En este caso el impulsor del proyecto estudió el funcionamiento de la tecnología y supo que esta se centraba en ciertos patrones a la hora de analizar las imágenes. Los tonos claros y oscuros de las mejillas o la forma en que se distribuye el color en el puente de la nariz son algunos de los elementos que hacen único a un rostro humano. La idea de Harvey es camuflarlos para obstruir la identificación.

Usando maquillaje y peinando el pelo de manera que quede frente a la cara, Harvey trata de convertir un rostro en un puñado de píxeles irrelevantes para un algoritmo de reconocimiento facial. Normalmente basta con disimular el puente de la nariz y esconder al menos uno de los ojos.

Un acto de protesta

Selvaggio lanzó una campaña en Indiegogo para difundir su proyecto (en el vídeo de presentación se puede ver su cara real) y Harvey ha adquirido notoriedad con su iniciativa. Ambas tienen la vocación, no solo de cubrir el rostro de la gente con una máscara o maquillaje, sino de dar un toque de atención sobre el uso del reconocimiento facial.

La máscara URME cuesta 299 dólares, pero Selvaggio también vende caretas de cartón por un dólar cada unidad, mientras que el diseño en 3D se puede descargar gratuitamente. En cuanto a Harvey, sostiene que lo que realmente hace su maquillaje es desinformar al software. Si bien es consciente de que su método llama la atención por la calle y está lejos de ser empleado masivamente.

Lo sabemos: las grandes multinacionales de internet como Facebook, Google, Apple, Skype, Yahoo, Microsoft almacenan nuestros datos personales y los transfieren desde la Unión Europea a Estados Unidos sin que exista ningún tipo de control por parte de las autoridades de protección de datos de cada país. Ahora se celebra en el Tribunal de Justicia de la Unión Europea en Luxemburgo una vista oral del caso Europa vs Facebook, un precedente que ambiciona cambiar las reglas del juego.

Es el típico caso de David contra Goliath, con un joven abogado austríaco llamado Max Schrems en el papel de David y Facebook en el del famoso soldado de tres metros que asediaba la ciudad de Israel. Durante un semestre de estudios en Estados Unidos, Schrems tuvo la oportunidad de escuchar al abogado de Facebook Ed Palmieri, especializado en privacidad, en una conferencia y constatar su desconocimiento de la legislación europea respecto a la protección de datos.

Ya de regreso en Austria, en junio de 2013, el joven Max empezó una serie de denuncias ante las agencias responsables de la Protección de Datos en los países sede de las empresas: contra Facebook y Apple en Irlanda, Skype y Microsoft en Luxemburgo, y Yahoo en Alemania.

En Irlanda, el Tribunal Superior decidió pedir al Tribunal de Justicia de la UE que interpretara la legislación europea al respecto y que valorara si es aplicable el concepto de safe harbor (puerto seguro) por el que las grandes empresas aseguran proteger los datos que recaban aunque los transfieran a Estados Unidos y destruirlos al cabo de un tiempo. 

Este parece ser un punto básico del equipo internacional de abogados que representará a Max Schrems, una vez descubierta la existencia del programa PRISM por el que –gracias a Edward Snowden– se supo que la NSA de Estados Unidos accedía masivamente a datos.

Un abogado junior con 25.000 codemandantes

La vista oral en Luxemburgo coincide con la campaña de Amnistía Internacional en contra de la vigilancia masiva ilegal #DejenDeSeguirme. Pero esta no es la única demanda de Schrems contra Facebook. Al decidir ejercer su derecho y pedir qué información había recabado Facebook sobre él en sus tres años como usuario de la red social, el austríaco recibió un CD con 1.200 folios y, por ello, inició una demanda colectiva por violación de la privacidad.

Después aceptó a los primeros 25.000 usuarios como codemandantes, para los que pide 500 euros por cabeza, “una cantidad deliberadamente baja” por violación de privacidad. Un tribunal vienés verá esta otra causa el 9 de abril y decidirá sobre la solicitud de compensaciones. Esta compensación no sería el mayor prejuicio para Facebook, el objetivo es que el tribunal declare que sus prácticas empresariales son ilegales bajo la legislación europea.

Schrems aboga activamente por el fin del monopolio de las redes sociales y defiende que la legislación europea debería imponer a los proveedores a una interfaz abierta. Y muchos lo apoyan: lleva recogidos 60.000 euros de más de 2.000 personas en crowdfunding. 

Tener un prólogo escrito por el hombre más buscado del planeta puede parecer la mejor razón para leer este libro, pero en realidad, no lo es. Hay mucho más en el Pequeño Libro Rojo del Activista en Red que ha escrito Marta Peirano, jefa de Cultura de eldiario.es: es una maravillosa introducción a las medidas de seguridad que todos deberíamos estar usando ya a dos años de las revelaciones de Edward Snowden, el exanalista de la NSA que reveló el mayor espionaje conocido hasta la fecha.

Cuando Snowden reveló lo que sabía desde aquella habitación en el hotel Mira de Hong Kong, Internet dejó de ser el espacio de libertad en el que creíamos haber vivido durante sus primeros años. A partir de ese momento tuvimos que darnos cuenta forzosamente de que ya no somos ciudadanos protegidos por un estado y consumidores cuya intimidad es respetada por empresas. Tuvimos que protegernos y empezar a conocer las medidas de seguridad para evitar que nuestros datos terminen en quién sabe qué servidores y con qué fines. Sí, lo sospechábamos, pero Snowden nos confirmó que era cierto.

La internet como reducto de libertad y anonimato, la gran de red de comunicaciones por donde circulan desde hace tiempo la mayoría de nuestros diálogos personales, tanto mediante email, chat, SMS y llamadas, como nuestros archivos de fotos, vídeos y sobre todo nuestras configuraciones se convierte ahora en un espacio de mapeo. Todo dato y relación se convierte en huella y traza el retrato más perfecto de cada uno de nosotros: un archivo biográfico impensable hasta ahora.

La privacidad no es algo que debamos justificar sino un derecho fundamental por el que muchos han luchado. Nuestros datos son sólo nuestros y los profesionales que los manejan tienen obligación de saber cómo protegerlos y cifrarlos: periodistas, activistas, abogados, empresarios. Tenemos que empezar a hablar de criptografía, de PGP, y de navegación entre capas de cebolla. Desde nuestra sección de Tecnología en eldiario.es, Diario Turing, hemos escrito bastante sobre esto, y ahora tenemos al Pequeño Libro Rojo, que resulta un excelente compendio de todas estas cuestiones de un modo práctico para todos los que transmitimos datos mediante cualquier dispositivo.

El libro de Marta Peirano se divide en dos partes: la primera que traza un excelente resumen explicativo de la situación actual de vigilancia por parte de empresas y gobiernos en la que vivimos, quizás no muy conscientemente, a juzgar por las medidas de seguridad cotidianas de la mayoría.

La segunda mitad intenta dar la solución a ese problema: es el manual en el que se explican, con un lenguaje fácilmente entendible, las distintas herramientas que podemos utilizar, disponibles para cualquiera de los sistemas operativos mayoritarios, tanto para ordenadores de escritorio como para dispositivos móviles. No es un libro técnico, sino uno que busca abarcar más bien las situaciones en las que podemos utilizar métodos más seguros y cómo hacerlo, y lo cuenta con gracia. Allí se habla de contraseñas seguras, de tipos y conexiones de los emails y cómo cifrarlos usando PGP. También se explican protocolos como SSL y conceptos como los de VPNs, además de métodos para cifrar discos duros, y uso de Tails y Tor para navegación segura. Al fin de cuentas, el primer libro prologado por Snowden viene con la garantía de su respaldo de las herramientas que allí se proponen.

Está editado por la editorial Roca, dentro de la colección de libros eldiario.es y ya se ha agotado en algunas tiendas. Se puede leer gran porcentaje de sus páginas en Google Books y se encuentra a la venta en su versión de papel y digital en Amazon

y en las principales librerías.

¿Qué fue primero en la Deep Web: la oscura leyenda del anonimato y los mercaderes sórdidos de Silk Road o la comunidad de hackers y activistas que luchan por los derechos de la sociedad civil en lo que quizás ya sea el único reducto no controlado por la NSA? De lo primero se ha hablado ya demasiado en los medios de forma bastante desinformada, como si uno escribiese sobre un barrio sólo cuando hay un asesinato en una de sus calles. De lo que no se habla tanto -quizás  porque la mayoría de periodistas y medios tradicionales en España no lo usan aún- es de la red Tor y la comunidad que trabaja alrededor de ellos en lo que se denomina Proyecto Tor.  

Alrededor de 60 miembros de Tor aprovecharon el Circumvention Tech Festival en Valencia para verse las caras. Hablamos con ellos para saber más sobre las personas detrás de la red segura que la misma NSA definió como “el rey de la seguridad del anonimato en internet, sin sucesores al trono”. 

Una red que protege tus datos

Tor es una red de túneles virtuales en internet que permite a individuos y organizaciones mantener su seguridad y privacidad, y a desarrolladores de software construir nuevas herramientas de comunicación con opciones de privacidad incluidas. En un mundo post Snowden en el que casi todos los canales que usamos a diario se han revelado como vulnerables a las escuchas, 11 millones de usuarios de internet usan Tor y alrededor de 750.000 lo hacen cada día, en uno de los servicios que continúan siendo seguros ante la NSA. 

Entre quienes usan Tor hay periodistas que cuidan la seguridad de sus fuentes, empresas que comparten análisis de la competencia y quieren tener sus documentos a salvo de escuchas, grupos de ayuda de personas con enfermedades o víctimas de abuso que se reúnen en foros, activistas por las libertades civiles e incluso una rama de la marina de los Estados Unidos. Todos ellos usan Tor para evitar el análisis del tráfico o la vigilancia de las redes y mantener la confidencialidad de sus datos y comunicaciones.

Tor es software libre y funciona como una red superpuesta sobre internet en la que el encaminamiento (routing) de los mensajes intercambiados entre usuarios no revela su identidad (es decir su dirección IP) y mantiene oculta la información que viaja en ella. La web metrics.torproject.org estima que los usuarios directos de la red son unos dos millones y medio, aunque aquí sólo están contados los clientes que se conectan directamente y no los denominados “bridges”, que son nodos que simplemente actúan transmitiendo la información y se mantienen ocultos. 

La idea original de Tor, el software del “enrutamiento encebollado” fue desarrollada por algunos ingenieros informáticos empleados por el laboratorio de investigación de la Marina de Estados Unidos, que luego liberó el programa. A partir de allí la EFF aportó fondos para que Roger Dingledine y Nick Mathewson, dos de los programadores que ayudaron a su desarrollo, pudieran seguir con el Proyecto Tor.

Mathewson comenzó a programar para Tor en 2003 y en ningún momento de la entrevista que le hacemos se identifica como uno de los fundadores. Simplemente dice que escribe código para Tor desde hace años y que es un trabajo que le da muchísimas satisfacciones. Según Mathewson, la mejor parte de escribir código para Tor es “que estás trabajando para que gente en todo el mundo tenga privacidad, pueda tener libertad de expresión y para vencer a la censura”. 

Cómo se organiza y cómo se financia Tor

El objetivo general del Proyecto Tor es “hacer que internet sea utilizable sin que te puedan espiar o censurar”, en palabras de Noel Torres, soporte al usuario de Tor en español. Tor es lo que en España definiríamos como una fundación, pero en su equivalente norteamericano.

Unas 30 personas trabajan a sueldo a tiempo completo para gestionarla, dirigirla y firmar contratos y cheques con programadores y otros trabajadores, uno de los cuales es Torres, una de las personas que habla español en Tor y que se dedica también a traducir.

Además, especifica Torres, hay “una plétora impresionante de gente que trabaja con distintos grados de implicación: desde sus casas o desde sus universidades”. Entre esos 4.000 voluntarios hay programadores, personal de gestión, de publicidad, de traducciones o soporte para hacer que Tor sea más fácil de utilizar. 

El Proyecto Tor se financia a través de distintas entidades. Parte del desarrollo lo financian entidades del gobierno de los Estados Unidos, que da dinero con ciertos objetivos específicos, por ejemplo, que Tor sea utilizable desde Irán. Además, el resto del dinero viene de fondos para la investigación, porque el núcleo del programa es investigación puntera en criptografía, o de donaciones del procomún, según nos explica Torres. 

Trabajo colaborativo con las fuerzas de seguridad

Preguntamos a Torres si trabajan con algún gobierno o si alguna entidad estatal o administrativa se ha puesto en contacto con ellos. Niega con la cabeza. “Trabajamos de un modo voluntario, a iniciativa nuestra, con las fuerzas del orden para explicarles lo que es Tor y que no le tengan miedo, pero intentamos en todo lo posible no depender ni ligarnos de ninguna manera a ningún gobierno, ni el americano ni ninguno”.

Lo han hecho en Estados Unidos, donde organizaron charlas para las fuerzas de seguridad y policiales. Según Torres, “entendieron Tor, para qué se usa, tanto para lo bueno como para lo malo, cómo se usa y qué se puede y qué no se puede pedir a Tor que haga, o al proyecto. Y una vez que tienen esa información estamos contentos. Lo que hagan con ellla no es asunto nuestro”. En España no han realizado ninguna campaña de concienciación de las fuerzas de seguridad porque la parte de soporte en español del proyecto recién está empezando. 

Una de las pocas cosas en las que confiar 

Hace unos meses, los desarrolladores de Proyecto Tor anunciaron en el blog oficial que la red había sufrido un ataque y que había sido comprometido. “Lo que ocurrió en julio del año pasado fue que detectamos una gran cantidad de nodos en la red ejecutando Tor y siendo parte de la red Tor que estaban comportándose de la misma manera y que parecían haber sido activados por la misma persona de la organización”, explica Torres. “Cuando en general en una red descentralizada una parte importante de los nodos los maneja la misma persona, la red se ha vuelto centralizada y sería posible al menos técnicamente espiarla o desbaratarla. Nosotros lo que hicimos en el mismo momento en que nos dimos cuenta de eso fue anular esos nodos e  impedir que los clientes se conectaran a ellos”. 

¿Es vulnerable Tor? Torres responde diciendo que la criptografía en sí misma no es vulnerable. “Es, como decía Snowden, una de las pocas cosas en las que realmente puedes confiar. Otra cosa son las herramientas y redes basadas en esa criptografía. La red, en la que por su propio carácter abierto cualquiera puede entrar a ejecutar un nodo, tiene la posibilidad de ser vulnerable por ataques como el de julio del año pasado. Por diseño, queremos que pueda entrar cualquiera”. 

La vida por un software

Como empleado a tiempo completo del Proyecto Tor, Nick Mathewson, uno de los primeros desarrolladores y fundadores del Proyecto Tor, recibe una remuneración que él describe como “un buen salario, competitivo”, aunque menos de lo que ganaría en la empresa privada. Dice que programar para Tor es intrincado pero el trabajo es muy satisfactorio, algo que también comparte Torres: “Recuerdo el caso de un usuario, no te puedo decir de dónde, que me contactó porque necesitaba poder usar Tor porque ni la empresa ni la red del gobierno le permitían hablar con su familia en su país de origen. Tor era la única manera que tenía era utilizar páginas web que no eran accesibles desde su lugar de trabajo. Y después de saltarse esas dos barreras de censura, esta persona pudo hablar con su familia todas las semanas”. 

Mathewson sonríe cuando le pregunto cuál es la razón que encuentra para seguir cuando las horas de trabajo se extienden. “Tengo personas en diferentes países que me dicen que sus amigos están vivos por mi software. Yo no pregunto detalles, no puedo hacerlo porque eso corresponde a su privacidad, y saber detalles de la vida de una persona no es algo que ayudaría, pero agradezco saber que puedo ayudar a algunas personas”.

Gráfico: Information Geographies, Oxford Internet Institute

Marta Peirano es periodista y actualmente dirige la sección de Cultura de eldiario.es. Acaba de publicar El pequeño libro rojo del activista en la Red (Roca, 2015), un ensayo-manual prologado por Edward Snowden sobre la seguridad en la Red en el que ofrece consejos para asegurar nuestras comunicaciones. Marta viene vestida con una camisa caqui y lleva el pelo corto. Al verla me acuerdo de 1984, una obra que late fuertemente dentro de su libro, pero no se lo digo hasta ahora. A pesar de que me he leído el manual, nuestra conversación me lo amplía: Marta es capaz de estas cosas estupendas y, encima, le da tiempo a amenazarme de muerte. Lo normal.

¿Qué es “El pequeño libro rojo del activista en la red” y a quién va dirigido?

El libro es dos cosas: es un ensayo que explica la necesidad de utilizar herramientas criptográficas en el entorno del periodismo y, además, es un manual con herramientas para cifrar conversaciones o proteger comunicaciones. Lo escribí pensado en periodistas pero creo que es una buena introducción a la criptografía para cualquiera que quiera saber cómo mandar un correo seguro, navegar sin que te sigan…

La frase de Philip K. Dick del inicio resume la filosofía del libro: “Si la pantalla de tu televisor te vigila, invierte los cables por la noche, cuando te permitan tenerlo apagado”.“Si la pantalla de tu televisor te vigila, invierte los cables por la noche, cuando te permitan tenerlo apagado”

Totalmente. Lo que te está diciendo es eso: la única opción que te queda es la desobediencia civil e invertir los cables.

¿Estamos más vigilados ahora o, simplemente, nos hacen creer eso, porque el flujo de comunicaciones es de tal tamaño que es imposible de abarcar?

Estamos más vigilados ahora, pero no porque antes los gobiernos no quisiesen, sino porque la tecnología actual les proporciona un nivel de detalle y de intromisión que es completamente novedoso. Nunca antes ha habido tantas tecnologías preparadas para controlar a la población: nos vigilan con cámaras en las carreteras, con escuchas en los móviles, se entrometen en las comunicaciones de Internet… además, nos vigilan de manera alegal. Como la legislación todavía no se ha puesto al día con las nuevas tecnologías, pues tienen un salvoconducto en el que se escudan.

Supongo que te refieres a si merece la pena sacrificar nuestra libertad de comunicaciones a cambio de seguridad. Por ejemplo, en momentos puntuales de amenaza terrorista…

Sí, justo. Creo que esa es una pregunta trampa desde el principio. Según esa premisa, a cambio de sacrificar derechos civiles, mejorará tu calidad de vida, tu seguridad y, por tanto, tu tranquilidad. Pero no es verdad. Históricamente sabemos que, cuando hay más mecanismos de control en manos de las autoridades, se cometen más crímenes, lo que pasa es que los cometen las autoridades, no la gente de la calle.

Vale pero, a nivel usuario, por poner un ejemplo muy básico: el Facebook, en el que pones todos tus datos (edad, sexo, procedencia, gustos…), también te sirve a ti para mantener informados a tu familia o amigos, o el caso de Amazon, que muy bien, das muchos datos, pero, cómodamente y gracias a esto, te descubre cosas que sí te apetecería comprar. Estoy haciendo de abogado del diablo. O no.

Efectivamente, la gente no entrega sus datos sin tener algo a cambio. Aquí la cuestión es si nuestros derechos civiles o nuestra intimidad valen tan poco como saltarse dos pasos al comprar un libro o tener que hacer el esfuerzo de preguntar por alguien para saber de él. Los derechos civiles son los derechos que garantizan nuestra capacidad para participar en la sociedad o en la política del país en el que vivimos. Es nuestra responsabilidad como ciudadanos rechazar cualquier proceso que recorta esos derechos. Esto es la democracia y no es solo ir a votar cada cuatro años. Hacer democracia es defender una estructura básica en la que todos podemos participar en la vida pública.

Consejos para que el periodista tenga la seguridad de que está teniendo seguridad.

Primero, hay que saber que la seguridad perfecta no existe. No hay cerradura en el mundo que no se pueda abrir. Lo que podemos hacer es ponérselo muy, muy, muy difícil. Para periodistas, tres consejos. Primero, que usen Linux porque es mucho menos propenso a virus, malware, spyware... y, además, porque Linux ofrece muchas herramientas que les van a ser útiles. Les diría también que fuesen higiénicos…

A un periodista, le pides que sea higiénico… (Risas)(Risas)

Sí, a la hora de dejar rastro por ahí. Les diría que tuvieran al menos un correo seguro: lo cuento en el libro mediante la historia de Snowden y Greenwald, puedes perder la exclusiva de tu vida por no tener habilitado un método de comunicación seguro. Todos tenemos la idea de que son herramientas difíciles de usar, una cosa de hackers, y no es así. El periódico inglés The Guardian tiene una página, The Guardian Project, con un montón de apps para el móvil con este objetivo.

¿Es un prejuicio que el software libre funciona peor que el comprado?

Es un mito absurdo: la NASA y el CERN funcionan con Linux. Internet funciona con Linux. Todas las organizaciones e infraestructuras que son demasiado importantes para cometer errores funcionan con Linux. Esto por un lado, por el otro Linux tiene como característica principal que tienes acceso al código. Cuando llega un señor y te dice que esta herramienta funciona con seguridad, pero no te deja ver cómo funciona la herramienta, te tienes que fiar de él. Con Linux no hace falta fiarse, puedes valorar si esto es verdad, aunque no seas informático ni experto: hay miles de personas que sí lo son y que las verifican. Linux es transparente pero Windows u OSX, no.

Entre las muchas herramientas de las que hablas en el libro y que me interesan: el Tor, que la red Fíltrala utiliza.el Torla red Fíltrala

Es una red especial que haces con personas conectadas a ti. Está en una red que llaman “Dark Web”, que es simplemente la parte de Internet que no está indexada, es decir, que no aparece en buscadores. Tor se dispone de una manera en la que cuando tú mandas un mensaje, ese mensaje rebota en la red y tú sabes a quién lo mandas y a partir de ahí nadie más sabe nada. La persona que te lo manda sabe que viene de ti pero cuando se lo manda a una segunda persona, esta última ya no sabe que procede de ti. Fíltrala usa Tor pero también utiliza un sistema parecido a Wikileaks en el que ni siquiera nosotros sabemos quién nos manda la información.

El mal. La NSA. Aparece siempre por encima del libro, como Fú Manchú de Sax Rohmer. Yo tengo un problema metodológico con esto, que también tenía Graham Greene con las agencias de inteligencia de su época, ¿cómo es posible que la NSA analice o detecte toda la información que se emite?

Hay varias cosas: la mayor parte de las infraestructuras de Red (servidores y demás) que usamos en España pertenecen a empresas norteamericanas. Esto significa, entre otras cosas, que toda esa información está regulada por legislación norteamericana. Por tanto, nosotros, españoles, tenemos los mismos derechos que el nigeriano sin papeles de diecisiete años que acaba en un centro de detención. De hecho, su propia legislación anima a las autoridades a vigilar a extranjeros. El gran escándalo en Estados Unidos ha sido que estas agencias estaban vigilando ¡a ciudadanos norteamericanos! El gran problema de la NSA es que tienen la tecnología adecuada para irse de madre, y se van de madre.

La nube y los data-centers, que son los lugares físicos donde se almacena esa información. ¿Es mejor tener la información sensible en la nube o en una memoria externa?

Evitar la nube es imposible. Todo el mundo está usando Gmail, Twitter… eso es la nube. En realidad, la nube son concentraciones masivas de servidores que están en lugares concretos, ocupan mucho sitio y gastan mucha electricidad. Las nubes pesan mucho. Todos tenemos esa información en esos servidores de sabe dios dónde y de sabe dios quién. Volvemos a una de las ideas del libro: es imposible usar estas infraestructuras sin dejar rastro a tu paso. La única opción que te queda es usar criptografía: hacer que esa información les resulte inservible, para eso doy consejos en el libro.

Criptografía o, entre muchas de sus patas, tener contraseñas seguras aparte del nombre de mi perro, mi día de nacimiento o el nombre de mi primera novia.

Me deprimí mucho cuando leí la lista de las contraseñas más usadas del planeta. La primera, con casi un 80%, es “1234”. El consejo que doy es utilizar una web especializada: hay sitios que te generan contraseñas muy seguras. El tema es que nosotros lo tenemos difícil para recordar esas contraseñas porque son del estilo de “Cx4gddd7nI3”. Para solucionar esto, podemos utilizar un llavero, un USB externo donde estén todas nuestras contraseñas y que sean diferentes entre sí. Guarda tus contraseñas en el USB con una que tú sí te sepas y ten una copia en tu casa y otra en el llavero.

La última pregunta. ¿Cómo se hace para que te escriba un prólogo Snowden?

Me encantaría contártelo pero, si lo hiciese, tendría que matarte.

Una activista que viajó desde Barcelona para participar en el Circumvention Tech Festival en Valencia se llevó una sorpresa bastante desagradable al encontrar un dispositivo que parece ser un rastreador adosado a su coche.

El dispositivo, al que eldiario.es tuvo acceso, estaba unido mediante imanes en la parte interna del guardafangos de la rueda izquierda de su Opel Astra y tenía conexión mediante cables a una batería que también estaba pegada al coche.

El aparato incluye una antena que salía externamente y una tarjeta SIM de la marca Movistar para acceso a una red GSM. Todo el dispositivo estaba envuelto en cinta aislante negra. Dentro, se encuentran borradas manualmente o alteradas las identificaciones en la carcasa de los circuitos integrados, lo que dificulta conseguir más información sobre el dispositivo.

Controles rutinarios

La mujer, entrevistada por eldiario.es, relató que cree que esto puede estar relacionado con dos hechos anteriores. El primero, cuando volvía de dar una charla en París sobre vigilancia el 8 de febrero, tras cruzar la frontera francesa, una patrulla del cuerpo nacional de policía le da el alto en el peaje de la Junquera.

“Me dijeron que era un control rutinario, lo que me pareció curioso, no lo parecía. Me hicieron bajar del coche y un agente se lo llevó fuera de mi campo de visión. Yo pedí estar presente mientras tocaban mis cosas, sólo eso, pero no me dejaron. Tuvieron el coche más de una hora y luego me lo devolvieron y me dejaron seguir. Sólo me dijeron que ”no habían encontrado nada de interés“ y que se trataba de un control rutinario”. Todo esto sucedió entre las 11 y 12.15 de la noche. “Yo intenté hacer una llamada con mi móvil mientras esto sucedía y ellos me lo quitaron y cortaron la comunicación, me sentí en una situación de total desprotección”.

El segundo sucedió esta misma semana, el 1 de marzo, al llegar a Valencia, también para dar una charla sobre vigilancia. Estaba bajando sus pertenencias del coche cuando llegó una patrulla de la policía nacional y le pidió documentación a ella y a todas las personas que se encontraban en ese momento alrededor del vehículo. Ella estaba mal aparcada y cuando preguntó por la multa que le tocaba por eso, los agentes le dijeron que no eran de la policía local y que se trataba de un “control rutinario”.

Mismas palabras que le trajeron a la memoria el incidente anterior en La Junquera. “Era muy extraño”, dice la activista. Unos días después, ve unos cables y encuentra el dispositivo. “Tengo entendido que es un rastreador GPS/GSM, por el cual a través de satélites recibe la geolocalización del vehículo y transmite esos datos”.

Una anécdota irónica

Ayer ha puesto una denuncia contra la policía en los juzgados de Valencia, aunque dice que tiene dudas sobre que vaya a resolverse el caso. En los juzgados le comentaron que si pone una denuncia así, probablemente termine archivada.

La activista no ha querido que se publique su nombre. Le preguntamos por qué. “Cuando la gente lea esto enseguida irá a preguntarme '¿qué tienes que ocultar?', en vez de centrarnos en el hecho de que aquí se invade la privacidad de una persona”. “Afortunado o irónico”, la mujer intenta buscar una palabra para calificar lo que ha pasado, en este contexto, donde “venimos a un encuentro donde hay muchas personas de otros países como Irán, Túnez, Nigeria, Estados Unidos, América Latina, compartiendo sus experiencias de invasión a la privacidad a todos los niveles.

Edward Snowden, exanalista de la NSA que desveló el espionaje masivo de esta agencia, está dispuesto a volver a Estados Unidos, con la condición de que le den garantías de que se le practicará un juicio justo. Esto ha asegurado uno de sus abogados, Anatoli Kucherena en una rueda de prensa esta mañana que recoge El Mundo. 

Snowden ha recibido una comunicación del fiscal general de Estados Unidos en la que le dan garantías de que no le ejecutarán si vuelve. Según Kucherena, esto no es suficiente y hoy nadie le podría dar una garantía de un juicio imparcial. En una rueda de prensa ha explicado que “Lo que se nos garantiza no es un juicio justo, sino que no será ejecutado, y lo hace un fiscal, que de acuerdo con la ley, no puede determinar la decisión de un tribunal”.  

El letrado también ha dicho que “Estados Unidos no nos ha dirigido hasta ahora ninguna solicitud oficial de extradición”. Edward Snowden se encuentra en Rusia desde la filtración de los documentos sobre el espionaje masivo de Estados Unidos a ciudadanos de ese país y del resto del mundo. 

Los hechos ocurrieron los pasados 18 de marzo y 2 de junio de 2014. Un usuario, a través del nickname 'Ms Hutchcraft', escribió en el foro Celebrities de la edición digital de la revista Vogue los apelativos “perra” y “zorra inmunda” dirigidos a la actriz y presentadora Patricia Conde. Tras la aparición de los comentarios, Conde interpuso una querella ante el juzgado de instrucción nº 38 de Madrid que, sin embargo, fue sobreseída en diciembre al no considerarse un delito grave, según la Ley 25/2007.

El caso, no obstante, acaba de dar un giro de 180 grados, ya que la Audiencia Provincial de Madrid ha dictaminado en un auto que sí se admita a trámite esta querella, puesto que “insultar a través del más potente medio de difusión social de nuestro tiempo incrementa los efectos lesivos del derecho al honor y que establecer trabas a la persecución penal favorece su impunidad”. Si esto sucede, el autor, ahora, podría ser investigado.

Esta sentencia abre un nuevo frente en la interpretación de esta ley. Según lo establecido en ella, la investigación tecnológica sólo está limitada a delitos graves –con penas de cárcel superior a cinco años-, y para el juzgado de instrucción los comentarios vertidos contra Conde “no eran constitutivos de delito de calumnia (…) ni de delito de injuria sino que, a lo sumo, podrían ser constitutivos de una falta de injurias”, por lo que a falta de autor conocido y de no ser considerados como un delito grave, la querella debía resultar sobreseida y, por tanto, el autor no debía ser investigado.

Inseguridad jurídica

Pero ahora, la decisión de la Audiencia Provincial muestra, una vez más, cómo Internet está trastocando las reglas y decisiones judiciales relativas al derecho a la intimidad, el secreto de las comunicaciones y a la protección de los datos, ya que para los magistrados de este tribunal sí se hace evidente que el autor de los comentarios deba ser investigado y a los postre juzgado por tales hechos.

Los jueces se amparan en la interpretación de lo que es constitutivo o no de delito grave en la red, puesto que según señalan en el auto, “la ley 25/2007 sigue sin determinar, con la calidad y precisión que la seguridad jurídica exige, qué ha de entenderse, a los efectos que nos ocupan, por delito grave”.

De esta manera, desde la Audiencia Provincial se entiende que “también han de incluirse en esta expresión [delitos graves]” (…) aquellos que merezcan la consideración de graves en atención a otros parámetros y no sólo los castigados con penas superiores a cinco años de prisión, como, por ejemplo, la trascendencia social de los efectos que el delito genera. Y en este caso, además, llamar “perra” o “zorra inmunda” “tiene un contenido inequívocamente injurioso” que “no encuentra amparo alguno en el derecho de la libertad de expresión y opinión” contemplado en la Constitución. Es más, como ratifica la sentencia, utilizar un nickname abre la puerta a la impunidad para aquel que ha procedido a tales comentarios.

Protección de datos al descubierto

Las consecuencias de tal decisión no son baladí. Consultado a este respecto, Sergio Carrasco, uno de los fundadores de Derecho en Red, señala que el gran problema es que “hay audiencias provinciales que han dictado lo contrario” ante denuncias del mismo calibre. Esto es, estamos ante un caso en el que, según cada juez, la ley 25/2007 se interpreta de una manera u otra, “aunque la gran mayoría lo han interpretado como que no constituye un delito grave”, añade Carrasco.

¿Qué ocurre si ahora la Audiencia Provincial de Madrid sí estima que este tipo de comentarios son graves y pueden acarrear una pena de hasta cinco años de prisión si el autor es investigado y reconocido? Para Carrasco es evidente que “se establecería un uso masivo de todos los datos”. La ley 25/2007 protege el secreto de las comunicaciones, pero si se interpreta de otra manera cualquier usuario que escriba en la red comentarios a todas luces insultantes, y que se interpreten como delito grave, podrá ser investigado y penado por ello.

“La ley es muy clara a este respecto. Toda persona tiene derecho a denunciar, pero debería instrumentalizarse para poder reclamar, porque una cosa es lo que la ley dice para delitos graves. Yo creo que no se debe de investigar a nadie por esto, pero si se quiere hacer, se tendrá que cambiar la ley”, añade Carrasco.

De momento, la Audiencia Provincial ha dictaminado que el usuario “Ms Huchtcraft” del foro Celebrities deba ser investigado tecnológicamente en una decisión que no es mayoritaria en el caso de otros jueces.

Gemalto ha lanzado un comunicado para responder a las informaciones reveladas hace unos días por The Intercept, a raíz de nuevos documentos presentados por Edward Snowden. En ellos se desvelaba una operación conjunta de los servicios de inteligencia británico y estadounidense, el GCHQ y la NSA, que habría dado como resultado el robo masivo de las claves de cifrado de las tarjetas SIM, de tal manera que las agencias tendrían acceso a las comunicaciones, por voz y datos, de los usuarios móviles.

En su comunicado, Gemalto, que es el mayor proveedor de SIM a nivel mundial, confirma que recibió ataques sofisticados entre 2010 y 2011 –las fechas señaladas por los documentos de Snowden– que dan pie a “creer que la operación de la NSA y el GCHQ tuvo lugar probablemente”.

Sin embargo, la compañía resta importancia a las consecuencias. “Los ataques contra Gemalto solo traspasaron sus redes para las oficinas y podrían no haber resultado en un robo masivo de las claves de cifrado de tarjetas SIM”, se puede leer en el comunicado. La ambigüedad de estas palabras deja la puerta abierta a que la operación realmente sí haya alcanzado las claves de cifrado de las SIM. El artículo publicado por The Intercept afirma que las actividades de las agencias de espionaje no dejaban rastro.

El proveedor señala que las intrusiones solo afectaron a las partes externas de su red, las que están en contacto con el mundo exterior. Las claves de cifrado de las tarjetas SIM y otra información acerca de sus clientes no se almacenan en esta red. Gemalto, que ha llevado a cabo la investigación con sus sistemas de detección de malware y su equipo de seguridad, indica que no detectaron ninguna intrusión en otras partes de su red, donde se almacenan datos más sensibles, como los relativos a las SIM, las tarjetas bancarias o los pasaportes electrónicos. Cada uno de estos productos tiene su propia red, aislada del resto y del exterior. La compañía afirma que ninguno de sus productos se vio afectado por los ataques detectados.

El fabricante asegura que en caso de haberse producido un robo de tarjetas SIM los atacantes solo habrían podido acceder a las comunicaciones de las redes móviles 2G. Las conexiones 3G y 4G son más seguras y Gemalto no las considera vulnerables a este tipo de ataques.

El comunicado explica que entre 2010 y 2011 la mayoría de los operadores usaban redes 2G, una tecnología cuya seguridad se había desarrollado en los años 80. Por tanto, si las agencias de espionaje hubieran podido acceder a las claves de cifrado de estas tarjetas les sería técnicamente posible interceptar las comunicaciones. Si bien la mayoría de las tarjetas con 2G en esos momentos pertenecían a productos de prepago, que suelen tener una vida limitada, entre tres y seis meses.

Los estándares 2G se reforzaron con la introducción de algoritmos propietarios. La seguridad continuó aumentando con la llegada del 3G y el 4G, que cuentan con un cifrado adicional. Gemalto señala que si las claves de tarjetas SIM 3G o 4G son descifradas seguiría siendo imposible espiar las comunicaciones.

La defensa contra estos ataques

Gemalto afirma que la mejor defensa contra este tipo de ataques es un cifrado sistemático de la información, tanto cuando está almacenada como cuando viaja. La compañía recuerda que la seguridad digital hoy en día no es estática, pues constantemente se están mejorando las garantías para hacer frente a ataques cada vez más sofisticados.

La compañía señala que para las redes 3G y 4G se llevó a cabo un nuevo desarrollo tecnológico, un salto cualitativo respecto al 2G. Antes de 2010 ya se había implantado un proceso alta seguridad para el intercambio de datos. De hecho, en el artículo de The Intercept se cita a Paquistán, donde las agencias de espionaje no lograron acceder a las comunicaciones. El comunicado destaca que la transmisión de información entre las operadoras paquistaníes y Gemlato ya usaba en ese momento un proceso de intercambio de alta seguridad.

El proveedor afirma ser consciente de la capacidad que tienen “las agencias estatales más prominentes”, de las que dice “tienen recursos y apoyo legal para ir más allá que los típicos hackers y organizaciones criminales”. También quiere dejar claro que los documentos de Snowden no se refieren solo a ella, pues nunca ha vendido tarjetas SIM a algunas de las operadoras que figuran en los documentos.

Imagen: NightRStar

Días después de que saltaran las alarmas ante la operación de espionaje a gran escala en tarjetas SIM revelada por The Intercept, sitio fundado por Glenn Greenwald (el periodista de The Guardian con quien contactó Edward Snowden para hacer públicas sus filtraciones en junio de 2013), el objetivo de esta vigilancia, la empresa holandesa Gemalto, afirma que sus productos son seguros.

El mayor proveedor de tarjetas SIM a nivel mundial revelará este miércoles el resultado de las investigaciones que está llevando a cabo para determinar el alcance de la penetración en sus tarjetas de los servicios de espionaje estadounidenses, la NSA, y británicos, el GCHQ (Government Communications Headquarters). Hasta el momento solo ha avanzado que su tecnología es segura, tanto la que se refiere a las tarjetas SIM como la que está integrada en las tarjetas bancarias o en los pasaportes electrónicos.

La compañía cuenta con un aluvión de clientes en todo el mundo. En su cartera están 450 operadoras de telecomunicaciones, más de 3.000 organizaciones financieras y más de 80 proyectos gubernamentales relacionados con el ámbito digital. Estas son las cifras que la compañía ofrece en su web. Su tecnología la usan diversos tipos de empresas, incluidas algunas que se enmarcan en el sector industrial. Sin embargo, lo que más preocupa a los usuarios es el espionaje que podría tener lugar en las tarjetas SIM de los móviles y en los chips de las tarjetas bancarias.

Las nuevas revelaciones de Snowden

El reportaje publicado en The Intercept cuenta cómo la NSA y el GCHQ habrían trabajado conjuntamente para hackear los sistemas de Gemalto, con el fin de poder interceptar las comunicaciones –de voz y datos–  de todos los teléfonos móviles cuya SIM hubiera sido fabricada por este proveedor. No ha sido la única compañía a la que han atacado los servicios de espionaje, según los documentos que ha prestado Edward Snowden para el caso; otras empresas también habrían sufrido robos de datos.

La operación se remonta al año 2010, cuando una unidad conjunta de las dos agencias de espionaje puso en marcha un programa para obtener acceso a las comunicaciones móviles de una gran parte de los usuarios a nivel mundial. El grupo encargado de las actividades se llamó Mobile Handset Explotation Team, según recoge The Intercept. El método empleado consistió en atacar las cuentas personales, de email y de Facebook, de los empleados de Gemalto, así como de otras compañías de telecomunicaciones y proveedores de SIM.

El objetivo estaba claro: obtener la información necesaria para tener acceso a las claves de cifrado de millones de tarjetas SIM de todo el mundo. Las comunicaciones móviles, donde se incluyen las llamadas, los mensajes de texto y el acceso a Internet, están cifradas cuando viajan desde el terminal móvil hasta la operadora, y viceversa. De este cifrado tienen la llave las tarjetas SIM, donde la clave está integrada directamente en el chip. La operadora tiene una copia de esta clave para poder identificar de quién procede la comunicación y transmitirla.

Los servicios de inteligencia británicos lograron acceso a los sistemas informáticos internos de Gemalto gracias a los ataques practicados a las cuentas personales de los empleados. Introdujeron malware en algunos ordenadores con el fin de obtener un acceso privilegiado –y secreto– a la red interna de la compañía, desde donde pudieron robar las claves de cifrado integradas en cientos de millones de tarjetas SIM. Lo hicieron sin dejar ningún rastro. Las operadoras no tenían manera de enterarse de que las comunicaciones que gestionaban estaban siendo interceptadas.

Uno de los documentos filtrados por Snowden, perteneciente al GCHQ, señala que la mayoría de fabricantes de tarjetas SIM transfieren las claves de cifrado de las tarjetas a las operadoras con métodos más bien convencionales. Literalmente citan el email o el FTP (File Transfer Protocol) como los medios empleados, con sistemas de cifrado fáciles de penetrar, a veces incluso con los datos sin cifrar.

De esta forma los servicios de inteligencia podían descifrar las llamadas y los datos que viajaban entre un usuario y una operadora, sin que ninguno de los dos puntos se apercibiera de que la comunicación estaba siendo intervenida.

Imagen: andrewlih

En un informe detallado, la compañía de seguridad Kaspersky ha mostrado los entresijos de un programa de espionaje llevado a cabo con algunas de las herramientas informáticas más sofisticadas conocidas hasta la fecha. Se han documentado 500 infecciones cuya autoría firma un colectivo al que se ha llamado Equation Group, por su apego a fórmulas complejas de cifrado. El informe afirma que este actor podría haber estado actuando desde 2001 o incluso desde 1996, y lo define como la amenaza más sofisticada que han visto.

Sistemas de al menos 42 países cayeron víctimas de las operaciones de este grupo, encabezados por Irán, Rusia, Pakistán, Afganistán, India, China, Siria y Malí. Es difícil hacerse una idea con las cifras disponibles, pues los mecanismos de autodestrucción del malware empleado impiden la elaboración de estadísticas fiables. Los sectores afectados son muchos, desde instituciones gubernamentales y diplomáticas a telecomunicaciones, energía o investigación nuclear, pasando por organizaciones financieras, compañías que desarrollan tecnologías de cifrado, medios de comunicación, líneas aéreas, ejércitos, la industria petrolera y hasta activistas islámicos.

El Equation Group lleva en activo desde el año 2001, aunque sus operaciones se intensificaron de forma drástica en 2008. Algunos indicios apuntan a la NSA como impulsora de este programa de ciberespionaje. Las técnicas empleadas tienen relación con las que practicaba Stuxnet, el malware que causó graves perjuicios al programa nuclear de Irán hace unos años y cuya autoría se atribuye a los servicios secretos de Estados Unidos e Israel. Kaspersky ha descubierto que uno de los troyanos descubiertos ahora, Fanny, explotaba vulnerabilidades de día cero que también utilizaba Stuxnet.

Kaspersky señala que algunas de las intromisiones en los sistemas eran tan profundas que afectan al firmware, la capa de software que conecta directamente con el hardware, necesaria para controlar los circuitos de los dispositivos. Uno de los módulos utilizados por Equation Group, el nls_933w.dll, permitía reprogramar el firmware de un disco duro. Los productos de los principales fabricantes de discos duros son vulnerables.

Las técnicas empleadas para los ataques incluyen el robo de las fórmulas de cifrado de las máquinas y el desbloqueo de contenidos cifrados. No hay antivirus ni controles de seguridad que sirvan para detener estas amenazas, que son prácticamente imposibles de eliminar por su capacidad para resucitar, algo que pueden hacer por el hecho de estar casi más ligadas al hardware que al software (un terreno donde existen más herramientas de protección).

Entre las herramientas utilizadas se encuentran algunas que permiten infectar equipos no conectados a Internet. En palabras de Kaspersky, Equation Group “sobrepasa a cualquier cosa conocida en términos de complejidad y sofisticación en cuanto a técnicas”.

El aviso de Snowden: los “air gaps”

Las revelaciones de Edward Snowden a mediados de 2013 dejaban una pista sobre uno de los objetivos de la NSA. La agencia de inteligencia estadounidense tenía la intención de infectar sistemas no conectados a la Red. Uno de los métodos que barajaba emplear era la instalación de hardware especializado en ordenadores que se vendieran en uno de los países objetivo. En este caso, la misión de las puertas traseras consistía en recibir ondas de radio de baja frecuencia emitidas desde dispositivos que la NSA emplazaría a lo largo del planeta.

Esta idea rocambolesca contrasta con una que parece más pragmática: la introducción de un USB infectado en el ordenador de un objetivo. En este documento publicado por Der Spiegel se habla de los proyectos internos de la agencia, entre los que se encuentra USB Hard Drive Persistence, que versa sobre la capacidad de instalar un implante en un disco duro que se conecte mediante un USB, con el fin de manipular el firmware del dispositivo.

Equation Group ha logrado infectar equipos no conectados a Internet. Uno de los troyanos descubiertos, Fanny, contenía una puerta trasera diseñada para reconocer a los equipos sin conexión a Internet. Cuando un disco USB se conectaba, el malware se hacía con su propio espacio secreto de almacenamiento para guardar información básica acerca del sistema. También se usaba para transmitir instrucciones a los ordenadores que no estaban conectados a la Red, mientras que los datos recopilados se enviaban cuando el USB se introducía en otra máquina que tuviera conexión.

La relación de Fanny con Stuxnet es uno de los indicios que apuntan hacia la autoría de la NSA. En el informe de Kaspersky se dice textualmente:

Las principales marcas de discos duros, vulnerables

Estos programas de ciberespionaje pueden afectar a los discos duros de más de una docena de compañías, según las reconstrucciones que ha llevado a cabo Kaspersky. Western Digital, Seagate, Toshiba, IBM o Samsung están incluidos entre los fabricantes cuyos productos podrían ser infectados. La mayoría de las compañías no se han mostrado dispuestas a hablar del tema, según ha publicado Reuters.

En declaraciones a Reuters, uno de los investigadores principales de Kaspersky, Costin Raiu, apunta que los autores del programa de ciberespionaje han tenido acceso al código fuente propietario de los discos duros para poder atacar con la profundidad con la que lo han hecho.  Raiu aclara que no hay ninguna posibilidad de que alguien pueda reescribir el sistema operativo de un disco duro utilizando únicamente información pública.

No se sabe cómo han podido los atacantes hacerse con el código fuente de los discos duros, pero antiguos empleados del sector de la inteligencia consultados por Reuters apuntan que existen múltiples caminos para obtener este código fuente. Hacerse pasar por desarrollador de software y pedir directamente la información es uno de ellos.

Sin embargo, otro de los métodos está relacionado con la venta de productos a las instituciones gubernamentales, un negocio lucrativo para las compañías tecnológicas. Si una de ellas quiere vender sus equipos al Pentágono o a cualquier otra agencia estadounidense, el gobierno puede pedir una auditoría de seguridad del producto para obtener garantías de que el código es seguro. Normalmente estas auditorías las lleva a cabo la NSA, a quien nadie impide después almacenar los datos sobre el código fuente.

Imagen: Peter Huys