Una herramienta de software diseñada para ayudar a los disidentes a eludir la censura gubernamental de Internet contiene deficiencias tan graves que podrían poner en peligro a los que la usan.

La herramienta, llamada Haystack, ha ganado premios y elogios por permitir a activistas políticos y a ciudadanos de a pie vencer los controles gubernamentales de restricción de contenidos de Internet. Sin embargo, el experto en seguridad Jacob Appelbaum advierte de que deja un rastro de pistas que podrían utilizarse para descubrir al que la ha estado usando y a qué contenidos ha accedido. Los expertos afirman que esto pone de manifiesto la importancia de contar con expertos externos para revisar las tecnologías destinadas a este tipo de uso.

Haystack fue creada por Censorship Research Center, con sede en San Francisco, y fundada el año pasado por dos activistas llamados Austin Heap y Daniel Colascione. El software se creó con la intención de "proporcionar acceso a Internet sin filtros e imperceptible para el pueblo de Irán", según afirma el sitio web del proyecto. Sus creadores recibieron mucha atención—Heap fue declarado Innovador del Año por el periódico The Guardian, y también recibió el premio de la Primera Enmienda de la Coalición Beacon.

La herramienta fue presentada como una forma de acceder a páginas restringidas de Internet mientras se esconde la actividad de los ojos de las autoridades. Los creadores de Haystack afirmaron que esto se podía lograr mediante el aprovechamiento de los problemas con el firewall de Irán, encriptando las comunicaciones entre los usuarios y los servidores de Haystack, y encubriendo el tráfico enviado hacia y desde la herramienta para que los usuarios parezcan estar visitando sitios web inocuos. No obstante, en el último mes, los expertos han expresado su preocupación acerca de que no se haya producido una revisión independiente de su capacidad de funcionamiento, tal y como se había prometido.

Appelbaum, junto con Evgeny Morozov, profesor visitante en el programa de tecnología de la liberación en la Universidad de Stanford, y el activista de libertades civiles Danny O'Brien, presionaron de forma particular para obtener más detalles acerca de cómo fue construido el software. Les preocupaba que las vulnerabilidades en su código subyacente pudieran permitir que los mensajes protegidos fueran decodificados por los funcionarios del gobierno. Después de probar el software, su reacción fue de enojo y consternación.

Appelbaum afirma que después de escuchar una descripción sobre cómo funcionaba la herramienta, le preocupaba el hecho de que podría haber sido construida incorrectamente. No obstante, la preocupación verdadera llegó una vez que la probó por sí mismo. Appelbaum y sus colegas lograron saltarse las protecciones de privacidad de la herramienta en menos de seis horas. Appelbaum asegura que sería fácil que las autoridades gubernamentales hicieran lo mismo.

"Este es un sistema tan frágil, que apenas puedo decirte cómo funciona sin preocuparme por la gente que pudo haberlo utilizado y que no tenía ni idea de que se estaban poniendo en riesgo", advierte Appelbaum. "Es increíble. Terriblemente increíble".

Appelbaum señala que debe tener cuidado de no dar detalles sobre los fallos de Haystack, por temor a poner aún más en peligro a los que podrían estar bajo riesgo. Sin embargo, afirma que "cuando utilizas la herramienta, alerta de forma efectiva a las autoridades de que estamos tratando de usarla".

El lunes, Heap anunció que detendría la distribución y las pruebas con los usuarios de Haystack en Irán hasta que los problemas de seguridad fueran resueltos. Escribió lo siguiente: "Hemos comenzado a ponernos en contacto con los usuarios de Haystack para decirles que dejen de utilizar el programa. No vamos a reanudar los ensayos hasta que esta revisión de terceros se haya completado y las preocupaciones de seguridad se aborden de manera abierta y transparente".

Ni Heap ni ningún otro empleado de Censorship Research Center, ni los miembros de la junta de directores, pudieron ser contactados para hacer comentarios. No obstante Colascione, desarrollador líder de Haystack, publicó una carta de renuncia pública reconociendo que las preocupaciones de Appelbaum estaban justificadas. "Es tan malo como Appelbaum dice que es", escribió Colascione, y agregó que la versión en circulación estaba destinada exclusivamente a pruebas, nunca para la distribución y uso real.

Appelbaum afirma que él fue capaz de obtener y ejecutar una copia de Haystack días después de que Heap hubiese dejado de dar soporte al software, lo que sugiere que la organización no tiene control sobre la amplitud de la distribución.

Es alarmante que Heap y sus colegas no aceptasen más ayuda de personas establecidas en el ámbito de la elusión de la censura, afirma Ross Anderson, presidente de la Fundación para la Investigación de Políticas de Información, con sede en el Reino Unido, y profesor de ingeniería de la seguridad en la Universidad de Cambridge.

Anderson señala que es muy difícil diseñar herramientas de elusión de censura que funcionen bien, y los creadores de estas herramientas tienen que estar bien versados en los distintos riesgos y peligros. "La historia en este campo es muy sangrienta, y existe un gran número de investigaciones relevantes", afirma.

Los desafíos van más allá de simplemente proporcionar acceso a sitios web restringidos, afirma Anderson. Las herramientas necesitan proteger el anonimato de los usuarios, y evitar la creación de evidencias que puedan condenarlo si cayeran en manos de funcionarios del gobierno.

Una herramienta mal diseñada puede hacer sobresalir a un usuario, advierte Anderson. Lo compara con el hecho de ser el único en aparecer en una fiesta con una máscara. Advierte que, debido a que Haystack no parece ser de uso generalizado, las autoridades podrían asumir que cualquiera que tenga una copia es un objetivo de alto valor y debe ser detenido.

El Centro Berkman para Internet y Sociedad en la Universidad de Harvard ya ha realizado pruebas con herramientas de elusión de la censura, tanto en el laboratorio como en países que filtran el contenido de Internet, para determinar la efectividad de las herramientas a la hora de eludir la censura, el nivel de seguridad que poseen, y su facilidad de uso. El investigador de Berkman Ethan Zuckerman afirma que espera que los fundadores de Haystack permitan que una versión de la herramienta se ponga a prueba a finales de este año, la próxima vez que el centro planea evaluar dichas herramientas.