Las autoridades quieren acabar con la encriptación para luchar contra ISIS, pero tienen otras maneras de obtener datos sin acabar con nuestra privacidad
La frase "The terrorists are going dark" (que se traduciría como "los terroristas activan el modo sigiloso" o "los terroristas dejan de emitir", se ha vuelto a poner de moda después de los ataques de París (Francia). Se refiere a las afirmaciones de que la encriptación, de alguna manera, está habilitando que las comunicaciones de futuros atacantes evadan la detección. Esta frase abre un falso debate: o les concedemos a las fuerzas del orden público el acceso sin restricciones a las comunicaciones digitales, o dejamos que los terroristas ganen. Pero, como siempre, la cuestión no es tan sencilla (ver No culpes a la encriptación de los ataques de ISIS en París).
Es cierto que en gran parte las comunicaciones del mundo entero se han trasladado desde los SMS y llamadas telefónicas fáciles de interceptar a las apps móviles, como WhatsApp, Apple Messages y Telegram, que proporcionan comunicaciones globales y gratuitas y una privacidad y seguridad mejoradas. Algunas apps hasta han añadido la encriptación de extremo a extremo de "sobre cerrado", lo que coloca el contenido de los mensajes fuera del alcance tanto de las autoridades como de los propios proveedores de servicios.
Aun así, sigue habiendo una gran cantidad de datos disponibles que no están completamente encriptados, o que carecen por completo de encriptación. Estos datos permiten un ejercicio detectivesco digital para atrapar a los malos. Es poco sincero fingir que no es así. Algunos lo llaman metadatos, pero considerando el volumen y nivel de detalle de los datos disponibles, de meta no tienen nada. No todos los enfoques para la recopilación e intercepción de datos son claramente legales. Muchos desarrolladores de apps (yo incluido) están trabajando activamente para defendernos de ellos y cerrar esos huecos, porque a menudo son empleados para atacar injustamente y monitorizar a activistas, periodistas e incluso seres queridos.
No podemos negar su existencia por ahora, así que en lugar de dejar que estas opciones para recopilar datos permanezcan a la sombra, las enumeraré aquí.
1) Si alguien lleva un móvil, cada movimiento, llamada y uso de internet está rastreado y registrado por el proveedor de servicios móviles. Acceder a esos datos a menudo no requiere una orden judicial, sólo un número de teléfono y un contacto en la compañía telefónica.
2) Las apps de mensajería como WhatsApp y Telegram obligan a los usuarios a registrar sus cuentas con un número de móvil activo. El uso de la app está ligado a este número, y a todos los números de teléfono de la gente con la que comuniquen. Ver el primer punto para ver lo que se puede hacer con un número de teléfono.
3) El tipo de encriptación implementado en las apps actualmente no es automático. Incluso en las implementaciones bien construidas de WhatsApp y Apple, saber cuándo y cómo se activa y se verifica la encriptación no es fácil. Probablemente sea posible deshabilitar el acceso a, o reducir la fuerza de, la encriptación de un usuario concreto, sin que tenga conocimiento de ello.
4) Incluso un chat encriptado de extremo a extremo puede ser monitorizado si la app admite los chats de grupo o la sincronización de conversaciones entre múltiples dispositivos. Si puedes obligar al proveedor del servicio de la app a asociar un nuevo dispositivo a una cuenta o un nuevo participante a un grupo sin notificar a los usuarios existentes, entonces habrás entrado.
5) La encriptación completa del almacenamiento de los smartphones no está activada por defecto en los dispositivos Android, y en iOS solo sucede cuando el dispositivo está apagado. La mayoría de estas apps no están protegidas por contraseña en el propio dispositivo. Consigue acceso a un móvil sin la pantalla bloqueada, o descifra la propia app de bloqueo de pantalla, y habrás entrado. Obliga al dueño de un dispositivo bloqueado por huella dactilar a desbloquearlo con su dedo, y habrás entrado. Engaña al usuario para que instale (u obliga a su tienda de apps a que lo haga) un teclado que rastree lo que teclee el usuario, o una app oculta de vigilancia, y habrás entrado.
6) La mayoría de los datos en la nube sólo se encriptan para protegerlo de ataques externos, y no los que provengan desde el propio proveedor de servicios. Algunos servicios afirman: "Encriptamos los datos que descansan en la nube", pero lo que quieren decir es que lo hacen con una clave de encriptación que tienen ellos, no el usuario. En lugar de colarte en los mensajes en tiempo real, consigue acceso a una copia de seguridad de la nube de todos los mensajes, contactos, calendarios, fotos, datos de ubicación y más contenidos que a menudo los usuarios guardan allí inconscientemente.
Tanto si nos gusta como si no, las oportunidades para la vigilancia dirigida de las comunicaciones digitales son vastas y profundas, tanto dentro de zonas claramente legales como otras más grises. No pretendo defender la legalización del hackeo criminal por parte de la policía ni promocionar métodos encubiertos de infringir la libertad y la privacidad. De hecho, creo firmemente que se necesita más encriptación, para fortalecer nuestra privacidad personal y defendernos ante amenazas reales de ciberseguridad. Fundamentalmente, espero que mediante un entendimiento más profundo de los datos privados que todos generamos y exponemos constantemente, pueda existir más claridad acerca de, y menos miedo de, la "oscuridad".
Nathan Freitas lidera el Proyecto Guardian, un proyecto de software de seguridad móvil de fuente abierta, y dirige la estrategia y la formación tecnológicas del Instituto para la Acción en Tibet. Su trabajo en el Centro Berkman se centra en rastrear la legalidad y el riesgo de persecución criminal de los usuarios y desarrolladores de 'apps' de seguridad móvil a nivel mundial.