Nuevos documentos revelados por Edward Snowden a The Intercept muestran el alcance global de la vigilancia masiva que está llevando a cabo el GHCQ (la NSA del Reino Unido) a los usuarios de internet de todo el mundo. Dicho en términos simples: si accediste a internet alguna vez desde 2007, es posible que la agencia británica pueda averiguar algo sobre ti.
En concreto, las filtraciones de Snowden develan dos herramientas de altísimo poder que utiliza el GHCQ para lograr su objetivo de vigilar todo el tráfico de internet en el mundo. La primera, llamada Karma Police –sí, como la canción de Radiohead–, recopila las direcciones IP de los usuarios que visitan miles de sitios web. Lo hace gracias a varias sondas que instala en los cables de fibra óptica que atraviesan el territorio británico. En 2010, según otra información revelada por Snowden, cerca del 10% de todo el tráfico global pasaba por estos cables.
Estas direcciones de IP son almacenadas en un gigantesco repositorio de información sin analizar, llamado Hoyo Negro. Si eso fuera todo lo que se guarda allí, el GHCQ no tendría muchas posibilidades de armar información sobre sus blancos: estos números dan una idea de la ubicación del usuario y de su proveedor de servicios de internet, pero no sirven para individualizar un usuario.
Esa tarea era la que hace la segunda herramienta, llamada Mutant Broth. Está diseñada para obtener copias de las cookies de sitios muy populares, como Facebook, Yahoo, Google, BBC e incluso YouPorn. El problema es que, dependiendo del sitio, las cookies no solo guardan la dirección IP, sino también información personal. Linkedin, por ejemplo, puede guardar tu correo electrónico y el enlace a tu perfil, donde dice el sitio donde trabajas (no hablemos de Facebook, o Google).
De esta manera, explica The Intercept, los espías del GHCQ pueden ahondar fácilmente en la obtención de información sobre cualquier persona que use la red. Si tienen la IP de una persona, pueden buscarla en Mutant Broth y consultar qué cookies están registradas con esa IP. Y si tienen una cookie en la que aparezca un dato que permita identificar a esa persona, pueden usarlo para consultar la IP y, a partir de ahí, buscar nueva información.
Los grandes rompecabezas se arman con pequeñas piezas
Los grandes rompecabezas se arman con pequeñas piezas. Si tienes muchas cookies sobre una persona, puedes armar un perfil muy preciso de «sus movimientos, hábitos, creencias religiosas, posiciones políticas, relaciones incluso preferencias sexuales«, explicó a The Intercept Ethan Zuckermann, director del Centro de Medios Cívicos del MIT.
Esta es la clase de espionaje que permite la recolección masiva de metadatos: la dirección IP desde la que se manda un mensaje de chat –por ejemplo– no dice nada, menos sin el contenido del mensaje. Pero si la unimos con otros pedazos de información relacionados con la misma IP y también relativamente insignificantes en sí mismos, el resultado es un mapa completo de la persona, adquirido sin que el ‘blanco’ haya sido informado o nadie haya dado su autorización.
Hay serios indicios de que el alcance de estas herramientas no estaba confinado al Reino Unido. De acuerdo con información revelada por Snowden, el GHCQ pertenece a la llamada Alianza de los Cinco Ojos, en la que también participan las agencias de vigilancia de Estados Unidos, Canadá, Australia y Nueva Zelanda. Estas agencias comparten rutinariamente herramientas e información, por lo que es posible que en otros países se haya tenido acceso a estas herramientas.
¿Para qué usaban estas herramientas? Entre la información que se ha documentado, el GHCQ utilizaba esas técnicas para inflitrar empresas de tecnología y telecomunicaciones con el objetivo de obtener aún más herramientas de espionaje. También habían sido usadas para individualizar personas musulmanas que, a juzgar por sus hábitos de navegación en línea, estuvieran en proceso de convertirse en islamistas. El hecho de que cada vez más occidentales estén abandonando sus países de origen para engrosar las filas de ejércitos radicales como Estado Islámico da testimonio de la limitada efectividad de estas técnicas.
Imagen: Maksim Kabakou (vía Shutterstock)
Como siempre digo: ni al GHCQ ni a la NSA le interesa qué hicimos el fin de semana o cuál es nuestro color preferido. Si espían para protección del común, pues bienvenidos sean. Aparte, el que nada debe nada teme, y a menos que seas un pedófilo no hay motivos por los que no quieras que la policía vea tu disco duro
Pues a muchos les puede importar la privacidad y que nadie sepa que hacen, digamos que usted lo ve desde el lado de la seguridad, imagine que toda esa informacion que recolectaron sea robada y se filtre(Ya sabe que mucha informacion se a filtrado no?) y la publiquen entonces puede que a los gobiernos no les interese si usted era infiel o cosas asi pero en cuanto se filtre la informacion y sea del dominio publico entonces si se preocuparia de que sus datos esten por ahi donde todo el mundo tenga acceso a cosas suyas por ejemplo cuentas, contraseñas y demas datos.
No se si usted trabaja para una empresa y en la empresa por seguridad de la informacion auditan todo el trafico de la red para saber si alguien saca datos de la empresa, entonces usted esta de acuerdo en que todo el trafico sea auditado solo por la seguridad de la empresa? Digamos que usted usa internet en la empresa para comunicarse con su parjea/esposa etc y por alli hablan de problemas personales, o se envian informacion confidencial, por ejemplo que usted le de la clave de la cuenta del banco o le de el numero de la tajeta de credito en un correo etc y como el trafico es capturado las personas de sisemas tienen acceso a esa informacion, entonces le gustaria que el de sistemas pueda ver por ejemplo su informacion bancaria o que tengan cosas para andar contando de chismes de usted con los demas del trabajo?
Usted depronto lo ve que porque es el gobierno no importa que ellos tengan esa informacion, pero aqui hasta se ha visto que trabajadores de areas del estado le han vendido informacion sobre personas a otros para hacerles daño por ejemplo personas que tengan acceso a informacion de que propiedades usted tienen o movimientos financieros etc se los han vendido a secuestradores o extorsionistas entonces quien le garantiza que las personas que esten trabajando detras de la captura de informacion despues no empiesen a verder datos?.
Por supuesto se puede dar el caso de que se filtre información verdaderamente importante, como claves de tarjetas. Pero creo que vetar el espionaje no va a evitar que eso siga ocurriendo. De hecho, sin ninguna autoridad en la red eso sería aun peor de lo que es actualmente. Soy seguidor de la filosofía del software libre, quiero sentirme dueño de mi información. Pero si hay algo en lo que no concuerdo con Stallman es que no puede existir un limbo de autoridad en la internet. Lo que habría que hacer es exigir que la entidad (o entidades, porque internet no debería ser de una sola organización) sea transparente con los civiles, como se supone debe ocurrir con la organizaciones gubernamentales.
Como siempre digo: ni al GHCQ ni a la NSA le interesa qué hicimos el fin de semana o cuál es nuestro color preferido. Si espían para protección del común, pues bienvenidos sean. Aparte, el que nada debe nada teme, y a menos que seas un pedófilo no hay motivos por los que no quieras que la policía vea tu disco duro
Pues a muchos les puede importar la privacidad y que nadie sepa que hacen, digamos que usted lo ve desde el lado de la seguridad, imagine que toda esa informacion que recolectaron sea robada y se filtre(Ya sabe que mucha informacion se a filtrado no?) y la publiquen entonces puede que a los gobiernos no les interese si usted era infiel o cosas asi pero en cuanto se filtre la informacion y sea del dominio publico entonces si se preocuparia de que sus datos esten por ahi donde todo el mundo tenga acceso a cosas suyas por ejemplo cuentas, contraseñas y demas datos.
No se si usted trabaja para una empresa y en la empresa por seguridad de la informacion auditan todo el trafico de la red para saber si alguien saca datos de la empresa, entonces usted esta de acuerdo en que todo el trafico sea auditado solo por la seguridad de la empresa? Digamos que usted usa internet en la empresa para comunicarse con su parjea/esposa etc y por alli hablan de problemas personales, o se envian informacion confidencial, por ejemplo que usted le de la clave de la cuenta del banco o le de el numero de la tajeta de credito en un correo etc y como el trafico es capturado las personas de sisemas tienen acceso a esa informacion, entonces le gustaria que el de sistemas pueda ver por ejemplo su informacion bancaria o que tengan cosas para andar contando de chismes de usted con los demas del trabajo?
Usted depronto lo ve que porque es el gobierno no importa que ellos tengan esa informacion, pero aqui hasta se ha visto que trabajadores de areas del estado le han vendido informacion sobre personas a otros para hacerles daño por ejemplo personas que tengan acceso a informacion de que propiedades usted tienen o movimientos financieros etc se los han vendido a secuestradores o extorsionistas entonces quien le garantiza que las personas que esten trabajando detras de la captura de informacion despues no empiesen a verder datos?.
Por supuesto se puede dar el caso de que se filtre información verdaderamente importante, como claves de tarjetas. Pero creo que vetar el espionaje no va a evitar que eso siga ocurriendo. De hecho, sin ninguna autoridad en la red eso sería aun peor de lo que es actualmente. Soy seguidor de la filosofía del software libre, quiero sentirme dueño de mi información. Pero si hay algo en lo que no concuerdo con Stallman es que no puede existir un limbo de autoridad en la internet. Lo que habría que hacer es exigir que la entidad (o entidades, porque internet no debería ser de una sola organización) sea transparente con los civiles, como se supone debe ocurrir con la organizaciones gubernamentales.