Desde las revelaciones de Edward Snowden, el manejo de la información privada de los usuarios europeos de internet por parte de empresas estadounidenses se convirtió en uno de los principales puntos de contienda entre Silicon Valley y los gobiernos del Viejo Continente. Pero un acuerdo logrado entre el ‘grupo de los 27’ y Washington, conocido este martes, podría ayudar a suavizar las tensiones.

Este nuevo tratado le impide a Estados Unidos hacer vigilancia masiva e indiscriminada de las telecomunicaciones que se originan desde la Unión Europea. Estados Unidos se comprometió a que “cualquier acceso de las autoridades públicas por motivos de seguridad nacional estará sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros, lo que impedirá un acceso generalizado a los datos personales”, según un comunicado de la Comisión Europea.

De acuerdo con The Next Web, los datos de los europeos sólo podrán ser obtenidos por el Gobierno estadounidense en casos de espionaje, terrorismo, armas de destrucción masiva, amenaza a las fuerzas armadas o amenaza criminal transnacional.

Este tratado está llamado a reemplazar otro que se venció el pasado 1 de febrero, luego de que las autoridades de las dos partes decidieran no renovarlo. El meollo del asunto es que, sin unas reglas claras para el manejo de datos personales, las grandes empresas de internet estadounidenses como Google o Facebook no pueden llevar a cabo sus actividades en Europa sin riesgo jurídico. Al mismo tiempo, los usuarios de esos servicios no pueden estar seguros de que su información está siendo manejada de acuerdo con los estándares europeos, quizás los más estrictos del mundo en la materia.

Este tratado aun debe ser ratificado por cada uno de los estados miembros de la Unión Europea. Será un paso difícil ya que según según The New York Times, varios activistas europeos de la protección de datos personales planean demandarlo, pues lo consideran insuficiente.

Esa es solo una de las nuevas medidas que se contemplan en el acuerdo. Ahora, las empresas ahora tendrán un período máximo de 45 días para responderles a los usuarios que las acusen de manejar mal sus datos. Las personas también podrán poner quejas ante el regulador de su país para obtener una respuesta de la empresa estadounidense respectiva en menos de 90 días, y tendrán la opción de acudir ante un ‘ombudsman’ –algo así como un defensor de los usuarios– en caso de que sientan que sus datos han sido mal manejados, o que han sido espiados injustamente.

Imagen: GrAI (vía Shutterstock).

En concreto, las filtraciones de Snowden develan dos herramientas de altísimo poder que utiliza el GHCQ para lograr su objetivo de vigilar todo el tráfico de internet en el mundo. La primera, llamada Karma Police –sí, como la canción de Radiohead–, recopila las direcciones IP de los usuarios que visitan miles de sitios web. Lo hace gracias a varias sondas que instala en los cables de fibra óptica que atraviesan el territorio británico. En 2010, según otra información revelada por Snowden, cerca del 10% de todo el tráfico global pasaba por estos cables.

Estas direcciones de IP son almacenadas en un gigantesco repositorio de información sin analizar, llamado Hoyo Negro. Si eso fuera todo lo que se guarda allí, el GHCQ no tendría muchas posibilidades de armar información sobre sus blancos: estos números dan una idea de la ubicación del usuario y de su proveedor de servicios de internet, pero no sirven para individualizar un usuario.

Esa tarea era la que hace la segunda herramienta, llamada Mutant Broth. Está diseñada para obtener copias de las cookies de sitios muy populares, como Facebook, Yahoo, Google, BBC e incluso YouPorn. El problema es que, dependiendo del sitio, las cookies no solo guardan la dirección IP, sino también información personal. Linkedin, por ejemplo, puede guardar tu correo electrónico y el enlace a tu perfil, donde dice el sitio donde trabajas (no hablemos de Facebook, o Google).

De esta manera, explica The Intercept, los espías del GHCQ pueden ahondar fácilmente en la obtención de información sobre cualquier persona que use la red. Si tienen la IP de una persona, pueden buscarla en Mutant Broth y consultar qué cookies están registradas con esa IP. Y si tienen una cookie en la que aparezca un dato que permita identificar a esa persona, pueden usarlo para consultar la IP y, a partir de ahí, buscar nueva información.

Los grandes rompecabezas se arman con pequeñas piezas

Los grandes rompecabezas se arman con pequeñas piezas. Si tienes muchas cookies sobre una persona, puedes armar un perfil muy preciso de “sus movimientos, hábitos, creencias religiosas, posiciones políticas, relaciones incluso preferencias sexuales“, explicó a The Intercept Ethan Zuckermann, director del Centro de Medios Cívicos del MIT.

Esta es la clase de espionaje que permite la recolección masiva de metadatos: la dirección IP desde la que se manda un mensaje de chat –por ejemplo– no dice nada, menos sin el contenido del mensaje. Pero si la unimos con otros pedazos de información relacionados con la misma IP y también relativamente insignificantes en sí mismos, el resultado es un mapa completo de la persona, adquirido sin que el ‘blanco’ haya sido informado o nadie haya dado su autorización.

Hay serios indicios de que el alcance de estas herramientas no estaba confinado al Reino Unido. De acuerdo con información revelada por Snowden, el GHCQ pertenece a la llamada Alianza de los Cinco Ojos, en la que también participan las agencias de vigilancia de Estados Unidos, Canadá, Australia y Nueva Zelanda. Estas agencias comparten rutinariamente herramientas e información, por lo que es posible que en otros países se haya tenido acceso a estas herramientas.

¿Para qué usaban estas herramientas? Entre la información que se ha documentado, el GHCQ utilizaba esas técnicas para inflitrar empresas de tecnología y telecomunicaciones con el objetivo de obtener aún más herramientas de espionaje. También habían sido usadas para individualizar personas musulmanas que, a juzgar por sus hábitos de navegación en línea, estuvieran en proceso de convertirse en islamistas. El hecho de que cada vez más occidentales estén abandonando sus países de origen para engrosar las filas de ejércitos radicales como Estado Islámico da testimonio de la limitada efectividad de estas técnicas.

Imagen: Maksim Kabakou (vía Shutterstock)

Imaginen que se confirmara que las autoridades colombianas hacen vigilancia masiva. Que se supiera más allá de cualquier duda que la Policía guarda datos de todos los usuarios de internet en nuestro país. Que, para convertirse en blanco de espionaje, bastara con una búsqueda inoportuna, o con entrar a un sitio que esté en una lista ‘negra’ armada de cualquier manera.

Muchos actores, desde los hackers inquisidores hasta los gobiernos del mundo, tienen el ojo encima sobre todo lo que hacemos en internet, y están esperando cualquier oportunidad para husmear. Ya estamos muy viejos como para hacernos los ingenuos: la protección al 100% es imposible en seguridad informática.

Vivimos en un mundo en el que casi que cada tecleo que hacemos en nuestros dispositivos es el primer eslabón de una cadena que le da la vuelta al mundo y pasa por varios servicios antes de que el resultado esté de vuelta en nuestra pantalla. Asumir que todos esos eslabones hacen lo máximo para proteger nuestra seguridad y privacidad es, simplemente, engañarse a uno mismo.

Nuestra vida íntima ocurre en internet

La privacidad en línea es importante porque hoy buena parte de nuestra vida íntima, esa de la que nadie más tiene derecho a saber, ocurre en internet. Cuando tomamos decisiones, lo hacemos en la red: allí consultamos, discutimos, nos ‘inspiramos’. Si estamos pensando en hacer algo importante –algo que quizás preferiríamos mantener en secreto–, muchas de las voces que se debaten en nuestra cabeza son las cosas que leemos en la web, o que nos dicen nuestros amigos en un chat.

Defender el derecho a la privacidad es, al final, defender la intimidad. Es tanto como pedir que nadie se meta en tu habitación, o que nadie abra tus cortinas. Se trata de luchar porque ese espacio ‘propio’ que ocupamos todos en internet siga existiendo.

El dilema

Esto nos deja ante dos alternativas igualmente malas. O renunciamos a internet para proteger nuestra privacidad y hacemos nuestra vida muchísimo más complicada, o nos resignamos a que nuestros secretos ya no son secretos y a que alguien puede saber qué ocurre muy dentro de nuestras conciencias, donde nadie debería tener acceso.

Habrá quien opte por la ‘opción nuclear’, pero yo no. Las vidas de muchos de nosotros están demasiado conectadas. Desde nuestra información bancaria hasta las charlas con nuestros amigos, pasando por el trabajo y la vida amorosa de muchos, todo ocurre en internet.

O renunciamos a internet, o nos resignamos a que nuestros secretos ya no son secretos

Claro: cada cosa que hacemos en línea puede ser reemplazada por otra que cumpla la misma función y no esté en internet, pero nada reemplaza la comodidad y el poder de tenerlo todo así de cerca. No se puede comparar ir físicamente del banco a la oficina, luego de ahí a la biblioteca y desde ahí a la agencia de viajes; que pasar de la pestaña de la página del banco, a la del correo, luego a la de Google y después a Kayak en el navegador.

Entonces, ¿nos bajamos los pantalones? Hay soluciones intermedias. Algunos usan software libre y herramientas tecnológicas con las que buscan no depender de Google y Facebook. Pero lograr esto es difícil técnicamente, y no es viable esperar que se haga masivamente. Además, es inevitable entrar en algún punto en contacto con algún servicio, algún operador o algún servidor al que no le importa la privacidad.

La solución parece estar en medio de las dos cosas. Yo no la sé con certeza. Lo único que se me ocurre es que hay que empujar para que la privacidad de los usuarios sea más importante para todas las partes involucradas. Que los Facebook, los Google, los Tinder y los Ashley Madison hagan lo mejor posible para no perder la información que sus clientes les han confiado. Que la gente sepa lo mínimo sobre cómo proteger sus datos en línea y no esté por ahí vulnerable, con contraseñas estúpidas y confianzas excesivas. Y que los gobiernos del mundo tengan muy clara la línea entre perseguir criminales y acosar civiles.

Imagen: Maksim Kabakou (vía Shutterstock).

Privacy encontró que en Colombia funcionan tres grandes sistemas de vigilancia masiva: Esperanza, Puma y SIGD (Sistema Integrado de Grabación Digital). Esperanza, según el informe, está amparada por la Ley; y la actividad de Puma es considerada como legal por la Policía, pero –según la ONG–, “la interceptación masiva o automatizada de las comunicaciones con fines de recopilación de información de inteligencia no está contemplada ni autorizada expresamente en la legislación colombiana” .

La Policía quería ejercer vigilancia masiva en Colombia al menos desde 2005

El SIGD, desconocido hasta ahora, es un poderoso centro de monitoreo de comunicaciones que recoge y retiene información de varias fuentes, “como monitoreo de Internet, de ubicación, de teléfonos y audio vigilancia”, y las analiza de forma centralizada. Esta autoridad, según Privacy, carece de “autoridad clara ni escrutinio público”.

Este sistema comenzó a ser desarrollado en 2005 por la Dipol (Dirección de Inteligencia Policial), y pretendía realizar una interceptación y almacenamiento masivo de la información que circula por las redes colombianas. “Los analistas de sus 20 estaciones de trabajo eran capaces, al menos en teoría, de grabar conversaciones de un objetivo seleccionado, captar 100 millones de registros de datos de llamadas al día e interceptar 20 millones de SMS diarios”, dice Privacy en su reporte.

Puma podría vigilar todo el tráfico de internet originado en Colombia

A pesar de esto, la Policía no logró hacer que el sistema funcionara del todo bien, y no pudo articularlo con otras redes de inteligencia del Gobierno. En vista de esa limitación, nació el sistema Puma, que actualmente “puede interceptar, almacenar y analizar cantidades masivas de tráfico telefónico, y está previsto que crezca y pueda también interceptar el tráfico de Internet” .

Puma funciona gracias a las ‘puertas traseras’ que la regulación colombiana obliga a las ISP a tener disponibles para las autoridades. De hecho, está diseñado para capturar información de voz y datos de 12 operadores colombianos: Claro, Tigo, Avantel, Movistar, Une, Telefónica, Emcali, Metrotel, ETB, Telmex y EPM; es decir, prácticamente todo el tráfico de internet originado en Colombia.

El sistema, según su proveedor, iba a tener la capacidad de rastrear hasta 20.000 objetivos al día, y tenía la capacidad técnica de llegar a los 100.000 objetivos diarios. Sin embargo, su escalamiento ha estado estancado por diferencias entre la Policía y la Fiscalía: según Privacy, “la Policía niega públicamente tener en la actualidad la capacidad de intervenir el tráfico de internet”, y de hecho, el informe asegura que los equipos que permiten la vigilancia más sofisticada están guardados en cajas de cartón. Mientras la Policía asegura que la Ley le permite desplegar y administrar estas tecnologías de vigilancia, la Fiscalía dice ser la única autoridad que puede administrar y operar estas salas.

Los equipos de Puma están guardados en cajas de cartón 

Este conflicto revela la principal conclusión a la que llega la ONG: en Colombia, el marco regulatorio de las actividades de inteligencia y vigilancia electrónica es deficiente. No es claro cómo ni con qué condiciones y controles deben operar estas herramientas de vigilancia. Y el problema es que ese hueco legal concede, en la práctica, “facultades de vigilancia masiva” a la policía.

Imágenes: Privacy International, ashyarku (vía Shutterstock).

Ese programa es autorizado por medio de una solicitud que el Gobierno estadounidense le hace a una corte secreta, que debe ser renovada cada 90 días. The Guardian conoció, por parte de un funcionario gubernamental, que “no radicó una solicitud de reautorización”. La actual pierde vigencia el próximo 30 de mayo.

Esto se conoce después de que el Congreso de ese país no logró tomar una decisión sobre el programa de vigilancia. Un nuevo acto (proyecto de Ley) conocido como el ‘Freedom Act’, que hubiera prohibido los aspectos más polémicos del programa de vigilancia, no fue aprobado por el Senado. Éste estaba pensado para renovar algunas de las provisiones del ‘Patriot Act’, el cual autorizaba parte del programa de interceptación masivas de llamadas.

Por esto, como reporta Los Angeles Times, los funcionarios de la NSA ya comenzaron a desmontar el programa. Esto significa que es muy probable que haya una pausa, al menos parcial, en las escuchas masivas dentro de Estados Unidos. Sin embargo, eso depende de lo que decida el Congreso.

Los activistas ven una pequeña mejora en el panorama político, que ya no es tan favorable a las escuchas masivas. “Por primera vez, una mayoría de senadores tuvo una postura contra la simple renovación automática de las provisiones del Patriot Act que fueron usadas para espiar a los estadounidenses”, le dijo al Guardian Michael Macleod-Ball, de la Unión Estadounidense por las Libertades Civiles (ACLU, por sus siglas en inglés).

Así se cancele el programa particular de la NSA que permite el espionaje en el interior de Estados Unidos, la agencia tiene varios otros orientados a la vigilancia masiva fuera de ese país, como reveló Edward Snowden. En ellos se emplean métodos que van desde la intervención de los cables oceánicos de fibra óptica que mueven los datos en todo el mundo, hasta la infiltración de tiendas de apps móviles y de algunos medios de almacenamiento que se consiguen comercialmente.

Imagen: Bruce Sterling (vía Flickr)

Dada la crisis con Ucrania, Rusia ha estado en boca de todos durante las últimas semanas y ahora Edward Snowden quiere señalar otro aspecto al que deberíamos prestar atención. Durante la semana pasada Vladímir Putin hizo parte de una sesión de preguntas en la televisión nacional rusa. Durante el programa Snowden logró hacerle varias preguntas al presidente ruso sobre el delicado tema de la vigilancia masiva a la población civil.

Según informa The Verge, Snowden le dijo a Putin que “he visto poca discusión pública sobre las políticas de vigilancia masiva de Rusia, así que me gustaría preguntar: ¿Rusia intercepta, guarda y analiza de algún modo las comunicaciones de millones de individuos?”

Putin respondió a la provocativa pregunta diciendo que tanto él como Snowden habían trabajado en servicios de inteligencia, y por lo tanto entendería que “nuestros esfuerzos de inteligencia están regulados por la ley, nuestras fuerzas especiales pueden interceptar llamadas o seguir personas en línea pero deben tener un permiso de la corte”. Finalmente agregó que “no tenemos un sistema de interceptación masiva y nuestra ley tampoco permite que exista”.

Las respuestas y aclaraciones de Putin no dejaron contento a Snowden, quien declaró en The Guardian que eran “evasivas”. Snowden comparó a Obama y Putin, afirmando que ambos negaron desde el principio los alcances de la vigilancia que realizaban.

A pesar de no estar satisfecho con las respuestas de Putin, Snowden afirma que logró, justamente, lo que esperaba: “Levantar un tabú sobre la discusión de la vigilancia para la audiencia Rusa”.

El video de Snowden cuestionando a Putin lo pueden ver a continuación. Tranquilos, no necesitan tener su diccionario de ruso en la mano.

Imagen: Montaje ENTER.CO.