A lo largo del primer semestre de este año hemos escrito tres artículos sobre la seguridad de las comunicaciones en Internet, aclarando cómo podemos garantizar la confidencialidad, autenticación y anonimato. La mayoría de las personas no utiliza los métodos avanzados expuestos en ellos para navegar por Internet de forma totalmente anónima, firmar digitalmente correos electrónicos o encriptar. Sin embargo, sabemos que los servicios web que requieren contraseñas o números de cuenta corriente, los servicios web que permiten el envío de correos electrónicos o los programas de teleconferencia utilizan criptografía para garantizar la privacidad de nuestras comunicaciones. En concreto, se utiliza habitualmente criptografía asimétrica o criptografía con clave pública, considerada como muy segura, lo que asegura que terceros no podrán detectar dichas comunicaciones y acceder a nuestra información.
Cualquier tercero no, pero los gobiernos no son cualquiera. Tienen más recursos y no sólo informáticos. En lugar de intentar romper estos métodos criptográficos, es más fácil solicitarlos directamente a estos servicios. El ex empleado de las agencias de información y seguridad CIA y NSA de EE.UU., Edward Snowden, dio a conocer el programa PRISM en mayo de este año a los diarios The Guardian y The Washington Post, demostrados con algunas transparencias internas de NSA, que se publicaron en junio. Este programa permite a NSA acceder desde 2007 a todos los datos de clientes de 9 grandes empresas de internet. Y estas empresas no son cualquiera: Microsoft, Yahoo!, Google, Facebook, Paltalk, Youtube, AOL, Skype y Apple (y estaba a punto de entrar en el programa Dropbox).
Todas estas empresas han rechazado que entreguen los datos de sus clientes a NSA. Pero el gobierno de EE.UU. ha asegurado la existencia del programa: por un lado, ha llevado a los tribunales de Snowd acusándole de los cargos de espionaje y robo de la propiedad gubernamental (Rusia le ha dado asilo político y vive en la actualidad) y, por otro, ha querido tranquilizar a la ciudadanía diciendo que sólo se utiliza para leer las comunicaciones de los extranjeros.
En junio, Snowden dio a conocer el programa Tempora a través de The Guardian. Este programa es un programa de la agencia de seguridad británica GCHQ (equivalente a la NSA), similar al programa PRISM, que agrupa las comunicaciones e información ciudadana. Además, informan a NSA. Y durante los meses de julio y agosto, Snowden dio a conocer el sistema XKeyscore a través de sendos artículos publicados en los diarios The Sydney Morning Herald y O Globo. Este software de NSA permite la búsqueda y análisis de datos e informaciones de origen extranjero en Internet. Y también participan los gobiernos de Australia y Nueva Zelanda.
Las filtraciones de Snowden han traído una larga cuerda. Desde el mes de mayo, el propio Snowden ha publicado mensualmente un nuevo escándalo, pero una vez polvos, parece que el paranón se ha extendido y los medios de comunicación han lanzado otras muchas especulaciones al respecto.
A la vista de que NSA tiene acceso a los datos de todas estas grandes empresas del programa PRISM y que éstas niegan que informan, en septiembre se abrieron rumores que, tal vez, la NSA encontró un error en la criptografía con claves públicas y aprovechaba para desencriptar el tráfico vía HTTPS. Si eso fuera cierto, es decir, si realmente existiera un error en la criptografía por clave pública, y ese error se hiciera conocido, y los recursos necesarios para la prueba fueran accesibles para cualquier persona o casi cualquiera (y no sólo para NSA), sería increíble: no se podría garantizar la confidencialidad de las comunicaciones en la web, cualquiera podría ver contraseñas, números de cuentas corrientes y mensajes... La web que conocemos desaparecería.
Afortunadamente, parece que no es así. Hay varias razones para pensar que la criptografía con claves públicas es segura y que NSA obtiene información a través de determinadas implementaciones o de malas prácticas de algunas compañías (por ejemplo, el uso de versiones antiguas de software reparadas tras la detección de errores, el uso de claves demasiado cortas o el almacenamiento inseguro de claves privadas); si las cosas se hacen bien, el método sigue siendo seguro. Además, la entrega voluntaria de información por parte de las empresas y el falseamiento parece una opción mucho más probable que la ruptura de la criptografía asimétrica. Si no fuera así, no estarían solicitando datos a otras muchas empresas.
Otro rumor abierto en septiembre apuntaba que la NSA pudo abrir una cierta puerta de atrás en el método de creación de números aleatorios del sistema operativo Linux, el más utilizado en los servidores de Internet. En la criptografía con claves públicas, la clave privada está formada por dos números primos obtenidos aleatoriamente. La aleatoriedad informática total es imposible, pero en general existen formas de conseguir una aleatoriedad relativamente alta que se utilizan en la criptografía. Sin embargo, si esa aleatoriedad se redujera o esa aleatoriedad respondiera a unos patrones conocidos, sería más fácil imaginar una clave privada.
Algunos de los colaboradores de Linux mostraron su preocupación por que una de las fuentes de aleatoriedad de Linux podría ser el RdRand, una función que genera números aleatorios en el microprocesador Intel mediante hardware. Según ellos, al ser la creación de números aleatorios vía hardware, no se podía inspeccionar y realmente hacía lo que decían. Cuando conocieron el PRISM, etc., muchos unieron dos y dos y pensaron que tal vez los chips de Intel no hacían lo que decían, sino implementar un algoritmo que conocía NSA. De este modo, Inteli y la puerta trasera de Linux permitieron a NSA obtener las claves privadas de la mayor parte de los servicios web. Parece demasiado conspiratorio, ¿no? Sin embargo, algunos de los colaboradores de Linux dejaron de colaborar y hubo una solicitud de retirada del RdRand Linux de Change.org. Pero Linus Torvalds, inventor de Linux y coordinador general de la actualidad, respondió con dureza afirmando que esto no era más que una fuente de aleatoriedad y acusando de extender miedos injustificados.
Por su parte, el semanario Der Spiegel también publicó en septiembre que, basándose en los papeles de Snowden, NSA tenía acceso a todas las transacciones realizadas a través de Visa y otras tarjetas de crédito. No se puede saber si eso es cierto. Pero casi todas las semanas surgen nuevas sospechas y teorías.
Por supuesto, esta interceptación de las comunicaciones digitales se realiza en nombre de la seguridad. Pero, normalmente, el que está en mal camino toma medidas y sabe mantener los mensajes y la actividad en secreto. Y al final los que espían los gobiernos somos nosotros, somos simples ciudadanos. Muchos dirá que le da igual, que no está haciendo nada malo. Pero el acceso a nuestras comunicaciones digitales es una violación grave de la privacidad; en el mundo analógico, equivale a abrir y leer cartas o pinchar y escuchar llamadas telefónicas. ¿No lo aceptaríamos?
Por ello, desde que se dio a conocer el PRISM, las asociaciones y organizaciones a favor de los derechos civiles, las libertades y la privacidad se están oponiendo a él, concienciando y movilizando a la sociedad y enseñando vías para evitar el PRISM y proteger la privacidad a la gente. Por ejemplo, la web Prism-break.org muestra algunas vías para evitar que NSA pueda acceder a nuestras comunicaciones y datos. Se trata básicamente de seguir las pautas que dábamos en los artículos de esta serie que se mencionaban al principio (uso de HTTPS, encriptación de correo vía GPG o PGP, uso de firma digital y navegación anónima vía Tor), así como de sustituir los servicios o software de las empresas incluidas en el programa PRISM por otras alternativas. En el caso del software, siempre recomiendan el software libre, ya que el código fuente es el único medio para estar seguro de lo que hace el software.
En cuanto a los sistemas operativos de los ordenadores, Linux es el único que es fiable. Y en cuanto a los teléfonos, variantes de Android que Google no controla o Firefox OS que os comentábamos el mes anterior. iOS y Windows Phone no tienen alternativa, recomiendan no comprar Iphone y Smartphone con Windows. Para navegar hay Firefox, Tor browser y otros (pero no Explorer, Chrome, Safari o Opera). Como programa de correo tenemos Thunderbird y si queremos correo web MyKolab y otros servicios como Gmail, Outlook o Yahoo! En caso afirmativo, se recomienda utilizar el aditivo para Mailvelope Firefox que implementa GPG. Entre los buscadores se recomienda el uso de Duck Duck y otros servicios en lugar de los más habituales y en el caso de los mapas OpenStreetMap. Y en la web podemos encontrar recomendaciones para otro tipo de servicios.
Pero al mismo tiempo, NSA quiere evitar que nosotros nos escapemos de sus garras. Han conseguido cerrar algunos servicios web que guardan nuestros correos directamente encriptados, por ejemplo. Lavabit, el servicio que usaba Snowden, fue clausurado por sus dueños porque el gobierno estadounidense quería obligarles a facilitar los datos de sus clientes. Otro servicio similar, Silent Circle, ha cerrado porque al estar en EE.UU. no se fiaba que pudiera ofrecer un servicio totalmente seguro. Este tipo de servicios quedan fuera de EEUU, Suiza, etc.
Parece que en cierta medida el tema de Snowd ha servido para llamar la atención sobre la importancia de la privacidad, y el uso de los servicios alternativos, anónimos y criptográficos anteriormente mencionados ha experimentado un notable aumento en los últimos meses. Que el conocimiento de este espionaje digital de la ciudadanía sirva, al menos, para agitar nuestras conciencias y, más allá de buscar alternativas, para empezar a obligar a las administraciones que deberían estar a nuestro servicio a abandonar estas prácticas.