Lectura de 21 Minutos

Extracto de El Pequeño Libro Rojo del Activista en la Red de Marta Peirano, 2015.

La importancia de saber cifrar

La historia ya es leyenda: Glenn Greenwald estuvo a punto de perder el mayor bombazo periodístico de las últimas décadas sólo porque no quiso instalarse la PGP. Él mismo la contaba con sana ironía cuando, seis meses más tarde, le invitaron a dar una conferencia como cabeza de cartel en el congreso del Chaos Computer Club, el mismo festival de hackers donde cinco años antes se presentó WikiLeaks.

Todo empezó cuando el 1 de diciembre de 2012 Greenwald recibió una nota de un desconocido pidiéndole su clave pública para mandarle cierta información de suma importancia. A pesar de tratar con fuentes delicadas y escribir sobre asuntos de seguridad nacional; a pesar de su apasionada defensa de WikiLeaks y de Chelsey (entonces Bradley) Manning, Glenn Greenwald no sabía entonces lo que era una clave pública. No sabía cómo instalarla ni cómo usarla y tenía dudas de que le hiciera falta, así que, cuando llegó un misterioso desconocido pidiendo que la utilizara, simplemente le ignoró.

Poco después, el desconocido le mandó un tutorial sobre cómo encriptar correos. Cuando Greenwald ignoró eltutorial, le envió un vídeo de cifrado para dummies.

«Cuanto más cosas me mandaba más cuesta arriba se me hacía todo —confesó Greenwald más tarde a la revista Rolling Stone—. ¿Ahora tengo que mirar un estúpido vídeo?».

La comunicación quedó atascada en un punto muerto porque Greenwald no tenía tiempo de aprender a cifrar correos para hablar con un anónimo sin saber lo que le quería contar y su fuente no podía contarle lo que sabía sin asegurarse de que nadie escuchaba la conversación. Lo que hoy parece obvio entonces no lo era, porque ahora todos sabemos lo que la fuente sabía, pero Greenwald ignoraba: que todos y cada uno de sus movimientos estaban siendo registrados por la Agencia de Seguridad Nacional norteamericana. La fuente lo sabía porque trabajaba allí. Pero Greenwald recibía correos similares cada día. A medio camino entre el periodismo y el activismo, gracias a su trabajo en la revista Salon, su cuenta en Twitter y su columna en The Guardian, el periodista se había convertido en la bestia negra del abuso corporativo y gubernamental y su carpeta de correo estaba llena de anónimos prometiendo la noticia del siglo que luego quedaban en nada.

Después de un mes, la fuente se dio por vencida. Seis meses más tarde, Greenwald recibió la llamada de alguien que sí sabía lo que era la PGP: la documentalista Laura Poitras. Poitras no sólo sabía encriptar correos; se había pasado los dos últimos años trabajando en un documental sobre la vigilancia y el anonimato. Había entrevistado a Julian Assange, a Jacob Appelbaum y a otros. No era un tema al que estaba naturalmente predispuesta, sino al que se vio empujada desde que la pararon por primera vez en el aeropuerto internacional de Newark, cuando la cineasta iba a Israel a presentar su último proyecto, My Country, My Country. Se trataba de un documental sobre la vida del doctor Riyadh al-Adhadh y su familia en la Bagdad ocupada. Poitras había convivido con ellos mientras filmaba la película y un día estaba en el tejado de su casa con la cámara cuando tuvo lugar un ataque de la guerrilla local en el que murió un soldado norteamericano. Que Poitras estuviera por casualidad en el tejado y lo grabara todo generó rumores entre las tropas. Los soldados la acusaron de estar al tanto de la insurrección y de no haberles avisado para así asegurarse material dramático para su documental. Aunque nunca fue acusada formalmente, y nunca hubo pruebas, sus billetes fueron marcados como «SSSS» (Secondary Security Screening Selection). Poitras ya no pudo coger un avión sin ser interrogada y sus pertenencias registradas.

Después de los ataques a las Torres Gemelas, el gobierno norteamericano empezó una lista negra de posibles terroristas que ha llegado a tener un millón de nombres. Un agente en el aeropuerto de Viena le explicó a Poitras que su pasaporte había sido marcado con la alerta máxima («400 en la escala Richter», le dijo) y que en ningún aeropuerto del mundo la dejarían volar sin antes registrarla. En su entrevista con el Times, Poitras dice que ya no recuerda cuántas veces la detuvieron en los siguientes seis años pero que fueron más de cuarenta. En muchos casos, los agentes del aeropuerto exigieron acceso a sus cuadernos y ordenadores para poder copiar su contenido y, en al menos una ocasión, requisaron todo su equipo durante varias semanas. Un día se le ocurrió que, si estaba en la lista negra y la paraban cada vez que viajaba, lo más probable era que su correo y su historial de navegación también estuvieran comprometidos.

«Supongo que hay cartas de seguridad nacional en todos mis correos», dice Poitras en la misma entrevista. La «carta de seguridad nacional» (National Security Letter o NSL) es una orden de registro que reciben los proveedores de servicios —las compañías telefónicas o los servidores de red— para que faciliten los datos de un usuario.

Todas las comunicaciones electrónicas son susceptibles de recibir una sin que sea necesaria la intervención de un juez, y la proveedora tiene prohibido advertir el registro a su cliente. En 2011, Laura Poitras empezó a trabajar en su documental sobre la vigilancia gubernamental y, en el proceso, aprendió a proteger sus comunicaciones.

Empezó a dejar el móvil en casa, un dispositivo que no sólo registra las conversaciones sino que funciona como localizador, incluso cuando todos los sistemas de localización y hasta el propio teléfono han sido desactivados. Dejó de tratar asuntos delicados por correo y empezó a usar un anonimizador para navegar por la Red. Aprendió a encriptar sus e-mails con una llave de clave pública. Empezó a usar diferentes ordenadores: uno para editar sus documentales, otro para mandar correos y un tercero sin tarjeta de red para almacenar material sensible. Por eso, cuando un anónimo le escribió para pedir su clave pública, Poitras se la dio inmediatamente. Una vez convencida de la seriedad de su contacto y la legitimidad de sus documentos, Poitras se puso en contacto con Greenwald, al que había entrevistado para su documental y, a cambio, había escrito sobre ella en Salon («U.S. Filmmaker Repeatedly Detained at Border», abril 2012). En junio de 2013 volaron juntos a Hong Kong para encontrarse con Edward Snowden y destapar el mayor caso de espionaje masivo de la historia.

Todos los periodistas a los que les cuento esta historia se ríen, pero es raro encontrar a uno que tenga software diseñado para proteger sus comunicaciones en su ordenador. «Me sorprendió darme cuenta de que había gente en los medios que no sabía que todo correo enviado sin cifrar a través de la red acaba en todas las agencias de inteligencia del planeta —dijo Snowden en una entrevista cuando se publicó esta historia—. A la vista de la revelaciones de este año, debería estar ya suficientemente claro que el intercambio no cifrado de información entre fuentes y periodistas es un descuido imperdonable».

Snowden es un experto en seguridad informática cuyo acceso a los numerosos programas de vigilancia total desarrollados por y para la National Security Agency (NSA, Agencia de Seguridad Nacional) fundamentaron su puntillosidad. Gracias a su cuidadosa estrategia ha sido capaz de controlar las circunstancias de sus extraordinarias revelaciones y escapar de Estados Unidos antes de ser encarcelado, como Bradley Manning. Si no hubiera sido tan paranoico, le habría pasado lo mismo que a las fuentes del cineasta Sean McAllister en el país más peligroso del mundo para periodistas y disidentes: Siria.

Descuidar la seguridad pone en peligro a tus fuentes

Sean McAllister es, según Michael Moore, uno de los cineastas más valientes y emocionantes del planeta. Sus documentales sobre la vida en zonas de conflicto como Yemen o Iraq han recibido múltiples premios y el reconocimiento de la prensa internacional. Se diría que su experiencia le ha enseñado a trabajar con extrema precaución («Es una ruleta ir por Siria filmando de encubierto —dijo en una entrevista—. Antes o después te pillan»). Ese otoño de 2011 había viajado a Damasco para rodar un documental sobre la disidencia contra el régimen de Bashar al-Assad. Subvencionado por la cadena británica Channel 4, McAllister le pidió ayuda a Kardokh, un cyberdisidente de 25 años que procuraba herramientas de comunicación segura a la resistencia.

Kardokh (un pseudónimo) había logrado hackear el sistema de vigilancia electrónico que usaba el gobierno sirio para controlar las comunicaciones de sus ciudadanos, y hasta había conseguido convencer a la empresa italiana propietaria de dicho sistema de que cancelase su contrato con el gobierno sirio. Además, había creado junto con otros informáticos una página web llamada «Centro de Documentación de la Violencia» donde publicaban los nombres de los desaparecidos del régimen. Tenía buenas razones para mantenerse en el anonimato, pero no quiso perder la oportunidad de denunciar la represión criminal a la que estaban sometidos.

«Cualquier periodista que hiciera el esfuerzo de contarle al mundo lo que nos estaba pasando era importante para nosotros», dijo en una entrevista. Por eso dejó que McAllister le entrevistara en cámara, bajo la promesa de que su rostro saldría pixelado y su voz sería modificada en la sala de edición.

El cineasta quería conocer a más miembros de la resistencia, pero Kardokh estaba preocupado por su despreocupación. Él y sus amigos encriptaban sus correos y tomaban medidas de todo tipo para mantener el anonimato en la Red; por el contrario, McAllister «usaba su teléfono y mandaba SMS sin ninguna protección». Poco después, el británico fue arrestado por los agentes de seguridad del régimen y todo su material fue requisado, incluyendo su ordenador, su móvil y la cámara con las entrevistas a cara descubierta que había rodado.

Cuando se enteró, Kardokh tiró su teléfono y huyó al Líbano (dice que su pasaje le costó 1.000 dólares, 235 por el billete y 765 por borrar su nombre de la lista negra). Otro activista llamado Omar al-Baroudi tuvo menos suerte. «Su cara estaba en esos vídeos.Y dijo que su número estaba en la agenda de Sean», explica un compañero. Cuando la operación se hizo pública, Channel 4 aseguró que el cineasta había tomado todas las precauciones posibles: «Es un cineasta experimentado y tomó medidas para proteger el material —dijo una portavoz de Channel 4 —. Siria es un contexto extremadamente difícil para trabajar y por eso seguimos buscando maneras de minimizar el riesgo de contar esta importante historia».

«Me alegro de no haberle puesto en contacto con más gente», declaró Kardokh. Muchos han culpado a McAllister por no tomar precauciones, pero pocos habrían actuado de manera diferente de haber estado en su lugar. La falta de recursos es intrínseca al medio: ¿cuántos periódicos invitan a sus empleados a talleres de seguridad informática?, ¿qué facultades incluyen clases de cyberseguridad y protección de las comunicaciones?, ¿cuántas cabeceras tienen a expertos en seguridad en plantilla para instalar software de seguridad en los equipos o asesorar a los corresponsales en apuros? Como recordaba el experto Christopher Soghoian en un editorial en The New York Times («When Secrets Aren’t Safe With Journalists», 24 de enero de 2012), hasta el director del NYT discutió durante meses los detalles de los documentos que les había entregado Julian Assange, de WikiLeaks, en largas conversaciones telefónicas completamente desprotegidas. Las universidades incluyen programas para manejar comentarios y titular para Twitter, pero no nos enseñan a jugar a espías. La profesión mantiene prioridades que no reflejan el verdadero estado de cosas. Hasta las organizaciones más obsesionadas con el periodismo de investigación invierten más recursos en diseñadores web y en litigios que en expertos criptográficos.

Tanto es así que ni siquiera los portales creados por las grandes cabeceras para competir con WikiLeaks consiguen pasar el examen. Tanto la Safehouse de The Wall Street Journal como la Unidad de Transparencia de Al Jazeera fueron denunciadas por prometer una anonimidad falsa, exponiendo a las fuentes de manera innecesaria. El analista de seguridad y colaborador de WikiLeaks Jacob Appelbaum tardó menos de veinticuatro horas en encontrar un alarmante número de agujeros en su sistema. Y la Electronic Frontier Foundation señaló que sus Términos y condiciones de uso incluían el derecho de las cabeceras a revelar la identidad de su fuente si así se lo pedían terceras partes o agentes de la ley.

Más aún: quien subía documentos al sistema SafeHouse firmaba un documento en el que aseguraba «no infringir ninguna ley o los derechos de otra persona», que tenía el «derecho legal, poder y autoridad sobre esos documentos» y que el material no «interfería en la privacidad de o constituía un perjuicio para ninguna persona o entidad». En cualquiera de estos tres casos, tanto las denuncias de WikiLeaks como los vídeos de Bradley Manning o los documentos de Edward Snowden hubiesen quedado fuera de juego. Peor todavía: el periódico se reservaba el derecho a utilizar el material de la fuente sin responsabilizarse de su protección, acabando con uno de los principios más fundamentales del periodismo. Y para rematar la faena, el sistema plantaba una cookie en tu ordenador. Es difícil valorar si es una cuestión de astucia o estupidez; en todo caso no olvidemos que la más peligrosa de las dos es la segunda.

En ese sentido, los grandes medios se han distanciado del principio que sostiene WikiLeaks, donde la comunicación está diseñada para ser completamente opaca, incluso para el propio administrador. El sistema asegura por defecto que todas las comunicaciones estén protegidas; los documentos que viajan por el mismo están fuertemente cifrados y los servidores que los guardan permanecen escondidos en un laberinto de espejos llamado Tor. «Si aceptamos los documentos de manera anónima —explicaba Assange en un documental—, en lugar de guardar su identidad en secreto, simplemente no la sabemos.» El detalle es importante: Assange y los suyos no tienen que preocuparse por que el gobierno norteamericano, o cualquier otro, produzca una orden judicial que les obligue a revelar la identidad o procedencia de sus fuentes porque ellos mismos no las saben.

En el libro Cypherpunks, de Julian Assange, Jacob Appelbaum, Andy Muller-Maguhn y Jérémie Zimmermann, Appelbaum dice: Si construyes un sistema que almacena datos sobre una persona y sabes que vives en un país con leyes que permiten al gobierno acceder a esa información, quizá no deberías construir ese tipo de sistema. Y esta es la diferencia entre la privacidad-pordecreto y la privacidad-por-diseño. (…) Si Facebook pusiera sus servidores en la Libia de Gadafi o la Siria de al-Assad nos parecería una negligencia absoluta. Y sin embargo, ninguna de las Cartas de Seguridad Nacional que se vieron el año pasado o el anterior tenían que ver con el terrorismo. Unas 250.000 fueron usadas para todo menos para terrorismo. Sabiendo eso, estas compañías tienen un serio problema ético en el momento en que están construyendo ese tipo de sistemas y han tomado la decisión económica de vender a sus usuarios al mejor postor. No es un problema técnico: no tiene nada que ver con la tecnología, solo con la economía. Han decidido que es más importante colaborar con el Estado, vender a sus usuarios, violar su intimidad y ser parte de un sistema de control —cobrar por ser parte de una cultura de la vigilancia, la cultura del control— en lugar de resistirse a él. Así que son parte del problema. Son cómplices y responsables.

Además de Greenwald, Edward Snowden se puso en contacto con un periodista de The Washington Post llamado Barton Gellman. Fue este periódico el que tuvo la exclusiva de Prism, un programa de la NSA mediante el cual las grandes empresas de Internet habían dado acceso a sus servidores a la misma NSA y al FBI, incluyendo audio, vídeo, búsquedas, correos, fotos, mensajes y archivos.

Entre los documentos publicados por el Post y el Guardian hay un powerpoint que explica los detalles del programa junto con una lista de las empresas que colaboraron con la Agencia: Microsoft (la primera vez, en septiembre de 2007), Yahoo (2008), Google y Facebook (2009) y Apple (2012). Ese mismo día se reveló también que Verizon y otras compañías telefónicas entregaban alegremente los registros de todas las conversaciones telefónicas al gobierno norteamericano.

Irónicamente, el gobierno quiso proteger la identidad de sus fuentes y presionó al Post para que los nombres de las compañías fueran borrados del informe. Cuando finalmente el documento salió sin censurar, el presidente Obama habló pero no para negar los hechos ni disculparse, sino para condenar el soplo y decir que él y los suyos podían estar tranquilos: «Con respecto a Internet y los correos, esto no se aplica a los ciudadanos estadounidenses ni a las personas que viven en los Estados Unidos». Aun en el caso de que eso fuera cierto —y sabemos que no lo es—, sería un consuelo muy pequeño: el 80 por ciento de esos usuarios están fuera de Estados Unidos.

Estas son las empresas de las que habla Appelbaum, cuyos servidores están sometidos a leyes que no respetan la privacidad de los usuarios. Aunque la mayor parte de estas empresas aceptaron el escrutinio y la recolección de las Agencias de inteligencia, daría igual que se hubiesen negado heroicamente. De hecho, Yahoo hizo un conato de resistencia que perdió en los tribunales en agosto de 2008, su fecha de incorporación, según el famoso documento que publicó el Post. La única manera de proteger los datos de los usuarios es no tenerlos. Lamentablemente, estas son empresas cuyo modelo económico depende de esos datos.

¿Cómo hemos llegado a esto?

Los límites del poder son los que impone la tecnología, y el espionaje de masas es tan viejo como la comunicación de masas. Ya en la década de 1970 se descubrió que la NSA (entonces AFSA o Armed Forces Security Agency) y la CIA habían estado espiando a los ciudadanos norteamericanos desde agosto de 1945, con la generosa colaboración de las tres principales compañías de telégrafos del país: Western Union, RCA e ITT.

La NSA operaba sin orden de registro y sin que existiera información previa que justificara la vigilancia. En su momento de mayor actividad, el PROYECTO SHAMROCK (así se llamó), era capaz de recoger, imprimir y analizar hasta 150.000 mensajes al mes. Cuando el comité del Senado cerró la operación en 1975, la NSA tenía guardada información de más de 75.000 ciudadanos; a esto se lo llamó «el mayor programa de interpretación del gobierno americano sobre los americanos jamás realizado». Hoy el centro que ha construido la NSA en Utah tendrá capacidad para recoger, procesar y almacenar «todo tipo de comunicaciones, incluyendo el contenido de correos privados, llamadas telefónicas y búsquedas en Internet, así como toda clase de huellas digitales: recibos del párking, itinerarios de viaje, compras de libros y otra “calderilla digital”».

Además de la NSA, la CIA tenía sus propios programas de espionaje doméstico. La notable Operación Chaos estaba destinada a vigilar y desacreditar a los líderes del movimiento estudiantil y alimentar la batalla contra Fidel Castro. El proyecto Cointelpro (un acrónimo mal resuelto de Counter Intelligence Program) también era parte de un programa para vigilar y desacreditar organizaciones y líderes de movimientos políticos, de los Panteras Negras a Mujeres por la Paz, incluyendo miembros del Senado y cualquier figura que rechazara públicamente la Guerra de Vietnam, sin olvidar al doctor Martin Luther King. Los programas empezaron con Lyndon B. Johnson y fueron heredados por Richard Nixon, que perdió la presidencia precisamente por un escándalo de espionaje. Cuando estalló el Watergate, el entonces director de la NSA, Lew Allen, archivó los proyectos. Pero no cerró el chiringuito, porque un país como Estados Unidos no puede vivir sin sus agencias de inteligencia. Para controlarlas, el mismo comité del Senado que había ordenado la desaparición de los programas de espionaje doméstico se inventó un freno de mano legislativo al que llamó la Foreign Intelligence Surveillance Act (FISA). Su trabajo era vigilar a las agencias de inteligencia para que no volvieran a las andadas, y eran responsables de producir o denegar órdenes de registro y asegurarse de que no se mancillaban los derechos constitucionales de los ciudadanos.

Conferencia de Marta Peirano, experta en ciberseguridad.

El otro freno de mano fue la famosa Directiva 18, el manual de procedimiento interno donde se regula el uso de las «señales de inteligencia» (sigint), que es como llamaron a la captura «accidental» de señales ciudadanas sin previa orden de registro. Ha sido precisamente esta directiva, y su interpretación por parte de FISA, lo que ha hecho posible por ejemplo que la NSA capture «accidentalmente» todas las llamadas telefónicas que han hecho los ciudadanos norteamericanos desde 2006, lea sus correos o ponga escuchas en los servidores de Google,
Facebook o Yahoo.

En treinta años, los dos frenos de mano que impuso el Congreso para protegerse de los abusos de su propia agencia de seguridad se han transformado en embrague y acelerador. Peor aún es que dichas operaciones han tenido el apoyo de todos los poderes políticos; George W. Bush lo puso en marcha, Obama lo mantuvo y quince jueces de FISA lo han declarado constitucional.

Hay quien se pregunta por qué nos importa tanto lo que pasa en Estados Unidos. La pregunta es legítima pero ingenua. El escándalo no es que la NSA haya espiado sino que ha espiado a ciudadanos norteamericanos. Espiar a ciudadanos de otros países es perfectamente legítimo bajo la legislación norteamericana, incluso si esos extranjeros son la canciller alemana Angela Merkel o el primer ministro israelí Ehud Olmert.

La mayoría piensa que, si no tiene nada que ocultar, no tiene nada que temer. Es una mentira que por mucho que se repita no deja de serlo. Para empezar, sabemos que las Agencias de inteligencia de Estados Unidos y del Reino Unido nos espían, pero no sabemos lo que están haciendo las de Corea, Venezuela, Bielorrusia o Brasil. La Red no estaba diseñada para convertirse en el circo de miles de pistas en el que se ha convertido y las empresas que la han rediseñado no han invertido en infraestructura para proteger a los usuarios, porque hasta hace poco nadie se lo había pedido.

Internet se ha llenado de sofisticados software espía que son usados por cientos de miles de adolescentes aburridos en sus dormitorios, solo porque están a mano. Por cada informe escandaloso que se publica sobre los programas de la NSA hay cientos, probablemente miles de organizaciones desconocidas y peligrosas acumulando e intercambiando datos. Deberíamos protegernos porque la Red se ha convertido en un lugar peligroso, pero nos seguimos comportando como si fuera Tiffany’s, el lugar donde no te puede pasar nada malo. Pero aunque no lo fuera, deberíamos protegernos. La ley que protege nuestro derecho a hacerlo ha costado muchas guerras y muchas vidas. No siempre es conveniente vivir a cara descubierta. Gracias a WikiLeaks sabemos que Gadafi contrató servicios de empresas europeas para espiar a sus propios ciudadanos y «neutralizar» a los disidentes antes de que salieran a la calle, y que no es el único. En nuestro país se proponen reformas del Código Penal donde se plantea encarcelar a ciudadanos por apoyar una manifestación en Twitter.

Cuando nuestros representantes no pelean por defender nuestros derechos sino contra nuestro derecho a ejercerlos, la única respuesta es la desobediencia. Puede que no tengamos nada que ocultar, pero sí tenemos mucho que temer. En una sociedad ultravigilada, todo el mundo es antisistema.