No todas las guerras se libran con armas y artillería pesada. La transformación digital y las nuevas tecnologías han dado paso a otro tipo de guerras cuyos efectos afectan a casi toda la población mundial (básicamente a aquella que tenga algún aparato conectado a Internet) y de las que pocos somos conscientes.

El presente artículo expone los descubrimientos que ECFR ha incluido en su informe “No middle ground: moving on from the crypto wars” sobre la lucha entre los defensores de la seguridad y los de la privacidad ante el hecho de que los gobiernos, por razones relacionadas con el primer bando (o al menos eso es lo que ellos afirman), puedan acceder a los datos encriptados.

Al igual que Guerras Mundiales, ya van dos “Criptoguerras” desde la aparición de los ordenadores. La primera, en la década de los 90, cuando los defensores de la privacidad se enzarzaron en una lucha contra el gobierno de los Estados Unidos ya que éste tenía el control de los datos encriptados y cuyo cifrado, además, estaba deliberadamente debilitado. En aquella ocasión, allá por el año 95, la guerra la ganó el ejército de la privacidad.

18 años después, en 2013, el mundo se metió en una segunda criptoguerra que dura hasta nuestros días. El motivo no es otro que el permitir, o no, a las agencias gubernamentales un acceso extraordinario a los datos y a los dispositivos electrónicos siempre que sea necesario por razones de seguridad. Esto está provocando muchos quebraderos de cabeza.

Es posible que cuando nos hablan de criptografía nos venga a la cabeza Robert Landon descifrando mensajes en el Código Da Vinci o Enigma, la máquina diseñada por los alemanes en la Segunda Guerra Mundial. La criptología no es otra cosa que diseñar un sistema de cifrado tras el cual escondemos información que sólo va a ser capaz de obtener quien tenga la clave para ello. Aunque la criptografía moderna dista mucho de Enigma y es más compleja que los acertijos que revelaba el Sr. Landon, el objetivo es el mismo: garantizar el secretismo.

Dejando de lado las diferentes formas de encriptado que existen en la actualidad, vamos a centrarnos en los problemas que esto está provocando en diferentes países y que se describen muy bien en el informe de referencia.

LA DELGADA LÍNEA QUE SEPARA LA SEGURIDAD DE LA PRIVACIDAD

Vamos a comenzar con Estados Unidos que parece que es donde comenzó todo. Aquí el debate se acentuó en 2016 cuando Apple se negó a dar acceso al iPhone de uno de los atacantes de la matanza de San Bernardino, con lo que el gobierno tuvo que pagar 900.000 dólares para obtenerlo. Posterior a este problema, el FBI se ha topado en 7.775 ocasiones con la imposibilidad de acceder a datos encriptados en dispositivos móviles, aun cuando disponía del permiso legal para hacerlo. Las consecuencias han sido retrasos a la hora de esclarecer casos relacionados con el terrorismo, el tráfico de personas o el crimen organizado. Rod Rosenstein, Vicefiscal General, argumentó que cuando la policía no tiene acceso a la evidencia el crimen no puede ser resuelto, por lo que abogó hacia un “cifrado responsable”. Como era de esperar, rápidamente el “el bando de la privacidad” sacó sus armas. En primer lugar, atacaron diciendo que el FBI había inflado las cifras y que no eran más de 2.000 dispositivos a los que no habían podido acceder.  En segundo lugar, el acceso responsable a los datos encriptados es una quimera. Los argumentos que justifiquen la necesidad de acceso a ellos serían siempre subjetivos, cualquier hecho podría justificar una necesidad imperiosa. Desde octubre de 2017, en que Rosenstein hizo estas declaraciones, el debate sobre esta materia en Estados Unidos no ha tenido ningún avance.

Crucemos el charco y echemos un vistazo a Europa. Aquí el debate se ha endurecido desde los atentados de Niza, Bruselas, París, Berlín, Barcelona, Estocolmo y Londres.

Se supo que unos minutos antes de que Khalid Masood asesinara a cinco personas e hiriera a 50 en Westminster había estado usando whastapp. Amber Rudd, Ministra de Interior del Reino Unidos, declaró que este tipo de aplicaciones no podían convertirse en lugares secretos de comunicación para los terroristas. Theresa May por su parte sugirió regular el ciberespacio. Ambas propuestas fueron motivo de burla de muchos medios de comunicación que no entendían cómo se podía culpar a Internet de acciones. Rudd respondió a estas críticas diciendo que el gobierno respalda los sistemas de encriptado y su intención no es prohibirlos, ni obligar a las empresas a crear “puertas traseras” de acceso a la información, pero consideraba que aplicaciones como whatsapp no podían disponer de sistemas de cifrado tan fuertes. Las criticas continuaron y el sucesor de Rudd, Said Javid, no se ha pronunciado demasiado sobre este tema, aunque sí considera a estas aplicaciones como “portavoces del terror”.

Por su parte Alemania quiere convertirse en un líder mundial en el área de la criptografía. En este país existe una política de encriptado que data de 1999. En ella se dice que no habrá prohibición o limitación en lo que a productos de encriptado se refiere, pero la labor de las fuerzas de seguridad nunca se verá debilitada por el uso de estos productos. Para ello, el Ministerio del Interior ha lanzado un acuerdo por el que se permite la monitorización de servicios de mensajería con el fin de luchar contra el terrorismo y es que, en palabras de su Ministro de Interior, no puede existir áreas libres de leyes cuando se trata de luchar contra el terrorismo. A finales de junio, el Parlamento Alemán aprobó una Ley por la que le está permitido a las fuerzas de seguridad eludir el encriptado end-to-end ante investigaciones de terrorismo o criminales. Como es de entender, hay muchos que piensan que vender el pirateo estatal como una medida de seguridad es distorsionar la verdad. Su argumento es que el lanzamiento de malwares para acceder a la información de supuestos criminales afectará a otros ciudadanos que compartan el mismo software y cuya información sensible se verá afectada.

Francia tiene una postura ambigua. Cuando era candidato a la presidencia, Emmanuel Macron expresó su oposición a que las compañías de internet se negaran a proporcionar acceso a los datos encriptados. Una vez elegido presidente intentó algo parecido al “encriptado responsable” de Rosenstein en Estados Unidos, asegurando que lo que se pretendía era un acceso al contenido encriptado, pero manteniendo la confidencialidad de la correspondencia y sólo con el fin de asegurar que estas herramientas no eran usadas por los criminales. En otras declaraciones Macron ha afirmado que el encriptado de la información es una herramienta vital para la seguridad online. Es sabido que el presidente y algunas personas de su equipo eran afines a Telegram, una aplicación de mensajería que, hasta su cierre en abril de 2018, nunca había querido colaborar aportando sus datos encriptados, con investigaciones relacionadas con terrorismo, y tampoco se había opuesto a que el Estado Islámico y otros grupos yihadistas usaran esta vía para sus comunicaciones. Si bien es cierto que el gobierno francés se unió a la lucha contra Telegram, es muy probable que lo hiciera pensando en que Rusia podía terminar cediendo a la presión para que esta empresa pusiera a disposición los datos encriptados. Esto casualmente coincide en tiempo con el desarrollo por parte de Francia de una aplicación de mensajería con codificación end-to-end, alternativa a Whastapp y a Telegram, y cuyos datos encriptados se almacenarían íntegramente en este país. Esta aplicación de momento no ha visto la luz y sigue siendo un misterio si estará o no a disposición de los franceses.

¿Qué pasa en España? El artículo 18 de nuestra constitución hace referencia al derecho fundamental de las personas a su intimidad. Como en el resto del planeta, los teléfonos móviles ya no sirven únicamente para comunicarnos, en ellos guardamos prácticamente toda nuestra vida. Los usuarios tenemos derecho de cifrar nuestras comunicaciones y documentos para preservar nuestra intimidad. En principio no hay obligación legal de proporcionar nuestras claves y en el caso de que existiera una orden judicial habría que ver si no interfiere con otros derechos fundamentales. Muchos juristas opinan que la legislación se ha quedado anticuada al no avanzar a la misma velocidad que los cambios tecnológicos.

En lo que respecta a la Unión Europea, Julian King, Comisario de Seguridad de la UE, afirmó hace un tiempo que había miembros más avanzados tecnológicamente que otros respecto a la cuestión criptográfica y anunció una serie de medidas que pretendían llevar a cabo para igualar posiciones y evitar desventajas. Para ello necesitaba que Europol coordinara programas de formación en esta materia para 2018, se creara una red de expertos en criptografía donde los diferentes países miembros pudieran compartir conocimiento y se diseñaran bases de datos de las diferentes técnicas que los países pudieran usar para obtener información sin debilitar de manera general el sistema de encriptado. Y como no, esto fue duramente criticado alegando atentados contra la privacidad y dudando que los países más avanzados fueran a compartir información con los demás.

Anterior a la propuesta de King, la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo hizo circular un borrador en que proponía convertir a los datos encriptados en algo intocable y prohibir su descifrado por cualquiera que no sea el usuario.

Queda claro que en Europa no hay un criterio único y las corrientes de la seguridad y privacidad discurren en paralelo sin encontrar un punto donde puedan confluir ambas posturas. Hasta la fecha, la fuente de datos más completa sobre el problema de la encriptación y la aplicación de la Ley es un cuestionario que el Consejo de la Unión Europea envió a los Ministros de Justicia de los 25 estados miembros en septiembre de 2016. Su finalidad era mapear la situación y saber los obstáculos a los que se enfrentan los países cuando topan con datos encriptados en las investigaciones criminales. 19 países han permitido que el público tenga acceso total a su respuesta. Solo un país ha permitido el acceso parcial y Bélgica, Bulgaria, Francia, Malta y Portugal han prohibido cualquier acceso a su información alegando razones de seguridad. Las leyes en materia de encriptado son diferentes en cada uno de los Estados.

Por todo lo anterior, los principales problemas a los que se enfrenta la Unión Europea a la hora de establecer una legislación común son: las limitaciones legales de carácter nacional, la falta de cooperación por parte de algunas compañías, sobre todo de aquellas asentadas fuera de Europa, y la contratación de personal experto en descifrado. Mientras que en Alemania se puede ordenar a las empresas que faciliten contraseñas para acceder a los datos en Austria esto está totalmente prohibido.

Esta situación tan inestable a un lado y otro del océano ha dado lugar a la proliferación de un “mercado gris” en que algunas empresas hacen su agosto vendiendo tecnología para eludir la encriptación y de las que los cuerpos de seguridad son sus principales clientes. Véase el caso de Cellebrite, Grayshift usada por la policía de Maryland e Indiana, Hacking Team para la policía de Milán en un principio, aunque luego se descubrió que colaboraba también con otros países de la OTAN, o Zerodioum, una start-up con sede en Estados Unidos. Se trata de un mercado cada vez más maduro pero muy complicado. Estas empresas ganan mucho dinero acercándose al límite de la inmoralidad por lo que no es de extrañar que de mercado gris pueda pasar a convertirse en mercado negro.

MUCHAS CUESTIONES PARA REFLEXIONAR

Según el informe, la situación, tanto en Estados Unidos como en Europa, es que el bando de la seguridad de momento se está viendo superado por el de la privacidad. Está en manos de las compañías tecnológicas colaborar o no con los gobiernos, por lo que las agencias de inteligencia tienen que seguir recurriendo a ese mercado gris para alcanzar sus objetivos destinando para ello gran cantidad de dinero de los contribuyentes. Alcanzar un equilibrio entre seguridad y privacidad de forma que ambos bandos ganen va a ser complicado. Algunas propuestas para dar por terminado el conflicto: dotar de suficiente presupuesto a las agencias de inteligencia de forma que cuenten con expertos y no tengan que recurrir a terceros, no permitir que los diferentes países funcionen por su cuenta sino crear una agencia donde se centralice la cooperación  se pueda garantizar la supervisión legal y a la vez ética y no dejar este debate en manos de políticos sino en las de los verdades expertos, de forma que puedan explicar el papel crucial de la agencias de inteligencia en la lucha contra el crimen puede ayudar a conseguir ese acercamiento entre ambas posturas.

Hablando el otro día sobre este tema con nuestro colaborador Gonzalo Suárez, algunas reflexiones que nos podrían venir a la mente sería si priorizar la seguridad “pública” por encima de la privacidad de las personas en determinados países, en los que bien es sabido que interceptan comunicaciones o usan perfiles falsos en la red o poniendo como excusa la amenaza terrorista, es permitir el acceso universal a datos personales que pueden acarrear indudables riesgos colectivos al poder ser utilizados para dudosas prácticas políticas destinadas a eliminar adversarios. ¿Nos sentiríamos más seguros sabiendo que determinados gobernantes están accediendo a nuestros datos sin ningún control? Realmente ¿hay más libertad cuando hay más seguridad, si se entiende esta última como el acceso ilimitado de la policía a la vida íntima de sus ciudadanos? ¿puede haber más libertad con menos privacidad? ¿se contraponen la seguridad privada y la seguridad pública? ¿es legítimo el acceso ilimitado a la vida íntima de millones de personas (sentimientos, relaciones personales, hábitos, opiniones, tendencia sexual, religión, etc.) únicamente por una amenaza terrorista que en el peor de los casos afecta a un pequeño número de personas en los pocos atentados que se producen en cada país al año? ¿está equilibrada esa ecuación? De verdad el asunto de la privacidad ¿sólo puede medirse en términos de amenaza terrorista, y no en clave de libertad e intimidad personal?

El informe sólo hace referencia a la posible fiscalización de las comunicaciones electrónicas, pero ¿por qué no acceder a todas las demás como el correo en papel o una conversación en un restaurante? ¿por qué no eliminar de una vez el dinero en efectivo de modo que sólo podamos pagar con tarjeta y quede un registro que podamos inspeccionar en caso de duda? ¿Por qué no permitir el acceso al domicilio sin previa orden judicial?… ¿No debe haber límites o condiciones para el acceso del poder ejecutivo del Estado a la vida íntima de las personas?

Como dice el artículo, equilibrar la balanza es complicado: existen demasiadas partes implicadas, y la falta de ética e imparcialidad como posible condición humana en algunos de los actores partícipes hacen que, por el momento, dejar la partida en tablas se presume muy lejano.

Elena Rojo


Comparte esta publicación en LinkedIn   

Aviso Legal y Política de Privacidad
FUENTE: ECFR.EU