La delgada línea entre Gobierno y Privacidad de datos


En los últimos dos años, la disputa entre gobierno y privacidad de datos se ha intensificado. El evento más destacado que desencadenó esta conversación fue la investigación del 2015 de la masacre de San Bernandino, California en la que el FBI le solicitó a Apple crear una puerta trasera para acceder al iPhone bloqueado del agresor.

Esta saga puso a Apple en la silla caliente de lo que ha de ser una responsabilidad de la industria entera y no de solo una compañía. La decisión de Apple era crítica y establecería un precedente de cómo compañías deberían actuar en estas situaciones en el futuro. Por un lado, tenías la obligación moral de ayudar a ejercer la justicia sobre un acto inhumano que dejó a 14 personas muertas y 22 lesionadas.

Y por el otro lado, tenías la responsabilidad como empresa de proteger la privacidad y seguridad de tus usuarios. Había críticos en ambos lados del debate, todos con argumentos muy válidos que respaldaban su posición. Apple estaba en una situación muy difícil, sin duda. Lo que el FBI solicitaba de Apple no era exactamente que le entregara la data que tenía la empresa, sino que creara un sistema que forzadamente accediera a la data del teléfono, debilitando así la propia seguridad que Apple había trabajado en crear durante mucho tiempo.

Después de mucha deliberación y a pesar del escrutinio mediático y político, Apple decidió no conceder al FBI su petición y al hacer eso trazaron una clara línea que define hasta dónde están dispuestas a llegar las compañías de tecnología en asistencia judicial.

Tim Cook, el CEO de Apple, argumentó que “la técnica podría usarse una y otra vez, en cualquier cantidad de dispositivos. En el mundo físico, sería lo equivalente a una llave maestra, capaz de abrir cientos de millones de cerraduras — desde restaurantes y bancos a tiendas y hogares. Ninguna persona razonable lo consideraría aceptable.”

Al  final, lo que este caso hizo fue desencadenar la conversación sobre la extralimitación del gobierno en el acceso a datos de usuarios privados. En este instante, Australia está buscando llevar la vigilancia y la extralimitación de gobiernos a un nivel completamente nuevo.

Los Cinco Ojos

El martes, el New York Times publicó una opinión de Lizzie O’Shea que habla sobre una nueva ley que se ha propuesto en el parlamento de Australia que ayudará a las agencias de inteligencia a eludir la encriptación. Bajo esta ley, las compañías de tecnología estarían obligadas legalmente a cooperar con los entes del estado en no solo entregar información privada de sus usuarios, sino también acceso a información.

Esto implica que si la información estuviese encriptada, la compañía proveedora de servicio estaría forzada a eludir o romper su propia seguridad, decriptar la data y entregársela al estado. Los legisladores argumentan de que las compañías de technologia deben de crear ‘una puerta trasera que solo el estado podría usar’, pero las compañías de technologia, conocedores de ciberseguridad y periodistas han todos concordado en que tal ‘puerta trasera’ sería una vulnerabilidad para todo el sistema que permitiría a los hackers y los malos actores acceder a los datos privados de los usuarios.

En primera instancia, uno podría descartar las acciones de Australia como las de un país lejano ignorante a los hechos fundamentales de la ciberseguridad. Sin embargo, las acciones de Australia podrían afectar a los EE. UU., Gran Bretaña, Nueva Zelanda y Canadá; ya que los cinco países pertenecen a la iniciativa ‘Cinco Ojos’, que tiene como objetivo colaborar entre las naciones miembro en materia de inteligencia.

En 2017, los Cinco Ojos se reunieron y concluyeron que el mayor impedimento para sus agendas de inteligencia era el cifrado y su uso ampliado en plataformas de comunicación como mensajería y correo electrónico. Desde entonces, todos los países miembros han establecido como objetivo la creación de legislación que otorgue acceso de “puerta trasera” a agencias de inteligencia a las plataformas tecnológicas y sus datos encriptados.

Australia fue el primero en materializar algo con su reciente propuesta de ley y se puede esperar que Estados Unidos, Gran Bretaña, Nueva Zelanda y Canadá hagan lo mismo. De hecho, uno puede esperar que las cosas se muevan más rápido con los Estados Unidos, considerando que Sheryl Sandberg de Facebook y Jack Dorsey de Twitter, han testificado recientemente en el Congreso ante el Comité de Inteligencia del Senado. Por supuesto, están siendo cuestionados por la forma en que sus plataformas han ayudado a la desinformación y manipulación de elecciones por parte de potencias extranjeras y malos actores, pero no se equivoquen: esto es más leña al fuego.

La solución Dragnet

El principal argumento utilizado por los legisladores para violar la privacidad del usuario es que las plataformas de comunicaciones encriptadas pueden y están siendo utilizadas por los malos actores. Además, afirman que las redes sociales y las plataformas de mensajería están siendo utilizadas por extremistas y terroristas para cumplir sus agendas malvadas contra la sociedad. En consecuencia, las agencias de inteligencia no pueden proteger la seguridad nacional si no pueden intervenir y leer estas conversaciones.

El problema con este argumento es que es el mismo que utilizó el gobierno de EE. UU. en 2013 para defender las prácticas de vigilancia masiva de la NSA una vez que fueron reveladas por Edward Snowden. Además, la solución propuesta por legisladores es un método ‘pesca de rastre’ similar a las metodologías utilizadas por la NSA, que ganaron mucha crítica pública por la recopilación masivas de datos privados de sus propios ciudadanos.

Registros telefónicos, mensajes de texto, llamadas telefónicas, correos electrónicos, historiales de navegación e interacciones en las redes sociales de ciudadanos privados que ni siquiera eran personas de interés para agencias de inteligencia donde se recolectaban sin discriminación. En este punto, es muy importante señalar que el método ‘rastre’ es uno que ha demostrado ser ineficaz. De hecho, desde las filtraciones de Snowden en 2013, no ha habido evidencia alguna que demuestre que los programas de vigilancia masiva del NSA han frustrado algun ataque terrorista en los EE. UU.. ¿Y qué precio se ha pagado? Pérdida de privacidad, extralimitación de gobierno, uso indebido de fondos públicos y la regresión de los valores sociales.

Fundamentalmente, las soluciones de rastre son equivalente a usar una bomba nuclear para destruir un nido de avispas: sí, estás resolviendo el problema, pero estás destruyendo todo un ecosistema al hacerlo. Los terroristas en el mundo de comunicación encriptada son como peces león en el arrecife de coral. Si utilizamos una red de arrastre para eliminar las especies invasoras del arrecife de coral, también destruiremos el ecosistema que estamos tratando de proteger.

En este sentido, crear leyes que obliguen a las plataformas a crear puertas traseras por el bien de la ‘Seguridad Nacional’ terminaría poniendo en riesgo a la propia sociedad que el gobierno está buscando proteger. Una sociedad sin derechos de privacidad es tan pobre como una sociedad sin libertad de expresión. De hecho, Snowden lo expresó mejor cuando dijo:

“Argumentar que no te importa la privacidad porque no tienes nada que ocultar es como argumentar que no te importa la libertad de expresión porque no tienes nada que decir.”

Un futuro regulado

Ahora, podemos predicar todo lo que queramos sobre la importancia de los derechos de privacidad y cuán equivocado es utilizar soluciones de rastre como la propuesta por los australianos, pero en un mundo donde la política reina sobre la razón, debemos esperar lo peor y prepararnos para ello. Entonces, para propósitos prácticos, exploremos cómo funcionaría esta ley de ‘Asistencia y Acceso’ y donde se encuentran sus debilidades. Para este experimento utilizaremos plataformas de comunicación que utilicen el Protocolo de encriptación ‘Signal’, que es ampliamente considerado como el cifrado más orientado a la privacidad en el espacio de ciberseguridad.

Problema 1: La ley obligaría a una empresa como WhatsApp (mensajería cifrada) o Criptext (correo electrónico cifrado) a entregar claves de cifrado a las agencias de inteligencia para que puedan descifrar los mensajes. Ahora, el problema aquí es que tanto Criptext como WhatsApp usan la encriptación del Protocolo Signal en el cual las claves de encriptación no son generadas ni guardadas por el servidor del proveedor de servicios, sino que son creadas y alojadas en el dispositivo físico del usuario— ya sea una computadora, teléfono inteligente o tableta. En este sentido, la compañía de comunicaciones no tiene acceso a las llaves de encriptacion, lo que significa que no pueden entregarlas a la agencia de inteligencia que lo requiera.

Problema 2: Continuando, supongamos que por algún milagro la agencia de inteligencia logra interceptar la clave de encriptación de un usuario. Bueno, aquí es donde entra en juego la característica de ‘Forward Secrecy’ del Signal Protocol. Cada mensaje se cifra con una clave única que se reemplaza con una nueva clave de cifrado cada vez que se envía un mensaje. Este sistema de trinquete hacia adelante impide que una clave descifre todos los mensajes / correos electrónicos.

Problema 3: La suposición general en estos esfuerzos regulatorios es que el proveedor del servicio aloja los datos del usuario. Este es un gran error ya que las empresas que usan la encriptación Signal no recopilan los mensajes de los usuarios en sus servidores. Simplemente no pueden, aunque quisieran. Todos los datos de WhatsApp y Criptext se almacenan exclusivamente en el dispositivo del usuario, al igual que sus claves de cifrado. Esto significa que, incluso si las llaves de encriptación son interceptadas, el proveedor del servicio no tiene los mensajes o correos para entregar a las autoridades. Este es un punto importante para cubrir ya que Brasil sufrió un escrutinio público cuando, sucumbiendo a la ignorancia de su gobierno, encarceló a un ejecutivo de Facebook en 2016 por no entregar datos de usuario de WhatsApp e ignorar el hecho de que WhatsApp no recopilaba los datos de sus usuarios.

Resolviendo el problema juntos

No hay ninguna duda de que los malos actores pueden y usan los servicios de comunicación encriptados para llevar a cabo actos de terror y, por lo tanto, tenemos que encontrar una solución a este problema tan real. La mejor manera de resolver este problema es involucrar a las compañías tecnológicas que desarrollan estas plataformas en la conversación. Los últimos ejemplos mencionados anteriormente demuestran que los reguladores no entienden lo suficiente acerca de las plataformas de comunicación encriptadas para redactar proyectos de ley que las regulen. Tal como está hoy, el proyecto de ley “Asistencia y Acceso” propuesto por el parlamento australiano traerá más daño que bien.

Volviendo al ejemplo del pez león, hemos visto a los gobiernos locales incentivar la caza de peces León individuales. En Jamaica, los restaurantes ahora han comenzado a servir pez León como un manjar y los turistas lo aman. Esto ha incentivado a toda una sociedad a cazar al pez y sacar provecho de la solución del problema. Esta solución enfocada ha llevado al arrecife de coral a volver a crecer y prosperar sin poner en riesgo el resto del ecosistema y sus habitantes. ¿Qué pasa si los legisladores adoptan un enfoque quirúrgico similar para el problema de la comunicación encriptada? ¿Qué pasaría si el gobierno propusiera incentivos que se redujeran hasta el usuario final para que los malos actores puedan ser señalados por la misma sociedad que buscan proteger?

Vivimos en un mundo donde la innovación supera la regulación y, por lo tanto, al legislar sobre el nexo de la tecnología y la seguridad nacional, es crítico que los legisladores y los proveedores de servicios colaboren buscando una solución viable para un problema compartido. Como CEO de una plataforma de comunicación encriptada, puedo decir que nadie está en este negocio para empoderar a terroristas y extremistas. Al contrario, la tecnología que están construyendo compañías como Criptext, ProtonMail y Tutanota conectan al mundo para bien. Nosotros, como sociedad, debemos ser muy cuidadosos de no resolver problemas comprometiendo la privacidad. Estas soluciones son el tipo que nos llevan 3 pasos adelante y 5 pasos atrás.

  • Compartir
    Compartir

Suscríbete a nuestro boletín para recibir noticias, alertas y actualizaciones:

WikiTribune Abrir Menú Cerrar Buscar Me gusta Regresar Siguiente Abrir Menú Cerrar Menú Play video RSS Feed Compartir en Facebook Compartir Twitter Compartir Reddit Síguenos en Instagram Síguenos en YouTube Conéctate con nosotros en LinkedIn Envíanos un correo electrónico