¿Hasta qué punto comprometo mi información personal y mi privacidad por la seguridad de un estado? Esta es la historia de cómo un celular desencadenó un debate internacional respecto a la privacidad en la era digital.

¿Deberían las compañías de tecnología de colaborar con los gobiernos para acceder a nuestros datos personales? La relación entre las compañías que producen celulares (los que tienen las contraseñas de nuestros bancos y correos electrónicos, las fotos de nuestra familia) y los gobiernos (los que se suponen que nos protejan) se debate desde febrero de este año, cuando el FBI le pidió a Apple desbloquear el iPhone de uno de los atacantes de la masacre de San Bernardino.

Desde entonces, la conversación se ha convertido en una discusión internacional acerca de si el gobierno de EEUU—y los gobiernos de todo el mundo—deberían de tener un acceso especial (un backdoor) a nuestros teléfonos.

Las revelaciones de Edward Snowden en el 2013 produjeron cambios modestos y un poco más de sospecha alrededor de las actividades del gobierno de EEUU en el ciberespacio. Pero por más polémicas que fueran sus aseveraciones, a los ciudadanos promedio no pareció importarles mucho. Debido a que la discusión se centra ahora en un dispositivo que la mayoría porta en su bolsillo, el asunto al fin se empieza a sentir concreto y personal.

Con más de un 90% de estadounidenses dueños de un celular, el debate se mudó rápidamente del campo legal, gubernamental y tecnológico al campo civil. Y con alrededor de 1.5 líneas de teléfono móvil por habitante en Costa Rica, este es un asunto que nos debe de empezar a preocupar.

Nosotros, como ciudadanos y como consumidores, estamos en medio de esta discusión.

El ataque de San Bernardino

Seguridad-05

Cómo quedó el Ford Expedition rentado (en el que escapó la pareja) después del tiroteo con la policía. Fuente: Wikimedia Commons.

El 2 de diciembre del 2015, una pareja alzó fuego contra una reunión de empleados del Departamento de Salud del condado de San Bernardino, California. La pareja—identificada como Syed Rizwan Farook, de 28 años y Tashfeen Malik, de 29 años—mató a 14 personas y dejó a 22 gravemente heridas.

Syed Rizwan Farook era un ciudadano estadounidense nacido en Chicago, hijo de inmigrantes pakistaníes. Creció en Riverside, California y fue a la Universidad Estatal de California en San Bernardino, donde obtuvo el título de bachiller en Salud Ambiental. Trabajó para el Departamento de Salud del condado desde el 2010.

Tashfeen Malik nació en Pakistán, de una familia poderosa y con influencia política en su ciudad. Vivió la mayor parte de su vida en Arabia Saudita, pero regresó a Pakistán a estudiar en la universidad Bahauddin Zakariya en Multan, donde se graduó de Farmacología. Simultáneamente, visitaba el instituto Al Huda, un centro de estudios religiosos islámicos, dedicado a “traer mujeres de vuelta a sus raíces religiosas.” Enfocado a mujeres de familias influyentes—como lo era Malik—el instituto es fundamentalista, pero no yihadista.

Malik se matriculó en un curso de 18 meses sobre el Corán. En mayo del 2014, después de 13 meses, lo dejó, diciendo que se iba a ir a casar. Había conocido a Farook por medio de un sitio de citas en Internet.

Las razones por qué un empleado calificado como “callado y cortés” planearía una masacre para matar a sus compañeros de trabajo siguen siendo investigadas. Muchas fuentes señalan una mezcla de factores. Primeramente, el hecho de haber tenido una “niñez difícil”, con un padre alcohólico que golpeaba a su madre, le gritaba sin razón a él y a sus hermanos, y que amenazaba con suicidarse a diario. Además, una callada y constante radicalización a lo largo de años por medio de internet; la cual probablemente lo llevó a conocer y a casarse con su esposa.

Según Mustafa Kuko—director del Centro Islámico de Riverside en el que Farook rezaba dos veces al día, desde el 2012 hasta 2014—era imposible imaginar que alguien como Farook fuese capaz de un acto tan sangriento. Kuko lo describe como alguien tímido, sin ningún tipo de altercado con nadie en la mezquita. En el 2014, Farook súbitamente dejó de ir, sin despedirse de nadie. “Algo debió de haberle pasado mentalmente o físicamente, que lo hizo cambiar”, le dijo Kuko a The New York Times.

Uno de los profesores de Malik en la universidad decía lo mismo de ella: “Ni siquiera puedo imaginar que fuera capaz de asesinar personas.”

El iPhone 5C de Syed Rizwan Farook

Seguridad-01

Un iPhone 5C. Fuente: Wikimedia Commons.

La pareja destruyó, previo al ataque, sus teléfonos celulares personales. Sin embargo, no destruyeron el celular de trabajo de Farook. El problema, y la razón por la que este caso obtuvo importancia en el mundo—más allá de ser calificado como un acto terrorista—es que el iPhone 5C de Farook estaba bloqueado por un passcode de 4 números. Y después de 10 intentos fallidos consecutivos para desbloquearlo, el iPhone haría inaccesible toda su información.

El enredo legal y el debate de seguridad

Solo desde Octubre del 2015 hasta Febrero del 2016 (cuatro meses), Apple se ha negado a cooperar con al menos 9 órdenes hechas por cortes de EEUU, bajo el All Writs Act, un estatuto federal de casi 230 años. La línea de estas demandas ha sido esencialmente obligar a Apple a “usar sus capacidades existentes para extraer datos como contactos, fotos y llamadas de iPhones bloqueados con sistemas operativos iOS 7 y más viejos”, todo esto en teléfonos asociados a investigaciones criminales.

Algunas de las órdenes involucran teléfonos que son imposibles de desbloquear para la compañía, y los obligaría a escribir software que viole su propia seguridad.

El 9 de Febrero del 2016, el FBI anunció que no era capaz de desbloquear el iPhone 5C de Farook. El FBI le pidió ayuda a la National Security Agency para desbloquear el teléfono, pero ellos alegaron no ser capaces de hacerlo, ya que tienen conocimiento para entrar en otros dispositivos utilizados por criminales, pero no en iPhones.

El FBI procedió a pedirle a Apple crear una nueva versión del sistema operativo de ese iPhone, la cual pudiera ser instalada y corrida en la RAM del teléfono, y que deshabilite sus características de seguridad. En otras palabras, que la compañía desarrolle software que pueda eliminar la característica que borra las llaves de desencripción después de 10 intentos fallidos de ingreso de passcode. Después de esta “pequeña ayudita”, el FBI aplicaría un método de fuerza bruta para averiguar el passcode.

Apple se negó debido a su política de nunca atentar contra la seguridad de sus propios productos. Entonces, bajo pedido del FBI, el magistrado Sherri Pym abrió una orden de la Corte Suprema el 16 de Febrero, la cual intentaba obligar a Apple a crear dicho software.

Para justificar la orden, el fiscal de distrito de San Bernardino, Michael Ramos, alegó que el teléfono puede contener la evidencia de un “ciber patógeno latente”, que pudo haber sido introducido dentro de la red del condado. Sin embargo, no hay evidencia que sustente esa afirmación, y menos aún hay registro de un ataque a la red.

Según Jonathan Zdziarski, un experto forense en iPhones, para Ars Technica, “[p]arece que está inventando los términos sobre la marcha. Nunca hemos usado estos términos en Ciencias de la Computación.” Afirma que la estrategia de Ramos puede ser la de influenciar a la Corte para actuar irracionalmente y fallar a favor del FBI. “Esencialmente, está diciendo que un unicornio mágico puede existir en el teléfono” continúa Zdziarski.

El día siguiente, Ramos admitió que no sabía si los atacantes habían comprometido la infraestructura del condado, pero que la única forma de estar realmente seguros, era desbloqueando el teléfono. Argumento ganador, ¿no?

La posición de Apple

Tim Cook, el CEO de Apple, hizo un desafiante comunicado pocas horas después de recibir la orden de la Corte. En su carta abierta, Cook llama a iniciar una discusión acerca de la privacidad de nuestros datos porque la orden “perjudicaría las décadas de avances en seguridad que protegen a nuestros clientes.” En un juicio relacionado unos días antes, el abogado de la empresa afirmó que están siendo obligados a ser un “agente del cumplimiento de la ley.”

“Algunos podrían decir que construir un backdoor para solo un iPhone es una solución simple,” añadió Cook. “Pero ésta ignora tanto las bases de la seguridad digital como la significancia de lo que el gobierno está demandando en este caso.”

“En el mundo digital de hoy en día, la ‘llave’ de un sistema encriptado es una pieza de información que desbloquea los datos, y es solamente tan segura como las protecciones alrededor de ella. Una vez que la información es conocida, o una forma de evitarla es revelada, la encriptación puede burlada por cualquiera con el conocimiento.”

Independientemente de que Apple sea o no capaz de cumplir con la orden—sí lo es—, su posición tiene que ver con las implicaciones del caso. Acceder a colaborar ahora podría significar más órdenes de desbloquear teléfonos en el futuro. Además, podría dar un precedente para obligar a otras compañías a poner backdoors en sus propios sistemas.

Y a pesar de que el director del FBI asegure que “el litigio de San Bernardino no trata de establecer un precedente o de mandar ningún tipo de mensaje”, y que se trata solamente de las víctimas y buscar justicia, hay mucha evidencia de que el gobierno de EEUU no tiene en mente el iPhone de solo un terrorista. El caso puede tener muchas ramificaciones en investigaciones locales que dependen de un teléfono bloqueado.

Backdoors gubernamentales

El problema principal de incluir backdoors—o defectos en seguridad, como se les debería de llamar—es que pueden caer en las manos de hackers, o pueden convertirse en instrumentos de abuso de poder de gobiernos autoritarios.

“Si no te suena mal que el gobierno de EEUU dicte sobre la encriptación del iPhone, pregúntate cómo te sentirás cuando China demande lo mismo”, declaró en un tweet Matthew Green, profesor de criptografía de la Universidad John Hopkins.

La historia de intentar introducir backdoors en dispositivos electrónicos no es reciente. En 1993, la NSA propuso un dispositivo de encriptación con un backdoor incorporado, pensado para incluir en dispositivos móviles, llamado Clipper Chip. Su anunciamiento comenzó una polémica que se llamó Crypto Wars.

Seguridad-04

Un Clipper Chip. Fuente: Wikimedia Commons.

En 1997, un grupo de criptógrafos publicaron un paper analizando las desventajas del tipo de encriptación utilizada por este chip, y las vulnerabilidades que tenía. En síntesis, muchas para ser implementadas comercialmente. Para 1996, el proyecto estaba prácticamente muerto.

Red Star OS

Probablemente el mejor ejemplo de backdoor implementado como sistema operativo oficial de Corea del Norte, Red Star OS, basado en Linux. Este sistema operativo es capaz de monitorear los archivos de medios en todas sus computadoras, en busca de material como películas, música o documentos extranjeros—estrictamente prohibidos en todo el país.

Su navegador oficial, Naenara (“Mi país” en coreano), está construido para controlar minuciosamente el tráfico de internet y qué sitios se pueden visitar y cuáles no. Juzgando por la evidencia recabada por WhiteHat Security, el internet de todo el país está siendo tratado como la red interna de una empresa mediana, con solo 16.777.216 direcciones IP. Todos los datos pasan por una máquina central, un mothership para las comunicaciones de toda la nación.

Microsoft

Algunos productos populares, si bien no tienen un backdoor gubernamental oficial, son muy débiles en seguridad o tienen backdoors para la empresa que los desarrolla, como es el caso de Microsoft.

Esta empresa se guarda la llave de desencriptación de los discos duros de las computadoras que han vendido en los últimos años. Windows 10 puede imponer cambios sobre el sistema y en Windows 8 se pueden borrar aplicaciones de forma remota, todo sin el consentimiento del usuario.

Si estas razones no le parecen suficientes para dejar de utilizar Windows—y software propietario en general—aquí puede encontrar más razones.

A propósito, ¿a favor de quién está Bill Gates en este debate? Del lado del FBI, desde luego.

Linux

Cuando le preguntaron a Linus Torvalds si el gobierno de EEUU le había pedido introducir un backdoor en Linux, en el LinuxCon & CloudOpen North America 2013, éste respondió “No” mientras asentía con la cabeza. Aunque no se ha publicado más información al respecto, probablemente por razones legales, su respuesta debió de haber sido que no sería posible ni aunque él quisiera.

Linux es un proyecto de código abierto cuyas actualizaciones son revisadas y aprobadas por muchas personas, de manera independiente. Es por esta razón que Linux es el único sistema operativo en el que se puede confiar cuando se trata de seguridad.

No se trata de solo un teléfono, sino de todos

El 21 de Marzo, el FBI pidió retirar la orden, porque habían encontrado una compañía con la capacidad de desbloquear el teléfono, por la módica suma de 1.3 millones de dólares. Casi cuatro meses después, me pregunto si el debate y el dinero invertido en acceder a los datos del iPhone, le trajo beneficios al FBI y a la investigación. ¿En serio valió la pena enturbiar las aguas por algo que el mismo jefe de policía de San Bernardino decía que probablemente no tiene nada de valor?

Si bien es cierto que los smartphones son utilizados por criminales para facilitar sus delitos, también los usamos los demás: para estudiar, trabajar o ver vídeos de gatos. ¿Vale la pena negociar nuestra privacidad por un poco más de seguridad nacional?

Tenemos que encontrar otra manera.

Share This: