Sobre seguridad, privacidad y otras cosas…

«Aquellos que sacrifican libertad por un poco de seguridad no merecen tener ni libertad ni seguridad«

Benjamin Franklin

A lo largo de los años ha habido varios libros y películas que describían posibles futuros en los que existía una población totalmente controlada por sus gobernantes, es decir, bajo una dictadora total. El ejemplo por antonomasia es 1986 (la obra clásica de George Orwell), aunque hay grandes obras recientes como Little Brother, de Cory Doctorow. (por supuesto con licencia libre, y que puedes descargarlo desde su web), y que está siendo líder de ventas en Nueva York por ejemplo).
En dicho libro, el autor describe un futuro cercano de Estados Unidos donde ya existe un control prácticamente absoluto tanto a través de internet como en la vía pública, y cómo actúan después de un atentado terrorista. El libro está muy bien, además de que describe el uso de herramientas informáticas que realmente ya existen en la actualidad, por lo que más que ciencia-ficción, es un libro de ficción. El único fallo del libro es que el autor se equivoca en poner la fecha en un futuro cercano. Realmente muchas cosas que describe ya hace varios años que tienen lugar… así que hagamos un resumen de cómo está el panorama actual.

SITEL, el caso español

Quizá lo mejor es empezar por lo que tenemos en casa, con un muy buen resumen hecho por Microsiervos.
La historia de SITEL comienza en 2001, cuando, bajo el gobierno de Jose María Aznar, aparecieron las primeras referencias para el desarrollo y la implantación de SITEL (Sistema Integrado de Interceptación Telefónica) en España a través de la empresa (privada) danesa ETI A/S. La contratación aparecía en los presupuestos generales del Estado por valor de unos 36 millones de euros (algunas fuentes indicaban que la cantidad total, dividida en varias partidas, era muy superior a ésta), con firma del entonces ministro y actual presidente del Estado, Mariano Rajoy, y Maria Dolores de Cospedal.

A finales de 2003 el sistema estuvo instalado y listo para funcionar en la redes españolas, en principio para ser usado por los cuerpos y fuerzas de seguridad del Estado bajo una orden judicial y el CNI. Este sistema cuenta con la capacidad de almacenar todos los SMS que atraviesan las redes de telefonía españolas (al menos hasta 6 meses atrás), así como la grabación de llamadas de voz de fijos y móviles una vez se toma la decisión de interceptar un número de teléfono. En el caso de los móviles también registra la ubicación de los mismos al efectuarse la llamada a través de la triangulación de las antenas cercanas.
A su vez, es más que probable que también pueda recolectar todo el tráfico de Internet de una conexión telefónica: historial de navegación, paquetes transferidos o llamadas por VoIP.

Desde que el sistema estuvo operativo y hasta que el Gobierno del PP perdió las elecciones se alega que no se llegó a utilizar por las trabas que ponía el Poder Judicial por la ilegalidad del sistema (¿a caso no lo sabían antes de contratarlo?). En ese momento entra el Gobierno del PSOE, con Zapatero a la cabeza y el eterno aspirante a dictador Rubalcaba.

Varias acciones que han transcendido a la luz pública muestran cómo a Rubalcaba no le tembló la mano para usar SITEL indiscriminadamente contra cualquiera sin ningún control judicial, surgiendo así la polémica del sistema a la luz pública, aunque también siendo usado en investigaciones policiales contra el terrorismo o en el caso Gürtel.

En definitiva, en España tenemos un sistema cerrado de control realizado por una empresa privada extranjera, por lo que para empezar no podemos estar seguro de las puertas traseras que tiene dicho sistema (lo más probable, que la información también se envíe sin conocimiento español a otras agencias extranjeras… ¿CIA?), y para continuar sabemos que cualquier SMS queda registrado aunque no seas sospechoso ni de matar una mosca, y parte de todo lo que hables o navegues por Internet siempre que a alguien se le ocurra grabarlo.
Y viendo la actualidad política de España, donde ya se está destapando cómo todos los partidos llevan bastantes años espiándose entre sí, estando involucrado en la mayoría de los casos el propio CNI, no cabe duda que dan mucho uso al sistema.
Afortunadamente, el «espionaje español» nunca ha sido precisamente para tirar cohetes…

DHS, NSA, CIA: Carnivore y ley patriótica

Por antonomasia, los servicios secretos más importantes del mundo han sido quizá los de USA. Y por ahí siempre ha habido muchos intentos de rastrear las comunicaciones.
Por parte del FBI tenemos Carnivore (aunque desde hace varios años fue actualizado por otro programa más avanzado: NarusInsight pero con un nombre menos comercial, y por eso se sigue mencionando muchas veces el original), un software para monitorear todos los emails y comunicaciones electrónicas que se realizan en el día a día (como SITEL pero en versión no cutre).

Pero quizá el mayor «éxito» que tuvieron los atentados del 11-S fue la pérdida de libertad en los propios países de occidente. Tras ellos automáticamente se creó y aprobó la ley patriótica (Patriot Act), la cual básicamente elimina el estado de derecho e incumple la propia constitución de USA. Con ella, cualquier persona dentro de USA puede ser vigilada o rastreada sin que exista ninguna indicación de que pueda estar haciendo actos ilegales, y sin la necesidad de una orden judicial. Ello facilitó que las comunicaciones (telefónicas o no) estén sometidas bajo varios filtros por parte de dichas instituciones para todo el mundo (como por ejemplo lo que salió a la luz con Verizon, una compañía telefónica de USA).

A la par, se crearon o potenciaron varias instituciones muy análogas a la CIA pero para uso interno, como la DHS (Department of Homeland Security) o la NSA (National Security Agency). O el propio FBI haciendo movimientos más propios de la CIA en otro tiempo, incluido a nivel internacional.
Las dos primeras se han visto potenciadas para un control exhaustivo de la población americana (aunque también afecta al exterior si utilizas servicios alojados en dicho país), siendo las responsables de la mayor parte de la interceptación y pérdida de libertad que han tenido las comunicaciones, ya sea por teléfono o internet. Como el recientemente conocid programa PRISM que han destapado varios periódicos americanos. Aunque realmente no haya nuevo, que no se supiera, bajo el Sol. Tampoco es que oculten ellos mismos lo que quieren hacer, como las declaraciones de la administración Obama en 2010 exponiendo cómo su objetivo era poder tener acceso a todos los equipos domésticos aunque estén cifrados. O los senadores que de vez en cuando diciendo que lo que hace China o Irán (dictaduras donde no existe la más mínima libertad) debería ser aplicable en USA también.

Skype y el control de Microsoft

Microsoft siempre ha sido una compañía de la que se sabe el gran número de puertas traseras que tiene su software, empezando por Windows. Las puertas traseras que permiten a los gobiernos de cada país entrar en ordenadores con este SO se conoce desde los ’90, habiéndose aprovechado para numerosos ataques por parte de Crackers.

Pero un nuevo problema viendo cuando Microsoft adquirió Skype.

Skype surgió como una alternativa a las compañías telefónicas para realizar llamadas o videoconferencias hace ya bastantes años. Pero siempre ha tenido el gran fallo de cara al usuario: es de código cerrado, y no sabes qué pasa con los datos que transmites en una llamada.
Aunque el hecho de ser en parte descentralizado, y que como alternativa están las compañías telefónicas (las cuales sí que son sumisas frente al Gobierno sin ningún tipo de escrúpulo), quizá el punto de más riesgo es el tener que instalar un programa que puede hacer prácticamente lo que quiera (en Windows, y bastante menos en sistemas UNIX/LINUX).

Si bien al principio solo había sospechas, o algún que otro rastro de intentos de acceso a la contraseña del sistema sin razones aparentes por las que tuviera que hacerlo, esto cambió cuando fue comprada por Microsoft.
Curiosamente, poco después de la compra, Microsoft presenta una patente para poder controlarlos a todos (o enlace en español). Una patente para poder espiar y registrar las conversaciones VoIP a través de Skype sin que haya problemas legales.

Poco después da el paso clave, Skype deja de tener una conexión tan descentralizada (P2P, que aunque con nodos principales, varias de las conexiones se hacían directas usuario-usuario) a pasar todos los datos por los servidores de Microsoft. Más claro el agua.
Más si cabe, después de que se abriera el código de Skype, por supuesto no voluntariamente, si no cuando se pudo hachear el programa y publicar parte de su código. Y lo que permitió este fallo de seguridad del programa no fue ni más ni menos que una de las puertas traseras que tiene para que acceda el Gobierno.

Como añadido, se puede añadir la confirmación reciente de que todos los mensajes que se escriben por Skype son automáticamente leídos por los esbirros de Microsoft antes de llegar a su destinatario, o la otra confirmación reciente a través del rastreo de por qué servidores pasan los mensajes.
Una utilidad muy oportuna tras el anuncio de que cierran Messenger y toda su gente pasará a hablar por chat a través de Skype…

Whatsapp, que tu vecino sepa de qué hablas

Una aplicación de móviles que rápidamente se ha hecho un hueco en prácticamente cualquier móvil es Whatsapp. Su idea era fantástica: olvidémonos de los SMS, que en muchos países como España los operadores cobran a precio de oro, y aprovechemos los datos móviles para poder mandar mensajes.
El fallo, como de hecho ellos mismos explicaban a la hora de bajar el programa, era que toda la transmisión de datos entre el móvil y sus servidores se realizaba sin ningún tipo de cifrado. Por supuesto ellos daban un servicio y explicaban la (inexistente) seguridad del mismo, era la gente la que decidía utilizarlo o no.
El problema viene cuando recordamos una de las frases más ciertas en informática: el usuario es idiota (sin ánimo de ofender por supuesto). Y esto queda patente en innumerables casos como este mismo.
Así que cada vez que alguien utiliza la aplicación en una red inalámbrica, como la red de la universidad, pongamos que había miles de personas que podían leer cada mensaje sin ningún tipo de esfuerzo, como de hecho se ha dejado ver en múltiples pruebas, creando incluso aplicaciones que descarguen automáticamente estos mensajes de otros móviles.

Después de las críticas mejoraron un poco la aplicación… cifrando los mensajes. Aunque cuando los cifras con una clave que todo el mundo puede encontrar… no es que sirva de mucho que digamos. Así que los que utilizan Whatapp todavía, siguen expuestos a cualquier cotilla que haya por ahí.

Manteniendo la poca privacidad que te dejan…

Ya se ha demostrado cómo Google (en Gmail) o Apple (en iCloud) analizan cada correo que se recibe/envía en sus servidores en busca de cualquier palabra que les interese o quieran rastrear. Ambos cuentan también con bastantes puertas para que el gobierno pueda entrar en cualquier cuenta que quieran investigar, aunque hasta donde se sabe parece que ambos dos (no así Microsoft) exigen una orden judicial previamente para ello.

Sin entrar en el infierno de Windows, donde todo el mundo conoce todas las puertas traseras que tiene desde hace ya muchos años y donde casi cada gobierno puede entrar como por la puerta de su casa, tenemos la confirmación reciente de que los ordenadores de Apple tienen una puerta trasera que puede ser explotada por Apple si tienen el ordenador físicamente (como podemos leer aquí, aunque parece que al igual que Google piden antes al FPI/CIA una orden judicial para hackear el equipo). Además, de la existencia de puertas traseras en la mayor parte de los móviles Android, bien de serie por el código que introducen las compañías telefónicas o por múltiples aplicaciones, incluido las oficiales, que los introducen adecuadamente.

Tras todo esto, pueden estar preguntándose cómo mantener un mínimo de privacidad en tu vida, sin tener a un esbirro de cualquier Gobierno observándote, o de un grupo pseudo-terrorista como puede ser la NSA, DHS, CIA o cualquier Gobierno nacional que tenemos aquí.

Aunque antes que nada, hay que dejar una cosa clara: no se trata de evitar que si alguien va a por ti, éste no pueda leer nada. En estos casos a fin de cuentas será casi imposible evitarlo, y si están investigando a alguien en concreto lo más probable es que sea por alguna razón licita (terrorista, ladrón, asesino, etc). Se trata de evitar que toda la información o tu vida sea examinada diariamente por gobiernos o grupos terroristas/ilegales con aspiraciones poco o nada lícitas.

Lo primero para ello, por supuesto, es tener únicamente programas que sepas muy bien qué es lo que hacen, y que no puedan estar haciendo otras cosas sin que tú te enteres. Para ello, la única solución posible es instalar programas de código abierto, a ser posible compilando tú mismo el código del programa, que esté explícitamente publicado (así evitas que aunque en principio sea código libre, haya paquetes que no sean libres y vete a saber qué hacen, como pasa por ejemplo en Ubuntu).

La segunda parte es almacenar todo en un lugar seguro y cifrado, lo cual nos lleva a dos partes:

1. No almacenar nada en servidores ajenos. Esto es, nada de usar la nube para almacenar documentos privados… un servidor ajeno siempre puede ser comprometido sin que te enteres. Y en caso de usar alguno por las ventajas que proporciona para algunos casos concretos (como por ejemplo Dropbox), cifrar previamente todo lo que se sube con un mínimo de seguridad (AES-256). De esta forma, aunque alguien acceda a dichos ficheros, antes de leerlos deberá descifrarlos… evitando así los rastreos genéricos a los que están sujetos toda esta información. Ése es el único uso posible de servicios en la nube.
2. Y en tu casa lo mismo: cifrar todo tu ordenador con una clave robusta, tus discos duros y absolutamente todo. Así, en caso de robo, sabrás que nadie podrá acceder a tus datos privados… como cuentas corrientes y demás información.

Y para todas las comunicaciones que se hacen por internet o por móviles/tablets: siempre deben estar encriptadas. Esto es así en prácticamente casi todos los servicios (de hecho por ley debe ser así), aunque no en algunos (como Whatsapp) o en otros esta información está completamente comprometida.
Por ejemplo para chats, aunque se haga uso de servicios como GTalk o Messenger, se puede usar a la vez programas de terceros (Pidgin/Adium por ejemplo) que además realizan una encriptación adicional de cada mensaje enlazando a ambas personas, por lo que da igual quien haya por medio. Éste no podrá leer nada.

Y por último, las últimas pero no menos importantes cosas o utilidades a tener en cuenta.

• DNS. Una parte importante de cuando nos conectamos a internet es cuando ponemos en el navegador una dirección web, la que sea, por ejemplo: http://www.google.com. Cuando cacemos eso, el navegador se conecta a unos servidores (denominados DNS), normalmente de tu operador de internet, que interpreta esa dirección y entonces le dice a dónde debe ir para llegar a dicha página web.
  El primer problema aquí radica en que este «traductor» está bajo supervisión del operador. Por lo que éste puede decidir qué páginas te va a dejar ver y cuales no. Es decir, censura. Y esto lo tenemos muy a menudo, ya que dichos operadores suelen estar muy relacionados con el Gobierno local. A menudo son acciones lícitas: bloqueo de páginas de pederastas, criminales, etc. Pero otras muchas veces no. Como por ejemplo la página dilandau.eu, desde la que podías escuchar música, está bloqueada en España (si entras sólo verás una página en blanco. Pero realmente la página va bien y necesitas entrar desde otra parte para poder verla).
  O como cuando la prensa se decidió, después de muchos años públicas, a sacar en sus periódicos la foto del rey en Botswana matando elefantes o leopardos. Esas imágenes llevaban años expuestas en la página web de la empresa que prepara allí los tours. Sin embargo, en cuando fueron publicadas en la prensa local, dicha página fue censurada por el Gobierno español y ninguno podía acceder a ella. Lo que se denomina censura en toda regla.
  Por esta razón, siempre es recomendable utilizar servidores de DNS que sean libres (lo más posibles) y no estén bajo ningún gobierno en concreto. aquí puedes encontrar una lista de algunos servidores alternativos. Los más recomendables son los que están completamente distribuidos (por red P2P) o los que utilizan una capa de encriptación desde tu ordenador a sus servidores (como DNSCrypt), sin almacenar ninguna información de tu solicitud, como sí hacen los otros. Cada vez que solicitas una página suelen guardar dicha página y la información relativa a tu ordenador.
• Darknets. Poniéndonos en el sector más duro, tenemos las alternativas a la internet usual, principalmente la red Tor o I2P.
  La primera da cabida tanto a una red privada (con páginas web, información y demás que solo se puede ver desde ahí dentro), como acceso a la internet usual, pero tu solicitud pasa por un gran número de ordenadores, encriptándose cada vez, de forma que nadie puede saber a dónde estás accediendo. Este servicio es muy utilizado en países donde no existe ningún tipo de libertad, como China o Irán, por personas que quieren acceder a lo que pasa en el exterior, mostrar al mundo lo que ocurre allí dentro o simplemente no estar bajo esas dictaduras. Aunque a veces lo tenemos que usar también desde países como España…
  La segunda es una red semejante pero diferente, ya que prácticamente solo está enfocada a ser «otra internet», sin casi relación con la usual. En ella existe todo lo usual como páginas webs que ver, servicios de correo electrónico, etc. Con la diferencia que sabes que todo lo que pongas ahí es completamente anónimo. Ideal para censuras principalmente.
  Por supuesto, las pocas veces que trascienden a la prensa/gobierno dichos servicios sólo muestran críticas hacia ellos, intentando criminalizarlos: dado que es todo anónimo, es mucho más difícil rastrear acciones ilegales, por lo que puedes encontrar de todo. Pero es lo mismo que intentar prohibir los cuchillos porque con ellos se mata gente. Si no fuera por ellos países con censura estarían completamente aislados y nadie podría mostrar al exterior lo que ahí pasa o ver lo que ocurre en su propio país realmente. Pero no les gusta no poder bloquear todo lo que quieren claro…

Utilizando lo anteriormente explicado, puedes asegurar que sigues viviendo con un mínimo de libertad, sin tener veinte mil servicios automáticos de rastreo que leen cada palabra que escribes sin que tengan motivo para hacerlo.

ACTUALIZACIÓN: añado el enlace a esta entrada de Arturo Quirantes en el que rescata un libro relacionado con esto.