Los hackers subvirtieron el sistema de acceso que Google instauró en GMail para cumplir las órdenes de intercepción estadounidenses
Por: Bruce Schneier
Google fabricó artificialmente un titular cuando hizo público el hecho de que los hackers chinos se habían infiltrado en algunos de sus servicios, como gmail, con la intención de obtener información secreta con fines políticos. La noticia aquí no es que los hackers chinos se dediquen a este tipo de actividades, ni que sus iniciativas sean sofisticadas desde el punto de vista técnico (cosa que ya sabíamos), sino que el gobierno de Estados Unidos los ayudó sin darse cuenta.
Google creó un sistema de acceso encubierto en las cuentas de gmail para cumplir con las normas de obtención de datos de usuarios establecidas por el gobierno. Eso es lo que los hackers chinos han aprovechado para acceder a la información.
El sistema de Google no es único. Los gobiernos democráticos de todo el mundo (por ejemplo, los de Suecia , Canadá o Reino Unido ) se están apresurando a aprobar leyes que otorguen posibilidades nuevas a su política de vigilancia de Internet, lo que en muchos casos exige que los proveedores de sistemas de comunicaciones remodelen los productos y servicios que venden.
Muchos de esos gobiernos también están aprobando legislación sobre conservación de datos, lo que obliga a las empresas a extraer información de sus clientes. En Estados Unidos, la Ley de Asistencia de las Telecomunicaciones para el Cumplimiento de la Ley (CALEA, Communications Assistance for Law Enforcement Act), también conocida como «ley de telefonía digital», exigía a estas empresas que facilitaran al FBI la realización de escuchas y, desde 2001, la Agencia Nacional de Seguridad estadounidense (NSA, National Security Agency) ha establecido sistemas de escucha sofisticados con ayuda de esas mismas empresas de telefonía.
Este tipo de sistemas invita a la mala utilización: apropiación delictiva de datos, abuso por parte de los poderes públicos o distorsiones practicadas por todo tipo de agentes que tengan posibilidad de aplicarla a situaciones en las que únicamente se pueda aplicar en ejercicio de la lógica más enrevesada. Entre los años 2002 y 2006, el FBI realizó en teléfonos estadounidenses 3.500 escuchas ilegales sin orden judicial alegando, a menudo en falso, situaciones de emergencia por terrorismo. La vigilancia y el control de Internet no serán muy distintos.
Los abusos oficiales ya son suficientemente perniciosos, pero son los usos no oficiales lo que me preocupan. Todo sistema de control y vigilancia debe tener garantías. Una infraestructura destinada a la vigilancia y el control favorece la vigilancia y el control, tanto de quienes se espera que los realicen como de quien no se espera que los hagan.
Los hackers de China subvirtieron el sistema de acceso que Google instauró para cumplir las órdenes de intercepción estadounidenses. ¿Cómo puede alguien creer que los delincuentes no podrán utilizar ese mismo sistema para robar información de cuentas bancarias y tarjetas de crédito, o utilizarlo para lanzar otro tipo de ataques o para convertirlo en una red de envío masivo de correo electrónico basura? ¿Cómo es posible que alguien crea que solo la vigilancia en aras del cumplimiento de la ley vigente va a explotar los datos recogidos a través de Internet o mediante escuchas de conversaciones telefónicas o mensajería instantánea?
Los riesgos no son solo teóricos. Tras el 11 de septiembre de 2001, la Agencia Nacional de Seguridad estadounidense erigió en Estados Unidos una infraestructura de escuchas telefónicas y vigilancia de correos electrónicos. Aunque las normas afirmaban que solo se podían realizar escuchas en llamadas internacionales y de ciudadanos no estadounidenses, la práctica real no se ajustaba a ellas. Los investigadores de la NSA recogieron más datos de los que estaban autorizados a recabar y utilizaron el sistema para espiar a esposas, novias y ciudadanos destacados, como el presidente Bill Clinton .
Pero ese no es el abuso más preocupante de una infraestructura de vigilancia de las telecomunicaciones. En Grecia, entre junio de 2004 y marzo de 2005, alguien realizó escuchas telefónicas en más de cien llamadas a teléfonos móviles pertenecientes a miembros del gobierno griego: el primer ministro y los ministros de defensa, asuntos exteriores y justicia.
Ericsson incorporó prestaciones de escucha en productos de Vodafone y los habilitó únicamente para los gobiernos que los solicitaron. El gobierno griego no lo solicitó, pero alguien cuya identidad todavía se ignora (¿un partido político rival?, ¿el crimen organizado? ¿algún servicio de inteligencia extranjero?) averiguó cómo activar la función subrepticiamente.
Y la infraestructura de vigilancia se puede exportar, cosa que también facilita el trabajo a los sistemas totalitarios de todo el mundo. Empresas occidentales como Siemens o Nokia incorporaron mecanismos de espionaje a Irán. Las empresas estadounidenses contribuyeron a erigir el estado policial electrónico chino. Solo el año pasado, el anonimato de Twitter salvó la vida a disidentes iraníes; un anonimato que muchos gobiernos desean erradicar.
Inmediatamente después de que Google diera a conocer la noticia, algunos congresistas han tratado de reavivar una ley que prohíba a las empresas tecnológicas estadounidenses trabajar con gobiernos que espíen a sus ciudadanos sirviéndose de medios digitales. Suponemos que esos legisladores no entienden que su propio gobierno también aparece en la lista.
El problema no tiene visos de desaparecer. Cada año tenemos conocimiento de más noticias de censura y control en Internet, no solo en países como China o Irán, sino también en Estados Unidos, Reino Unido, Canadá y otros países libres, azuzados tanto por el interés de hacer cumplir la ley para tratar de detener a terroristas, distribuidores de pornografía infantil u otro tipo de delincuentes como por el de las empresas audiovisuales que tratan de poner freno a la descarga de archivos.
El problema es que este tipo de control nos deja a todos más indefensos. Tanto si quienes realizan escuchas ilegales son los buenos o los malos, los sistemas nos sitúan a todos ante un riesgo mayor. Los sistemas de telecomunicaciones que carecen de funciones de escucha son más seguros que los que las llevan incorporadas. Y fabricar tecnologías que algún día se puedan utilizar para promover la creación de una policía estatal es una mala medida de higiene ciudadana.
Traducido por: Ricardo García Pérez. Nota del editor de la fuente: Bruce Schneier es experto en tecnología de seguridad y autor de Beyond Fear: Thinking Sensibly About Security in an Uncertain World . Conozca otros escritos suyos en www.schneier.com
Foto: AFP (Google, di no a la censura en Internet)
Fuente: Rebelión