Profundidad

Lo que ocultan las agencias de inteligencia

teclado_de_luz.jpg

Durante el último par de años, mi trabajo ha consistido principalmente en explicar a la gente los efectos sociales de la tecnología. Es difícil, porque cuando ésta funciona, a la mayoría de personas no les interesa saber cómo ni por qué: les da igual usar el explorador Mozilla Firefox —cuyo código fuente (la “receta” con la que fue creado) está a disposición de quien sea— o usar Google Chrome, que comparte casi todo su código fuente pero incluye algunos ingredientes secretos. Si le preguntas a un técnico, te dirá que estos elementos secretos no son nada del otro mundo, que te ayudan a mantener actualizado el programa y a reproducir audio y video, pero no es del todo cierto: lo que no se ve, importa.

Flash Player, por ejemplo, funciona súper bien. Lo usas cuando Spotify o SoundCloud transmiten su música, opera en casi todos los servicios de transmisión de video. Pero Flash —fabricado por Adobe— no muestra su código fuente. Eso quiere decir que, además de todas estas maravillas, podría estar haciendo otras cosas de las cuales no nos enteramos. El otro efecto colateral de no mostrar su código fuente es que sólo algunas personas que trabajan en Adobe revisan que el programa esté libre de errores. A inicios de julio de 2015, cuando estalló el escándalo sobre Hacking Team, nos enteramos que esta empresa italiana —dedicada a vender “soluciones de espionaje”— usaba a Flash Player como una puerta trasera para entrar a computadoras y tomar posesión de ella, de tres formas diferentes. Sea que lo hicieran por seguridad o estrategia de mercado, la decisión de Adobe de esconder su código fuente tuvo un impacto negativo a nivel mundial, volvió a sus usuarios más vulnerables.

Richard Stallman, el fundador del movimiento de software libre, suele decir que en informática “o tú controlas al programa o el programa te controla a ti”. Si las personas pueden leer el código fuente —la receta— de un programa podrán no sólo saber qué hace y qué no hace, sino, además, cambiarlo y mejorarlo para protegerlo mejor. Nosotros controlando al programa, y no al revés. Por eso llamamos libre a este tipo de software, porque respeta la autonomía de la gente. Es muy importante que la gente use software libre y que cada día más personas aprendan programación, para mantener la calidad de estos programas. De lo contrario, nuestras democracias dependerán de unos pocos, y muy pronto se convertirá en una especie de plutocracia tecnológica. 

Si no podemos ver el código fuente de un programa, sabremos lo que hace pero lo que no hace estará oculto. La gente sabe, por ejemplo, que el botón “me gusta” después de un artículo en una página web sirve para compartir esa información en Facebook, pero a menudo ignora que otra función de ese “me gusta” es rastrear las páginas que has visitado: aunque no le des clic, el botón le informa a esa red social dónde ha estado antes. Este es sólo un ejemplo de cómo un software puede tener usos que escapan a la percepción del usuario. Google Chrome recientemente incluyó un archivo binario en su código fuente para escuchar lo que sucede en tu habitación usando el micrófono y transmitir el audio a su centro de datos. Para las empresas que trabajan con información, somos el producto. Lo que dicen hacer con nuestra información es muy diferente a lo que realmente necesitan hacer para satisfacer a sus clientes. 

Es por este tipo de cosas que los Estados también se han preocupado por usar software libre. En Ecuador, existe un decreto y un proyecto de ley para fomentar su uso, pero —ironías de la vida— en ambos casos una de las excepciones al uso exclusivo de software libre es su adquisición para temas relacionados a la seguridad nacional. Los programas que ofrece Hacking Team, por ejemplo, no son software libre. La razón es simple: esta empresa utilizaba debilidades en los programas que, de haberse divulgado y corregido, no les permitirían operar. Esta es un arma de doble filo y así lo han expresado varios expertos que, durante las últimas semanas, se han dedicado a auditar los programas que utilizaban los enemigos de Internet, como también se conoce a Hacking Team. Aunque no hay hallazgos concluyentes, hay indicios de herramientas que son totalmente incompatibles con el Estado de Derecho. Claudio Agosti, uno de los ex empleados de la empresa italiana, explicó cuáles son y cómo funcionan esas herramientas:

  • Un plantador de pruebas se puede utilizar para implantar evidencia falsa, y eliminar los rastros de la infección en el dispositivo de víctimas con el fin de fabricar pruebas para ser empleados en un tribunal de justicia.

  • Un kill switch permite que un agente inhabilite la configuración específica de un cliente. Aunque no sabemos con certeza que Hacking Team tenga o utilice kill swtiches, esta tecnología es mencionada en varios documentos como un procedimiento de crisis. Esto significa que si un cliente viola su licencia (como sea que esto se defina), Hacking Team puede interrumpir el servicio. Si nosotros no sabemos si esto se utilizó o no, los clientes tampoco lo saben. Imaginen las consecuencias de que una empresa privada tenga más control que el propio Estado sobre el software y los datos que el Estado utiliza.

  • Una puerta trasera es una modificación técnica del software, que bajo cierta condición específica, le permite funcionar de manera diferente. Por ejemplo, si una agencia de seguridad quisiera investigar a Hacking Team con sus propios programas, la empresa italiana podría desactivar la recopilación de datos. Además, considerando la infraestructura que estaban usando, las puertas traseras le permitirían a Hacking Team tener acceso a las investigaciones de sus clientes.

¿Queremos vivir en una sociedad donde un operador puede abusar de estas posibilidades?, se pregunta Agosti.

Con los gobiernos, sucede lo mismo que con el software. Sólo existen dos posibilidades: o el gobierno controla a la gente —en cuyo caso estaríamos hablando de una dictadura— o la gente controla al gobierno —a eso le llamamos democracia. El elemento clave que diferencia lo uno de lo otro es, precisamente, la transparencia de instituciones como el Ministerio del Interior, la Policía Nacional o la Secretaría Nacional de Inteligencia. La pregunta que debemos hacernos en el Ecuador es quién controla a quién.

El mismo software que se utiliza para capturar a un secuestrador, bien puede ser mal utilizado por un único operador para espiar gente cercana, censurar voces disidentes o impedir el normal desarrollo de una protesta social. Las noticias de recuperación de personas secuestradas o de golpes a la delincuencia siempre saldrán en los titulares y las autoridades dirán que la tecnología funciona y su utilización es legítima. Es probable que sea cierto, pero —al igual que con el software— para mantener sociedades libres, lo más importante siempre será tener la certeza de que todo lo que se hace, se ve.

Bajada

¿Juega el secretismo en contra de la seguridad que dice defender?

Andrés Delgado
(Ecuador, 1986). Máster en Políticas Públicas y Asuntos Globales por la Universidad de British Columbia. Aprendiz de escritor.