El pasado 29 de julio, comparecieron ante la comisión antimonopolio del Congreso de EE. UU. los presidentes ejecutivos de los gigantes tecnológicos, Amazon, Facebook, Google y Apple, y lo hicieron por videoconferencia. Tenemos derecho a desconfiar de todos ellos, pese a que en sus declaraciones ante el poder político se muestren siempre extremadamente correctos y hasta sumisos. Estados Unidos dispone de una ley antimonopolio para las empresas desde 1890, la Ley Sherman, aunque estas leyes no rigen el sector bancario, que dispone de su propia regulación. En 1914 se aprueba la Ley Clayton, que complementa a la anterior. De la aplicación de la Ley Sherman salió la orden del Tribunal Supremo, en 1911, de dividir en 34 empresas diferentes Standar Oil, la empresa petrolera de John Davidson Rockefeller, al cambio y con todas las actualizaciones de datos, el hombre más rico de la historia. La primera etapa de la aplicación de estas leyes fue más fácil porque coincidió con el New Deal y con un concepto de Estado fuerte que, por desgracia, no ha pervivido en Estados Unidos.
También se crea, en 2015, la Comisión Federal de Comercio, una institución que nace para defender los derechos de los consumidores. Esta cuestión me parece fundamental porque la expresión “contribuyente” es muy estadounidense, un poco en contraposición a la de “ciudadano”, que creo que es más propia de los europeos y más heredera de Grecia y Roma, aunque es innegable que Estados Unidos tiene una larga historia de defensa de la democracia, de la separación de poderes y de la libertad y sería injusto decir lo contrario. Por esta razón, un sistema democrático como el estadounidense no puede ser derribado por un solo hombre, aunque se trate de Trump, tal como sí ha sucedido en América Latina cuando un presidente ha violado la constitución para ser reelegido.
El tratamiento de datos en EE. UU. y Europa es completamente distinto porque la privacidad se contempla en EE. UU. como un derecho de los consumidores regulado en un proyecto de ley llamado «Consumer Privacy Bill of Right», hoy bloqueado en el Congreso, mientras que en la Unión Europea la salvaguarda de datos personales es un derecho fundamental recogido en el artículo 8 de la «Carta de los Derechos Fundamentales de la Unión Europea».
En la actualidad, existen once países con un nivel de protección de datos equiparable a los de la Unión Europea: Andorra, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Como podemos ver, entre estos países no está Estados Unidos, aunque ambos bloques firmaron en el año 2000 el conocido como “Acuerdo de Puerto Seguro” (“Safe Harbor”), en virtud del cual las empresas estadounidenses que posean sistemas de protección de datos homologables a los exigidos por la Unión Europea pueden ser consideradas como empresas seguras. De este acuerdo se beneficiaron gigantes como Facebook, Google, Amazon o Apple, que pasaron a ser reconocidos como “puertos seguros” y fueron autorizados a transferir datos entre Estados Unidos y la Unión Europea. Tiempo después comprobamos que estas empresas tenían poco de seguras, a excepción de Apple, claro. Pero lo que nunca esperamos es que estos emporios, que disfrutan de posición dominante en todos los mercados del planeta, colaborasen como lo hicieron con los servicios de espionaje de Estados Unidos.
El 7 de junio de 2013, a través del diario The Guardian y del Washington Post tuvimos conocimiento de que Facebook, Google, Microsoft y Yahoo habrían recibido compensaciones millonarias a cambio de colaborar con las agencias de espionaje de EE. UU. El 18 de marzo del mismo año, la Agencia de Seguridad Nacional (NSA) ya había revelado que estas empresas tenían perfecto conocimiento de formar parte del proyecto “Prisma”, el Programa de la Agencia Nacional de Seguridad estadounidense que funcionaba desde 2007 y que permitía la vigilancia masiva de ciudadanos de la Unión Europea mediante un acceso directo a los servidores centrales de empresas estadounidenses líderes en internet, como Google, Microsoft, Facebook, Yahoo, Skype o Apple. Solamente las peticiones a Facebook y a Microsoft por parte de la NSA afectaban a más de 50.000 clientes.
El programa “Prisma” disponía de la capacidad de obtener historial de búsquedas, contenido de correos electrónicos, transferencia de archivos, contenido de conversaciones de chat, fotografías, videoconferencias y registros de conexiones. Este acopio indiscriminado de información se llevó a cabo con arreglo a la Ley Patriótica (Patriot Act), aprobada por el Congreso estadounidense tras los ataques del 11 de septiembre de 2001 y, principalmente, al amparo de la Ley de vigilancia de extranjeros o Ley FISA (Foreign Intelligence Surveillance Act), una norma que data de 1978 y que ha sido enmendada en múltiples ocasiones, la última vez en 2008. Esta ley instauró un tribunal secreto (FISC Court), que aprueba las operaciones de búsqueda de datos. Tan solo unos meses después, en septiembre de 2013, el New York Times desveló como la NSA estaría elaborando perfiles sociales contrastando los datos obtenidos mediante estas prácticas con los perfiles públicos de los ciudadanos, lo que daría lugar a seguimientos selectivos de acuerdo con nuestras tendencias de búsqueda.
El programa «Xkeyscore» fue revelado de forma simultánea por el diario brasileño O Globo y el alemán Der Spiegel, el 20 de julio de 2013, y consistía en un sistema dedicado a la búsqueda y análisis del contenido y los metadatos de nuestras comunicaciones en internet. Este programa podía acceder a los datos de cualquier actividad de un usuario normal de la red y permitía a los analistas escudriñar los metadatos, el contenido de los correos electrónicos y otras actividades de internet, como las búsquedas, historial de navegación e incluso conversaciones en las redes. Paradójicamente, las propias búsquedas de la NSA con relación a los usuarios no dejaban rastro en cuanto a la identificación del dispositivo desde el que se hacía el seguimiento.
Un día después, el 21 de julio de 2013, The Guardian sacó a la luz el programa “Tempora”, de la agencia británica Government Communications Headquarters (GCHQ,) uno de los tres servicios de inteligencia del Reino Unido y el que se ocupa de la información, la comunicación y la llamada “inteligencia de señales”. El GCHQ tiene acceso a la red de cables que transportan datos de internet a nivel mundial y desde hace tiempo procesa y comparte esta información con la NSA. De esta operación solo sabemos que los datos se almacenaban durante 30 días, que duró unos 18 meses (hasta mayo de 2013) y que en la misma participaron solo en el procesamiento de datos 300 miembros del GCHQ y 250 de la NSA, de manera que las dos agencias de espionaje se tomaban muy en serio este programa.
El 5 de septiembre de 2013, The Guardian, el New York Times y ProPublica -una agencia de noticias de Nueva York- desvelaron los programas “Bullrun” y “Edgehill”, también de la estadounidense NSA y el británico GCHQ, respectivamente, con el fin de sortear el cifrado en línea. “Bullrun” dispone de la capacidad de vulnerar casi cualquier sistema de seguridad de internet, incluyendo los HTTPS. Además, el propio sistema de rastreo mostraba de forma automática contenido de conversaciones de chats, mensajes de correo electrónico, historial de búsquedas y llamadas de teléfono.
Poco después, el 4 de octubre de 2013, tuvimos conocimiento por medio de The Guardian de los programas “Quantum” y “Foxacid”, confeccionados por expertos de la NSA para llevar a cabo ataques selectivos contra usuarios de TOR (The Onion Router), el sistema anónimo de navegación por internet que consiste en un laberinto inextricable de conexiones altamente cifradas en las que cada nodo desaparece entre espejos, túneles informáticos y otros espejismos virtuales. En realidad, los ataques no iban dirigidos específicamente a TOR, sino a los propios usuarios que accedían a esta red. No es sencillo vulnerar el sistema encriptado de TOR, tal vez el único reducto libre del control de las agencias de espionaje en la Red. De hecho, la propia NSA considera a TOR inatacable, lo cual es mucho decir en este tiempo de datos compartidos y de ataques a la privacidad, pero parece que esa es la realidad, al menos de momento. La portentosa idea de TOR fue diseñada por ingenieros informáticos del laboratorio de investigación de la Marina de Estados Unidos, que posteriormente liberó el programa. Al menos desde 2004, la Electronic Frontier Foundation (EFF), comenzó a aportar fondos al proyecto con el fin de mantener esa invulnerabilidad. La EFF es una organización sin ánimo de lucro que se ha convertido en un referente mundial en la lucha por la libertad de expresión, la privacidad online y los derechos de los ciudadanos en la Red. Entre las principales misiones de la EFF está la de formar a instituciones, medios de comunicación y ciudadanos con el fin de que sepan combatir las amenazas cada vez más frecuentes a las que se enfrentan cuando utilizan internet.
El manual interactivo presentado por EFF en 2014, el denominado SSD, por ejemplo, fue una actualización del lanzado en 2009 como respuesta a las demandas de los activistas por los derechos humanos en Irán, sometidos a un brutal acoso a través de internet tras la reelección como presidente de Mahmud Ahmadineyad.
Los ataques a la Red TOR por parte de la NSA de los que se tiene conocimiento se hicieron de forma individual y, dado el carácter inexpugnable de este sistema de navegación, “solo” tuvieron como objetivo explotar las debilidades de los navegadores Firefox usados por sus usuarios. Cuando se localizaba a una persona que accedía a datos por medio de TOR, la agencia utilizaba su red de servidores secretos con el fin de redirigir al usuario a otro sistema de servidores secretos llamado “Foxacid”, que infectaría su ordenador. Para llevar a cabo esta agresión, la NSA dispondría de servidores de alta velocidad denominados “Quantum”.
El 16 de enero de 2014, The Guardian reveló un programa para recopilar y retener datos. En este caso se trataba del almacenamiento de 200 millones de mensajes al día en el llamado programa “Dishfire”. Los detalles aportados por el diario británico correspondían a 2011 y mostraban como la NSA extraía cada día datos de 5 millones de llamadas perdidas de usuarios. También se detallaron más de un millón y medio de cruces de la frontera de Estados Unidos en diversos puntos, obtenidos gracias a las alertas de itinerancia de datos (“roaming”). La NSA obtuvo también más de 100.000 nombres de tarjetas de visitas, que incluían el registro y almacenamiento de imágenes, y alrededor de 800.000 operaciones de banco, tanto a través de pagos como de aquellos servicios que vinculaban las tarjetas de crédito del usuario con sus teléfonos. El programa también permitía la geolocalización de 76.000 mensajes de texto cada día.
“Cracking”, así bautizaron desde la NSA estadounidense sus propias prácticas de piratería y de software con capacidad de infectar dispositivos usados contra distintas instituciones. Lo supimos el 31 de agosto de 2013, cuando el Washington Post reveló el análisis de fondos reservados que mostraban que, en 2011, la NSA había realizado un total de 231 operaciones de ataque a través de la Red. Y poco después, el 20 de septiembre, una información de Der Spiegel decía que el británico GCHQ había “hackeado” Belgacom, ahora Proximus, la principal operadora de telefonía móvil de Bélgica. También Der Spiegel reveló, el 11 de noviembre del mismo año, el uso por parte del espionaje británico de cuentas falsas de LinkedIn con el único fin de infectar dispositivos de la propia Belgacom. La NSA tampoco encontró grandes obstáculos para acceder a las redes encriptadas de Yahoo y de Google con el fin de recoger información de los enormes centros de datos con los que estas compañías operan en el mundo, como informó el Washington Post el 30 de octubre de 2013. La agencia estadounidense también identificó objetivos a hackear utilizando las “cookies” de Google. Todos aceptamos a diario y varias veces las “cookies” de muchas páginas, de manera que estamos mucho más expuestos de lo que pensábamos a estas prácticas de espionaje.
La NCR, una web de noticias holandesa publicó en noviembre de 2013 que la NSA habría infectado nada menos que 50.000 redes de ordenadores con software dañino con el fin de acceder a información para, posteriormente, robarla.
Otros programas de espionaje de los que hemos tenido conocimiento son:
“Boundless Informant”. Revelado por The Guardian el 9 de junio de 2013. Se trata de una herramienta que muestra en tiempo real la información recogida en redes de internet. Pertenece a la NSA.
“Evil Olive” y “Shell Trumpet”. Desvelados por The Guardian el 27 de junio de 2013. Ambos de la NSA. Recogida de metadatos a gran escala. El primero llega a filtrar el 75% de los datos de Estados Unidos.
“Stellar Wind”. Desvelado por The guardian y Washington Post, también el 27 de junio de 2013. Comenzó en junio de 2001 y funcionó al menos hasta 2011. Consistía en la recopilación masiva de datos de correos electrónicos y de tráfico de internet de ciudadanos estadounidenses por parte de la NSA. Fue ordenado por el Gobierno de George W. Bush.
“Fairview”. Desvelado por O Globo el 6 de julio de 2013. Se trataba de un programa de la NSA para acceder a registros de llamadas telefónicas, correos electrónicos y tráfico de internet que se hicieran fuera del alcance de la propia agencia. Según los documentos de la NSA, los datos se obtenían mediante acuerdos comerciales de una empresa de telefonía estadounidense que colaboraba en este programa con operadoras menores de carácter local.
“Upstream”. Desvelado por el Washington Post el 10 de julio de 2013. Era un programa de la NSA con capacidad de interceptar tráfico de telefonía e internet de los principales “enrutadores” de EE. UU. y del resto del mundo. Este sistema llegó a funcionar de forma simultánea con “Prisma”.
“Mainway” y “Association”. Desvelado por el programa de TV “O Fantástico” de Brasil el 1 de septiembre de 2013. Se usaban en combinación con “Dishfire” con el fin de espiar a políticos de Brasil y Méjico.
“FASCIA” es la gigantesca base de datos de la NSA, que contiene decenas de miles de millones de registros de ubicaciones de teléfonos en todo el planeta y billones de datos más. Tuvimos conocimiento de su existencia a través de informaciones publicadas por el Washington Post el 4 de diciembre de 2013. Se trata de un centro de datos situado en Utah, en la sede de la NSA en ese estado, y en él se archivan cada mes 3.000 millones de documentos procedentes de todo el planeta. Los expertos de IBM señalan que para conseguir algún dato de los 2.5 quintillones de bytes que generamos cada día, los empleados de los servicios de inteligencia de Estados Unidos deben rellenar un formulario destinado a las plataformas estadounidenses de internet más usadas por los ciudadanos del resto del mundo. En esa petición tan solo han de señalar que el “objetivo” es extranjero y que se sitúa fuera de las fronteras de EE. UU.
Posteriormente supimos, en marzo de 2014 y a través del diario francés Le Monde, que Orange y France Telecom también cooperan con los servicios secretos de Francia.
Los fallos sobre los que funciona nuestra tecnología que facilitan el espionaje de la NSA son los que también pueden explotar ciberdelincuentes que pueden estar compartiendo con nosotros una red wifi mientras hacen acopio de información de nuestras actividades.
Eduardo Luis Junquera Cubiles.