Diferentes leyes para regular el espionaje a los ciudadanos en Estados Unidos:
La Comisión Rockefeller se cerró dando muestras de una cierta benevolencia hacia las actividades de la NSA, entendiendo que estas se llevaban a cabo priorizando la seguridad nacional, pero en pro de los derechos individuales y las libertades civiles garantizadas por la constitución estadounidense se aprobó, en 1978, la Ley FISA (Foreign Intelligence Surveillance Act), que ha sido enmendada en múltiples ocasiones y que regula la vigilancia física y electrónica, además de la recopilación de información sobre ciudadanos extranjeros en Estados Unidos y la de estadounidenses sospechosos de desarrollar actividades de espionaje o terrorismo.
Tres años después, concretamente el 4 de diciembre de 1981, se produjo un momento crucial con la firma por parte del presidente Reagan de la Orden Ejecutiva 12.333, que autorizaba a las diferentes agencias de inteligencia a recopilar y analizar información para el presidente. La nueva disposición reconocía el papel activo del secretario de Defensa y autorizaba a las diferentes agencias a establecer contratos y acuerdos con compañías privadas, contratos que pueden no ser revelados en virtud de la seguridad nacional. Esos acuerdos se encuentran protegidos por el título 10 del Código Federal de Estados Unidos, que otorga al secretario de Defensa la potestad de iniciar actividades comerciales con el fin de proporcionar seguridad a las operaciones de inteligencia en el exterior. Esta ley también establecía que “ninguna persona empleada por o actuando en nombre del gobierno de Estados Unidos puede involucrarse en o conspirar para un asesinato», y debía ser leída y firmada por todos los miembros de los servicios secretos estadounidenses.
Pero, pese al avance que para los derechos humanos y la legalidad suponía la orden ejecutiva de Reagan en cuanto a la prohibición de asesinatos, la disposición marcó un antes y un después para las diferentes agencias porque significaba una autorización legal para la recopilación y el análisis de la información. Posteriormente, las varias modificaciones sufridas por la Ley FISA de 1978 durante el siglo XXI anularon su carácter de norma sujeta a controles democráticos. La primera de estas reformas se produjo el 16 de marzo de 2006, y otorgaba al presidente la prerrogativa de establecer una lista de grupos y organizaciones sujetas a la vigilancia electrónica autorizada bajo el programa Terrorist Surveillance Program. La siguiente modificación tuvo lugar el 18 de julio de 2006, y posibilitó que el presidente, por medio del fiscal general, autorizara la vigilancia electrónica sin una orden judicial con el fin de acceder a información de inteligencia extranjera. El 28 de julio de 2007, se introdujo la enmienda de la Protect America Act, que proporcionó cobertura legal tanto al director de Inteligencia Nacional como al fiscal general para autorizar, por períodos de hasta un año, el acceso a información de inteligencia extranjera relativa a ciudadanos fuera de Estados Unidos. Finalmente, el 20 de junio de 2008, la Ley FISA, más concretamente en su Sección 702, estableció la posibilidad de que el gobierno utilizara una ley que permitía la plena monitorización, tanto extranjera como nacional, para vigilar y someter la privacidad de ciudadanos estadounidenses.
La Ley FISA controló las actividades de la NSA hasta que el Congreso y el Senado de Estados Unidos aprobaron la Ley Patriot, el 24 y 25 de octubre de 2001, respectivamente, con el país en estado de shock tras los atentados del 11 de septiembre de 2001. Durante el período 1978-2001, bajo las directrices establecidas en la Ley FISA, las capacidades de la inteligencia de señales de la NSA aumentaron de forma extraordinaria debido a las mejoras tecnológicas, a la puesta en órbita de varios satélites espía y a la red global de Internet, pero en 2002, tal vez presionado por el general y director de la NSA, Michael Hayden, y por la atmósfera de miedo al terrorismo que imperaba en el país, George Bush firmó una orden ejecutiva que autorizaba a la NSA a monitorizar, archivar y analizar sin orden judicial previa las llamadas telefónicas y los correos electrónicos de ciudadanos estadounidenses o extranjeros sospechosos de estar vinculados a Al-Qaeda, lo cual permitía a los servicios secretos eludir la Ley FISA.
Bajo la cobertura legal de esta orden ejecutiva del presidente Bush los servicios de inteligencia de Estados Unidos interceptaron las llamadas telefónicas y los correos electrónicos de los diplomáticos de los países miembros del Consejo de Seguridad de la ONU que debían votar la autorización para invadir Irak tomando como base legal la denuncia estadounidense de la existencia de armas de destrucción masiva en el país. La situación de emergencia en cuanto a la lucha antiterrorista creada a raíz de los atentados contra las torres gemelas de Nueva York no fue obstáculo para que muchos funcionarios considerasen que la vigilancia de llamadas y correos electrónicos de ciudadanos había cruzado todos los límites legales y constitucionales, entre otras cosas porque hasta entonces las búsquedas de la NSA se limitaban al extranjero.
A finales de 2005, el New York Times reveló que alrededor de una docena de funcionarios del Gobierno de Bush, algunos ya retirados, aceptaron hablar del asunto “debido a sus dudas sobre la legalidad y el control del programa” que, pensaban, plantea muchas interrogantes constitucionales ya que el propio Bush habría sobrepasado las funciones que le otorgaba la Ley Patriot, aprobada después de los atentados del 11-S.
La actual Ley de la Libertad, promulgada por el Congreso en 2015, exime al gobierno de dar explicaciones sobre el grueso de población investigada bajo la Sección 215 de la Ley Patriot, así como a informar sobre el número oficial de individuos investigados al amparo de la Sección 702 de la enmendada Ley FISA. Es decir, con el permiso de un juez, la agencia podría consultar sus diferentes programas con el fin de obtener los registros de un sospechoso y de todas las personas con las que ese individuo ha estado en contacto. Todo esto significa que en Estados Unidos se están permitiendo violaciones masivas y permanentes del derecho a la privacidad y de algunos derechos fundamentales. Además, la propia Sección 215 de la Ley Patriot prohíbe tanto a particulares como a empresas que hayan recibido orden judicial de cooperación con las agencias de inteligencia, la divulgación de la existencia de esa orden.
En realidad, durante mucho tiempo y por cuestiones geoestratégicas relacionadas con el interés estadounidense de proteger y promocionar sus empresas tecnológicas, desde Estados Unidos fuimos severamente advertidos, y mucho más durante la Administración Trump, de que algunas aplicaciones y dispositivos chinos constituían una amenaza a nuestra privacidad porque el gobierno de China disponía de la capacidad de espiarnos y tenía la intención de hacerlo. Pero lo cierto es que, como reveló en 2014 en el diario The Guardian el periodista Glenn Greenwald, eran los propios estadounidenses quienes estaban llevando a cabo exactamente las mismas prácticas de las que acusaban a los chinos. Un informe del Comité de Inteligencia del Congreso de Estados Unidos de 2012 acusó a los gigantes tecnológicos chinos Huawei y ZTE diciendo que “»pueden estar violando las leyes de Estados Unidos» y «no han cumplido las obligaciones legales de Estados Unidos». El Comité recomendó que «Estados Unidos debería ver con sospecha la continua penetración de las empresas de telecomunicaciones chinas en el mercado de telecomunicaciones estadounidense». Aunque desde el propio Comité se reconocía que no tenían pruebas reales de que las empresas chinas hubieran comercializado sus productos con dispositivos de vigilancia y espionaje, conminó a las empresas de Estados Unidos a no comprar sus productos. “Se recomienda encarecidamente a las entidades del sector privado en los Estados Unidos que consideren los riesgos de seguridad a largo plazo asociados con hacer negocios con ZTE o Huawei para adquirir equipos o servicios. Se recomienda encarecidamente a los proveedores de redes y desarrolladores de sistemas de EE. UU. que busquen otros proveedores para sus proyectos”.
Pero en junio de 2010, un informe del jefe del Departamento de Desarrollo de Accesos y Objetivos de la NSA ya había admitido que la agencia estadounidense interceptaba de manera rutinaria enrutadores, servidores y otros dispositivos informáticos que se exportaban desde Estados Unidos a clientes extranjeros con el fin de implantarles dispositivos de vigilancia. En uno de los puntos del informe se dice literalmente: “En un caso reciente, después de varios meses, una baliza implantada a través de la interdicción de la cadena de suministro volvió a llamar a la infraestructura encubierta de la NSA. Esta devolución de llamada nos brindó acceso para explotar aún más el dispositivo y examinar la red». Todo parece indicar que las advertencias del Congreso, en 2012, pretendían eliminar la competencia de China no solo porque arrancaban una importante cuota de mercado a los productos estadounidenses, sino porque también podrían constituir, a ojos de algunos congresistas, una forma de competencia en tareas de espionaje, algo que, por supuesto, nunca se admitiría públicamente. De nuevo, sería absurdo culpar a China de unas actividades no solo practicadas por los sucesivos gobiernos de los Estados Unidos, sino por gigantes tecnológicos como Apple, YouTube, Google, Microsoft, Skype, Facebook, Twitter o Yahoo, entre otros.
Las revelaciones de Edward Snowden, exanalista de la CIA y de la NSA, que vieron la luz en 2013, nos ayudaron a entender cómo estamos siendo espiados y la descomunal inversión en medios tecnológicos que se ha llevado a cabo con este fin. Pero el nuevo capítulo que se ha abierto a raíz de la decisión australiana de cancelar el contrato de compra de submarinos a Francia forma parte de otra cuestión y se encuadra dentro de la más que sólida y estrecha relación que mantienen los cinco países que forman la Alianza de los Cinco Ojos, que prefieren fortalecer los lazos entre ellos antes que profundizar en sus relaciones de colaboración con aliados importantes como Francia, España o Alemania.
Diferentes programas de espionaje a ciudadanos que han salido a la luz:
Muy recientemente, en julio de 2020, comparecieron ante la comisión antimonopolio del Congreso estadounidense los presidentes ejecutivos de los gigantes tecnológicos, Amazon, Facebook, Google y Apple, y lo hicieron por videoconferencia. Tenemos derecho a desconfiar de todos ellos, pese a que en sus declaraciones ante el poder político se muestren siempre extremadamente correctos y hasta sumisos. Estados Unidos dispone de una ley antimonopolio para las empresas desde 1890, la Ley Sherman, aunque estas leyes no rigen el sector bancario, que dispone de su propia regulación. En 1914 se aprueba la Ley Clayton, que complementa a la anterior. De la aplicación de la Ley Sherman salió la orden del Tribunal Supremo, en 1911, de dividir en 34 empresas diferentes Standar Oil, la empresa petrolera de John Davidson Rockefeller, al cambio y con todas las actualizaciones de datos, el hombre más rico de la historia.
La primera etapa de la aplicación de estas leyes fue más fácil porque coincidió con el New Deal y con un concepto de Estado fuerte con un alto componente de protección social que, por desgracia, no ha pervivido en Estados Unidos y que el presidente Reagan se encargó de desmantelar en lo que fue una auténtica cruzada ideológica de carácter mundial. También se crea, en 2015, la Comisión Federal de Comercio, una institución que nace para defender los derechos de los consumidores. Esta cuestión me parece fundamental porque la expresión “contribuyente” es muy estadounidense, un poco en contraposición a la de “ciudadano”, más propia de los europeos y más heredera de Grecia y Roma, aunque es innegable que Estados Unidos tiene una larga historia de defensa de la democracia, de la separación de poderes y de la libertad y sería injusto decir lo contrario. Por esta razón, un sistema democrático como el estadounidense no puede ser derribado por un solo hombre, aunque se trate de Trump, tal como sí ha sucedido en América Latina cuando un presidente ha violado la constitución para ser reelegido.
El tratamiento de datos en EE. UU. y Europa es completamente distinto porque la privacidad se contempla en Estados Unidos como un derecho de los consumidores regulado en un proyecto de ley llamado «Consumer Privacy Bill of Right», hoy bloqueado en el Congreso, mientras que en la Unión Europea la salvaguarda de datos personales es un derecho fundamental recogido en el Artículo 8 de la “Carta de los Derechos Fundamentales de la Unión Europea”.
En la actualidad, existen once países con un nivel de protección de datos equiparable a los de la Unión Europea: Andorra, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Como podemos ver, entre estos países no está Estados Unidos, aunque ambos bloques firmaron, en el año 2000, el conocido como “Acuerdo de Puerto Seguro” (“Safe Harbor”), en virtud del cual las empresas estadounidenses que posean sistemas de protección de datos homologables a los exigidos por la Unión Europea pueden ser consideradas como empresas seguras.
De este acuerdo se beneficiaron gigantes como Facebook, Google, Amazon o Apple, que pasaron a ser reconocidos como “puertos seguros” y fueron autorizados a transferir datos entre Estados Unidos y la Unión Europea. Tiempo después, comprobamos que estas empresas, tal vez y en algunos casos a excepción de Apple, tenían poco de seguras. Pero lo que nunca esperamos es que estos emporios, que disfrutan de posición dominante en todos los mercados del planeta, colaborasen como lo hicieron con los servicios de espionaje de Estados Unidos.
El 7 de junio de 2013, a través del diario The Guardian y del Washington Post tuvimos conocimiento de que Facebook, Google, Microsoft y Yahoo habrían recibido compensaciones millonarias a cambio de colaborar con las agencias de espionaje de Estados Unidos. El 18 de marzo del mismo año, la Agencia de Seguridad Nacional estadounidense (NSA) ya había revelado que estas empresas tenían perfecto conocimiento de formar parte del proyecto “Prisma”, el programa que funcionaba desde 2007 y que permitía la vigilancia masiva de ciudadanos de la Unión Europea mediante un acceso directo a los servidores centrales de empresas estadounidenses líderes en internet, como Google, Microsoft, Facebook, Yahoo, Skype o Apple. Solamente las peticiones a Facebook y a Microsoft por parte de la NSA afectaban a más de 50.000 clientes.
El programa “Prisma” disponía de la capacidad de obtener historial de búsquedas, contenido de correos electrónicos, transferencia de archivos, contenido de conversaciones de chat, fotografías, videoconferencias y registros de conexiones. Este acopio indiscriminado de información se llevó a cabo con arreglo a la Ley Patriot, aprobada por el Congreso estadounidense tras los ataques del 11 de septiembre de 2001 y, principalmente, al amparo de la Ley FISA de 1978. Esta ley instauró un tribunal secreto (FISC Court), que aprueba las operaciones de búsqueda de datos. Tan solo unos meses después, en septiembre de 2013, el New York Times desveló como la NSA estaría elaborando perfiles sociales contrastando los datos obtenidos mediante estas prácticas con los perfiles públicos de los ciudadanos, lo que daría lugar a seguimientos selectivos de acuerdo con nuestras tendencias de búsqueda en internet.
El programa «Xkeyscore» fue revelado de forma simultánea por el diario brasileño O Globo y el alemán Der Spiegel, el 20 de julio de 2013, y consistía en un sistema dedicado a la búsqueda y análisis del contenido y los metadatos de nuestras comunicaciones en internet. Este programa podía acceder a los datos de cualquier actividad de un usuario normal de la red y permitía a los analistas escudriñar los metadatos, el contenido de los correos electrónicos y otras actividades de internet como las búsquedas, historial de navegación e incluso conversaciones en las redes. Paradójicamente, las propias búsquedas de la NSA con relación a los usuarios no dejaban rastro en cuanto a la identificación del dispositivo desde el que se hacía el seguimiento.
Un día después, el 21 de julio de 2013, The Guardian sacó a la luz el programa “Tempora”, de la agencia británica GCHQ, uno de los tres servicios de inteligencia del Reino Unido y el que se ocupa, como ya hemos comentado, de la información, la comunicación y la inteligencia de señales. El GCHQ tiene acceso a la red de cables que transportan datos de internet a nivel mundial y desde hace tiempo procesa y comparte esta información con la NSA. De esta operación solo sabemos que los datos se almacenaban durante 30 días, que duró unos 18 meses (hasta mayo de 2013) y que en la misma participaron solo en el procesamiento de datos 300 miembros del GCHQ y 250 de la NSA, de manera que las dos agencias de espionaje se tomaban muy en serio este programa, en caso contrario nunca habrían destinado tales recursos a la operación.
El 5 de septiembre de 2013, The Guardian, el New York Times y ProPublica -una agencia de noticias de Nueva York- desvelaron los programas “Bullrun” y “Edgehill”, también de la estadounidense NSA y el británico GCHQ, respectivamente, con el fin de sortear el cifrado en línea. “Bullrun” dispone de la capacidad de vulnerar casi cualquier sistema de seguridad de internet, incluyendo los HTTPS. Además, el propio sistema de rastreo mostraba de forma automática contenido de conversaciones de chats, mensajes de correo electrónico, historial de búsquedas y llamadas de teléfono.
Poco después, el 4 de octubre de 2013, tuvimos conocimiento por medio de The Guardian de los programas “Quantum” y “Foxacid”, confeccionados por expertos de la NSA para llevar a cabo ataques selectivos contra usuarios de TOR (The Onion Router), el sistema anónimo de navegación por internet que consiste en un laberinto inextricable de conexiones altamente cifradas en las que cada nodo desaparece entre espejos, túneles informáticos y otros espejismos virtuales. En realidad, los ataques no iban dirigidos específicamente a TOR, sino a los propios usuarios que accedían a esta red. No es sencillo vulnerar el sistema encriptado de TOR, tal vez el único reducto libre del control de las agencias de espionaje en la red. De hecho, la propia NSA considera a TOR inatacable, lo cual es mucho decir en este tiempo de datos compartidos y de ataques a la privacidad, pero parece que esa es la realidad, al menos de momento. La portentosa idea de TOR fue diseñada por ingenieros informáticos del laboratorio de investigación de la Marina de Estados Unidos, que posteriormente liberó el programa.
Al menos desde 2004, la Electronic Frontier Foundation (EFF), comenzó a aportar fondos al proyecto con el fin de mantener su invulnerabilidad. La EFF es una organización sin ánimo de lucro que se ha convertido en un referente mundial en la lucha por la libertad de expresión, la privacidad online y los derechos de los ciudadanos en internet. Entre las principales misiones de la EFF está la de formar a instituciones, medios de comunicación y ciudadanos con el fin de que sepan combatir las amenazas cada vez más frecuentes a las que se enfrentan cuando utilizan internet. El manual interactivo presentado por EFF en 2014, el denominado SSD, por ejemplo, fue una actualización del lanzado en 2009 como respuesta a las demandas de los activistas por los derechos humanos en Irán, sometidos a un brutal acoso a través de internet tras la reelección como presidente de Mahmud Ahmadineyad.
Los ataques a la Red TOR por parte de la NSA de los que se tiene conocimiento se hicieron de forma individual y, dado el carácter inexpugnable de este sistema de navegación, “solo” tuvieron como objetivo explotar las debilidades de los navegadores Firefox usados por sus usuarios. Cuando se localizaba a una persona que accedía a datos por medio de TOR, la agencia utilizaba su red de servidores secretos con el fin de redirigir al usuario a su sistema de servidores secretos, “Foxacid”, que infectaría su ordenador. Para llevar a cabo esta agresión, la NSA dispondría de servidores de alta velocidad denominados “Quantum”.
El 16 de enero de 2014, The Guardian reveló un programa para recopilar y almacenar datos. En este caso se trataba del almacenamiento de 200 millones de mensajes al día en el llamado programa “Dishfire”. Los detalles aportados por el diario británico correspondían a 2011 y mostraban como la NSA extraía cada día datos de 5 millones de llamadas perdidas de usuarios. También se detallaron más de un millón y medio de cruces de la frontera de Estados Unidos en diversos puntos, obtenidos gracias a las alertas de itinerancia de datos (“roaming”). La NSA obtuvo también más de 100.000 nombres de tarjetas de visitas, que incluían el registro y almacenamiento de imágenes, y alrededor de 800.000 operaciones de banco, tanto a través de pagos como de aquellos servicios que vinculaban las tarjetas de crédito del usuario con sus teléfonos. El programa también permitía la geolocalización de 76.000 mensajes de texto cada día.
“Cracking”, así bautizaron desde la NSA estadounidense sus propias prácticas de piratería y de “malware” (software intrusivo o dañino) con capacidad de infectar dispositivos usados contra distintas instituciones. Lo supimos el 31 de agosto de 2013, cuando el Washington Post reveló el análisis de fondos reservados que mostraban que, en 2011, la NSA había realizado un total de 231 operaciones de ataque a través de internet. Y poco después, el 20 de septiembre, una información del semanario alemán Der Spiegel decía que el británico GCHQ había “hackeado” Belgacom, ahora Proximus, la principal operadora de telefonía móvil de Bélgica. También Der Spiegel reveló, el 11 de noviembre del mismo año, el uso por parte del espionaje británico de cuentas falsas de LinkedIn con el único fin de infectar dispositivos de la propia Belgacom. La NSA tampoco encontró grandes obstáculos para acceder a las redes encriptadas de Yahoo y de Google con el fin de recoger información de los enormes centros de datos con los que estas compañías operan en el mundo, como informó el Washington Post el 30 de octubre de 2013. La agencia estadounidense también identificó objetivos a hackear utilizando las “cookies” de Google. Todos aceptamos a diario y varias veces las “cookies” de muchas páginas, de manera que estamos mucho más expuestos de lo que pensábamos a estas prácticas de espionaje.
La NCR, una web de noticias holandesa publicó, en noviembre de 2013, que la NSA habría infectado nada menos que 50.000 redes de ordenadores con software dañino con el fin de acceder a información para, posteriormente, robarla.
Otros programas de espionaje de los que hemos tenido conocimiento son:
“Boundless Informant”. Revelado por The Guardian el 9 de junio de 2013. Se trata de una herramienta que muestra en tiempo real la información recogida en redes de internet. Pertenece a la NSA.
“Evil Olive” y “Shell Trumpet”. Desvelados por The Guardian el 27 de junio de 2013. Ambos también de la NSA. Recogida de metadatos a gran escala. El primero llega a filtrar el 75% de los datos de Estados Unidos.
“Stellar Wind”. Desvelado por The Guardian y el Washington Post, también el 27 de junio de 2013. Comenzó en junio de 2001 y funcionó al menos hasta 2011. Consistía en la recopilación masiva de datos de correos electrónicos y de tráfico de internet de ciudadanos estadounidenses por parte de la NSA. Fue ordenado por el Gobierno de George W. Bush.
“Fairview”. Desvelado por el diario brasileño O Globo, el 6 de julio de 2013. Se trataba de un programa de la NSA para acceder a registros de llamadas telefónicas, correos electrónicos y tráfico de datos en internet que se hicieran fuera del alcance de la propia agencia. Según los documentos de la NSA, los datos se obtenían mediante acuerdos comerciales de una empresa de telefonía estadounidense que colaboraba en el programa con operadoras menores de carácter local.
“Upstream”. Desvelado por el Washington Post el 10 de julio de 2013. Se trataba de un programa de la NSA con capacidad de interceptar tráfico de telefonía e internet de los principales “enrutadores” de Estados Unidos y del resto del mundo. Este sistema llegó a funcionar de forma simultánea con “Prisma”.
“Mainway” y “Association”. Desvelados por el programa de televisión, “O Fantástico”, de Brasil, el 1 de septiembre de 2013. Se usaban en combinación con “Dishfire” con el fin de espiar a políticos de Brasil y Méjico.
“FASCIA” es la gigantesca base de datos de la NSA que contiene cientos de miles de millones de registros de ubicaciones de teléfonos en todo el planeta y billones de datos más. Tuvimos conocimiento de su existencia a través de informaciones publicadas por el Washington Post, el 4 de diciembre de 2013. Se trata de un centro de datos situado en Utah, en la sede de la NSA en ese estado, y en él se archivan cada mes 3.000 millones de documentos procedentes de todo el planeta. Los expertos de IBM señalan que, para conseguir algún dato de los 2.5 quintillones de bytes que generamos cada día, los empleados de los servicios de inteligencia de Estados Unidos deben rellenar un formulario destinado a las plataformas estadounidenses de internet más usadas por los ciudadanos del resto del mundo. En esa petición tan solo han de señalar que el “objetivo” es extranjero y que se sitúa fuera de las fronteras estadounidenses.
Posteriormente supimos, en marzo de 2014 y a través del diario francés Le Monde, que Orange y France Telecom también cooperan con los servicios secretos de Francia.
Los mismos fallos presentes en las tecnologías que usamos de manera habitual, aquellos que facilitan el espionaje de la NSA y otras agencias, son los que también pueden explotar los ciberdelincuentes que pueden estar compartiendo con nosotros una red wifi mientras hacen acopio de información de nuestras actividades.
Eduardo Luis Junquera Cubiles.
