Intereses en conflicto cibernético
La pretensión de Gobiernos como los de India y Arabia Saudí para que empresas tecnológicas abran sus servidores, y de esta manera poder espiar las comunicaciones de sus ciudadanos ha reabierto una polémica que ya enfrentó a China y a Google en enero. ¿Tienen los gobernantes derecho a exigir que empresas extranjeras se adapten a las normas que imponen para proteger lo que definen como seguridad nacional? Y, ¿qué prima, la seguridad nacional o el derecho a la intimidad en la Red? ¿Dónde acaba la lucha contra el cibercrimen y comienza el espionaje indiscriminado?
El debate se ha centrado, en esta ocasión, en los teléfonos BlackBerry, célebres por la extrema seguridad que ofrecen a sus clientes. Han llegado a ser el dispositivo preferido del mismísimo comandante en jefe norteamericano, Barack Obama. Durante su campaña electoral, ya mostró un apego especial por este dispositivo. Cuando ganó las elecciones, quiso quedárselo, siendo el primer presidente de Estados Unidos que usa el correo electrónico. Aquello planteó dudas y se convirtió en un tema de debate nacional. La Casa Blanca tuvo que consultar a diversos asesores en materia de tecnología y legislación para establecer si la Ley de Libertad de Información se lo permitía.
Finalmente, recibió luz verde con la condición de que todos sus mensajes, cifrados, queden en unos servidores de los que serán recuperados y publicados años después de que abandone el despacho oval. Uno de los motivos por los que se le permitió quedarse con el teléfono, es que la BlackBerry ofrece uno de los sistemas más seguros de codificación de mensajes que hay en el mercado. Para un presidente, eso es una ventaja. Pero ¿qué sucede cuando se quiere usar ese secretismo para fines criminales?
Es lo que ahora plantean países como Arabia Saudí, Emiratos Árabes Unidos e India. Los tres han pedido a Research in Motion (RIM), fabricante de BlackBerry, que les permita acceder a sus servidores por motivos de seguridad nacional. Estados Unidos se ve en este momento en un dilema. La Administración Obama, diplomáticamente, ha defendido en reiteradas ocasiones la necesidad de proteger la privacidad de los internautas. Pero las agencias de seguridad nacionales espían, de hecho, a sospechosos de terrorismo. Ahora, esos países, algunos de los cuales no son democráticos, quieren el mismo tipo de acceso a las comunicaciones almacenadas en servidores de EE UU o Canadá.
India, que es la democracia más poblada del mundo y que recientemente amplió su petición de acceso indiscriminado también a los servidores de otras empresas como Google o Skype, alega que los atentados terroristas de 2008 contra Bombay -en los que murieron 173 personas- fueron coordinados desde Pakistán por terroristas que usaron este tipo de teléfonos. Tras aquellos atentados, el Gobierno impulsó una nueva legislación que le confiere la capacidad de interceptar cualquier comunicación tecnológica si sospecha que existe riesgo para la seguridad nacional.
Así, alegando graves riesgos para el país, India ha dado a RIM el 31 de agosto como fecha límite para cumplir con sus exigencias. «Solo queremos acceso a la información codificada bajo ciertas circunstancias», explicó el pasado 5 de agosto el ministro de Comunicaciones de ese país, Sachin Pilot, en conferencia de prensa. «Cuando afecte a nuestra seguridad, cuando sea utilizado para actividades antinacionales, cuando pensemos que se puede manipular esos servicios para dañar a nuestra nación. Pero de ningún modo, el Gobierno de India quiere espiar las conversaciones de los ciudadanos o invadir la privacidad de los individuos».
Por su parte, Arabia Saudí llegó a ordenar a principios de agosto a los proveedores de telefonía e Internet que suspendieran su servicio en blackberrys, hasta que llegó a un acuerdo, cuyos términos no ha revelado, con los gerentes de RIM. Los Emiratos Árabes Unidos han anunciado que prohibirán el uso del correo electrónico, mensajería instantánea y navegación por Internet en blackberrys que se encuentren en su territorio nacional, usando sus redes. Indonesia ha exigido a sus fabricantes que ubiquen servidores en su país para que las autoridades puedan tener acceso ilimitado a ellos.
RIM utiliza unos complejos códigos para codificar los mensajes de correo que navegan desde los propios teléfonos hasta un servidor conocido como BlackBerry Enterprise Server. Solo hay dos formas de descodificar esos mensajes: con claves que se encuentran en los mismos dispositivos telefónicos o en el servidor BlackBerry de cada empresa. Para complicar más aún el asunto, RIM, el fabricante, asegura que no dispone de una llave maestra que le permita conocer todas esas claves y descifrar todos los mensajes que pululan por la ingente red BlackBerry.
Por supuesto, existen diversos grados de sofisticación en la encriptación de los mensajes de estos teléfonos. Los usuarios que se compran uno de estos dispositivos para su uso personal en una tienda de telefonía pueden cifrar sus mensajes, pero su codificación no es tan potente como la que tienen las grandes empresas que adquieren su propio servidor BlackBerry.
Lo que ha convertido estos teléfonos en un modelo de protección de las comunicaciones de sus clientes es la forma de transmitir los mensajes: todos pasan directamente por sus propios centros de datos, situados, por lo general, en Canadá, que es donde se encuentra la sede de la empresa RIM. Ningún otro fabricante de servicios de telefonía móvil -ni Nokia, ni Apple, ni Google- funciona de ese modo.
Muchas agrupaciones de internautas y de defensa de las libertades civiles han puesto el grito en el cielo ante las peticiones de India o Arabia Saudí. «La retórica de esos Gobiernos, que aseguran que deben tener una puerta de entrada a todas las comunicaciones, es alarmante», asegura Seth Schoen, de la Electronic Frontier Foundation. «Nos recuerda a una situación similar en Norteamérica en los noventa, cuando el Gobierno federal buscaba alejar instrumentos criptográficos del público general para facilitar su propio acceso a los productos de comunicación».
Aquellas viejas batallas se recuerdan en jerga cibernética como «las criptoguerras». En aquellos años, la incipiente comunidad de cibernautas libró una batalla contra el presidente Bill Clinton y su intención de que la industria tecnológica en general instalara en los dispositivos que comercializaba un pequeño chip conocido como Clipper, que era en realidad un sistema de control y de descodificación a merced del Gobierno.
Ante la negativa generalizada, la Casa Blanca recurrió a una segunda estrategia: imponer un sistema de custodia de claves. Es decir, que todas las empresas de tecnología pusieran las claves de codificación de sus dispositivos en manos de una entidad ajena, que podría facilitárselas al FBI si este las requería por motivos justificados. A mediados de aquella época llegó a llevar a juicio al científico Philip R. Zimmerman, creador del software de codificación y seguridad de correos electrónicos más usado del mundo: PGP, siglas en inglés de Muy Buena Seguridad.
Zimmerman había colgado su programa de codificación en una página web, violando según el Gobierno una ley norteamericana que prohibía la exportación a otros países de software que permitiera proteger comunicaciones, con la intención de no conceder ventajas tecnológicas a países enemigos o grupos terroristas. En aquella época, 1995, una revista como Newsweek se preguntaba en un reportaje: «¿Es la privacidad buena o mala?».
A pesar de que las criptoguerras acabaron sin vencedores ni vencidos, el Gobierno estadounidense parece no tener todavía muy clara la respuesta a esa pregunta. La Agencia de Seguridad Nacional de EE UU puede pedir y pide las claves de cifrado de cualquier comunicación tecnológica en el país, cuando detecte riesgo para la seguridad nacional y, desde hace unos años, siempre con una orden judicial de por medio (durante los años de presidencia de George Bush hubo un buen número de escuchas sin permiso judicial previo).
A principios de mes, los líderes del Departamento de Estado estadounidense se reunieron con varios representantes de RIM, que les informaron secretamente de a qué acuerdos han llegado con los países extranjeros, entre ellos Arabia Saudí. Ante las múltiples preguntas, a lo largo de diversos días, los portavoces de la diplomacia estadounidense poco tuvieron que decir. «Lo que nos explicaron es que creen que, generalizando un poco, puede haber soluciones país a país, para que puedan responder satisfactoriamente a las dudas que les plantean las autoridades y actuar de acuerdo con las regulaciones de seguridad», dijo el pasado 10 de agosto Philip Crowley, el portavoz de la secretaria Hillary Clinton. «Reconocemos que hay intereses en conflicto y es importante encontrar soluciones de consenso».
Los analistas interpretan la referencia a los «intereses en conflicto» como una muestra de que EE UU no puede criticar a regímenes autoritarios como Arabia Saudí o Emiratos Árabes por exigir a RIM lo que se hace en su propio país. Es una cuestión de diplomacia. Esas «soluciones país a país» de las que habla Crowley pasan, sin embargo, por un cambio en las prácticas empresariales de BlackBerry.
«Básicamente, parece que RIM se ha comprometido con el Gobierno saudí a instalar servidores en el país, para que sea la legislación nacional la que predomine», explica Richard Bennett, investigador en la Fundación para la Tecnología y la Innovación Informativa. «Hasta la fecha, sus servidores estaban en Canadá. Esa es su forma de operar. Y la legislación canadiense no les permite, aunque quisieran, ofrecer esas claves al Gobierno saudí. Al trasladar los servidores a aquel país, ya pueden someterse a la legalidad que rige para sus clientes, sin conflictos con las autoridades canadienses».
Esto, para muchos analistas, supone un problema. «Puede que Arabia Saudí e India sean mercados grandes, en los que conviene tener servidores con tal de no perder un buen número de ingresos», añade Bennett. «Pero ¿qué sucederá si países más pequeños solicitan un paso similar? En mercados más pequeños, por ejemplo, como El Salvador o Costa Rica, puede que a RIM no le convenga establecer servidores locales, por lo que la única opción, para no violar la ley canadiense, sería dejar el mercado completamente, con lo que el que sale peor parado es el cliente».
Y plantea, aún, otro problema mucho mayor para las empresas tecnológicas radicadas en Norteamérica: ¿Con qué países hay que colaborar y con cuáles no? El Gobierno de Estados Unidos apoyó visiblemente a Google en su plantón a China, cuando, citando un oscuro ataque cibernético, decidió dejar de censurarse para los internautas de aquel país en enero. Algo que ha acabado con un fino ejercicio de equilibrismo empresarial, con el tráfico del buscador desviado a una página en Hong Kong.
Muchos congresistas han sido muy críticos con lo que han llamado falta de libertades civiles cibernéticas en China. Este mes, los problemas de BlackBerry no han sido objeto de ningún comunicado ni de un solo debate extraparlamentario.
Las agrupaciones de derechos civiles critican este doble rasero. «Después del 11 de septiembre, EE UU abandonó su firme compromiso con la privacidad y con los adecuados procedimientos legales, espiando sin previa orden judicial. Ahora están facilitando que los Emiratos Árabes Unidos y China aleguen que sus peticiones y prácticas de control de las comunicaciones son similares a las de EE UU», explica Joshua Gruenspecht, abogado del Centro para la Democracia y la Tecnología. «A principios de año, la secretaria de Estado, Hillary Clinton, prometió que EE UU volvería a ser un líder en privacidad online y en libertad de expresión».
De hecho, en su ya célebre discurso sobre los derechos en la Red, Clinton dijo en enero: «Debemos evitar que aquellos que usan Internet para reclutar a terroristas o distribuir propiedad intelectual pirateada sean capaces de separar sus actividades online de sus verdaderas identidades. Pero desafíos como ese no pueden ser una excusa para que los Gobiernos violen sistemáticamente los derechos y la privacidad de aquellos que usan la Red para propósitos políticos pacíficos». Por eso, a muchos les ha extrañado que EE UU no haya dicho todavía nada claro sobre los recientes problemas de BlackBerry en otros países. EL PAIS