El siguiente fragmento pertenece a la obra El pequeño Libro Rojo del Activista en la red de la autora española Marta Peirano. En este excelente manual para el activista digital, Peirano se propone develar las claves que le permiten a un periodista de investigación o hacktivista encriptar su información y navegar de forma silenciosa por la la red. La experta en capitalismo de vigilancia y denunciante incansable de las prácticas orwelianas de las que hacen uso las grandes empresas tecnológicas y los gobiernos a través de sus múltiples agencias de inteligencia, narra - además- algunos de los acontecimientos más relevantes del último siglo relacionados al buen y mal uso de las herramientas digitales por parte de algunos investigadores que estuvieron implicados en casos donde la "seguridad nacional" de algunos gobiernos estuvieron en riesgo.

El pequeño Libro Rojo del Activista en la red

Por Marta Peirano

La historia ya es leyenda: Glenn Greenwald estuvo a punto de perder el mayor bombazo periodístico de las últimas décadas sólo porque no quiso instalarse la PGP. Él mismo la contaba con sana ironía cuando, seis meses más tarde, le invitaron a dar una conferencia como cabeza de cartel en el congreso del Chaos Computer Club, el mismo festival de hackers donde cinco años antes se presentó WikiLeaks. 

Todo empezó cuando el 1 de diciembre de 2012 Greenwald recibió una nota de un desconocido pidiéndole su clave pública para mandarle cierta información de suma importancia. A pesar de tratar con fuentes delicadas y escribir sobre asuntos de seguridad nacional; a pesar de su apasionada defensa de WikiLeaks y de Chelsey (entonces Bradley) Manning, Glenn Greenwald no sabía entonces lo que era una clave pública. No sabía cómo instalarla ni cómo usarla y tenía dudas de que le hiciera falta, así que, cuando llegó un misterioso desconocido pidiendo que la utilizara, simplemente le ignoró.

Poco después, el desconocido le mandó un tutorial sobre cómo encriptar correos. Cuando Greenwald ignoró el tutorial, le envió un vídeo de cifrado para dummies. 

«Cuanto más cosas me mandaba más cuesta arriba se me hacía todo —confesó Greenwald más tarde a la revista Rolling Stone—. ¿Ahora tengo que mirar un estúpido vídeo?».

La comunicación quedó atascada en un punto muerto porque Greenwald no tenía tiempo de aprender a cifrar correos para hablar con un anónimo sin saber lo que le quería contar y su fuente no podía contarle lo que sabía sin asegurarse de que nadie escuchaba la conversación. Lo que hoy parece obvio entonces no lo era, porque ahora todos sabemos lo que la fuente sabía pero Greenwald ignoraba: que todos y cada uno de sus movimientos estaban siendo registrados por la Agencia de Seguridad Nacional norteamericana. La fuente lo sabía porque trabajaba allí. Pero Greenwald recibía correos similares cada día. A medio camino entre el periodismo y el activismo, gracias a su trabajo en la revista Salon, su cuenta en Twitter y su columna en The Guardian, el periodista se había convertido en la bestia negra del abuso corporativo y gubernamental y su carpeta de correo estaba llena de anónimos prometiendo la noticia del siglo que luego quedaban en nada.

Después de un mes, la fuente se dio por vencida. Seis meses más tarde, Greenwald recibió la llamada de alguien que sí sabía lo que era la PGP: la documentalista Laura Poitras. Poitras no sólo sabía encriptar correos; se había pasado los dos últimos años trabajando en un documental sobre la vigilancia y el anonimato. Había entrevistado a Julian Assange, a Jacob Appelbaum y a otros. No era un tema al que estaba naturalmente predispuesta, sino al que se vio empujada desde que la pararon por primera vez en el aeropuerto internacional de Newark, cuando la cineasta iba a Israel a presentar su último proyecto, My Country, My Country.

Se trataba de un documental sobre la vida del doctor Riyadh al-Adhadh y su familia en la Bagdad ocupada. Poitras había convivido con ellos mientras filmaba la película y un día estaba en el tejado de su casa con la cámara cuando tuvo lugar un ataque de la guerrilla local en el que murió un soldado norteamericano. Que Poitras estuviera por casualidad en el tejado y lo grabara todo generó rumores entre las tropas. Los soldados la acusaron de estar al tanto de la insurrección y de no haberles avisado para así asegurarse material dramático para su documental. Aunque nunca fue acusada formalmente, y nunca hubo pruebas, sus billetes fueron marcados como «SSSS» (Secondary Security Screening Selection). Poitras ya no pudo coger un avión sin ser interrogada y sus pertenencias registradas.

Después de los ataques a las Torres Gemelas, el gobierno norteamericano empezó una lista negra de posibles terroristas que ha llegado a tener un millón de nombres. Un agente en el aeropuerto de Viena le explicó a Poitras que su pasaporte había sido marcado con la alerta máxima («400 en la escala Richter», le dijo) y que en ningún aeropuerto del mundo la dejarían volar sin antes registrarla. En su entrevista con el Times, Poitras dice que ya no recuerda cuántas veces la detuvieron en los siguientes seis años pero que fueron más de cuarenta. En muchos casos, los agentes del aeropuerto exigieron acceso a sus cuadernos y ordenadores para poder copiar su contenido y, en al menos una ocasión, requisaron todo su equipo durante varias semanas. Un día se le ocurrió que, si estaba en la lista negra y la paraban cada vez que viajaba, lo más probable era que su correo y su historial de navegación también estuvieran comprometidos.

«Supongo que hay cartas de seguridad nacional en todos mis correos», dice Poitras en la misma entrevista. La «carta de seguridad nacional» (National Security Letter o NSL) es una orden de registro que reciben los proveedores de servicios —las compañías telefónicas o los servidores de red— para que faciliten los datos de un usuario.

Todas las comunicaciones electrónicas son susceptibles de recibir una sin que sea necesaria la intervención de un juez, y la proveedora tiene prohibido advertir el registro a su cliente. En 2011, Laura Poitras empezó a trabajar en su documental sobre la vigilancia gubernamental y, en el proceso, aprendió a proteger sus comunicaciones.

Empezó a dejar el móvil en casa, un dispositivo que no sólo registra las conversaciones sino que funciona como localizador, incluso cuando todos los sistemas de localización y hasta el propio teléfono han sido desactivados.

Dejó de tratar asuntos delicados por correo y empezó a usar un anonimizador para navegar por la Red. Aprendió a encriptar sus e-mails con una llave de clave pública. Empezó a usar diferentes ordenadores: uno para editar sus documentales, otro para mandar correos y un tercero sin tarjeta de red para almacenar material sensible. Por eso, cuando un anónimo le escribió para pedir su clave pública, Poitras se la dio inmediatamente. Una vez convencida de la seriedad de su contacto y la legitimidad de sus documentos, Poitras se puso en contacto con Greenwald, al que había entrevistado para su documental y, a cambio, había escrito sobre ella en Salon («U.S. Filmmaker Repeatedly Detained at Border», abril 2012). En junio de 2013 volaron juntos a Hong Kong para encontrarse con Edward Snowden y destapar el mayor caso de espionaje masivo de la historia.

Todos los periodistas a los que les cuento esta historia se ríen, pero es raro encontrar a uno que tenga software diseñado para proteger sus comunicaciones en su ordenador.

«Me sorprendió darme cuenta de que había gente en los medios que no sabía que todo correo enviado sin cifrar a través de la red acaba en todas las agencias de inteligencia del planeta —dijo Snowden en una entrevista cuando se publicó esta historia—. A la vista de la revelaciones de este año, debería estar ya suficientemente claro que el intercambio no cifrado de información entre fuentes y periodistas es un descuido imperdonable». 

Snowden es un experto en seguridad informática cuyo acceso a los numerosos programas de vigilancia total desarrollados por y para la National Security Agency (NSA, Agencia de Seguridad Nacional) fundamentaron su puntillosidad. Gracias a su cuidadosa estrategia ha sido capaz de controlar las circunstancias de sus extraordinarias revelaciones y escapar de Estados Unidos antes de ser encarcelado, como Bradley Manning. Si no hubiera sido tan paranoico, le habría pasado lo mismo que a las fuentes del cineasta Sean McAllister en el país más peligroso del mundo para periodistas y disidentes: Siria.

Descuidar la seguridad es poner en peligro a tus fuentes

Sean McAllister es, según Michael Moore, uno de los cineastas más valientes y emocionantes del planeta. Sus documentales sobre la vida en zonas de conflicto como Yemen o Iraq han recibido múltiples premios y el reconocimiento de la prensa internacional. Se diría que su experiencia le ha enseñado a trabajar con extrema precaución. «Es una ruleta ir por Siria filmando de encubierto —dijo en una entrevista—. Antes o después te pillan».

Ese otoño de 2011 había viajado a Damasco para rodar un documental sobre la disidencia contra el régimen de Bashar al-Assad. Subvencionado por la cadena británica Channel 4, McAllister le pidió ayuda a Kardokh, un cyberdisidente de 25 años que procuraba herramientas de comunicación segura a la resistencia. Kardokh (un pseudónimo) había logrado hackear el sistema de vigilancia electrónico que usaba el gobierno sirio para controlar las comunicaciones de sus ciudadanos, y hasta había conseguido convencer a la empresa italiana propietaria de dicho sistema de que cancelase su contrato con el gobierno sirio. Además, había creado junto con otros informáticos una página web llamada «Centro de Documentación de la Violencia» donde publicaban los nombres de los desaparecidos del régimen. Tenía buenas razones para mantenerse en el anonimato, pero no quiso perder la oportunidad de denunciar la represión criminal a la que estaban sometidos.

«Cualquier periodista que hiciera el esfuerzo de contarle al mundo lo que nos estaba pasando era importante para nosotros», dijo en una entrevista. Por eso dejó que McAllister le entrevistara en cámara, bajo la promesa de que su rostro saldría pixelado y su voz sería modificada en la sala de edición.

El cineasta quería conocer a más miembros de la resistencia, pero Kardokh estaba preocupado por su despreocupación. Él y sus amigos encriptaban sus correos y tomaban medidas de todo tipo para mantener el anonimato en la Red; por el contrario, McAllister «usaba su teléfono y mandaba SMS sin ninguna protección». Poco después, el británico fue arrestado por los agentes de seguridad del régimen y todo su material fue requisado, incluyendo su ordenador, su móvil y la cámara con las entrevistas a cara descubierta que había rodado.

Cuando se enteró, Kardokh tiró su teléfono y huyó al Líbano (dice que su pasaje le costó 1.000 dólares, 235 por el billete y 765 por borrar su nombre de la lista negra). Otro activista llamado Omar al-Baroudi tuvo menos suerte. «Su cara estaba en esos vídeos.Y dijo que su número estaba en la agenda de Sean», explica un compañero. Cuando la operación se hizo pública, Channel 4 aseguró que el cineasta había tomado todas las precauciones posibles: «Es un cineasta experimentado y tomó medidas para proteger el material —dijo una portavoz de Channel 4—. Siria es un contexto extremadamente difícil para trabajar y por eso seguimos buscando maneras de minimizar el riesgo de contar esta importante historia».

«Me alegro de no haberle puesto en contacto con más gente», declaró Kardokh. Muchos han culpado a McAllister por no tomar precauciones, pero pocos habrían actuado de manera diferente de haber estado en su lugar. La falta de recursos es intrínseca al medio: ¿cuántos periódicos invitan a sus empleados a talleres de seguridad informática?, ¿qué facultades incluyen clases de cyberseguridad y protección de las comunicaciones?, ¿cuántas cabeceras tienen a expertos en seguridad en plantilla para instalar software de seguridad en los equipos o asesorar a los corresponsales en apuros? Como recordaba el experto Christopher Soghoian en un editorial en The New York Times («When Secrets Aren’t Safe With Journalists», 24 de enero de 2012), hasta el director del NYT discutió durante meses los detalles de los documentos que les había entregado Julian Assange, de WikiLeaks, en largas conversaciones telefónicas completamente desprotegidas. 

Las universidades incluyen programas para manejar comentarios y titular para Twitter, pero no nos enseñan a jugar a espías. La profesión mantiene prioridades que no reflejan el verdadero estado de cosas. Hasta las organizaciones más obsesionadas con el periodismo de investigación invierten más recursos en diseñadores web y en litigios que en expertos criptográficos.

Tanto es así que ni siquiera los portales creados por las grandes cabeceras para competir con WikiLeaks consiguen pasar el examen. Tanto la Safehouse de The Wall Street Journal como la Unidad de Transparencia de Al Jazeera fueron denunciadas por prometer una anonimidad falsa, exponiendo a las fuentes de manera innecesaria. El analista de seguridad y colaborador de WikiLeaks Jacob Appelbaum tardó menos de veinticuatro horas en encontrar un alarmante número de agujeros en su sistema. Y la Electronic Frontier Foundation señaló que sus Términos y condiciones de uso incluían el derecho de las cabeceras a revelar la identidad de su fuente si así se lo pedían terceras partes o agentes de la ley.

Más aún: quien subía documentos al sistema SafeHouse firmaba un documento en el que aseguraba «no infringir ninguna ley o los derechos de otra persona», que tenía el «derecho legal, poder y autoridad sobre esos documentos» y que el material no «interfería en la privacidad de o constituía un perjuicio para ninguna persona o entidad». En cualquiera de estos tres casos, tanto las denuncias de WikiLeaks como los vídeos de Bradley Manning o los documentos de Edward Snowden hubiesen quedado fuera de juego. Peor todavía: el periódico se reservaba el derecho a utilizar el material de la fuente sin responsabilizarse de su protección, acabando con uno de los principios más fundamentales del periodismo. Y para rematar la faena, el sistema plantaba una cookie en tu ordenador. 

Es difícil valorar si es una cuestión de astucia o estupidez; en todo caso no olvidemos que la más peligrosa de las dos es la segunda. En ese sentido, los grandes medios se han distanciado del principio que sostiene WikiLeaks, donde la comunicación está diseñada para ser completamente opaca, incluso para el propio administrador. El sistema asegura por defecto que todas las comunicaciones estén protegidas; los documentos que viajan por el mismo están fuertemente cifrados y los servidores que los guardan permanecen escondidos en un laberinto de espejos llamado Tor.

«Si aceptamos los documentos de manera anónima —explicaba Assange en un documental—, en lugar de guardar su identidad en secreto, simplemente no la sabemos». El detalle es importante: Assange y los suyos no tienen que preocuparse por que el gobierno norteamericano, o cualquier otro, produzca una orden judicial que les obligue a revelar la identidad o procedencia de sus fuentes porque ellos mismos no las saben.

En el libro Cypherpunks, de Julian Assange, Jacob Appelbaum, Andy Muller-Maguhn y Jérémie Zimmermann, Appelbaum dice: 

"Si construyes un sistema que almacena datos sobre una persona y sabes que vives en un país con leyes que permiten al gobierno acceder a esa información, quizá no deberías construir ese tipo de sistema. Y esta es la diferencia entre la privacidad-pordecreto y la privacidad-por-diseño. (...) Si Facebook pusiera sus servidores en la Libia de Gadafi o la Siria de al-Assad nos parecería una negligencia absoluta. Y sin embargo, ninguna de las Cartas de Seguridad Nacional que se vieron el año pasado o el anterior tenían que ver con el terrorismo. Unas 250.000 fueron usadas para todo menos para terrorismo. Sabiendo eso, estas compañías tienen un serio problema ético en el momento en que están construyendo ese tipo de sistemas y han tomado la decisión económica de vender a sus usuarios al mejor postor. No es un problema técnico: no tiene nada que ver con la tecnología, sólo con la economía. Han decidido que es más importante colaborar con el Estado, vender a sus usuarios, violar su intimidad y ser parte de un sistema de control —cobrar por ser parte de una cultura de la vigilancia, la cultura del control— en lugar de resistirse a él. Así que son parte del problema. Son cómplices y responsables".

Además de Greenwald, Edward Snowden se puso en contacto con un periodista de The Washington Post llamado Barton Gellman. Fue este periódico el que tuvo la exclusiva de Prism, un programa de la NSA mediante el cual las grandes empresas de Internet habían dado acceso a sus servidores a la misma NSA y al FBI, incluyendo audio, vídeo, búsquedas, correos, fotos, mensajes y archivos. Entre los documentos publicados por el Post y el Guardian hay un powerpoint que explica los detalles del programa junto con una lista de las empresas que colaboraron con la Agencia: Microsoft (la primera vez, en septiembre de 2007), Yahoo (2008), Google y Facebook (2009) y Apple (2012). Ese mismo día se reveló también que Verizon y otras compañías telefónicas entregaban alegremente los registros de todas las conversaciones telefónicas al gobierno norteamericano.

Irónicamente, el gobierno quiso proteger la identidad de sus fuentes y presionó al Post para que los nombres de las compañías fueran borrados del informe. Cuando finalmente el documento salió sin censurar, el presidente Obama habló pero no para negar los hechos ni disculparse, sino para condenar el soplo y decir que él y los suyos podían estar tranquilos: «Con respecto a Internet y los correos, esto no se aplica a los ciudadanos estadounidenses ni a las personas que viven en los Estados Unidos». Aun en el caso de que eso fuera cierto —y sabemos que no lo es—, sería un consuelo muy pequeño: el 80 por ciento de esos usuarios están fuera de Estados Unidos.

Estas son las empresas de las que habla Appelbaum, cuyos servidores están sometidos a leyes que no respetan la privacidad de los usuarios. Aunque la mayor parte de estas empresas aceptaron el escrutinio y la recolección de las Agencias de inteligencia, daría igual que se hubiesen negado heroicamente. De hecho, Yahoo hizo un conato de resistencia que perdió en los tribunales en agosto de 2008, su fecha de incorporación, según el famoso documento que publicó el Post. La única manera de proteger los datos de los usuarios es no tenerlos. Lamentablemente, estas son empresas cuyo modelo económico depende de esos datos.

Por qué software libre

La lucha por la libertad tiene efectos secundarios: Jacob Appelbaum está en la lista de terroristas internacionales, Julian Assange está atrapado en la embajada de Ecuador en Londres, Edward Snowden vive exiliado en Rusia hasta nueva orden y Bradley Manning pasará los próximos 35 años de su vida como un traidor encerrado en una prisión militar.

Los tres primeros prefirieron trabajar por el bien común que colaborar con la cadena de abusos a cara descubierta; Manning se confesó con alguien que traicionó su confianza y lo denunció a la NSA: el hacker y analista de sistemas Adrian Lamo.

Es interesante recordar que, aunque sus perfiles no podrían ser más diferentes, todos son analistas de sistemas y ninguno de ellos ha sido «atrapado» por culpa de la tecnología. Tampoco es casual que todos sean usuarios de Linux.

Cuando nuestra vida y nuestra libertad dependen de un software, Linux es la única opción posible.Hay quien piensa que la insistencia en el software libre es cosa de fanáticos o de elitistas. Desde la explosión de noticias sobre los abusos persistentes a nuestra intimidad por parte de empresas y gobiernos, muchas compañías de software han orientado sus esfuerzos a desarrollar aplicaciones y protocolos para proteger las comunicaciones. Si se comprometen a implementar el anonimato del usuario y a no recopilar datos, si aseguran haber patentado una manera de cifrar las conversaciones telefónicas, si presentan una alternativa a WhatsApp, ¿por qué no usarlas? La respuesta es simple: porque aunque lo que prometen sea cierto, aunque sean la mejor aplicación del mundo mundial, no podemos saberlo.

Imaginemos una empresa que asegura producir verduras orgánicas completamente libres de pesticidas, no modificadas genéticamente, que se cultivan siguiendo las pautas naturales de la madre naturaleza y con extremo respeto al medio ambiente y a la salud de sus consumidores. Imaginemos que el presidente de dicha empresa es un emprendedor que cree firmemente en la necesidad de cambiar nuestros métodos de producción agrícola y nuestros hábitos de consumo. Su coche es eléctrico, su casa funciona con paneles solares, su web está llena de fotos de bellos prados llenos de ovejas felices pastando al sol y campos de trigo y manantiales. Su discurso es razonable, su producto parece excepcional. Pero, cuando vamos a visitar su maravillosa finca, encontramos sus tierras rodeadas por varias capas de alambre de púas y un muro donde pone No pasar.

Técnicamente es su finca, y probablemente tiene buenas razones para protegerla. Y es posible que al otro lado del muro esté todo lo que dice nuestro emprendedor imaginario. El problema es que no podemos saberlo. Si fuera como dice y tuviéramos acceso a la finca, probablemente encontraríamos cosas que no funcionan bien, pero al menos tendríamos la oportunidad de valorar los compromisos que estamos dispuestos a hacer y señalar los errores que se deben corregir para contribuir a sus mejoras. Nadie dice que el software libre sea perfecto, pero al menos podemos saber hasta qué punto no es perfecto y ayudar a que lo sea.

Ahora el ejemplo contrario.

«Cryptocat» es una aplicación de software libre que sirve para cifrar conversaciones por chat. El verano pasado le pasó lo peor que le puede pasar a un proyecto de sus características: el experto en seguridad Steve Thomas descubrió un agujero en el sistema y lo publicó. Al parecer, las llaves criptográficas generadas por la aplicación podían ser descifradas con un ataque llamado Meet-in-the-middle (no confundir con el más popular Man-in-the-Middle), que reduce significativamente el número de intentos que debe hacer un ordenador para adivinar una clave usando la fuerza bruta.

Además de señalar el fallo y demostrarlo, Thomas creó una aplicación, un software llamado DecryptoCat, que explotaba automáticamente esta vulnerabilidad y era capaz de descifrar un chat en dos horas desde cualquier ordenador. «Todas las conversaciones que hayan tenido lugar durante los siete meses entre la versión 2.0 y la actualización 2.1 han sido comprometidas», admitió el programador en su página.

El error de Cryptocat era que, aunque utilizaba tres capas de cifrado convencionales —RSA, Diffie-Hellman y ECC— lo hacía generando claves demasiado pequeñas, y en criptografía el tamaño es clave. «Cryptocat tiene una misión, y es ofrecer comunicación segura o, lo que es lo mismo, encriptar datos —explicaba el experto en seguridad Adam Caudill—. La parte más importante de cualquier sistema criptográfico es la generación de claves; si esto te sale mal, todo lo demás no importa».

Hay quien ve aquí la prueba de que las aplicaciones de software libre no son dignas de confianza.

En realidad es la demostración perfecta de lo contrario. Gracias a que Cryptocat es un programa de código abierto, Steve Thomas y cualquier otro experto en seguridad informática, programador o aficionado puede mirar cómo funciona e ingeniar maneras de franquearlo. Gracias a que se han establecido los canales apropiados, las vulnerabilidades son denunciadas y el código puede ser actualizado.

«Cada vez que ha habido un problema de seguridad con Cryptocat hemos sido completamente transparentes, absolutamente responsables y hemos corregido nuestros errores —declaró el programador—. Fallaremos docenas de veces, si no centenares en los próximos años. Os pedimos que continuéis vigilantes y que seáis cuidadosos. Así es como funciona la seguridad de código abierto».

Es un modelo de evolución completamente darwinista: cada vez que alguien descubre un agujero nuevo, su programador actualiza el software para proteger su programa de nuevos ataques, haciéndolo cada vez más seguro. O pierde su mercado en favor de una aplicación mejor.

Post relacionado: El capitalismo de vigilancia y el enemigo invisible