Edward Snowden era un analista de inteligencia que trabajó para la CIA y la NSA. Al inicio de su carrera consideró que su trabajo correspondía al deber patriótico de defender a su país. Con el tiempo se dio cuenta que era parte de un sistema de vigilancia global secreto que era utilizado incluso para espiar dentro del país. Él consideró que la población de un país democrático debería, al menos, estar enterada de que algo así sucedía. Por este motivo filtró miles de documentos que demostraron lo que sucedía a periodistas que publicaron varios reportajes en importantes medios a nivel global.

En los mismos se pude ver las diversas formas en las que la NSA recolectaba, analizaba y luego utilizaba esta información para operaciones de espionaje alrededor del mundo. [RB1]  En una diapositiva se puede ver las capacidades recolección de información a nivel global a través de un mapa mundi dónde se explica cómo se recolectaba la información desde los cables fibra óptica, a través de embajadas, espiando comunicaciones satelitales, en colaboración con agencias de otros países o mediante ataques informáticos.

Toda esta información recolectada se almacenaba en centros de datos para luego ser accedida a través del sistema XKeyScore. Este sistema funciona de forma parecida a buscadores de internet dónde puedo realizar búsquedas. La diferencia radica en que las búsquedas se las hace sobre información privada. Los documentos muestran que se podían hacer consultas sobre como leer todos los correos electrónicos de persona X, saber quiénes usan correo cifrado en un país determinado, contraseñas de cuentas en línea, entre muchas otras. Básicamente un buscador sobre las vidas privadas de miles de millones de personas, sin ningún tipo de control.

Uno de los programas expuestos que más llamó la atención es el conocido como PRISM ya que involucra a grandes empresas de internet como Google, Facebook, Apple, Youtube, Microsoft, Yahoo, entre otras. Estas empresas tienen plataformas que funcionan como software de servicio, también conocido como “la nube”. Cuando compartes un documento con Google Drive, no solo lo compartes con tus colegas, sino también con Google. Cuando envías un correo usando Outlook, ese contenido es accedido por Microsoft. Si guardas tus fotos en la nube de Apple o de Google sucede lo mismo.

Resultaba lógico entender que estas empresas tendrían acceso a nuestra información para poder brindarnos el servicio. Algunas personas considerábamos que era probable que las empresas se aprovechen de nuestra información. Lo que la gran mayoría no imaginábamos era que además nuestras comunicaciones privadas eran vigiladas por agencias de inteligencia como la NSA. Lo que aprendimos en ese momento fue que, si no eres ciudadano de Estados Unidos y no resides en ese país, la NSA puede acceder a los datos de los servicios de estas empresas para informarse sobre ti. Estamos hablando de llamadas de voz y video, correos electrónicos, chats documentos, fotos, ubicación etcétera.

La recolección de este tipo de información sumada a la capacidad de análisis de la NSA permitieron hacer operaciones de espionaje a lideres mundiales como Angela Merkel, Enrique Peña Nieto o Dilma Rousseff. También existieron operaciones mediáticas para manipular la opinión pública como fue la operación QUITO que promovía una visión favorable para Inglaterra sobre las Islas Malvinas en América Latina.

Esto es un resumen muy superficial de lo que aprendimos hace 11 años. Es importante mirar para atrás y pensar qué cambió desde entonces. ¿Se suprimieron estos programas y ahora nuestra privacidad esta más aseguradas? Personalmente creo que algunas cosas mejoraron y otras han empeorado.

El escándalo de las revelaciones generó una discusión a nivel mundial sobre la privacidad en Internet. Una de las primeras consecuencias fue el Marco Civil de Internet en Brasil dónde se fortaleció la protección de los derechos civiles en internet y en particular la privacidad. En el caso de Europa, esto promovió la discusión de la protección de los datos que personales que en 2017 se vio reflejada en el Reglamento General de Protección de Datos Personales (RGPD). Esta legislación sirvió para que países como Ecuador tengan su ley de protección de datos personales en 2021.

Estas legislaciones son muy positivas y en el caso Europea, incluso se ha llegado a multar a empresas como Google y Meta (antes Facebook). Sin embargo, no es suficiente ya que si bien estas legislaciones buscan el consentimiento informado  para el tratamiento de datos personales, en la práctica se traduce como una incómoda ventana dónde se nos pide aceptar la política de privacidad y gestionar las configuraciones de cookies. En la práctica la mayoría de personas aceptan los términos y probablemente todas las cookies.

En lo tecnológico el cambio fue mayor. Antes de las revelaciones de Snowden la mayoría de sitios web funcionaban bajo el protocolo inseguro de HTTP.  En 2015 la EFF en colaboración con otras organizaciones y empresas lanzaron la iniciativa de Letsencrypt que hizo que la implementación de sitios web con el protocolo seguro HTTPS sea accesible para cualquier sitio o aplicación web. Gracias a esta iniciativa hoy casi todos los sitios y aplicaciones que usamos en Internet cifran la comunicación. De esta manera se puede presumir que parte importante de los programas de recolección de información de la NSA quedaran obsoletas. Esta característica no solo nos protege de la NSA, sino de cualquier actor con malas intenciones, desde un ciber criminal a Estados.

Sin duda una mejora importantísima para la seguridad de las comunicaciones de todas las personas que utilizamos internet. No obstante, esto no nos protege del espionaje de programas como PRISM, ya que la información que utilizamos en servicios en la nube generalmente es accesible por las empresas que proveen el servicio como se mencionó anteriormente. Personalmente creo que la situación ahora es peor.

Durante estos 11 años la NSA ha seguido trabajando en secreto y sus capacidades tecnológicas debieron mejorar. Pero la debilidad más fuerte es que empresas mencionadas en PRISM siguen siendo parte esencial de nuestras vidas. Nuestros teléfonos celulares si no funcionan con Android de Google, funcionan con el iOS de Apple. Los sistemas de reconocimiento de voz como Siri, Hey Google o Cortana son todos provistos por empresas PRISM. Por citar dos ejemplos. 

Otro avance importante que tenemos desde las revelaciones de Snowden es la adopción del cifrado extremo a extremo. A diferencia del cifrado de tráfico en la red, con este podemos proteger el contenido de la información incluso de la empresa que provee el servicio. Si ciframos un correo de Gmail, incluso Google no lo podría leer.

Si bien el cifrado de correo electrónico existe hace más de una década, su adopción es marginal. El caso más importante es la adopción de cifrado extremo a extremo es la de WhatsApp en 2016 que permitió a miles de millones de personas cifrar sus mensajes.

Claro que no podemos olvidar que WhatsApp es una empresa de Meta (antes Facebook), que está involucrada en el programa PRISM. La aplicación es de código propietario y no se puede saber cómo está hecha por lo que podría tener una puerta trasera. Incluso me atrevería a decir que tiene una puerta delantera cuándo en las conversaciones de la aplicación tenemos la opción de que participe la inteligencia artificial de Meta. Es una forma cool de pedirnos acceso a nuestras conversaciones.

Otro gran avance que hemos tenido es el desarrollo de aplicaciones de software libre que nos permiten controlar nuestra información.  Existen aplicaciones de chat, correo electrónico, colaboración, edición de documentos y más. En Derechos Digitales, por ejemplo, utilizamos Matrix como nuestro sistema de chat, Nextcloud para compartir documentos, OnlyOffice  para editarlos, Jitsi y BigBlueButton para video llamadas. Ninguna de estas aplicaciones es perfecta, algunas pueden llegar a ser incómodas o fallar en cuestiones que no quisiéramos, pero nos permiten tener agencia sobre nuestros datos y privacidad.

Snowden nos hizo saber que vivimos en una máquina de vigilancia y que estamos perdiendo nuestra privacidad. Ahora como sociedad debemos decidir si queremos seguir atrapados en este sistema o buscamos alternativas. En próximas columnas reflexionaré sobre algunas herramientas que usamos de forma cotidianas y las alternativas que respetan nuestra privacidad. Por lo pronto comparto columnas que escribí sobre aplicaciones de chat, teléfonos móviles, redes sociales y herramientas de video conferencia.

Publicado originalmente en Derechos Digitales.

El resumen del trabajo:

En 2013, Edward Snowden filtró miles de documentos de la Agencia Nacional de Seguridad de los Estados Unidos (NSA por sus siglas en inglés) a los periodistas Glenn Greenwald y Laura Poitras. Desde entonces se han publicado decenas de reportajes periodísticos a nivel mundial que revelan programas de vigilancia masiva de alcance global.
Las filtraciones muestran que esta agencia tiene la capacidad de recolectar las comunicaciones de Internet. Cables de fibra óptica, comunicaciones satelitales y telefonía celular son algunas de los medios sobre los que la agencia recolecta información. Las grandes empresas de Internet entregan los datos sus usuarios a esta agencia. Si esto no es suficiente se recurre a los ataques informáticos para buscar la información restante.
Las comunicaciones recolectadas son procesadas en sistemas sofisticados. Los mismos permiten a los analistas de la NSA encontrar información a través de buscadores similares al de Google o DuckDuckGo que operan sobre las comunicaciones privadas de quiénes usan Internet.
Si bien la NSA sostiene que los programas de vigilancia se realizan con el fin de combatir el terrorismo. Se revelaron operaciones que muestran espionaje político y a sectores estratégicos de países alrededor del mundo. En este trabajo se enfatiza el caso de América Latina.

El documento completo se lo puede descargar acá:

• Biblioteca Digital Facultad de Economía UBA (pdf)
• La NSA Según las Revelaciones de Snowden (pdf)
• La NSA Según las Revelaciones de Snowden (odt)
• Archive.org en varios formatos
• Torrent

Un documento más corto lo publiqué en CIBSI y lo pueden descargar acá.

Mi primer trabajo consistió en un estudio sobre los documentos revelados por Snowden. Se han publicado varios artículos de prensa sobre estos documentos de  2013 a la fecha, pero existen pocos trabajos que realicen un análisis general para tener una visión sistémica del funcionamiento de la NSA. Básicamente intento explicar las capacidades de la NSA para recolectar y analizar información, así como también, muestro algunas operaciones de espionaje realizados por esta agencia.

Información dispersa

Hugo Pagola, mi profesor de la maestría, me recomendó que escriba un artículo sobre los documentos de Snowden para el IX Congreso Iberoamericano de Seguridad de la Información (CIBSI) que se realizó del 1 al 3 de noviembre de este año en la Universidad de Buenos Aires. Me encantó la idea, asumí el reto y el artículo fue aceptado.

El artículo fue publicado junto a las actas de CIBSI y ahora esta disponible para descarga bajo licencia Creative Commons:

• Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden (PDF)
• Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden (ODT)

Juan conoció a Adriana en la facultad. Ella es de Ecuador y le contó sobre las maravillas que hay en el país de la mitad del mundo. Los volcanes activos, glaciares, cálidas playas, las selvas y su gente. Juan se entusiasmó y decidió escaparse del frío del invierno de Buenos Aires y viajar a Ecuador en julio.

Para esto, Juan fue a su computadora, abrió Gmail y escribió a Adriana para pedirle recomendaciones sobre Ecuador. Ella le respondió y le contó sobre el Volcán Cotopaxi, la reserva Ecológica del Cuyabeno, la Isla de la Plata, el centro histórico de Quito, el mercado artesanal de Otavalo, y algunas otras maravillas de este pequeño país.

Cuando Juan recibió el correo, notó algo interesante. A la derecha del mismo había publicidad sobre hoteles en varios lugares turísticos de Ecuador. “¡Qué conveniente!” – pensó Juan. Sin embargo, para armar su presupuesto, necesitaba conocer el costo de los pasajes de avión y la publicidad del correo no proporcionó esta información.

Entonces Juan abrió el buscador de Google y empezó a investigar costos de pasajes entre Buenos Aires y Quito. Terminado el trabajo se fue a dormir. Al día siguiente, cuando abrió la prensa digital para leer las noticias se encontró con otra sorpresa. La publicidad del periódico mostraba promociones para viajar a Ecuador. Era como si alguien supiera lo que Juan estaba pensando y le ayudaba a comprar lo que necesitaba. “¡Qué conveniente!” – pensó Juan.

Pasó el tiempo, el frío cada vez era más fuerte en Buenos Aires y Juan se preparaba para escaparse a la tierra del sol. Fue cuando Adriana añadió a Juan al grupo de WhatsApp de “Deportes de Aventura en Ecuador”. Este grupo lo creó Adriana junto a sus amigos para organizar viajes a la montaña, rafting en la amazonía, paseos en bicicleta y otras aventuras que se pueden organizar cerca de Quito. Juan estaba fascinado leyendo como se organizaban los paseos y esperaba sumarse apenas llegue a Ecuador.

Luego de interactuar un tiempo en el grupo de WhatsApp, Juan abrió Facebook para actualizarse sobre la vida de sus amigos. Algo raro pasó, Facebook empezó a recomendar nuevos amigos a Juan. Algunos eran conocidos de Adriana, pero otros no. Juan se puso a ver quiénes eran esas personas y se dio cuenta de algo interesante. Todos forman parte del grupo, “Deportes de Aventura en Ecuador” de WhatsApp al que se había unido solo unos días atrás. “¡Qué conveniente!” – pensó Juan.

Al poco tiempo Juan viajó a Ecuador y tuvo unas mágicas vacaciones llenas de aventuras.

II Privacidad

Si bien la historia de Juan es ficticia hay dos verdades en la misma. La primera es que Ecuador es un país chiquito lleno de diversidad y magia al que vale la pena visitar. La segunda es que empresas de Internet como Google, Facebook u otras saben de nosotros más de lo que podríamos imaginarnos. En la historia de Juan se mencionan a 2 empresas, pero no son las únicas.

Muchos piensan que los clientes de Facebook o Google son sus usuarios pero esto no es así. Los clientes son las empresas o personas que compran publicidad para ofertar sus productos o servicios a los usuarios de Google o Facebook. Se dice que “sino pagas por el servicio eres el producto”.

Facebook compró WhatsApp por 22 mil millones de dólares en el año 2014. Eso podría ser el presupuesto anual de un país pequeño. Considerando que WhatsApp es un servicio gratuito con alrededor de mil millones de usuarios en el mundo, debería llamarnos la atención qué una empresa pagó tanto dinero por otra que aparentemente no recibe nada. Tal vez la base de datos de teléfonos de mil millones de personas en en el mundo y sus interacciones sociales le podría resultar útil a Facebook. Quizás ese fue el motivo por el cuál Facebook le recomendó a Juan los contactos del grupo de WhatsApp.

Las hoteles que publicaron anuncios ofertando servicios en los correos de Juan pagan a Google por cada click que alguien hace en sus publicidades. El problema no es que los hoteles de un país anuncien publicidad a alguien que quiere visitar ese país. El problema es que para que esto suceda, Google debe leer los correos electrónicos de todos sus usuarios. Para ilustrar mejor la idea, imaginemos el sistema de correo tradicional. ¿Estaríamos dispuestos a que las empresas de correo abran los sobres, lean las cartas y pongan publicidad relacionada con el contenido de las mismas? ¿Podría prestarse esto para el abuso? ¿Qué pasaría si los Estados tuvieran acceso a esta información?

En junio de 2013, gracias a Edward Snowden, se empezó a publicar gran cantidad de documentos secretos de la Agencia de Seguridad Nacional de Estados Unidos (NSA por sus siglas en inglés). Estos documentos demuestran que de manera voluntaria o no, empresas como Google, Facebook, Microsoft, Skype, Youtube, Apple, entre otras, entregan la información de sus usuarios al gobierno de Estados Unidos. Los únicos que tienen alguna protección legal son los ciudadanos de Estados Unidos. El resto de nosotros no tenemos ninguna garantía que nuestra información no pueda ser espiada.

En realidad, no es la NSA y las grandes empresas de Internet las únicas que pueden saber mucho de nosotros a través de Internet. Somos nosotros los que entregamos nuestra información privada en redes como Facebook a cambio de estímulos sociales como “likes” u otros. Cuando era pequeño, recuerdo que nos decían que no hablemos con extraños en la calle. Hoy en día los padres, con la ilusión de compartir momentos con sus seres queridos comparten fotos de sus hijos en Internet. ¿Se han puesto a pensar quién puede ver las fotos que subimos a Facebook? ¿Conocemos en persona a todos nuestros contactos de Facebook? ¿Deberíamos pedir permiso a nuestros hijos antes de subir una foto de ellos a Internet? ¿Deberíamos subir fotos de nuestros hijos a Internet?

El artículo 12 de La Declaración Universal de Derechos Humanos defiende expresamente el derecho a la privacidad: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia…”. Sin embargo, en Internet estamos regalando nuestra privacidad a cambio de conveniencia.

Diapositiva del proyecto secreto PRISM de la NSA donde se ve a la izquierda las empresas que entregan información al gobierno de Estados Unidos y a la derecha la información que proveen.

Nota: Este artículo lo escribí para la revista que circula en la escuela donde estudian  mis hijas.

Por otro lado están los metadatos que son datos que describen a los datos. En el caso de un correo electrónico, por ejemplo, los metadatos son el remitente, el destinatario, la hora en el que correo electrónico fue enviado, la dirección de ip, etcétera. Información similar se podría obtener de llamadas telefónicas, chats o cualquier tipo de comunicación.

A simple vista los metadatos podrían parecer inofensivos, sin embargo almacenados durante mucho tiempo dicen mucho de una persona. El proyecto Immersion del Instituto Politécnico de Massachussetts permiten visualizar nuestra red de contactos a trevés de los metadatos que tienen empresas como Google, Yahoo o Microsoft. Solamente con la información de origen, destino y fecha en la que se enviaron los correos generó el siguiente gráfico de mi red social. Los círculos grandes son las persona con las que más me comuniqué (cuando usaba GMAIL). Si tienen una cuenta de Gmail, Yahoo o MS Exchange, les invito a que hagan la prueba y visualicen lo que saben de ustedes estas empresas. Eso sí, al hacer esto estarán dando acceso a sus datos al MIT. Ellos dicen no hacer nada con los mismos y dan la opción de borrar. Igual no queda más que confiar ya que el software corre en sus servidores. En caso que no lo quieran hacer pueden probar el demo sin ningún riesgo.

Dice el viejo refrán: «dime con quién andas y te diré quién eres«. Deberíamos preguntarnos cuánto puede saber de nosotros empresas como Google, Microsoft, Yahoo o Facebook por nuestros datos. Además recordar que gracias a Snowden ahora sabemos que las empresas que mencioné dan acceso de nuestros datos a la NSA:

Documento filtrado por Snowden, parte de una presentación del programa PRISM

Diapositiva sobre la nube de Google:

Carita Feliz donde dice que se añade o se quita la criptografía. Fuente: Washington Post

Sobre los usuarios de Iphone

Sobre como pueden usar  los servicios de localización de Apple para espiar a sus usuarios. Se burlan de los usuarios de Iphone porque ellos son quienes compran el dispositivo para ser espiados. Fuente: Spiegel

El Gran Hermano

Para la NSA, Steve Jobs era el Gran Hermano. Fuente: Spiegel

Apple y 1984

Hacen referencia a un comercial de 1984 que decía como gracias a Apple 1984 no sería como lo predecía Orwell. ¿Quién diría que ahora Apple ayuda a construir una sociedad Orwelliana. Fuente: Spiegel

Ramiro Moncayo de Yachay a través de Twitter nos ha compartido el convenio entre Microsoft y Yachay. Que bueno que ya no sea secreto, ahora tenemos que leerlo, analizarlo y comentar sobre el mismo.

https://twitter.com/ramiromoncayo/status/381133048584368128

El Convenio Secreto

Nuestra vida privada la deberíamos compartir solo con las personas con las que confiamos. Microsoft  y otras de las grandes corporaciones de Internet dan nuestra vida privada al gobierno de EEUU. Por otro lado, cuando la información debería ser pública como en el convenio entre una Corporación Internacional y una institución pública, sucede lo contrario. Es poco lo que se sabe del convenio entre Yachay y Microsoft, por lo que la firma de abogados SDR solicitó el  convenio a Yachay, a la que  Hector Rodriguez respondió diciendo que no podía porque hay que respetar la privacidad de Microsoft.

La respuesta completa la puede encontrar aquí

Ni Microsoft ni Yachay son personas a las que se deben proteger su privacidad. Yachay, al ser una instancia pública debe ser transparente con los ecuatorianos. Microsoft al ser una de las corporaciones más poderosas del mundo se la debe vigilar con lupa.

Maratón de Certificaciones de Microsoft y Yachay

@hrodriguez_ da la bienvenida a quienes participarán en la maratón de certificaciones tecnológicas #Yachay http://t.co/Tm1BBBZFlW

— Empresa Pública Siembra (@SiembraEP) September 19, 2013

El día de hoy Hector Rodriguez, CEO de Yachay, junto a Guadulape Durán, gerente de Microsoft Ecuador, anuncian con bombos y platillos la maratón de certificaciones Microsoft. La «Ciudad del Conocimiento» hace marketing gratuito para una de las transnacionales más poderosas del mundo que basa su modelo de negocio en prohibir el acceso al conocimiento y que fue la primera en contribuir al programa de espionaje PRISM.No estuve el día de hoy en Campus Party por lo que no escuché la rueda de prensa. Algo de cobertura sobre el tema dio el Telégrafo, sin embargo yo me enteré a a través de la cuenta @CiudadYachay en Twitter cuando, cual empresa de Marketing anunciaba su nueva promoción:

http://t.co/W7uDbmPK3Z Hoy #Yachay anuncia la maratón de certificaciones tecnológicas en #CPQuito3 que recorrerá todo el país

— Empresa Pública Siembra (@SiembraEP) September 19, 2013

¿Ciudad del Conocimiento o Marketing Corporativo?

A Yachay se la conoce como la “Ciudad del Conocimiento”, un muy bonito nombre para un proyecto muy interesante. Conociendo el grave problema de dependencia tecnológica en el que nos encontramos, se supone que Yachay fue creado para hacer frente a este problema.  En el caso de software no hay otra forma de superar la dependencia tecnológica que con software libre. Una de las razones principales es que el modelo de negocio del software privativo se basa en el secreto de su funcionamiento. Por ejemplo, en el caso de Windows solo Microsoft sabe como funciona y prohíbe que programadores del Ecuador tengan acceso a este conocimiento.

Hace un año en el Campus Party del 2012 el presidente Correa explicó muy bien la importancia del software libre, la soberanía tecnológica y que el conocimiento debe ser universal.

Con las revelaciones de Snowden nos dimos cuenta de cuan vulnerables somos por la dependencia tecnológica. Cuando se reveló el programa PRISM, aprendimos que empresas como: Microsoft, Yahoo, Apple, Google, Facebook, Skype entre otras dan nuestra información privada a la NSA. La única forma de proteger nuestras comunicaciones es con software libre, criptografía y una infraestructura descentralizada de Internet.

Si queremos soberanía tecnológica no es suficiente con usar software libre y criptografía. Necesitamos talento humano local que entienda como funcionan estas herramientas, pueda auditar su código fuente y las pueda mejorar. Yachay debería estar buscando a los mejores programadores de software libre del mundo para que trabajen juntos con jóvenes ecuatorianos buscando soluciones a estos problemas. Ahí sí tendríamos verdadera transferencia tecnológica y generación de talento humano local, porque se comparte el conocimiento.

La tecnología debe servir para el beneficio de la sociedad y no la sociedad para el beneficio de las corporaciones que producen la tecnología.