¿Whatsapp, Telegram o -por el contrario- mensajería de software libre (con cifrado propio) para comunicaciones de gobierno?

En 2007 funcionarios del Gobierno de Francia desempeñando sus funciones en los gabinetes de la Presidencia de la República y del Primer Ministro fueron objeto de la prohibición de utilizar –los entonces muy empleados en el ámbito empresarial y hoy casi olvidados- teléfonos móviles Blackberry. El motivo del veto a Blackberry entre la alta oficialidad francesa era que los servidores informáticos encargados de procesar el envío de datos en texto y en correo electrónico de los terminales Blackberry, propiedad de la empresa canadiense RIM, estaban localizados en Reino Unido y Estados Unidos. En ese escenario, opinaba la Secretaría General de la Defensa Nacional de Francia, no podía garantizarse la seguridad de los datos gubernamentales transmitidos a través de esos teléfonos: siempre cabía la posibilidad de que fueran interceptados por algún agente hostil en aquellos servidores en el extranjero, cuya seguridad las instituciones de defensa de Francia no estaban en condiciones de controlar. Es decir, se opinaba con cierto criterio que la presidencia y el ejecutivo francés podrían, hipotética y potencialmente, ser espiados a través de sus Blackberry.

En 2010 y por motivaciones justamente contrarias, los Emiratos Árabes Unidos prohibían el uso de Blackberrry en su territorio, debido a que esos dispositivos utilizaban un cifrado que impedía a las autoridades locales interceptar comunicaciones para llevar a cabo funciones de inteligencia, seguridad o defensa nacionales. A los Emiratos no les preocupaba que las comunicaciones desde su territorio pasaran por servidores en Reino Unido o Estados Unidos, sino que su propio gobierno no pudiera ejercer funciones de inteligencia o de investigación judicial –pongamos por caso- si Blackberry no les facilitaba una clave maestra para descifrar sus comunicaciones, lo que la empresa canadiense inicialmente no estaba dispuesta a hacer.

Recientemente en 2019 se conocía que correos electrónicos de Juez del Tribunal Supremo Manuel Marchena, presidente de la sala que está juzgando las acusaciones por rebelión en el contexto separatista del 2017 en Cataluña, habían sido accedidos ilícitamente por un presunto atacante y divulgados a través de Twitter por una cuenta que muestra rasgos del colectivo hacktivista Anonymous. Al parecer, un atacante habría logrado vulnerar el acceso a través de la web al correo electrónico profesional de Marchena, tal vez pirateando una contraseña débil, y aterrizado en sus buzones de entrada y salida. Afortunadamente para todos, Marchena podría tener una contraseña débil en la configuración de su correo electrónico, pero mostraba la suficiente conciencia de seguridad y autoprotección en el ciberespacio como para no haber utilizado el correo electrónico, ni siquiera el profesional, para comentar o transmitir a otros cuestiones sensibles, como podrían haber sido asuntos relacionados con el juicio de procés. No obstante, si el juez hubiera tratado temas parecidos por correo electrónico, un atacante que hubiera accedido ilícitamente a su buzón electrónico habría logrado leer todo su contenido, puesto que no estaba encriptado.

Así ocurrió en 2016 en EEUU, cuando atacantes que el FBI estadounidense ha determinado que actuaban bajo directriz de los Servicios de Inteligencia de Rusia, hackearon los servidores de correo electrónico de la Convención Nacional Demócrata y de la campaña de la entonces candidata presidencial y rival de Donald Trump, Hillary Clinton. Al igual que el caso de Marchena, cuando los atacantes entraron en los correos electrónicos pirateados, la información almacenada en los buzones estaba sin cifrar y podía ser leída perfectamente por el intruso; sin embargo, al contrario que en el escenario del juez español, en el contenido al que accedieron –presuntamente- los rusos sí que había información sensible, que posteriormente se utilizaría mediante las convenientes filtraciones públicas para perjudicar a la candidata Clinton.

Tenemos, por tanto, a lo largo de más de una década varios escenarios que recalcan dos elementos de interés crítico en la ciberseguridad de la información, a los que aparentemente algunos gobiernos –léase el español, por lo que vamos a decir a continuación- no prestan conciencia o atención suficientes: estos dos elementos críticos son el cifrado o encriptado de la información sensible; y el uso de tecnologías o infraestructuras de comunicación extranjeras para la transmisión de esa información sensible.

Pues bien, el periodista Pedro J. Ramírez revelaba que el 25.7.2019, durante la segunda sesión de investidura fallida del presidente del Gobierno de España en funciones, cuando desde la propia tribuna de oradores del Congreso el diputado Pablo Iglesias le ofrecía in extremis al candidato Sánchez aceptar las políticas activas de empleo del Ministerio de Trabajo como condición para instrumentar un hipotético gobierno de coalición PSOE-Unidas Podemos, el presidente en funciones Sánchez consultaba un supuesto “grupo informal” de Whatsapp donde se congregaba ministros y otros responsables del PSOE, debatiendo en directo la conveniencia de aceptar o rechazar la propuesta de Pablo Iglesias.

Es indudable el valor de la tecnología de Whatsapp para posibilitar en vivo y en directo una discusión entre ministros y un presidente del Gobierno de España sobre un asunto sobrevenido: agilidad, posibilidad de que varias personas se expresen a la vez en remoto, sin tenerse que hablar físicamente entre ellas siguiera, en este caso cada una de ellas sentada en su respectivo escaño parlamentario. Al final, y tras consultar el hipotético grupo de Whatsapp con sus ministros, Sánchez desestimó la hasta ahora penúltima propuesta de Unidas Podemos para un gobierno de coalición.

Supongamos que ese grupo informal de Whatsapp del Gobierno de España existe y que allí se plantean, informalmente, cuestiones tan sensibles como la composición, el programa o las estrategias que tendrá un futuro gobierno de España. Deduzcamos que, ya que puede utilizarse para este caso concreto de las negociaciones parlamentarias para formar un gobierno en España, también podría emplearse de manera normalizada entre los miembros del gobierno para tratar, informalmente, otros asuntos relativos a la gobernanza del país. Conocido este asunto del grupo de Whatsapp a la luz de los escenarios que hemos descrito en Francia, Emiratos, el partido demócrata en EEUU o el propio juez Marchena en España, ¿no es inmediato preguntarse si el Gobierno de España, o cualquier otro Gobierno, podría tener capacidades de dotarse de otras tecnologías o procedimientos que mejor garanticen la seguridad de sus comunicaciones que, ya puedan ser o no informales, traten de asuntos sensibles?

Acabamos de mencionar que la encriptación es uno de esos dos elementos críticos a considerar en este tipo de comunicaciones sensibles. Es tan relevante como que actualmente vivimos inmersos con intensidad poco disimulada en lo que podrían llamarse la “guerras del cifrado” o “criptoguerras” (Crypto Wars), en las que en un bando se sitúan las empresas proveedoras de servicios digitales –como Google, Apple o Facebook/Whatsapp- y en el otro las agencias de inteligencia y seguridad de los países: los gobiernos, como el que hemos citado de los Emiratos, quieren que las empresas les provean llaves maestras para descifrar comunicaciones de usuarios de esos servicios digitales en casos de terrorismo, crimen organizado o –en el más ambiguo- de seguridad nacional; mientras las empresas operadoras y propietarias de los servicios digitales aseguran precisamente a sus usuarios que la encriptación que les proporcionan en esos servicios protege su privacidad y evita que nadie, agencias gubernamentales incluidas, pueda leer sus comunicaciones a través de esos servicios. Queda, eso sí, menos claro que esas empresas propietarias no tengan acceso de algún modo a leer, aunque sea por procedimientos computacionales automatizados, los millones y millones de valiosísimos datos de usuarios –por ejemplo de ministros de España- que circulan cada segundo por las redes e infraestructuras de su exclusiva propiedad privada.

No obstante, las guerras del cifrado entre proveedoras privadas de servicios digitales globales y las agencias públicas de seguridad son una versión en miniatura de un escenario más amplio, que las incluye, y que en realidad es una secuencia de batallas entre países por hacerse con el control de los sistemas de cifrado. En esas criptoguerras, el adversario predominante ha sido EEUU y en general la denominada alianza de los “Cinco Ojos” (Five Eyes, cinco países de tradición inglesa), y su objetivo evitar que el resto del mundo se dote de sistemas de encriptación lo suficientemente fuertes como para evitar que los “Cinco Ojos” puedan leer sus comunicaciones, llegado el caso en escenarios de inteligencia o de seguridad nacional. Hasta tal punto ha llegado ese marco más amplio de las criptoguerras, que desde hace algunos años la Agencia de Seguridad Nacional (NSA) de EEUU, dedicada a la inteligencia en el ámbito digital y electrónico, ha venido siendo el centro de sospechas que le atribuyen una estrategia mundial para implantar estándares de encriptado que la propia NSA tendría las herramientas para poder descifrar, si lo creyera necesario por razones de seguridad o inteligencia. Esas mismas probablemente fundadas sospechas sobre la NSA vienen impulsando una corriente en la Unión Europea a favor de que la gobernanza en Europa desarrolle su propio estándar de encriptación, al menos a nivel gubernamental.

Con todo, los diversos planos de debate sobre las criptoguerras son demasiado prolijos como para desmenuzarlos aquí sin riesgo de desviarnos de nuestro foco de atención, que no es otro que las implicaciones de “ciberespacio país” (la posición estratégica que un país ocupa en el ciberespacio) derivadas de que ministros del gobierno de una nación soberana (en este caso España) debatan en un grupo informal de Whatsapp temas que no son, probablemente, de crítica cinematográfica sino, como mínimo, asuntos políticos de calado estratégico.

Ante este foco de atención, el de un gobierno español comunicándose –supongamos, para nuestro argumento, que comunicándose cuestiones sensibles- por Whatsapp, alguien podría argüir que Whatsapp proporciona encriptado extremo-a-extremo, punto a punto, entre las apps instaladas en los teléfonos y sus servidores en EEUU. Es decir, que esas comunicaciones son seguras. Es completamente cierto… pero ¿seguras para quién?

El cifrado extremo-a-extremo de Whatsapp evita que un observador externo, ajeno a las personas que se están comunicando, pueda leer los mensajes que esos comunicantes se envían entre sí: caso de que ese observador externo interesado pudiera acceder a esas conversaciones en Whatsapp, porque las hubiera interceptado o hackeado por algún medio, no podría leerlas porque están cifradas, encriptadas, y aunque un interceptador capturara el texto de las conversaciones, al estar cifrado el texto sólo leería en ellas un galimatías sin sentido alguno, indescifrable salvo para quien tenga la clave de desencriptado. Y ahí está la cosa, precisamente. Whatsapp nos asegura que la clave de encriptado/desencriptado es única y privada para cada usuario, que no obstante no la conoce, porque la genera automáticamente la app instalada en su teléfono. Incluso las claves de cifrado son únicas para cada mensaje. Todo el conjunto de claves de cifrado evita que un interceptador ajeno pueda leer las conversaciones de los usuarios… pero ¿Whatsapp las puede leer? La empresa nos certifica que no, que no puede leerlas, que son secretas incluso para la propietaria de la app y de toda la infraestructura de comunicación que Whatsapp (es decir, Facebook) ofrece gratuitamente a más de 1.500 millones de personas en el planeta Tierra.

Para hacer más gráfica la tesis que estamos manejando: imaginemos que en vez de llamarse Whatsapp o Facebook, la empresa se denominara Fulanito de Tal S.A; pongamos por caso que esa empresa de nombre tan personal les dice que les ofrece gratis toda una infraestructura mundial de almacenamiento de sus más íntimas y personales conversaciones, una app para su teléfono, y cobertura constante y permanente para que usted se comunique con los suyos; además, que la empresa encripta esas conversaciones para que nadie pueda interceptarlas y leerlas; e incluso que ni siquiera el personal de la empresa Andrés Montero S.A. tiene acceso a nada de esas conversaciones. Y todo gratis. Figurémonos  además que varias de esos usuarios que se han descargado la app de mensajería de Fulanito de Tal S.A. son ministros del Gobierno de España. ¿A que algo de todo esto parece cuanto menos dudoso, aparte del nombre de la empresa?

De entrada, no encaja que Facebook comprara Whatsapp en su momento por el equivalente a 19 mil millones de euros, y Whatsapp proporcione todo ese complejo servicio global a usuarios, sin publicidad, sin coste para esos usuarios… y por supuesto sin leer sus conversaciones para someterlas a análisis de big data e inteligencia artificial que pueda reportar a Whatsapp algún tipo de legítimo beneficio empresarial. Y a lo que vamos: si nos pareciera algo inquietante que la hipotética empresa Fulatino de Tal S.A. nos ofreciera todo ese servicio gratis, ¿por qué los ministros de un Gobierno de España tienen –supuestamente- un chat informal en Whatsapp, una empresa extranjera de capital e intereses privados, donde esos ministros tratan cuestiones –probablemente- sensibles de política nacional de España?

Por supuesto, no se trata de que empresas de capital privado no proporcionen servicios para la gestión de información sensible, incluso de seguridad nacional. La presencia de empresas de capital privado en la seguridad nacional es no sólo ancestral, sino absolutamente necesaria en nuestras democracias liberales. Pensemos sólo en que los ministros –por seguir con ellos- hablan por teléfono y usan ordenadores, mediante servicios proporcionados por operadoras de telecomunicaciones que son empresas. De lo que se trata en cambio es de tener un mínimo control, unas mínimas garantías para cuestiones tan relevantes como son las que se le suponen a un Consejo de Ministros, aunque se reúnan en chats informales. Tenemos claro que, al igual que inteligentemente se ha comprobado con el juez Marchena, los miembros del Gobierno de España no utilizan ningún chat gestionado “gratuitamente” por una empresa extranjera de capital e intereses legítimos pero privados (no necesariamente alineados con los intereses de España) para ventilar cuestiones que, por ley, son secretas, como las propias deliberaciones del Consejo de Ministros. Aún así, fíjense que se ha dado a conocer que –supuestamente- sí están utilizando esos chats para debatir sobre estrategias de negociación de la composición de un futuro Gobierno de España, un tema que no es baladí.

Lo peor de todo esto es que España, al igual que otros países, tiene a su alcance las herramientas y la infraestructura necesarias para que los chats entre ministros –por continuar con ellos-, incluso los “informales”, sean proporcionados con eficiencia por tecnología bajo desarrollo propio y control total de la Administración General del Estado (AGE).

De entrada, la seguridad de comunicaciones sensibles requiere que no sea otro el que cifre, sino que sea el usuario de la plataforma quien tenga propiedad y control sobre todo el sistema de cifrado. Eso es relativamente sencillo, porque hasta que llegue la computación cuántica y se cargue todos los sistemas de cifrado, los actuales algoritmos de encriptación son abiertamente conocidos, totalmente seguros porque están basados en operaciones matemáticas cuya resolución es impracticable por la mayoría de los mortales, y su implementación es tecnológicamente viable y asequible. Si se quiere recurrir a empresas, España tiene incluso muy buenas que proporcionan soluciones de cifrado de nivel militar.

Por tanto, no estaría de más pedir que las comunicaciones por chat, aunque “informales”, de los ministros estuvieran protegidas por un cifrado de nivel militar. Ya sabemos que Whatsapp es muy cómodo: sólo hay que descargarse la app en el teléfono y ponerse a funcionar. Sin embargo, tecnológicamente Whatsapp no es nada del otro mundo: está basado en una versión modificada del estándar XMPP, que es un protocolo de comunicaciones para mensajería, para chats, pública y gratuitamente disponible por que es software libre, al alcance de cualquiera. Tampoco sería mucho soñar que cualquier organismo técnico de la AGE desarrollara apps para Android y para iPhone basadas en XMPP que sirviera para la comunicación de texto, tan instantánea como Whatsapp, entre órganos del gobierno, del poder judicial y del parlamento, de los tres poderes del Estado. Dotemos a ese chat de desarrollo español basado en XMPP de un criptosistema español que controle la AGE, montemos toda esa arquitectura en servidores informáticos también bajo control de AGE, y ya tendremos un chat todo lo informal que queramos que no haga pasar las conversaciones de los ministros de España por una empresa, muy respetable y que nos gusta mucho a todos, pero que es propiedad de personas que no sabemos quiénes son, qué intereses tienen, y si nos quieren bien o mal, a los españoles.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s