El pequeo Libro Rojo del activista en laRed

Introduccin a la criptografa para redacciones, whistleblowers, activistas,disidentes y personas humanas en general

Marta Peirano

Marta Peirano, 2015

Primera edicin en este formato: enero de 2015

de esta edicin: Roca Editorial de Libros, S. L.Av. Marqus de lArgentera 17, pral.08003 Barcelona.info@rocaebooks.comwww.rocaebooks.com

www.eldiario.es

ISBN: 978-84-9918-822-5

Todos los derechos reservados. Quedan rigurosamente prohibidas, sin la autorizacinescrita de los titulares del copyright, bajo las sanciones establecidas en las leyes, lareproduccin total o parcial de esta obra por cualquier medio o procedimiento,comprendidos la reprografa y el tratamiento informtico, y la distribucin deejemplares de ella mediante alquiler o prstamos pblicos.

mailto://info@rocaebooks.comhttp://www.rocaebooks.comhttp://www.eldiario.es

EL PEQUEO LIBRO ROJO DEL ACTIVISTA EN LA REDMarta PeiranoPrlogo de Edward Snowden

En tiempos de fascismo, todos somos disidentes. Y nuestras trincheras estn en la Red.

Bradley Manning es un soldado raso que no quiso aceptar los crmenes de guerra comodaos colaterales. Julian Assange es un informtico que ha decidido hacer un trabajo alque los grandes peridicos han renunciado. Edward Snowden es un tcnico informticoque, ante la evidencia de un abuso contra los derechos de sus conciudadanos, decididenunciar. Los tres son ciudadanos ordinarios que, enfrentados a circunstanciasextraordinarias, decidieron cumplir con su deber civil. Las consecuencias para ellos nopodran ser ms graves ni ms reveladoras: son vctimas de una campaa internacional dedescrdito personal cuya intencin es convencer a los espectadores de que lo importanteson las apariencias y no los hechos.

En cada oficina hay cientos de personas como ellos. Por sus manos pasan documentossecretos, algunos de los cuales necesitan salir a la luz. El pequeo Libro Rojo del activistaen la Red es un manual para proteger sus comunicaciones, cifrar sus correos, borrar susbsquedas y dispersar las clulas de datos que generan sus tarjetas de red, en el caso deque, al igual que ellos, usted decida arriesgarlo todo por el bien de su comunidad.

ACERCA DE LA AUTORAMarta Peirano escribe sobre cultura, tecnologa, arte digital y software libre para diarios yrevistas. Fue jefa de cultura en el difunto ADN.es y sus blogs La Petite Claudine yElstico.net han recibido mltiples premios y han figurado entre los ms ledos e influyentesde la blogosfera espaola. Ha codirigido los festivales COPYFIGHT sobre modelosalternativos de propiedad intelectual y es la fundadora de la HackHackers Berln yCryptoparty Berln. Ha publicado varios libros: El rival de Prometeo, una antologa editadasobre autmatas e inteligencia artificial; dos ensayos colectivos (Collaborative Futures yOn Turtles & Dragons (& the dangerous quest for a media art notation system), y TheCryptoparty Handbook, un manual para mantener la intimidad y proteger lascomunicaciones en el ciberespacio. Desde septiembre de 2013 dirige la seccin de culturade eldiario.es

ndice

Prlogo

Glenn Greenwald, Edward Snowden y la importancia de saber cifrar

Descuidar la seguridad es poner en peligro a tus fuentes

Por qu software libre

La Red te vigila

Cmo hemos llegado a esto?

Estructuras de Red: quin controla Internet

El manual

Contraseas: buenas, malas y peores

Correos

La PGP

Cmo usar la PGP

Navegar

Redes pblicas

Tor

Mviles

Disco duro

Full Data Detox

Publicar sin ser visto

Una solucin de bolsillo: Tails

Si estamos, como parece, en pleno proceso de convertirnos en una sociedadtotalitaria donde el aparato de Estado es todopoderoso, entonces el cdigo moral

imprescindible para la supervivencia del individuo libre y verdadero ser engaar,mentir, ocultar, aparentar, escapar, falsificar documentos, construir aparatos

electrnicos en tu garaje capaces de superar los gadgets de las autoridades. Si lapantalla de tu televisor te vigila, invierte los cables por la noche, cuando te

permitan tenerlo apagado. Y hazlo de manera que el perro polica que vigilaba latransmisin de tu casa acabe mirando el contenido de su propio saln.

PHILIP K. DICK, The Android and the Human, 1972

The internet is on principle a system that you reveal yourself to in order to fullyenjoy, which differentiates it from, say, a music player. It is a TV that watches you.The majority of people in developed countries spend at least some time interactingwith the Internet, and Governments are abusing that necessity in secret to extend

their powers beyond what is necessary and appropriate.

EDWARD SNOWDEN, 2013

Prlogo

por EDWARD SNOWDEN

Nuestra habilidad para entender el mundo en que vivimos dependefundamentalmente de los intercambios no autorizados y no vigilados entre losperiodistas de investigacin y sus fuentes. La vigilancia persistente del periodismo deinvestigacin debilita las libertades bsicas que proporciona la libertad de prensa,socavando estructuras democrticas elementales.

Sin embargo, los periodistas no son expertos en seguridad. Las escuelas de periodismono ofrecen cursos para aprender a usar herramientas de seguridad diseadas paraproteger la informacin y las comunicaciones. Y, cuando una fuente decide soltar laliebre y exponer el abuso de un gobierno, los periodistas ya no tienen tiempo de ponersea aprender las medidas bsicas de seguridad. La revelacin de los programasindiscriminados de vigilancia de la NSA en Estados Unidos, la GCHQ en Inglaterra yotras agencias de seguridad gubernamentales a lo largo de los ltimos aos nos hademostrado que la privacidad digital no es algo que se pueda dar por hecho,especialmente si eres un periodista de investigacin.

Gracias a los avances de la tecnologa, los sistemas de vigilancia masiva de hoypueden registrar en tiempo real todos los metadatos de todas las comunicaciones que seestn dando en cualquier pas, todo con un coste y un grado de complejidad tanaccesible que est al alcance de literalmente cualquier gobierno del planeta. Esaacumulacin de metadatos puede revelar una red completa de vnculos y asociacioneshumanos, exponiendo cualquier interaccin que pueda ser percibida como una amenazapara el rgimen de poder establecido.

Como consecuencia, la vigilancia masiva representa un arma contra aquellos pocosque deciden convertirse en fuentes de informacin periodstica, porque revela susidentidades, sus estructuras de apoyo y sus lugares de residencia o de refugio. Esinformacin que los gobiernos pueden usar para eliminar el riesgo de futurasrevelaciones por parte de esa fuente. Sus mtodos pueden variar: una citacin judicialen Estados Unidos puede hacer el mismo trabajo que una bala en Quetta o Chechenia.Pero el impacto sobre la fuente y el periodismo de investigacin es el mismo.

Como profesionales, los periodistas tienen la responsabilidad de aplicar las mejores

Como profesionales, los periodistas tienen la responsabilidad de aplicar las mejoresprcticas de seguridad antes de ponerse en contacto con un confidente por primera vez.Dicho de otra manera: nadie espera que un paciente que entra en una consulta mdicale tenga que recordar a su mdico que se cambie los guantes. Un periodista hoy en danecesita poseer un conocimiento funcional de las tcnicas para anonimizar y de lasherramientas de cifrado. Tambin deben aprender a usarlas de manera efectiva.

A la luz de las revelaciones sobre las capacidades de los gobiernos, esta nuevaresponsabilidad puede resultar abrumadora. No basta con que los periodistas sepanestablecer una clave pblica PGP. Un periodista debe entender cmo funcionan lasherramientas de seguridad y cmo no funcionan, y adaptar sus actividades a laslimitaciones de esa tecnologa. Por ejemplo, hay muchas herramientas de seguridaddigital que protegen muy bien un contenido, pero dejan los metadatos al aire. Estosignifica que el cifrado de un correo es tan seguro y efectivo como las palabras queelegimos para poner en el asunto o el nombre que le damos a un adjunto.

El periodista tambin debe conocer a su adversario. Debe saber cmo se interceptanlas llamadas telefnicas, y que una lnea segura tiene que estar protegida a ambos ladosde la comunicacin. Debe valorar las maneras en que la falta de tiempo, el margen deerror y la reduccin de recursos pueden devaluar el plan de seguridad ms sensato y susimplementaciones. Deben tener siempre un plan B y prever circunvalaciones cuando elordenador o el correo de una fuente ha sido comprometido. Deben conocer las tcnicaspara asegurar y corroborar la informacin pblica que han acumulado.

Por este y otros motivos, El pequeo Libro Rojo del activista en la Red es un recursoesencial para asegurar que aquellos que recogen, analizan y transmiten informacin ala sociedad puedan proteger, no solo su trabajo, sino tambin y por encima de todoa sus fuentes.

La democracia depende de la existencia de una prensa valiente y con capacidad pararealizar un periodismo de investigacin, una que mide su xito en su capacidad paraexponer los abusos de la autoridad al gran pblico. Por eso, cada vez que un aparato devigilancia masiva se pueda usar para monitorizar todos los encuentros no autorizadosentre un reportero de investigacin y su fuente, la prensa libre se tambalear. Y sin laprensa libre, todas las instituciones de librepensamiento de la sociedad desaparecern.

EDWARD SNOWDEN

Diciembre 2014

Glenn Greenwald, Edward Snowden y la importancia desaber cifrar

L a historia ya es leyenda: Glenn Greenwald estuvo a punto de perder el mayorbombazo periodstico de las ltimas dcadas solo porque no quiso instalarse la PGP. lmismo la contaba con sana irona cuando, seis meses ms tarde, le invitaron a dar unaconferencia como cabeza de cartel en el congreso del Chaos Computer Club, el mismofestival de hackers donde cinco aos antes se present WikiLeaks. Todo empez cuandoel 1 de diciembre de 2012 Greenwald recibi una nota de un desconocido pidindole suclave pblica para mandarle cierta informacin de suma importancia.

A pesar de tratar con fuentes delicadas y escribir sobre asuntos de seguridad nacional;a pesar de su apasionada defensa de WikiLeaks y de Chelsey (entonces Bradley)Manning, Glenn Greenwald no saba entonces lo que era una clave pblica. No sabacmo instalarla ni cmo usarla y tena dudas de que le hiciera falta, as que, cuandolleg un misterioso desconocido pidiendo que la utilizara, simplemente le ignor. Pocodespus, el desconocido le mand un tutorial sobre cmo encriptar correos. CuandoGreenwald ignor el tutorial, le envi un vdeo de cifrado para dummies.

Cuanto ms cosas me mandaba ms cuesta arriba se me haca todo confesGreenwald ms tarde a la revista Rolling Stone. Ahora tengo que mirar un estpidovdeo? La comunicacin qued atascada en un punto muerto, porque Greenwald notena tiempo de aprender a cifrar correos para hablar con un annimo sin saber lo quele quera contar y su fuente no poda contarle lo que saba sin asegurarse de que nadieescuchaba la conversacin. Lo que hoy parece obvio entonces no lo era, porque ahoratodos sabemos lo que la fuente saba pero Greenwald ignoraba: que todos y cada uno desus movimientos estaban siendo registrados por la Agencia de Seguridad Nacionalnorteamericana. La fuente lo saba porque trabajaba all.

Pero Greenwald reciba correos similares cada da. A medio camino entre elperiodismo y el activismo, gracias a su trabajo en la revista Salon, su cuenta en Twittery su columna en The Guardian, el periodista se haba convertido en la bestia negra delabuso corporativo y gubernamental y su carpeta de correo estaba llena de annimosprometiendo la noticia del siglo que luego quedaban en nada. Despus de un mes, la

fuente se dio por vencida. Seis meses ms tarde, Greenwald recibi la llamada dealguien que s saba lo que era la PGP: la documentalista Laura Poitras.

Poitras no solo saba encriptar correos; se haba pasado los dos ltimos aostrabajando en un documental sobre la vigilancia y el anonimato. Haba entrevistado aJulian Assange, a Jacob Appelbaum y a otros. No era un tema al que estabanaturalmente predispuesta, sino al que se vio empujada desde que la pararon porprimera vez en el aeropuerto internacional de Newark, cuando la cineasta iba a Israel apresentar su ltimo proyecto, My Country, My Country.

Se trataba de un documental sobre la vida del doctor Riyadh al-Adhadh y su familiaen la Bagdad ocupada. Poitras haba convivido con ellos mientras filmaba la pelcula yun da estaba en el tejado de su casa con la cmara cuando tuvo lugar un ataque de laguerrilla local en el que muri un soldado norteamericano. Que Poitras estuviera porcasualidad en el tejado y lo grabara todo gener rumores entre las tropas. Los soldadosla acusaron de estar al tanto de la insurreccin y de no haberles avisado para asasegurarse material dramtico para su documental. Aunque nunca fue acusadaformalmente, y nunca hubo pruebas, sus billetes fueron marcados como SSSS(Secondary Security Screening Selection). Poitras ya no pudo coger un avin sin serinterrogada y sus pertenencias registradas.

Despus de los ataques a las Torres Gemelas, el gobierno norteamericano empez unalista negra de posibles terroristas que ha llegado a tener un milln de nombres. Unagente en el aeropuerto de Viena le explic a Poitras que su pasaporte haba sidomarcado con la alerta mxima (400 en la escala Richter, le dijo) y que en ningnaeropuerto del mundo la dejaran volar sin antes registrarla. En su entrevista con elTimes, Poitras dice que ya no recuerda cuntas veces la detuvieron en los siguientes seisaos pero que fueron ms de cuarenta. En muchos casos, los agentes del aeropuertoexigieron acceso a sus cuadernos y ordenadores para poder copiar su contenido y, en almenos una ocasin, requisaron todo su equipo durante varias semanas. Un da se leocurri que, si estaba en la lista negra y la paraban cada vez que viajaba, lo msprobable era que su correo y su historial de navegacin tambin estuvierancomprometidos.

Supongo que hay cartas de seguridad nacional en todos mis correos, dice Poitras enla misma entrevista. La carta de seguridad nacional (National Security Letter o NSL)es una orden de registro que reciben los proveedores de servicios las compaastelefnicas o los servidores de red para que faciliten los datos de un usuario. Todas las

comunicaciones electrnicas son susceptibles de recibir una sin que sea necesaria laintervencin de un juez, y la proveedora tiene prohibido advertir el registro a su cliente.En 2011, Laura Poitras empez a trabajar en su documental sobre la vigilanciagubernamental y, en el proceso, aprendi a proteger sus comunicaciones.

Empez a dejar el mvil en casa, un dispositivo que no solo registra lasconversaciones sino que funciona como localizador, incluso cuando todos los sistemas delocalizacin y hasta el propio telfono han sido desactivados. Dej de tratar asuntosdelicados por correo y empez a usar un anonimizador para navegar por la Red.Aprendi a encriptar sus e-mails con una llave de clave pblica. Empez a usardiferentes ordenadores: uno para editar sus documentales, otro para mandar correos yun tercero sin tarjeta de red para almacenar material sensible. Por eso, cuando unannimo le escribi para pedir su clave pblica, Poitras se la dio inmediatamente. Unavez convencida de la seriedad de su contacto y la legitimidad de sus documentos, Poitrasse puso en contacto con Greenwald, al que haba entrevistado para su documental y, acambio, haba escrito sobre ella en Salon (U.S. Filmmaker Repeatedly Detained atBorder, abril 2012). En junio de 2013 volaron juntos a Hong Kong para encontrarsecon Edward Snowden y destapar el mayor caso de espionaje masivo de la historia.

Todos los periodistas a los que les cuento esta historia se ren, pero es raro encontrara uno que tenga software diseado para proteger sus comunicaciones en su ordenador.Me sorprendi darme cuenta de que haba gente en los medios que no saba que todocorreo enviado sin cifrar a travs de la red acaba en todas las agencias de inteligenciadel planeta dijo Snowden en una entrevista cuando se public esta historia. A lavista de las revelaciones de este ao, debera estar ya suficientemente claro que elintercambio no cifrado de informacin entre fuentes y periodistas es un descuidoimperdonable. Snowden es un experto en seguridad informtica cuyo acceso a losnumerosos programas de vigilancia total desarrollados por y para la National SecurityAgency (NSA, Agencia de Seguridad Nacional) fundamentaron su puntillosidad. Graciasa su cuidadosa estrategia ha sido capaz de controlar las circunstancias de susextraordinarias revelaciones y escapar de Estados Unidos antes de ser encarcelado,como Bradley Manning. Si no hubiera sido tan paranoico, le habra pasado lo mismoque a las fuentes del cineasta Sean McAllister en el pas ms peligroso del mundo paraperiodistas y disidentes: Siria.

Descuidar la seguridad es poner en peligro a tus fuentes

S ean McAllister es, segn Michael Moore, uno de los cineastas ms valientes yemocionantes del planeta. Sus documentales sobre la vida en zonas de conflicto comoYemen o Iraq han recibido mltiples premios y el reconocimiento de la prensainternacional. Se dira que su experiencia le ha enseado a trabajar con extremaprecaucin (Es una ruleta ir por Siria filmando de encubierto dijo en una entrevista. Antes o despus te pillan.). Ese otoo de 2011 haba viajado a Damasco para rodarun documental sobre la disidencia contra el rgimen de Bashar al-Assad. Subvencionadopor la cadena britnica Channel 4, McAllister le pidi ayuda a Kardokh, uncyberdisidente de 25 aos que procuraba herramientas de comunicacin segura a laresistencia.

Kardokh (un pseudnimo) haba logrado hackear el sistema de vigilancia electrnicoque usaba el gobierno sirio para controlar las comunicaciones de sus ciudadanos, y hastahaba conseguido convencer a la empresa italiana propietaria de dicho sistema de quecancelase su contrato con el gobierno sirio. Adems, haba creado junto con otrosinformticos una pgina web llamada Centro de Documentacin de la Violencia dondepublicaban los nombres de los desaparecidos del rgimen. Tena buenas razones paramantenerse en el anonimato, pero no quiso perder la oportunidad de denunciar larepresin criminal a la que estaban sometidos. Cualquier periodista que hiciera elesfuerzo de contarle al mundo lo que nos estaba pasando era importante para nosotros,dijo en una entrevista. Por eso dej que McAllister le entrevistara en cmara, bajo lapromesa de que su rostro saldra pixelado y su voz sera modificada en la sala deedicin.

El cineasta quera conocer a ms miembros de la resistencia, pero Kardokh estabapreocupado por su despreocupacin. l y sus amigos encriptaban sus correos y tomabanmedidas de todo tipo para mantener el anonimato en la Red; por el contrario,McAllister usaba su telfono y mandaba SMS sin ninguna proteccin. Poco despus, elbritnico fue arrestado por los agentes de seguridad del rgimen y todo su material fuerequisado, incluyendo su ordenador, su mvil y la cmara con las entrevistas a caradescubierta que haba rodado.

Cuando se enter, Kardokh tir su telfono y huy al Lbano (dice que su pasaje le

Cuando se enter, Kardokh tir su telfono y huy al Lbano (dice que su pasaje lecost 1.000 dlares, 235 por el billete y 765 por borrar su nombre de la lista negra).Otro activista llamado Omar al-Baroudi tuvo menos suerte. Su cara estaba en esosvdeos.Y dijo que su nmero estaba en la agenda de Sean, explica un compaero.Cuando la operacin se hizo pblica, Channel 4 asegur que el cineasta haba tomadotodas las precauciones posibles: Es un cineasta experimentado y tom medidas paraproteger el material dijo una portavoz de Channel 4. Siria es un contextoextremadamente difcil para trabajar y por eso seguimos buscando maneras deminimizar el riesgo de contar esta importante historia.

Me alegro de no haberle puesto en contacto con ms gente, declar Kardokh.Muchos han culpado a McAllister por no tomar precauciones, pero pocos habran

actuado de manera diferente de haber estado en su lugar. La falta de recursos esintrnseca al medio: cuntos peridicos invitan a sus empleados a talleres de seguridadinformtica?, qu facultades incluyen clases de cyberseguridad y proteccin de lascomunicaciones?, cuntas cabeceras tienen a expertos en seguridad en plantilla parainstalar software de seguridad en los equipos o asesorar a los corresponsales en apuros?Como recordaba el experto Christopher Soghoian en un editorial en The New York Times(When Secrets Arent Safe With Journalists, 24 de enero de 2012), hasta el director delNYT discuti durante meses los detalles de los documentos que les haba entregadoJulian Assange, de WikiLeaks, en largas conversaciones telefnicas completamentedesprotegidas. Las universidades incluyen programas para manejar comentarios ytitular para Twitter, pero no nos ensean a jugar a espas. La profesin mantieneprioridades que no reflejan el verdadero estado de cosas. Hasta las organizaciones msobsesionadas con el periodismo de investigacin invierten ms recursos en diseadoresweb y en litigios que en expertos criptogrficos.

Tanto es as que ni siquiera los portales creados por las grandes cabeceras paracompetir con WikiLeaks consiguen pasar el examen. Tanto la Safehouse de The WallStreet Journal como la Unidad de Transparencia de Al Jazeera fueron denunciadas porprometer una anonimidad falsa, exponiendo a las fuentes de manera innecesaria. Elanalista de seguridad y colaborador de WikiLeaks Jacob Appelbaum tard menos deveinticuatro horas en encontrar un alarmante nmero de agujeros en su sistema. Y laElectronic Frontier Foundation seal que sus Trminos y condiciones de uso incluan elderecho de las cabeceras a revelar la identidad de su fuente si as se lo pedan terceraspartes o agentes de la ley.

Ms an: quien suba documentos al sistema SafeHouse firmaba un documento en elque aseguraba no infringir ninguna ley o los derechos de otra persona, que tena elderecho legal, poder y autoridad sobre esos documentos y que el material nointerfera en la privacidad de o constitua un perjuicio para ninguna persona oentidad. En cualquiera de estos tres casos, tanto las denuncias de WikiLeaks como losvdeos de Bradley Manning o los documentos de Edward Snowden hubiesen quedadofuera de juego. Peor todava: el peridico se reservaba el derecho a utilizar el materialde la fuente sin responsabilizarse de su proteccin, acabando con uno de los principiosms fundamentales del periodismo. Y para rematar la faena, el sistema plantaba unacookie en tu ordenador. Es difcil valorar si es una cuestin de astucia o estupidez; entodo caso no olvidemos que la ms peligrosa de las dos es la segunda.

En ese sentido, los grandes medios se han distanciado del principio que sostieneWikiLeaks, donde la comunicacin est diseada para ser completamente opaca, inclusopara el propio administrador. El sistema asegura por defecto que todas lascomunicaciones estn protegidas; los documentos que viajan por el mismo estnfuertemente cifrados y los servidores que los guardan permanecen escondidos en unlaberinto de espejos llamado Tor. Si aceptamos los documentos de manera annima explicaba Assange en un documental, en lugar de guardar su identidad en secreto,simplemente no la sabemos. El detalle es importante: Assange y los suyos no tienenque preocuparse por que el gobierno norteamericano, o cualquier otro, produzca unaorden judicial que les obligue a revelar la identidad o procedencia de sus fuentes porqueellos mismos no las saben.

En el libro Cypherpunks, de Julian Assange, Jacob Appelbaum, Andy Muller-Maguhn yJrmie Zimmermann, Appelbaum dice:

Si construyes un sistema que almacena datos sobre una persona y sabes que vives en un pas con leyes que permitenal gobierno acceder a esa informacin, quiz no deberas construir ese tipo de sistema. Y esta es la diferencia entre laprivacidad-pordecreto y la privacidad-por-diseo. () Si Facebook pusiera sus servidores en la Libia de Gadafi o la Siriade al-Assad nos parecera una negligencia absoluta. Y sin embargo, ninguna de las Cartas de Seguridad Nacional que sevieron el ao pasado o el anterior tenan que ver con el terrorismo. Unas 250.000 fueron usadas para todo menos paraterrorismo. Sabiendo eso, estas compaas tienen un serio problema tico en el momento en que estn construyendo esetipo de sistemas y han tomado la decisin econmica de vender a sus usuarios al mejor postor. No es un problematcnico: no tiene nada que ver con la tecnologa, solo con la economa. Han decidido que es ms importante colaborarcon el Estado, vender a sus usuarios, violar su intimidad y ser parte de un sistema de control cobrar por ser parte deuna cultura de la vigilancia, la cultura del control en lugar de resistirse a l. As que son parte del problema. Soncmplices y responsables.

Adems de Greenwald, Edward Snowden se puso en contacto con un periodista de

Adems de Greenwald, Edward Snowden se puso en contacto con un periodista deThe Washington Post llamado Barton Gellman. Fue este peridico el que tuvo la exclusivade Prism, un programa de la NSA mediante el cual las grandes empresas de Internethaban dado acceso a sus servidores a la misma NSA y al FBI, incluyendo audio, vdeo,bsquedas, correos, fotos, mensajes y archivos. Entre los documentos publicados por elPost y el Guardian hay un powerpoint que explica los detalles del programa junto conuna lista de las empresas que colaboraron con la Agencia: Microsoft (la primera vez, enseptiembre de 2007), Yahoo (2008), Google y Facebook (2009) y Apple (2012). Esemismo da se revel tambin que Verizon y otras compaas telefnicas entregabanalegremente los registros de todas las conversaciones telefnicas al gobiernonorteamericano.

Irnicamente, el gobierno quiso proteger la identidad de sus fuentes y presion al Postpara que los nombres de las compaas fueran borrados del informe. Cuando finalmenteel documento sali sin censurar, el presidente Obama habl pero no para negar loshechos ni disculparse, sino para condenar el soplo y decir que l y los suyos podan estartranquilos: Con respecto a Internet y los correos, esto no se aplica a los ciudadanosestadounidenses ni a las personas que viven en los Estados Unidos. Aun en el caso deque eso fuera cierto y sabemos que no lo es, sera un consuelo muy pequeo: el 80por ciento de esos usuarios estn fuera de Estados Unidos.

Estas son las empresas de las que habla Appelbaum, cuyos servidores estn sometidosa leyes que no respetan la privacidad de los usuarios. Aunque la mayor parte de estasempresas aceptaron el escrutinio y la recoleccin de las Agencias de inteligencia, daraigual que se hubiesen negado heroicamente. De hecho, Yahoo hizo un conato deresistencia que perdi en los tribunales en agosto de 2008, su fecha de incorporacin,segn el famoso documento que public el Post. La nica manera de proteger los datosde los usuarios es no tenerlos. Lamentablemente, estas son empresas cuyo modeloeconmico depende de esos datos.

Por qu software libre

L a lucha por la libertad tiene efectos secundarios: Jacob Appelbaum est en la lista deterroristas internacionales, Julian Assange est atrapado en la embajada de Ecuador enLondres, Edward Snowden vive exiliado en Rusia hasta nueva orden y Bradley Manningpasar los prximos 35 aos de su vida como un traidor encerrado en una prisinmilitar. Los tres primeros prefirieron trabajar por el bien comn que colaborar con lacadena de abusos a cara descubierta; Manning se confes con alguien que traicion suconfianza y lo denunci a la NSA: el hacker y analista de sistemas Adrian Lamo.

Es interesante recordar que, aunque sus perfiles no podran ser ms diferentes, todosson analistas de sistemas y ninguno de ellos ha sido atrapado por culpa de latecnologa. Tampoco es casual que todos sean usuarios de Linux. Cuando nuestra vida ynuestra libertad dependen de un software, Linux es la nica opcin posible.

Hay quien piensa que la insistencia en el software libre es cosa de fanticos o deelitistas. Desde la explosin de noticias sobre los abusos persistentes a nuestra intimidadpor parte de empresas y gobiernos, muchas compaas de software han orientado susesfuerzos a desarrollar aplicaciones y protocolos para proteger las comunicaciones. Si secomprometen a implementar el anonimato del usuario y a no recopilar datos, siaseguran haber patentado una manera de cifrar las conversaciones telefnicas, sipresentan una alternativa a WhatsApp, por qu no usarlas? La respuesta es simple:porque aunque lo que prometen sea cierto, aunque sean la mejor aplicacin del mundomundial, no podemos saberlo.

Imaginemos una empresa que asegura producir verduras orgnicas completamentelibres de pesticidas, no modificadas genticamente, que se cultivan siguiendo las pautasnaturales de la madre naturaleza y con extremo respeto al medio ambiente y a la saludde sus consumidores. Imaginemos que el presidente de dicha empresa es unemprendedor que cree firmemente en la necesidad de cambiar nuestros mtodos deproduccin agrcola y nuestros hbitos de consumo. Su coche es elctrico, su casafunciona con paneles solares, su web est llena de fotos de bellos prados llenos deovejas felices pastando al sol y campos de trigo y manantiales. Su discurso es razonable,su producto parece excepcional. Pero, cuando vamos a visitar su maravillosa finca,

encontramos sus tierras rodeadas por varias capas de alambre de pas y un muro dondepone No pasar.

Tcnicamente es su finca, y probablemente tiene buenas razones para protegerla. Yes posible que al otro lado del muro est todo lo que dice nuestro emprendedorimaginario. El problema es que no podemos saberlo. Si fuera como dice y tuviramosacceso a la finca, probablemente encontraramos cosas que no funcionan bien, pero almenos tendramos la oportunidad de valorar los compromisos que estamos dispuestos ahacer y sealar los errores que se deben corregir para contribuir a sus mejoras. Nadiedice que el software libre sea perfecto, pero al menos podemos saber hasta qu punto noes perfecto y ayudar a que lo sea.

Ahora el ejemplo contrario. Cryptocat es una aplicacin de software libre que sirvepara cifrar conversaciones por chat. El verano pasado le pas lo peor que le puedepasar a un proyecto de sus caractersticas: el experto en seguridad Steve Thomasdescubri un agujero en el sistema y lo public. Al parecer, las llaves criptogrficasgeneradas por la aplicacin podan ser descifradas con un ataque llamado Meet-in-the-middle (no confundir con el ms popular Man-in-the-Middle), que reducesignificativamente el nmero de intentos que debe hacer un ordenador para adivinaruna clave usando la fuerza bruta.

Adems de sealar el fallo y demostrarlo, Thomas cre una aplicacin, un softwarellamado DecryptoCat, que explotaba automticamente esta vulnerabilidad y era capazde descifrar un chat en dos horas desde cualquier ordenador. Todas las conversacionesque hayan tenido lugar durante los siete meses entre la versin 2.0 y la actualizacin2.1 han sido comprometidas, admiti el programador en su pgina.

El error de Cryptocat era que, aunque utilizaba tres capas de cifrado convencionalesRSA, Diffie-Hellman y ECC lo haca generando claves demasiado pequeas, y encriptografa el tamao es clave. Cryptocat tiene una misin, y es ofrecer comunicacinsegura o, lo que es lo mismo, encriptar datos explicaba el experto en seguridad AdamCaudill. La parte ms importante de cualquier sistema criptogrfico es la generacinde claves; si esto te sale mal, todo lo dems no importa.

Hay quien ve aqu la prueba de que las aplicaciones de software libre no son dignasde confianza. En realidad es la demostracin perfecta de lo contrario. Gracias a queCryptocat es un programa de cdigo abierto, Steve Thomas y cualquier otro experto enseguridad informtica, programador o aficionado puede mirar cmo funciona e ingeniar

maneras de franquearlo. Gracias a que se han establecido los canales apropiados, lasvulnerabilidades son denunciadas y el cdigo puede ser actualizado.

Cada vez que ha habido un problema de seguridad con Cryptocat hemos sidocompletamente transparentes, absolutamente responsables y hemos corregido nuestroserrores declar el programador. Fallaremos docenas de veces, si no centenares enlos prximos aos. Os pedimos que continuis vigilantes y que seis cuidadosos. As escomo funciona la seguridad de cdigo abierto.

Es un modelo de evolucin completamente darwinista: cada vez que alguien descubreun agujero nuevo, su programador actualiza el software para proteger su programa denuevos ataques, hacindolo cada vez ms seguro. O pierde su mercado en favor de unaaplicacin mejor.

La Red te vigila

N avegar es una actividad promiscua. Cada vez que introduces una direccin en elnavegador, pinchas en un enlace o buscas una palabra en Google, tu navegadorintercambia fluidos digitales con otros ordenadores desconocidos, una jungla deservidores y proveedores de servicios que pueden estar en cualquier parte del mundo yque obedecen a otra legislacin.

Son peajes en el universo de la Red, donde dejamos parte de nosotros mismos. Encada uno de ellos revelamos por defecto la composicin de nuestro equipo informtico,el nombre y versin de nuestro sistema operativo, el nombre y versin del navegador ynuestra localizacin geogrfica, gracias a nuestra direccin IP. Esto pasa docenas deveces con un solo enlace, sin que nosotros tengamos que hacer nada y sin saber quinest escuchando. Y hay mucha gente escuchando. Despus de un ao de visitas, laincansable maquinaria de registrar metadata ha acumulado miles de pginas sobrenosotros en un archivo que incluye nuestro nombre, direccin, estado civil, financiero yemocional; compras, viajes, amigos, inclinaciones polticas y predicciones acerca denuestras vidas basadas en todo lo anterior. Esto, sin que nadie nos vigileespecialmente.

La mayor parte de los datos que se registran son de tipo comercial y funcionancruzando inmensas bases de datos para saber cosas de ti que ni t mismo sabes. Target,por ejemplo, es capaz de determinar si una adolescente est embarazada antes de que losepa ella misma solo mirando lo que compra. Las recin embarazadas compranminiaturas, cosas de plstico y ropa en colores pastel. Si estn de tres meses compranlocin sin perfume y suplementos de calcio, magnesio y zinc. Si estn de ms de seismeses compran bolas de algodn extragrandes y una cantidad anormal de toallitassanitarias y desinfectantes en gel. Pero mucho ms especfico: Si Jenny Ward, que tiene23 aos y vive en Atlanta explicaba Charles Duhigg en su famoso artculo en The NewYork Times compra un frasco hidratante de manteca de coco, un bolso losuficientemente grande para que quepa un paal, suplementos de zinc y magnesio y unaalfombra de color azul pastel, hay un 87 por ciento de probabilidades de que estembarazada y d a luz a finales de agosto.

Es verdad que mucha gente compra crema hidratante sin perfume y que, contra lo

Es verdad que mucha gente compra crema hidratante sin perfume y que, contra loque pudiera pensarse, hay personas que prefieren los colores pastel sin que su juicio estfuertemente condicionado por una explosin de hormonas. Pero no es la preferencia porcada uno de esos productos por separado sino una combinacin especfica de todos elloslo que nos indica con exactitud la situacin de un cliente para poder mandarle cuponesque se anticipan a su siguiente necesidad. Y no merece la pena discutir la validez deestas reglas, porque no son las conclusiones de un socilogo o de un psiclogo sino lasde un programador. Por primera vez en la historia somos capaces de cruzar cantidadesabsurdas de detalles insignificantes para sacar conclusiones estadsticas sobre elcomportamiento humano. Bienvenidos a la era del Big Data.

Parece una conspiracin, pero en este caso es solo capitalismo aplicado a la EraDigital. Hace unos aos, la mayor base de datos personales del mundo no la tena la CIAni el FBI sino Wallmart, gracias a un ingenioso sistema por el cual los clientesrenunciaban a su privacidad a cambio de un minsculo descuento en sus compras alfinal de mes: la tarjeta de puntos. Hoy las entraas de la Red esconden una mquinadespersonalizada y sistemtica que registra, procesa, filtra y analiza todos nuestrosmovimientos con la misma sencilla intencin de vendernos cosas. Los Data Centers deAmazon, Facebook, Twitter o Google no son grandes solo porque guardan todosnuestros correos, ni son ricos solo por vender publicidad.

Si estas cosas pasaran a pie de calle, nos pareceran un ataque ultrajante a nuestraintimidad, pero la mayor parte del tiempo no lo vemos as porque el sistema nos hacecreer que su trabajo es hacernos felices. A cambio de nuestra intimidad, la mquinarecompone el mundo a la medida de nuestras compras, preferencias, pagos, amigos yrecomendaciones. Gracias a nuestra indiscrecin, Amazon solo nos ofrece libros que nosgustan, Spotify pincha nuestros grupos favoritos y Facebook sabe quin cumple aosesta semana para que compremos el regalo con tiempo y reservemos mesa en elrestaurante adecuado. La Red se ha convertido en la ms eficiente de las secretariasporque sabe quines somos mejor que nosotros mismos, pero no trabaja para nosotros.Nosotros somos la carne que est siendo masticada por un mercado tentacular que noest sujeto a una regulacin efectiva.

Anlisis de Conducta, Anlisis de Redes Sociales, Sentiment Analysis, Minera dedatos, Escucha activa, Big Data... los nombres no son neutros ni descriptivos, sino todolo contrario. Cada vez que escribimos algo en un buscador, creamos un usuario en unared social o mandamos un correo por Gmail, aceptamos que la empresa responsable

vender nuestros datos a terceros para hacer cosas con ellos que no sabemos ni nosimaginamos, sin necesidad de autorizacin, a menudo en lugares donde la ley no nosprotege. Nuestros datos cambian de manos a gran velocidad, casi siempre por dinero, aveces por descuido y, en el peor de los casos, por la fuerza. Porque nuestra secretaria eseficiente pero no siempre discreta y hay un nmero creciente de criminales que seinteresan por nuestros nmeros de tarjeta, transacciones bancarias y cartillas mdicas.

Todo esto es capitalismo, pero ahora sabemos que tambin hay conspiracin. Desdelos atentados del 11 de septiembre de 2001, gobiernos propios y ajenos pinchannuestros telfonos, leen nuestros correos y registran nuestras vidas de manerasistemtica con intenciones que no son estadsticas ni comerciales. Las nuevas leyes deretencin de datos, cuya responsabilidad fue protegernos de la invasin de las empresas,obligan hoy a los proveedores de servicios Internet, telefona, transportes amantener un diario con las actividades de todos sus usuarios en tiempo real, a veceshasta siete aos, para ponerlo a disposicin de las autoridades si as lo requieren.

Ms an, la seccin 215 de la Patriot Act americana prohbe a cualquier empresa uorganizacin revelar que ha cedido datos sobre sus clientes al gobierno federal. Esosignifica que si el gobierno de Estados Unidos quiere leer tu historial desde tus cartasde amor a tus chats con disidentes, las grandes empresas que lo guardan Google,Facebook o Twitter estn obligadas a facilitar los datos sin poder advertir al usuariode que el registro ha tenido lugar. Ni siquiera pueden poner un papelito que diga que tuspertenencias han sido registradas, como hacen en los aeropuertos con las maletas quefacturas.

Cmo hemos llegado a esto?

Los lmites del poder son los que impone la tecnologa, y el espionaje de masas es tanviejo como la comunicacin de masas. Ya en la dcada de 1970 se descubri que la NSA(entonces AFSA o Armed Forces Security Agency) y la CIA haban estado espiando a losciudadanos norteamericanos desde agosto de 1945, con la generosa colaboracin de lastres principales compaas de telgrafos del pas: Western Union, RCA e ITT.

La NSA operaba sin orden de registro y sin que existiera informacin previa quejustificara la vigilancia. En su momento de mayor actividad, el PROYECTO SHAMROCK(as se llam), era capaz de recoger, imprimir y analizar hasta 150.000 mensajes al mes.Cuando el comit del Senado cerr la operacin en 1975, la NSA tena guardadainformacin de ms de 75.000 ciudadanos; a esto se lo llam el mayor programa deinterpretacin del gobierno americano sobre los americanos jams realizado. Hoy elcentro que ha construido la NSA en Utah tendr capacidad para recoger, procesar yalmacenar todo tipo de comunicaciones, incluyendo el contenido de correos privados,llamadas telefnicas y bsquedas en Internet, as como toda clase de huellas digitales:recibos del prking, itinerarios de viaje, compras de libros y otra calderilla digital.

Adems de la NSA, la CIA tena sus propios programas de espionaje domstico. Lanotable Operacin Chaos estaba destinada a vigilar y desacreditar a los lderes delmovimiento estudiantil y alimentar la batalla contra Fidel Castro. El proyectoCointelpro (un acrnimo mal resuelto de Counter Intelligence Program) tambin eraparte de un programa para vigilar y desacreditar organizaciones y lderes demovimientos polticos, de los Panteras Negras a Mujeres por la Paz, incluyendomiembros del Senado y cualquier figura que rechazara pblicamente la Guerra deVietnam, sin olvidar al doctor Martin Luther King. Los programas empezaron conLyndon B. Johnson y fueron heredados por Richard Nixon, que perdi la presidenciaprecisamente por un escndalo de espionaje. Cuando estall el Watergate, el entoncesdirector de la NSA, Lew Allen, archiv los proyectos. Pero no cerr el chiringuito, porqueun pas como Estados Unidos no puede vivir sin sus agencias de inteligencia. Paracontrolarlas, el mismo comit del Senado que haba ordenado la desaparicin de los

programas de espionaje domstico se invent un freno de mano legislativo al que llamla Foreign Intelligence Surveillance Act (FISA). Su trabajo era vigilar a las agencias deinteligencia para que no volvieran a las andadas, y eran responsables de producir odenegar rdenes de registro y asegurarse de que no se mancillaban los derechosconstitucionales de los ciudadanos.

El otro freno de mano fue la famosa Directiva 18, el manual de procedimientointerno donde se regula el uso de las seales de inteligencia (sigint), que es comollamaron a la captura accidental de seales ciudadanas sin previa orden de registro.Ha sido precisamente esta directiva, y su interpretacin por parte de FISA, lo que hahecho posible por ejemplo que la NSA capture accidentalmente todas las llamadastelefnicas que han hecho los ciudadanos norteamericanos desde 2006, lea sus correos oponga escuchas en los servidores de Google, Facebook o Yahoo.

En treinta aos, los dos frenos de mano que impuso el Congreso para protegerse delos abusos de su propia agencia de seguridad se han transformado en embrague yacelerador. Peor an es que dichas operaciones han tenido el apoyo de todos los poderespolticos; George W. Bush lo puso en marcha, Obama lo mantuvo y quince jueces deFISA lo han declarado constitucional.

Hay quien se pregunta por qu nos importa tanto lo que pasa en Estados Unidos. Lapregunta es legtima pero ingenua. El escndalo no es que la NSA haya espiado sino queha espiado a ciudadanos norteamericanos. Espiar a ciudadanos de otros pases esperfectamente legtimo bajo la legislacin norteamericana, incluso si esos extranjerosson la canciller alemana Angela Merkel o el primer ministro israel Ehud Olmert.

La mayora piensa que, si no tiene nada que ocultar, no tiene nada que temer. Es unamentira que por mucho que se repita no deja de serlo. Para empezar, sabemos que lasAgencias de inteligencia de Estados Unidos y del Reino Unido nos espan, pero nosabemos lo que estn haciendo las de Corea, Venezuela, Bielorrusia o Brasil. La Red noestaba diseada para convertirse en el circo de miles de pistas en el que se ha convertidoy las empresas que la han rediseado no han invertido en infraestructura para protegera los usuarios, porque hasta hace poco nadie se lo haba pedido. Internet se ha llenadode sofisticados software espa que son usados por cientos de miles de adolescentesaburridos en sus dormitorios, solo porque estn a mano. Por cada informe escandalosoque se publica sobre los programas de la NSA hay cientos, probablemente miles de

organizaciones desconocidas y peligrosas acumulando e intercambiando datos.Deberamos protegernos porque la Red se ha convertido en un lugar peligroso, pero nosseguimos comportando como si fuera Tiffanys, el lugar donde no te puede pasar nadamalo.

Pero aunque no lo fuera, deberamos protegernos. La ley que protege nuestro derechoa hacerlo ha costado muchas guerras y muchas vidas. No siempre es conveniente vivir acara descubierta. Gracias a WikiLeaks sabemos que Gadafi contrat servicios deempresas europeas para espiar a sus propios ciudadanos y neutralizar a los disidentesantes de que salieran a la calle, y que no es el nico. En nuestro pas se proponenreformas del Cdigo Penal donde se plantea encarcelar a ciudadanos por apoyar unamanifestacin en Twitter. Cuando nuestros representantes no pelean por defendernuestros derechos sino contra nuestro derecho a ejercerlos, la nica respuesta es ladesobediencia. Puede que no tengamos nada que ocultar, pero s tenemos mucho quetemer. En una sociedad ultravigilada, todo el mundo es antisistema.

Estructuras de Red: quin controla Internet

L awrence Lessig dice que tres cosas regulan la red: los mercados, la ley y el cdigo. Lasherramientas usadas para la circunvalacin de comunicaciones no son necesariamentelas mismas que protegen la identidad de sus protagonistas. Cuando un intercambio deinformacin delicada tiene lugar entre dos partes, no basta con que el contenido estencriptado; tambin es esencial proteger la ruta de transmisin. Las infraestructuras deRed no son libres, estn en manos de compaas y agencias gubernamentales que tienenacceso directo a los canales de transmisin de datos.

La informacin querr ser libre pero su capacidad de movimiento es realmente muylimitada. Esto es porque, como explicaba Neal Stephenson en su formidable ensayoMother Earth Mother Board (Wired, 1996), la informacin solo tiene tres maneras demoverse: en brazos (libros, disco duro, vecinas), por ondas de radio (satlites, antenas)y por cable electrificado. Gracias a la popularidad del wifi, la mayor parte de losusuarios de la Red piensan que Internet es algo que flota libremente en el aire, como eloxgeno, un recurso natural. Pero ese complejo entramado de telecomunicaciones quellamamos Internet es un consorcio de ms de 40.000 redes enlazadas a travs deantenas, satlites, grandes centros de procesamiento de datos y, sobre todo, dos millonesy medio de kilmetros de fibra ptica, que no son estructuras pblicas ni funcionan deacuerdo con la regulacin de los pases a los que sirve, incluyendo las leyes deproteccin de datos.

En EE.UU., el 95% de las comunicaciones viene por cable. Como se puede ver en laweb submarinecablemap.com, las autopistas de la informacin tienen todava menosdueos que los grandes tubos de petrleo que nos proporcionan agua caliente ycalefaccin. Son infraestructuras fuertemente centralizadas, cuyo valor geopoltico escada da mayor la mano que sujeta el cable es la mano que domina el mundo. Y, apesar de esto, son estructuras frgiles, como qued patente el da que la guardia costeraegipcia descubri a tres buceadores cortando cables cerca de la costa de Alejandra enmarzo de 2013.

La red de autopistas submarinas que conecta artificialmente lo que ha separado elmar tiene doscientos cables que tienden a uno y otro lado de los continentes,concentrndose necesariamente en puntos estratgicos. Egipto es uno de esos puntos y

la lnea atacada (SEA-ME-WE 4) es uno de los cuatro cables que conectan Europa,Oriente Medio y el continente asitico. Evidentemente, este cordn umbilical es deextrema importancia para todos los pases implicados y los saboteadores no eranaficionados, ni gamberros ni acababan de llegar. Antes de ser capturados, ya habancausado graves daos en otros nodos importantes (I-ME-WE, TE-North, EIG y SEA-ME-WE-3), ralentizando las comunicaciones en Pakistn hasta un 60% y las globales un30%. Curiosamente, nadie les estaba buscando; la patrulla que les descubri lo hizo porcasualidad. No hay nadie vigilando las arterias de la Informacin.

Lo cierto es que los cables submarinos llevan una existencia llena de callados peligrosen la oscuridad del suelo ocenico. Cuando no hay desastres naturales, la infraestructurasufre accidentes constantes con anclas de buques, submarinos, barcos de pesca, maraasde redes abandonadas llenas de basura. Cuando las redes se ralentizan, se asume que hahabido un problema y que la teleco correspondiente ir a solucionarlo. Ha habido unfallo en la lnea submarina de cable a Pakistn a travs de Alejandra, Egipto declarWateen Telecom. El cable de fibra ptica ha sido daado por motivos desconocidos.

El sabotaje coincidi adems con el famoso ataque a Spamhaus, cuyo responsable fuedetenido hace unas semanas en Barcelona. Los expertos dijeron entonces que elbombardeo de 300.000 millones de bits por segundo que haban sufrido los servidores dela compaa suiza podra haber congestionado la Red a nivel global. Pero lo msprobable es que fuera el cable daado, cuyo mal funcionamiento no solo limita el trficode la zona sino que sobrecarga el de las dems, generando una situacin de colapsointernacional.

Pero no siempre se trata de un ataque. En 2007, un barco pirata rob unos trozos decable en la costa de Vietnam pensando que contenan cobre (los piratas son gente muyanticuada). El 28 de marzo de 2013, una campesina de 75 aos natural de Georgia deja tres millones de armenios desconectados del resto del planeta durante la friolera dedoce horas. Cuando le preguntaron por qu lo haba hecho, la pobre anciana explic queandaba cortando lea para su chimenea y que se llev el cable con la hoz sin darsecuenta. Ni siquiera saba lo que era Internet.

El bonito mapa de TeleGeography (telegeography.com) muestra nuestrascomunicaciones intercontinentales combinando cartografa victoriana con lasestructuras de los mapas de metro y ferrocarril. Est lleno de datos interesantes, comoquin consume ms ancho de banda (EE.UU.), un histrico de la capacidad y consumo

creciente de las redes y una media del tiempo que tarda la informacin en llegar de unlado a otro (el ping).

Pero lo ms importante se entiende sin explicaciones: hay pases cuya conexin a laRed cuelga literalmente de un hilo, cuya destruccin sera un apagn o una nueva clasede embargo. En submarinecablemap.com, menos bonito, vemos que la conexin demillones de personas depende de una sola compaa que a menudo opera a miles dekilmetros de su pas. Esto significa que la supervivencia de un pas depende de ungobierno que no ha sido votado democrticamente, un consorcio de multinacionales queopera segn las leyes de mercado, no la regulacin local.

Adems de la contingencia del fondo marino, nuestra infraestructura global esvulnerable a los problemas derivados de la relacin entre vecinos que estn conectadostecnolgicamente, pero no social, poltica y econmicamente. Israel, que est rodeadode enemigos pero apadrinado por una superpotencia lejana, debe conectarse por uncable que pasa por Chipre, Sicilia y Grecia. Palestina depende en parte de la conexin aIsrael (!) y en parte de los operadores europeos que tienen un pie en Jordania y que seenganchan al cable que cruza Arabia Saud y la lnea FLAG, protagonista del ensayo deStephenson.

La red de cables submarinos est regulada desde 1982 por la Convencin de lasNaciones Unidas sobre el Derecho del Mar y esta prescribe que, en aguasinternacionales, todos los estados tienen derecho a tirar cable submarino y amantenerlo y repararlo como sea conveniente. Los estados costeros, sin embargo,pueden ejercer su soberana en un cinturn nutico de doce millas en la costa adyacentea su territorio nacional.

Tericamente, para denegar el desembarco de cables cerca de su costa, un pas debealegar un motivo razonable, normalmente relacionado con la proteccinmedioambiental (bancos de pesca, corales, etc), pero la soberana es problemticacuando est en juego una infraestructura que nos afecta a todos. El cable que enlazaSingapur con Australia SEA-ME-WE-3 ha estado cado durante meses, porque el operadorno consigue permiso del Gobierno de Indonesia para meter mquinas en sus aguas. Y,aunque el presidente sirio Bashar al-Assad asegura que los apagones en su pas sonataques terroristas, las organizaciones de internautas y medios aseguran que l mismoha apagado la Red para tener controlada la insurreccin, igual que el gobierno deEgipto apag la Red el 28 de enero de 2011 para silenciar y disolver la protesta.

Tener dos cables tampoco garantiza nada: en 2008, dos cables de dos compaas

Tener dos cables tampoco garantiza nada: en 2008, dos cables de dos compaasdistintas fallaron a la vez, dejando completamente incomunicados a Egipto, Pakistn,Kuwait y la India, y parcialmente incomunicados a Lbano y Argelia. El hilo que seguaNeil Stephenson en su ensayo para Wired se colaps durante el terremoto de Taiwn en2006, cortando todas las comunicaciones en Hong Kong, China y el sudeste asitico.

El origen del monopolio: la Gran Red Victoriana

Parece poca cosa pero, antes de que Samuel Morse lanzara el primer cable entreWashington y Baltimore en 1844, la informacin iba siempre en brazos. El primer cablesubmarino internacional uni la Gran Bretaa con Francia a travs del estrecho deDover con gran esfuerzo y dinero de los hermanos John Watkins y Jacob Brett en 1850.Era un largo cable de cobre que fue a morir inmediatamente en el ancla de un solopescador. Pero no fue en vano, porque el experimento les vali para afianzar la licenciay el futuro control de las telecomunicaciones. Tras una instalacin accidentada, elprimer cable transatlntico submarino consigui conectar Irlanda con Terranova (agostode 1858). Dur solo tres semanas, antes de que los cables cedieran a las inclemencias delsuelo marino y la mayor parte de los inversores huyeran, pero el gran proyecto deconectividad global consigui estabilizarse diez aos ms tarde gracias al apoyogubernamental y a una fabulosa resina de las colonias asiticas llamada gutapercha.Fue el principio de un desarrollo que se extendi por todo el planeta, gracias a lasmuchas colonias del Imperio britnico y a su superioridad naval.

Entonces Internet era la Atlantic Telegraph Company, la misma AT&T Corp. quellev el primer cable transocenico de fibra ptica de Nueva Jersey a Inglaterra en1988. La leyenda asegura que poda soportar hasta 40.000 conversaciones telefnicas almismo tiempo.

La alianza de cinco ojos: NSA, GCHQ y todos sus amiguitos

Ms de cien aos ms tarde, en lo ms duro de la guerra fra, el gobiernonorteamericano descubri un cable en la costa este de Rusia que conectaba las dosprincipales bases navales soviticas. Nixon quera saber cmo llevaban los rusos eldesarrollo de sus misiles balsticos intercontinentales y el programa nuclear, as que laNSA empez una operacin nombre en clave Ivy Bells para intervenir suscomunicaciones.

Se enviaron dos submarinos de ataque con un equipo especial de buceadores paraplantar micros en la lnea. Los buceadores entraban cada dos semanas en aguaenemiga, fuertemente vigilada por submarinos rusos, para recoger las cintas y llevarlasa la base norteamericana (la tecnologa de almacenamiento no haba entrado en su eradorada) donde el servicio de inteligencia transcriba rpidamente el material. Y asestuvieron escuchando a la armada naval rusa durante casi una dcada, hasta que unespecialista en anlisis y transcripcin de voz de la agencia llamado Ronald Pelton,acosado por las deudas, le vendi la exclusiva a la embajada sovitica por 35.000dlares.

Pelton fue juzgado y condenado a tres cadenas perpetuas consecutivas en 1986, queseguir cumpliendo en el correccional de Allenwood, Pensilvania, hasta noviembre delao que viene. Tericamente, la operacin Ivy Bells tambin haba quedado enterrada,pero un artculo de The Guardian, basado en documentos de Edward Snowden, demostrque hay al menos dos programas de espionaje masivo en funcionamiento usando lamisma tctica: Mastering the Internet y Global Telecoms Exploitation, a cargo de lamejor amiga de la NSA, la agencia de espionaje britnico GCHQ.

El programa incluye la recoleccin de llamadas telefnicas, contenido de correos,conversaciones del Facebook y todo el historial de movimientos de los internautas y, conpermiso del bienintencionado Lawrence Lessig, es perfectamente legal. El truco es elmismo que us Hitchcock en Extraos en un tren (1951): las leyes de ambos pasesprohben explcitamente el espionaje de sus propios ciudadanos, as que la NSA y laGCHQ han hecho un intercambio de ciudadanos: EE.UU. espa los cables britnicos(programas OAKSTAR, STORMBREW, BLARNEY Y FAIRVIEW) y la Gran Bretaa espa losnorteamericanos, para luego intercambiar archivos. Ni siquiera tienen que mandarsubmarinos porque los cables son suyos.

Snowden le dijo al Guardian que la GCHQ es peor que la NSA, posiblemente suprimer comentario ocioso. En lo que respecta al resto del mundo, son perfectamenteindistinguibles. De acuerdo con sus documentos, en 2010 las dos agencias se palmeabanla espalda para celebrar la alianza de los cinco ojos, un entramado de vigilancia dedoscientos cables de fibra ptica que incluye las infraestructuras de los EE.UU., ReinoUnido, Canad, Australia y Nueva Zelanda. O sea, la mayor parte del trfico de lascomunicaciones.

Si el primer cable de telecomunicaciones transocenico era capaz de soportar hasta40.000 conversaciones telefnicas al mismo tiempo, la agencia britnica es capaz deprocesar hasta seiscientos millones de llamadas al da. Un equipo de analistas trescientos de GCHQ y 250 de la NSA dedican todo su tiempo a transcribir las sealesy cruzarlas con el resto de datos que capturan por otras vas. Todo ese contenido esalmacenado en sus Data Centers. Si los cables submarinos son las arterias de la Red, losData Centers son sus neuronas, el lugar donde van a parar las vidas privadas de todosnosotros. Los gobiernos y compaas que dominan la Red guardan ms documentacinsobre cada uno de nosotros que la Stasi sobre los disidentes de Alemania Oriental, y losarchivos no estn tan descentralizados como nos gusta imaginar.

Data Centers: la Nube con forma de Stasi

Si una noche de invierno un viajero se encontrara de pronto con un gran complejoindustrial protegido por varias capas de hombres, armas, perros y alambre de espino, loms probable es que fuera a) un Centro de Internamiento de Extranjeros, b) una granjade produccin intensiva o c) un Data Center. Las tres construcciones guardanprisioneros que han perdido todos sus derechos: animales, detenidos sin cargos y datospersonales, privados e intransferibles.

Adems de la proteccin militar, diseada para contener lo que hay dentro y parafrustrar la curiosidad de los que estn fuera, las tres instituciones disfrutan de unaltima capa de invisibilidad legal que protege sus secretos de vecinos, abogados,activistas, espas o reporteros. Pero hay diferencias: si el hedor y el sonido de losanimales hacinados revelan rpidamente la granja, para descubrir al Data Center nosbasta una factura de la luz. Segn Google, los suyos consumen unos 260 millones devatios, la cuarta parte del consumo energtico de una central nuclear. Pero esos son susnmeros y nos los tenemos que creer. Mientras las paguen, ninguna empresa estobligada a ensear sus facturas y ninguna lo hace. Irnicamente, estas largas catedralesde servidores, cables, unidades de almacenamiento masivo y circuitos de refrigeracindisfrutan el mismo grado de proteccin de datos que el Pentgono.

El almacenamiento se ha devaluado medio milln de veces desde que IBM present el

El almacenamiento se ha devaluado medio milln de veces desde que IBM present elprimer disco de un giga en 1980, pero Internet crece a una velocidad de un exabyte alda, ms de un milln de terabytes. Cisco augura que en tres aos los grandes DataCenters estarn manejando 1.3 zettabytes, que son 1300 exabytes, que es como enviartodas las pelculas jams producidas cada tres minutos. El centro que ha construido laAgencia Nacional de Seguridad norteamericana en el desierto de Utah ser capaz decontener un yottabyte de informacin, el equivalente a 1.000 zettabytes o500.000.000.000.000.000.000 pginas de texto. Qu modesto parece en comparacin elMinisterium fr Staatssicherheit, con sus 111 kilmetros de archivos, 47 de pelculas y90.000 sacos de papel que los funcionarios hicieron trizas en diciembre de 1989.

Contra todo pronstico, Utah es solo el segundo ms grande del mundo. Le supera enmetros el Range International Information Hub de Langfang, el faranico Silicon Valleyde China, que tiene 620.000m2. Con tecnologa y mano de obra de IBM, en 2016 Chinasigue con su plan de transformar la antigua provincia ganadera del Hebei en el grancentro neurlgico de las telecomunicaciones asiticas y de paso el mayor Centro deDatos del planeta. El nudo del proyecto es un conglomerado de telecos que incluyeChina Telecom, China Unicom, China Mobile, Beijing University of Posts andTelecommunications, Beijing Telecommunications Planning Design Institute, CORGAN,Gehua Cable o plataformas de servicios online como Qzone, el Facebook asitico.

Solo en servidores, el Utah Data Center ocupa 100.000 m2. La nueva planta de laNSA est en el desierto de Utah, pero hay muchas ms en Colorado, Georgia o Marylandy plantas secretas fuera de EE.UU. Su misin es procesar toda forma de comunicacin,incluyendo los contenidos de correos privados, conversaciones telefnicas, bsquedas enInternet y todo tipo de datos personales: tickets de prking, itinerarios de viaje,compras con tarjeta y otras menudencias virtuales. O, como dira la Gestapo msconcretamente, investigar y combatir todas las tendencias peligrosas para el Estadobajo el amparo de la Patriot Act y criptografa de vanguardia. Antes de su inauguracinoficial en septiembre ya haba sido rebautizada como la Estrella Negra de la minera dedatos.

Qu diferencia con el Pionen Data Center de Suecia, al que los vecinos lo llamancariosamente el Centro de Datos de Malo de James Bond. Estos grandes archivadoresestn enterrados en un antiguo refugio nuclear que palpita bajo las Montaas Blancas

de Estocolmo que fue recuperado por la teleco sueca Bahnhof. Dispone de 8.000servidores capaces de sobrevivir a desastres nucleares, terremotos y apagones, gracias ados motores submarinos alemanes que funcionan con disel. Dicen que Julian Assangeguarda sus secretos ms valiosos aqu, pero todos sabemos que el fundador de WikiLeaksesconde sus tesoros a plena vista y solo se queda la llave. Moraleja: no importa dndeestn tus datos siempre que nadie los pueda leer.

Fuera de las grandes agencias de espionaje, la liga de campeones se la repartenGoogle, Facebook, Apple y Microsoft. Cada vez que alguien usa el buscador, mira unvideo de Youtube, recibe un correo de Gmail o comparte una cancin en Spotify; cadapalabra en el muro de Facebook, cada llamada por Skype pasa por al menos uno de loscentros multimillonarios que han sustituido a las grandes fbricas de la segundarevolucin industrial en regiones de las que nadie se acordaba. Google tiene diecinuevecentros en EE.UU., doce en Europa, tres en Asia, uno en Rusia y otro en Sudamricapero su caballo de batalla est en Council Bluffs, Iowa, y este ao empieza lo quealgunos llaman con cierta histeria la mayor expansin de la historia. La compaaofrece una visita guiada en YouTube, un mapa en Street View de su centro en Carolinadel Norte y una serie de buclicas fotos para los amantes de la ingeniera.

Apple tiene plantas en Newark, Santa Clara y Cupertino pero el gordo cinco vecesms gordo que cualquiera de los dems est en Maiden, Carolina del Norte, y en 2013empez otros dos en Oregn y Reno. La gran nube de Microsoft est en Boydton,Virginia, en un pueblo de 431 habitantes. Facebook ha plantado la suya en Prineville,Oregn, del que tambin hay fotos. Todas esas compaas y sus colaboradores,asociados, clientes y gobiernos lo saben todo de nosotros. Y as seguir siendomientras los mercados, la ley y el cdigo hagan equipo para protegerse unos a otros aexpensas de nuestra privacidad.

Curiosidad: descubre cunto sabe Facebook sobre ti

Si alguna vez han pensado en lo fcil que resultar en el futuro escribir su biografa,estarn encantados de saber que Facebook ya se ha puesto a trabajar, aunque demomento se parezca ms a La vida de los otros que a El escritor fantasma de Polanski. Unhacker australiano llamado Nik Cubrilovic descubri que el sistema toma nota de todaslas actividades de los usuarios incluso fuera de casa, aprovechando un camino demiguitas al que todos hemos contribuido: el botn de Me gusta. Donde est esepequeo trozo de cdigo con el que decoramos nuestros posts, compras, comentarios, ahest Facebook tomando nota.

La buena noticia es que no har falta esperar a que caiga el muro para exigir esosexpedientes, como hicieron los alemanes en junio de 1990 a las puertas de la Stasi. Laempresa tiene residencia legal en Irlanda, lo que significa que est sujeta a la Directivaeuropea de Proteccin de Datos y que, por lo tanto, cualquier interesado que solicitedatos personales tiene derecho a obtenerlos sin restricciones a intervalos razonables ysin excesiva demora o gasto. Para ejercitar dicho derecho, el grupo austraco Europeversus Facebook ha preparado esta receta.

Facebook tiene escondido en su servidor un documento para solicitar datospersonales, que ahora mismo est escondido bajo Privacidad. Preguntas sobre nuestrapoltica de privacidad. Solicitud de datos personales pero cambia todo el rato de lugar.El formulario pide todos los datos personales y una copia del DNI, que hay que escanear(o hacerle una foto) y subir al sistema desde nuestro disco duro. Un detalle: si nuestrosdatos de usuario no coinciden con la documentacin oficial, hay que cambiarlos paraque lo hagan. No solo validar el proceso; he notado que despus se siente uno mejorcuando al enviar este formulario declaras bajo pena de perjurio que toda lainformacin enviada es correcta y verdadera.

Curiosamente, el formulario tambin pide que citemos la ley que ampara la peticin.El nombre oficial de la Directiva europea es 95/46/EC y la ley que nos interesapertenece a la seccin V, artculo 12. En el formulario pondremos Section 5 DPA Art. 12

Directive 95/46/EG. El formulario es sencillo; lo difcil es recibir confirmacin de quevamos a recibir un CD con todo el material. Segn la regulacin irlandesa, la empresatiene cuarenta das para mandarlo. El verdadero viaje es enfrentarse al PDFmonumental que viene dentro. Pensars que caminas en sueos y que solo Facebooksabe a dnde vas.

El manual

El enemigo conoce el sistema.

CLAUDE SHANNON

Contraseas: buenas, malas y peores

H ay tres maneras de proteger un mensaje. La ms elemental es no mandarlo, aunqueentonces no podemos hablar de comunicacin sino de secretos. La segunda es convertirel mensaje en algo ilegible; eso es criptografa. La tercera se llama estenografa yconsiste en camuflar el mensaje, hacindolo desaparecer dentro de otro mensaje. EnInternet, la criptografa se ha convertido en la nica herramienta efectiva paraprotegerse de la vigilancia corporativa y gubernamental, pero es una carrera constante.Como dice Claude Shannon, el enemigo conoce el sistema. Tenemos que conocerlo mejorque l.

En un mundo fuertemente digitalizado, la contrasea es el nico obstculo que seinterpone entre nuestra intimidad, nuestras comunicaciones, nuestro dinero y nuestrossistemas de seguridad y el resto del mundo. Y sin embargo, las empresas de seguridadpublican cada ao informes que dicen que el 98 por ciento de la gente sigue utilizando1234, admin o admin123.

Es absurdo, pero invertimos ms tiempo en elegir la clase de azcar que le ponemos alos cereales o el color de las cortinas del bao que en proteger las cosas que ms nosimportan en esta vida. Y cuando las pensamos durante ms de cinco segundos, casisiempre producimos contraseas fcilmente identificables para cualquiera que nosconozca un poco, aunque sea por Facebook.

Si tu contrasea es la combinacin de los nombres de tus hijos, la fecha de nacimientode tu madre o el pueblo al que fuiste de luna de miel, necesitas cambiar de estrategia.Estas son las cinco reglas de oro para proteger tu identidad.

1. Aprende a hacer contraseas seguras

El estndar de seguridad en una contrasea es que debe tener ocho caracteres o ms, yque debe incluir una mezcla no significativa de letras y otros caracteres, que pueden sernmeros pero tambin, cuando el sistema lo permite, smbolos. Por ejemplo:

XXTHEENEMYKNOWSTHESYSTEM=45

Efectivamente, podemos cumplir los requisitos utilizando el nombre de nuestro primer

Efectivamente, podemos cumplir los requisitos utilizando el nombre de nuestro primerperro y la fecha de su cumpleaos. A eso me refera cuando dije no significativa.Cuanto ms informacin contenga la contrasea, por remota que parezca, msposibilidades hay de que la descubra alguien. Recuerda que no eres el nico aireando lashistorias de la familia en el Facebook, el resto de tu familia padres, hermanos, primos,tos tambin estn all.

Evidentemente, el impulso autodestructivo que nos lleva a elegir contraseas fcileses que queremos recordarlas luego. De nada nos sirve tener la contrasea ms complejadel mundo si somos incapaces de recordarla o tenemos que llevarla escrita en la cartera.

Los expertos aconsejan utilizar uno de los muchos generadores de contraseas quehay disponibles en la Red, que cumplen todos los requisitos de seguridad sin quetengamos que pensar. Son combinaciones poco agraciadas pero, si generamos muchascontraseas, antes o despus aparecer una que podremos recordar ms fcilmente quelas otras, quiz porque nos recuerda a algo en concreto o porque la combinacin deteclas nos resulta particularmente agradable a la vista. Incluso hay generadores que yacuentan con esa necesidad, como onlinepasswordgenerator.com.

2. Aprende a memorizar contraseas seguras

Si somos incapaces de recordar una clave autogenerada, la otra opcin es usar una fraseque conozcamos bien y modificarla, sustituyendo unas cuantas letras por unos cuantosnmeros o aadiendo algn smbolo aqu y all. Mejor que no sea parte del cancioneropopular, el estribillo de la cancin de verano o Nel mezzo del cammin di nostra vita miritrovai per una selva oscura. Cualquier secuencia de caracteres que genere al menosuna respuesta en Google debera quedar descartada de antemano porque en todos losbares hay alguien que conoce La Divina Comedia. Los crackers que es como se llama alos hackers que se dedican a destripar contraseas usan bases de datos con millones decombinaciones conocidas y, si eliges un estribillo de Bob Dylan, lo ms probable es queest en el top ten.

Mejor que sea la primera estrofa del poema que le escribiste a la primera chica de laque te enamoraste. Pongamos que te lo aprendiste de memoria antes de quemarlo juntocon todas sus fotos y los restos de tu corazn destrozado y que nunca lo volviste a ver.Cambias rosa por cardo y espinas por garfios y lo alias con unos cuantos nmeros. Yatienes una contrasea difcil de la que nunca te vas a olvidar.

Tampoco lo sustituyas siguiendo un patrn reconocible. Hasta hace unos aos, estaba

Tampoco lo sustituyas siguiendo un patrn reconocible. Hasta hace unos aos, estabade moda entre los programadores usar un lenguaje que llamaron 133t, un derivado deelite donde se sustituye la letra e por un 3, la a por un 4, la l por un 1 y la opor un 0. Este es, posiblemente, el lenguaje secreto ms popular de Internet y hastalas bases de datos de contraseas ms anticuadas del mundo han asimilado el 133t comoparte de su vocabulario. Eso incluye el esperanto, el volapk y cualquier idioma quehablen los elfos, los dragones, los ewoks y todas las colonias intergalcticas. Cuanto msidiosincrtica y menos lgica sea la secuencia, ms segura es. Cuanto ms de moda esty en ms libros y pelculas aparezca, ms vulnerable.

3. Usa contraseas distintas para cada cosa

Tienes la misma contrasea en Facebook, Twitter, Instagram y Pinterest? La estadsticarevela que la mayor parte de los usuarios repite la misma contrasea para todos losservicios que usan o han usado en los ltimos siete aos, el equivalente digital a teneruna sola llave para la casa, el coche, el buzn y la oficina y dejarla bajo el felpudo. Esla misma que usabas en MySpace, Flickr y Second Life? Entonces es seguro que tucontrasea ha sido comprada y vendida muchas veces.

Ciertamente, es difcil acordarse de una contrasea, ms an acordarse de varias. Losprincipales navegadores ofrecen como solucin una llave maestra: nosotros elegimosuna contrasea (pongamos, el poema modificado del punto anterior) y el navegadorgenera una clave distinta para cada servicio. Este sistema tiene un fallo evidente: sialguien tiene acceso a la llave maestra tiene acceso a todo; si perdemos el porttil o elnavegador, nos quedamos fuera de todo.

En principio, es mejor solucin que usar la misma contrasea para todo y peorsolucin que tener una buena contrasea para cada cosa. Un saludable puntointermedio es lo que se llama un llavero o Keychain, como Keepass, que guarda todas lascontraseas protegidas por una contrasea maestra pero en una web remota, bien lejosde nuestro ordenador. Si alguien descubre la contrasea principal todava tenemos unproblema, pero, para poder usarla, primero tiene que adivinar el lugar donde hemosguardado el resto.

4. Cambia de contraseas con frecuencia

El otro da descubr que un exnovio al que no vea desde hace doce aos sigue usando la

El otro da descubr que un exnovio al que no vea desde hace doce aos sigue usando lamisma contrasea que el da que nos conocimos. Y como adems la usa para todo, si yofuera mala persona o peor, una exnovia despechada podra dedicarme a enviartweets en su nombre, insultar a sus amigos desde su muro de Facebook, comprarperfumes caros con su cuenta de Amazon y subastar sus pertenencias en eBay usandosus fotos privadas de Flickr y cobrarlo todo en su PayPal, antes de desviarlo a micuenta. Y si fuera un enemigo de verdad?

Hasta las tarjetas electrn caducan a partir de cierto tiempo. La clave privada seautodestruye cada cinco aos, pero nuestras contraseas deberan cambiar mucho ms amenudo, dependiendo de nuestras circunstancias y del grado de peligrosidad de nuestrasactividades.

Evidentemente, algunas contraseas son ms importantes que otras. No vale igual lacontrasea de la BIOS o tu clave root de administracin que la contrasea del Flickr,pero cada ventana, por pequea que sea, es un punto de vulnerabilidad. No olvidemosque las redes sociales guardan mucha ms informacin sobre nosotros de la que serefleja en nuestros perfiles, incluyendo localizacin geogrfica, horas de actividad ycontactos ms frecuentes dentro y fuera de sus fronteras.

5. No compartas tus contraseas

Lo dice el refrn: dos pueden compartir un secreto siempre y cuando uno de los dos estmuerto. El amor es un gran invento y hasta es posible que tu pareja sea tu alma gemelay que nunca tengas que arrepentirte. Pero, si le has dado tu contrasea, debes cambiarlalo ms rpidamente posible. Si usas la misma contrasea para todo, debes cambiarlastodas. Y si se enfada porque ya no tiene acceso a tus correos, documentos o plataformasde administracin privadas, debes cambiar de pareja.

Lo mismo pasa con colaboradores, colegas, madres, jefes, empresas, servicios y redes.Una contrasea que conoce otra persona es una contrasea muerta. Hay que saberdejarla.

Correos

Tipos de correos, tipos de conexiones, elegir un correo para cada cosa,cmo encriptar el correo con PGP

E l correo electrnico es, junto con el telfono, la manera ms popular de comunicarse,pero tambin la ms misteriosa. Hasta un nio puede explicar cmo llega una cartadesde el remitente a su destinatario pero, cuando se trata de explicar cmo llega el e-mail a su carpeta de entrada, hasta los adultos ms escpticos despliegan narrativas degran valor surrealista, ms inspiradas por el realismo mgico de Matrix que por larealidad. Lo cierto es que los correos que enviamos pasan por muchas manos antes dellegar a su destinatario; solo entre las de proveedores de telecomunicaciones y lasproveedoras de servicio pueden llegar a cien.

Cuando enviamos un correo sin haberlo protegido primero, tanto la contrasea comoel contenido del correo salen a la Red como texto limpio, perfectamente legible.Cualquiera que tenga las herramientas adecuadas y no hace falta ser un hacker, hoylos GUIs del software espa son ms fciles de usar que Photoshop puede capturar lainformacin y leerla sin esfuerzo.

Siempre que sea posible hay que mandar los correos a travs de protocolos detransferencia de datos seguros, como SSL o TSL. La mayora de los clientes de correoincluyen la opcin, pero en muchos casos hay que seleccionarla porque no se usa pordefecto. Pero cuidado: cuando enviamos un e-mail, la conexin que establecemos solo esde nuestro ordenador al servidor de correo y nuestro tnel SSL nada ms los protegerhasta all. La mejor manera de asegurar la integridad de nuestros mensajes es combinarSSL con un programa de cifrado para el propio mensaje. Para eso existe la PGP.

Pero antes de adentrarnos en el maravilloso mundo del encriptado de clave pblica,debemos considerar otro tipo de correos que pueden resultar tiles para momentosconcretos.

Para gargantas profundas: correos de usar y tirar, identidades con fecha decaducidad

Un pequeo disclaimer: el nico correo cien por cien seguro es el que no ha sido enviado.

Un pequeo disclaimer: el nico correo cien por cien seguro es el que no ha sido enviado.Todos los correos contienen informacin til sobre la persona que lo enva, lo nico quepodemos hacer es limitar esa informacin al mnimo, o adulterarla hasta que no sirvapara nada. Si queremos transmitir informacin delicada y no queremos que nadie laintercepte, lo mejor es hacerlo sin conectarse a la Red. Ahora bien, si no nos queda msremedio que comunicarnos a travs del correo electrnico, nuestras opcionesdependern de la clase de problema al que nos enfrentamos o, ms concretamente, dequin queremos proteger nuestra identidad.

Los correos de usar y tirar son cuentas de vida muy corta, al final de la cual no solodesaparece su contenido sino la cuenta de correo desde la que se envi. El servicio suelefuncionar a travs de un servidor que hace de proxy entre nosotros y nuestrodestinatario, recogiendo el mensaje y la direccin a la que debe llegar y envindolodesde otro lugar, con una direccin genrica. Es el formato apropiado si queremosenviar un soplo, unos documentos o dar un chivatazo sin que nadie sepa nunca quin lohizo, ni siquiera (o especialmente) nuestro interlocutor. Tambin es perfecto si queremosabrir una cuenta de correo (o de Twitter, o un blog) annima, donde el procesonormalmente requiere de una direccin de correo alternativa para usar de referencia yenviar la confirmacin. Y, por qu no, para esquivar el spam.

Es esencial escoger bien el servicio. Antes de mandar un correo de este tipo, esimportante recordar que nuestro nombre es solo uno de los muchos elementos quetraicionan nuestra identidad y que, aunque el receptor no sepa que somos nosotros, lacompaa s lo sabe. Hasta los servicios de correos annimos estn obligados a mantenerlos logs de los usuarios, un registro de movimientos que incluye fechas e IPs, susceptiblesde ser reclamados por las autoridades. Y, en muchas ocasiones, sus propias licenciasincluyen la posibilidad de compartir nuestros datos con terceros.

Lo mejor es escoger un servicio que no registre nuestros datos porque haimplementado la tecnologa para no recibirlos. El problema es que, aunque prometanque ese es el caso, no podemos saber si es verdad. Es nuestra responsabilidad tomar lasprecauciones adecuadas para que el contacto sea lo ms inofensivo posible. Esto incluyecrear una cuenta de correo annima, enviar los datos y borrar todas las huellas antes deponer pies en polvorosa.

No todos son tcnicos, algunos son de sentido comn. Para que un correo sea lo msannimo posible, no podemos mandarlo desde nuestra casa, el trabajo o un caf dondeseamos habituales, ni a travs de un ordenador que hayamos usado o vayamos a usar

para otros propsitos. Esto descarta apps como Gliph, que, aunque graciosa parachatear con los amigos, es ms bien cosmtica. La distancia que recorramos paramandarlo debera ser proporcional al peligro que corremos. Y, evidentemente, nodeberamos buscar la direccin del lugar a donde vamos desde casa o el mvil, como sifuese un restaurante.

Mandar correos en lugares pblicos: concentracin, precisin y discrecin

Una vez all, y pasando lo ms desapercibido posible, ya puedes crear tu correotemporal en un servicio de correo de usar y tirar. Las de Mintemail.com y Filzmail.comdesaparecen en tres y veinticuatro horas respectivamente, pero hay muchas otras:Airmail, Guerrillamail, etc.

Asegrate de que el equipo no tiene una cmara web apuntndote. Algunos cibercafshabilitan las webcams de las estaciones para que vigilen sin ser vistas, como medida deprecaucin. Evita esos o transforma tu imagen lo mejor que sepas sin hacer el ridculo.No te pongas la capucha de hacker con unas gafas de sol porque todo el mundo seacordar de ti, aunque sea por payaso. Pero es increble lo mucho que podemos cambiarde aspecto sin esfuerzo, peinndonos con el pelo hacia atrs o con unas gafas nograduadas.

Tambin es importante que, mientras ests all, no hagas nada que no sea lo que hasido a hacer. No te pongas a mirar el correo, no navegues por la red, no escuches msicaen Spotify, no abras el Facebook. No aproveches que hay dos por uno para echar unapartidita. Antes de marcharte, asegrate de que limpias bien el cach del navegador, yque eliminas cookies y el historial. La manera ms limpia de hacerlo es usar tu propiosistema operativo desde un pincho USB, pero mira siempre que no queda nadaalmacenado en el disco duro y, por el amor de dios, no te dejes el pincho USB clavadoen la torre. Pasa ms de lo que te imaginas.

Atencin, gargantas profundas: este modelo solo es efectivo cuando la informacinque enviamos no depende del prestigio de la fuente. Las comunicaciones sern siempreunidireccionales, as que deben ser documentos que hablan por s solos, todas lashistorias deben ir acompaadas de todos los datos necesarios para corroborar suveracidad e intenciones.

Si lo que queremos es una cuenta de correo temporal, como quien queda para hablarpor telfono desde una cabina pblica, entonces los MintEmail o Mailinator son el

equivalente digital a esta carta se autodestruir en 4 horas. Las medidas higinicas sonlas mismas que con los correos de usar y tirar.

Gmail, Yahoo y otros servicios de correo cmodos, convenientes y gratuitos

Tcnicamente, hay dos tipos de e-mail: el que escribimos, recibimos y almacenamos atravs del navegador como Gmail, Hotmail o Yahoo Mail y el que procesamosusando un cliente de correo, como Outlook Express, Thunderbird Mail o Mail.App.

El tipo webmail (Gmail, etc) es cmodo y conveniente porque permite leer el correodesde cualquier parte del mundo y desde cualquier ordenador. Adems, permitecentralizar todas las cuentas de correo en una sola, pudiendo gestionar nuestrascomunicaciones personales, laborales y extracurriculares en una sola pestaa.

Cmodo, fcil, conveniente y gratis? Si algo parece demasiado bueno para ser cierto,es porque lo es. Qu pensaramos de un desconocido que nos ofrece recibir todo nuestrocorreo en su casa sin cobrarnos nada, por la simple satisfaccin de hacernos la vida msfcil? Sospecharamos de sus intenciones o le entregaramos alegremente nuestrosdatos fiscales y una autorizacin para tirar sin preguntarnos todo lo que parezcapropaganda? A todos los servicios online, y especialmente a todo lo que tiene que vercon la red social, se aplica sin excepcin el famoso proverbio: Si no lo pagas, no eres elcliente, eres el producto.

Los servicios como Yahoo o Gmail estn basados en la Nube, lo que significa quenuestro buzn est guardado junto con otros millones de buzones en un edificio seguro,secreto y remoto llamado Data Center. El Data Center es como un banco en el quetenemos servicio de banca online; tenemos acceso a nuestros documentos mediante unaconexin virtual, a travs de un nombre de usuario y una clave y podemos realizarciertas gestiones.

Es ms seguro que tener el dinero en casa (es ms fcil hackear el ordenador delvecino que franquear los muros de un Data Center, aunque ocurre de vez en cuando) ypodemos ver el correo desde cualquier parte, como quien saca dinero de los cajeros enun viaje. Pero, como en un banco, solo vemos una parte infinitesimal de lo que hacenuestro dinero cuando no lo tenemos en el bolsillo y cualquier empleado tiene msderechos sobre nuestro buzn que nosotros mismos. Y la fortaleza est tan bienguardada que, si quisiramos hacerle una visita de cortesa y recoger el correo en mano,acabaramos en la crcel antes de tocar el timbre.

Es poco habitual que los empleados se aprovechen, pero ocurre. Fue lo que hizo David

Es poco habitual que los empleados se aprovechen, pero ocurre. Fue lo que hizo DavidBarksdale, un ingeniero de 27 aos, que aprovech su trabajo en Google para acosar acuatro menores durante meses, leyendo sus correos, escuchando sus conversaciones ymanipulando sus datos. Estas son las cosas que pasan cuando pones tu correspondenciaprivada en manos de extraos. Pero todo esto, aunque preocupante, es anecdtico encomparacin con el problema principal: que el banco no es una ONG y sus servicios noson altruistas. Su verdadero negocio eres t.

Solo para empezar, Google procesa e indexa todos los correos que pasan por susmanos para vendernos publicidad personalizada. Indexar significa que nuestro nombreo nuestros temas de conversacin pueden aparecer en los resultados de bsquedas, nosolo en Google sino en otros lugares y contextos como, por ejemplo, un aeropuerto. Losacuerdos de usuario que nunca leemos (llamados EULA: End User Licence Agreement) yque siempre firmamos como precondicin para acceder al servicio deseado, no sologarantizan a la empresa de servicios el acceso indiscriminado a nuestros correos yconversaciones, tambin se reservan el derecho a compartirlo con terceros y venderlo almejor postor. Esto incluye otras empresas que estudian tu comportamiento paraformular patrones de todo tipo, principalmente de consumo pero tambin de tipopoltico y socioeconmico. Sabemos qu amigos tienen Google o AOL?

Adems, son la primera puerta a la que llaman las autoridades, incluyendo losservicios secretos de pases a los que no pertenecemos, cuyas leyes no nos protegen ycuyos gobernantes no tenemos derecho a elegir por los cauces democrticos. Y, como lamayor parte de los servicios que utilizamos tienen su sede en Estados Unidos, la ley losprotege a ellos pero no a nosotros. La Patriot Act, parte de la legislacin antiterrorismonacida del 11-S, establece que el gobierno estadounidense y sus aliados pueden exigiracceso ilimitado a cualquiera que no sea ciudadano estadounidense sin que su proveedorpueda decirle nada. El 98 por ciento del planeta no es ciudadano norteamericano.

La ley establece tambin que las empresas estn obligadas a facilitar esos datos y queno pueden, bajo ningn concepto, advertir al usuario de que est siendo o ha sido objetode una investigacin.

Es como si la polica de un pas extranjero pudiera entrar en tu casa con una llavemaestra y hacer copia de todas tus cartas, pinchar tus telfonos y hacer fotos delcontenido de los armarios y cajones. En Espaa, la ley de proteccin de datos protegenuestro buzn de miradas inquisitivas, pero no puede proteger el buzn que guardaGoogle en un complejo industrial de Utah.

El falso anonimato de la multitud

Algunos activistas piensan que Gmail tiene la ventaja de esconderles en la multitud. Esmuy fcil hacerse usuario y, cuando lo hacemos, no estamos obligados a dar nuestronombre verdadero, ni a dejar ms seas personales que otro correo. Pero la multitud noexiste en la era de los superordenadores. Hubo un tiempo en que era imposiblealmacenar los millones de datos que producimos a diario, pero los tiempos hancambiado.

Ahora la NSA est construyendo un Data Center con capacidad, segn estimaciones,de entre 3 y 12 exabytes. Para ponerlo en contexto, est diseado para guardar todo eltrfico de la Red, que en un ao se estima entre 5 y 9 exabytes. Esta capacidad demonitorizar y almacenar todas las comunicaciones funciona en combinacin con susoftware de procesamiento de datos, que incluye programas que reconocen el estilo deun usuario cuando escribe o la cara de una persona especfica en un vdeo de seguridad.La realidad de esos programas, que vamos conociendo gracias a las filtraciones deEdward Snowden, supera con creces las pesadillas distpicas de George Orwell y Aldous