Tecnología
Experto en seguridad: El espionaje de la NSA nos hace más vulnerables
Bruce Schneier sugiere que hay más revelaciones en camino
Publicado en MIT Technology Review
Bruce Schneier, criptógrafo y autor sobre temas de seguridad, empezó el mes pasado un trabajo más: ayudar al periódico británico The Guardian a analizar los documentos robados a la Agencia Nacional de Seguridad de Estados Unidos (NSA por sus siglas en inglés) por el contratista Edward Snowden, residente últimamente en Moscú (Rusia).
En los últimos meses ese periódico y otros medios han ido publicando un flujo continuo de revelaciones, entre ellas la gran escala a la que la NSA accede a las principales plataformas en nube, pincha llamadas y mensajes de texto de los operadores inalámbricos, e intenta saltarse el encriptado.
Este año Schneier también es investigador invitado del Centro Berkman para Internet y Sociedad de la Universidad de Harvard (EE.UU.), y en una conversación mantenida allí con David Talbot, corresponsal jefe de MIT Technology Review, Schneier puso en perspectiva las revelaciones conocidas hasta la fecha e insinuó que hay más en camino.
Tomados en su conjunto, ¿qué revelan todos los documentos de Snowden filtrados hasta la fecha que no supiéramos ya?
Quienes estamos en la comunidad de seguridad vigilando a la NSA, ya habíamos hecho suposiciones sobre lo revelado por Snowden. Pero había pocos indicios y ninguna prueba. Estas filtraciones revelan cómo de robusta es la vigilancia de la NSA, cómo de extendida está y hasta qué punto la NSA ha dominado todo Internet y lo ha convertido en una plataforma de vigilancia.
Estamos viendo a la NSA recoger datos de todos los proveedores de servicios en nube que usamos: Google, Facebook, Apple, Yahoo, etc. Vemos a la NSA en asociaciones con las principales empresas de telecomunicaciones en Estados Unidos y muchas otras en todo el mundo, para recoger datos de la propia fuente. Vemos a la NSA saboteando deliberadamente la criptografía a través de acuerdos secretos con proveedores, para que los sistemas de seguridad sean menos eficaces. El alcance y la escala son inmensos.
La única comparación que se me ocurre, es que es como la muerte. Todos sabemos cómo acaba la historia, pero ver los detalles, ver los programas, es muy distinto a saber que existen en teoría.
La misión de la NSA es la seguridad nacional. ¿Cómo afecta realmente esta vigilancia a la persona media?
Las acciones de la NSA están haciendo que todos estemos menos seguros. No solo están espiando a los malos, están debilitando la seguridad de Internet a propósito para todos, incluyendo los buenos. Es completamente absurdo creer que solo la NSA puede explotar las vulnerabilidades que crean. Además, al espiar a todos los americanos, están creando la infraestructura técnica para un estado policial.
Aún no estamos en ese punto, pero ya hemos sabido que tanto la DEA como el IRS (la agencia antidroga y el servicio de Hacienda de Estados Unidos, respectivamente) usan datos de vigilancia para el seguimiento y después mienten sobre ello en los tribunales. El poder sin responsabilidad o vigilancia es peligroso para la sociedad a un nivel muy fundamental.
¿Estás examinando documentos de la NSA que nadie ha visto aún? ¿Proporcionan información sobre si hay gente normal, y no solo figuras como terroristas de Al Qaeda o generales norcoreanos, que hayan sido objeto de vigilancia?
Estoy analizando algunos de los documentos que Snowden proporcionó a The Guardian. Dada la delicada naturaleza del asunto, no puedo comentar lo que he visto. Lo que sí puedo hacer es escribir reportajes basados en lo que he visto y eso hago con Glenn Greenwald y de The Guardian. Mi primer reportaje se publicará muy pronto.
¿Los nuevos reportajes contienen nuevas revelaciones a la misma escala que hemos visto hasta ahora?
Quizá.
Ha habido numerosas alusiones a esfuerzos de la NSA por colocar puertas traseras en productos de consumo y software. ¿Cuál es la realidad?
La realidad es que no sabemos cómo de extendida está la práctica, solo sabemos que sucede. He oído varias historias de distintas personas y estoy trabajando para que se publiquen. Por lo que parece, nunca es una solicitud explícita por parte de la NSA. Es más como una broma: "¿Qué, nos vais a hacer una puerta trasera?". Si te muestras dispuesto, la conversación progresa. Si no, todo se puede negar. Es como tener una cita. Puede que nunca se hable del sexo explícitamente, pero sabes que está sobre la mesa.
¿Pero qué clase de acceso, a qué productos, se ha solicitado y se ha concedido? ¿Qué
criptografía se ha saboteado y tiene puertas traseras y cuál no? ¿Qué se ha arreglado y qué no?
Que yo sepa, la respuesta a qué se ha solicitado, es todo: debilitamiento a propósito de algoritmos de encriptado, debilitamiento deliberado de la generación de números al azar, copias de llaves maestras, encriptado de la clave de sesión con una clave específica de la NSA... todo.
La vigilancia de la NSA es robusta. No tengo conocimiento de primera mano de qué productos se han saboteado, y cuáles no. Eso probablemente sea lo más frustrante. No nos queda otra que desconfiar de todo. Y no tenemos forma de saber si hemos arreglado algo.
Genial. Así que hace poco has sugerido cinco consejos para que la gente pueda ponérselo más difícil, si no imposible al espionaje. Estos incluyen usar varias tecnologías de encriptado y métodos de ocultamiento de la localización. ¿Esa es la solución?
Mis cinco consejos son una porquería. No son cosas que pueda hacer un usuario medio. Uno de ellos es usar un PGP [un programa de encriptado de datos]. Pero mi madre no sabe usar un PGP. Puede que algunos de los lectores de tu revista puedan usar mis consejos, pero la mayoría de la gente no.
Básicamente, el usuario medio está jodido. No puedes decir "No uses Google" es un consejo inútil. O "No uses Facebook", porque entonces no hablas con tus amigos, no te invitan a fiestas, no ligas. Es como cuando los libertarios dicen: "No uses tarjetas de crédito"; no funciona en el mundo real.
Internet se ha convertido en algo esencial para nuestras vidas y se ha saboteado para convertirse en una gigantesca plataforma de vigilancia. Las soluciones deben ser políticas. El mejor consejo para el usuario medio es que pelee por un cambio político.
| Publicado en MIT Technology Review
Bruce Schneier, criptógrafo y autor sobre temas de seguridad, empezó el mes pasado un trabajo más: ayudar al periódico británico The Guardian a analizar los documentos robados a la Agencia Nacional de Seguridad de Estados Unidos (NSA por sus siglas en inglés) por el contratista Edward Snowden, residente últimamente en Moscú (Rusia).
En los últimos meses ese periódico y otros medios han ido publicando un flujo continuo de revelaciones, entre ellas la gran escala a la que la NSA accede a las principales plataformas en nube, pincha llamadas y mensajes de texto de los operadores inalámbricos, e intenta saltarse el encriptado.
Este año Schneier también es investigador invitado del Centro Berkman para Internet y Sociedad de la Universidad de Harvard (EE.UU.), y en una conversación mantenida allí con David Talbot, corresponsal jefe de MIT Technology Review, Schneier puso en perspectiva las revelaciones conocidas hasta la fecha e insinuó que hay más en camino.
Tomados en su conjunto, ¿qué revelan todos los documentos de Snowden filtrados hasta la fecha que no supiéramos ya?
Quienes estamos en la comunidad de seguridad vigilando a la NSA, ya habíamos hecho suposiciones sobre lo revelado por Snowden. Pero había pocos indicios y ninguna prueba. Estas filtraciones revelan cómo de robusta es la vigilancia de la NSA, cómo de extendida está y hasta qué punto la NSA ha dominado todo Internet y lo ha convertido en una plataforma de vigilancia.
Estamos viendo a la NSA recoger datos de todos los proveedores de servicios en nube que usamos: Google, Facebook, Apple, Yahoo, etc. Vemos a la NSA en asociaciones con las principales empresas de telecomunicaciones en Estados Unidos y muchas otras en todo el mundo, para recoger datos de la propia fuente. Vemos a la NSA saboteando deliberadamente la criptografía a través de acuerdos secretos con proveedores, para que los sistemas de seguridad sean menos eficaces. El alcance y la escala son inmensos.
La única comparación que se me ocurre, es que es como la muerte. Todos sabemos cómo acaba la historia, pero ver los detalles, ver los programas, es muy distinto a saber que existen en teoría.
La misión de la NSA es la seguridad nacional. ¿Cómo afecta realmente esta vigilancia a la persona media?
Las acciones de la NSA están haciendo que todos estemos menos seguros. No solo están espiando a los malos, están debilitando la seguridad de Internet a propósito para todos, incluyendo los buenos. Es completamente absurdo creer que solo la NSA puede explotar las vulnerabilidades que crean. Además, al espiar a todos los americanos, están creando la infraestructura técnica para un estado policial.
Aún no estamos en ese punto, pero ya hemos sabido que tanto la DEA como el IRS (la agencia antidroga y el servicio de Hacienda de Estados Unidos, respectivamente) usan datos de vigilancia para el seguimiento y después mienten sobre ello en los tribunales. El poder sin responsabilidad o vigilancia es peligroso para la sociedad a un nivel muy fundamental.
¿Estás examinando documentos de la NSA que nadie ha visto aún? ¿Proporcionan información sobre si hay gente normal, y no solo figuras como terroristas de Al Qaeda o generales norcoreanos, que hayan sido objeto de vigilancia?
Estoy analizando algunos de los documentos que Snowden proporcionó a The Guardian. Dada la delicada naturaleza del asunto, no puedo comentar lo que he visto. Lo que sí puedo hacer es escribir reportajes basados en lo que he visto y eso hago con Glenn Greenwald y de The Guardian. Mi primer reportaje se publicará muy pronto.
¿Los nuevos reportajes contienen nuevas revelaciones a la misma escala que hemos visto hasta ahora?
Quizá.
Ha habido numerosas alusiones a esfuerzos de la NSA por colocar puertas traseras en productos de consumo y software. ¿Cuál es la realidad?
La realidad es que no sabemos cómo de extendida está la práctica, solo sabemos que sucede. He oído varias historias de distintas personas y estoy trabajando para que se publiquen. Por lo que parece, nunca es una solicitud explícita por parte de la NSA. Es más como una broma: "¿Qué, nos vais a hacer una puerta trasera?". Si te muestras dispuesto, la conversación progresa. Si no, todo se puede negar. Es como tener una cita. Puede que nunca se hable del sexo explícitamente, pero sabes que está sobre la mesa.
¿Pero qué clase de acceso, a qué productos, se ha solicitado y se ha concedido? ¿Qué
criptografía se ha saboteado y tiene puertas traseras y cuál no? ¿Qué se ha arreglado y qué no?
Que yo sepa, la respuesta a qué se ha solicitado, es todo: debilitamiento a propósito de algoritmos de encriptado, debilitamiento deliberado de la generación de números al azar, copias de llaves maestras, encriptado de la clave de sesión con una clave específica de la NSA... todo.
La vigilancia de la NSA es robusta. No tengo conocimiento de primera mano de qué productos se han saboteado, y cuáles no. Eso probablemente sea lo más frustrante. No nos queda otra que desconfiar de todo. Y no tenemos forma de saber si hemos arreglado algo.
Genial. Así que hace poco has sugerido cinco consejos para que la gente pueda ponérselo más difícil, si no imposible al espionaje. Estos incluyen usar varias tecnologías de encriptado y métodos de ocultamiento de la localización. ¿Esa es la solución?
Mis cinco consejos son una porquería. No son cosas que pueda hacer un usuario medio. Uno de ellos es usar un PGP [un programa de encriptado de datos]. Pero mi madre no sabe usar un PGP. Puede que algunos de los lectores de tu revista puedan usar mis consejos, pero la mayoría de la gente no.
Básicamente, el usuario medio está jodido. No puedes decir "No uses Google" es un consejo inútil. O "No uses Facebook", porque entonces no hablas con tus amigos, no te invitan a fiestas, no ligas. Es como cuando los libertarios dicen: "No uses tarjetas de crédito"; no funciona en el mundo real.
Internet se ha convertido en algo esencial para nuestras vidas y se ha saboteado para convertirse en una gigantesca plataforma de vigilancia. Las soluciones deben ser políticas. El mejor consejo para el usuario medio es que pelee por un cambio político.