blog del ingeniero Ernesto Ibáñez: Ciber Espionage: Corporaciones y NSA

La Cibervigilancia es un tema que viene de muy lejos, casi tan antiguo como el uso comercial de la web. El desarrollo de las cookies por parte de Netscape como forma sencilla de preservar información entre sesiones de navegación de un usuario dio origen a una amplia gama de posibilidades de monitorización que han ido sofisticándose con el avance de la tecnología, relacionadas generalmente con cuestiones como la publicidad, el control de acceso, los carritos de la compra, etc., y que han terminado por llevarnos a la situación actual.

Sus connotaciones, sin embargo, cambiaron bruscamente a partir de las revelaciones de Edward Snowden que comenzaron en mayo de 2013. La llamada “era post-Snowden” se caracteriza por la creencia de que un gobierno, particularmente el norteamericano, es el protagonista principal de todo lo relacionado con la cibervigilancia. Tras comprobar de manera fehaciente la magnitud de las operaciones de la NSA, hay dos verdades que se han instalado de manera persistente en el imaginario colectivo: la primera, que la principal amenaza a la privacidad de los usuarios proviene de la NSA. Y la segunda, que el problema es que el gobierno norteamericano abusa de la Patriot Act y permite una serie de prácticas que resultarían imposibles en otros países.

La primera cuestión, la magnitud de la cibervigilancia, está ganada a pulso. El incremento de la magnitud de las operaciones de la NSA adquiere tintes de auténtica metástasis, una hipertrofia brutal que coincide además en el tiempo con la apertura del faraónico complejo de Utah y con la evidencia de que sus actividades, permitidas y alentadas por aquel presidente que parecía tener actitudes tan abiertas ante la tecnología, parecen ir mucho más allá de lo que sería razonable en aras de una hipotética protección de la seguridad nacional. Pero no nos engañemos: la principal amenaza a la privacidad y el mayor volumen de datos recolectados sobre nuestras actividades en la red no corresponde a la NSA, sino a compañías privadas.

A medida que las evidencias sobre la cibervigilancia de la NSA van minando nuestro nivel de tolerancia para hacernos creer que este tipo de cuestiones son “lo normal” o “lo que todo el mundo hace”, las compañías están escalando sus prácticas de monitorización mediante tecnologías como el llamado “device fingerprinting” (la captura de una amplia variedad de datos sobre características de la máquina que origina la conexión, con el fin de acumularlas para obtener una especie de huella característica de la misma) o las llamadas “supercookies“, que permiten el seguimiento de un usuario a través de diferentes dispositivos.

Como bien advertía Rebecca MacKinnon en su “The consent of the networked“, para cuya edición española ya está en circulación, la cibervigilancia no es responsabilidad ni labor exclusiva de los gobiernos, sino de una combinación de actividades de empresas privadas y de estos. De hecho, una de las técnicas empleadas por los gobiernos es precisamente relajar esta recolección de datos en dichas empresas privadas, a las que posteriormente pueden reclamar el acceso. En el futuro, es muy posible que la tendencia sea precisamente esta: relajar la recolección directa de datos por parte del gobierno a medida que se incrementa la presión política y ciudadana para un control más exhaustivo de la misma, pero incrementar el nivel de exigencia sobre las empresas que recopilan datos de los usuarios con fines comerciales.

Lo que nos lleva al segundo mito: que el gobierno de los Estados Unidos es, de alguna manera, “especialmente peligroso” con respecto al tema de la privacidad. En efecto, el gobierno norteamericano ha sido el que ha sufrido el impacto directo de las revelaciones de un Edward J. Snowden que, después de todo, se infiltró en su plantilla y no en la de otro país, y parece además especialmente motivado a ejercer un fuerte nivel de vigilancia a partir del clima que se generó con los atentados del 11S y posteriores. Sin embargo, hay una gran verdad de la que no se suele hablar tanto: al menos en el gobierno de los Estados Unidos existen algunos mecanismos que posibilitan que este tipo de acciones, que efectivamente en muchas ocasiones caen en el abuso, puedan ser mínimamente investigadas. La desclasificación obligatoria de documentos tras pasar un cierto tiempo, o la posibilidad de las empresas de argumentar o contestar las peticiones de datos gubernamentales llevan a que, en realidad, y por mucho que podamos decir de los Estados Unidos, la situación de las amenazas a la privacidad por parte de gobiernos sea mucho peor no solo en países que directamente no respetan los derechos humanos, sino incluso en otros, como muchos en Europa, que ni siquiera permiten a las empresas decir nada en caso de que los datos de sus clientes sean reclamados por su gobierno.

Países como Suiza, o como una Alemania que habitualmente se considera extrema en las medidas de protección de la privacidad, no permiten a las compañías ningún tipo de defensa ante un requerimiento gubernamental. En otros casos, esa legislación es directamente difusa o desconocida, y la práctica habitual es tapar todo ese rango de actividades bajo el amplio manto de “secretos oficiales”. Sí, el gobierno de los Estados Unidos abusa a todas luces de su capacidad para la cibervigilancia de los ciudadanos y de su potencial para actuar como punto central en el que se concentran peticiones a diversas compañías. Sí, muchos de los controles que teóricamente había han fallado estrepitosamente. Pero como usuarios, debemos preocuparnos más por controlar los abusos a los que nos someten las empresas privadas y los gobiernos de nuestros propios países, en los que todo indica que existe un nivel de control inferior al que, después de todo, impera en los Estados Unidos.

Las reacciones de escándalo ante las actividades de la NSA son completamente lógicas, pero deben acompañarse de las correspondientes peticiones y presión ante las empresas a las que alegremente entregamos datos para asegurar que mantenemos el control sobre los mismos, y ante los gobiernos de cada país para saber qué es exactamente lo que están haciendo y hasta dónde llegan sus actividades relacionadas con este tema. Limitarse a escandalizarse ante la NSA sin acompañarlo de esta reflexión podría terminar por tener, incluso, un efecto adverso. Ninguna vigilancia oculta es buena, porque básicamente no sirve para nada: los “malos” la evitan, y se termina por monitorizar simplemente a quienes no sienten que tengan motivos para evitarla. Debemos, por tanto, tener claro quién está haciendo qué, a qué nivel de vigilancia nos está sometiendo quién, y reclamar nuestros derechos con la presión adecuada no solo ante los Estados Unidos y la NSA, sino ante quien corresponda en cada momento. A veces, el verdadero enemigo está más cerca de lo que uno piensa.