miércoles, 4 de mayo de 2016

Meter puertas traseras es meter inseguridad para todo el mundo: expertos en seguridad contra los backdoors

Pin

Seguridad frente a privacidad. ¿Es posible disfrutar de ambas cosas a la vez? Y si no es así, como parecen demostrar las medidas que vemos aplicadas una y otra vez en nuestra sociedad, ¿qué es más importante para los ciudadanos? Esta es la pregunta que una y otra vez abre delicados debates desde hace años.

En uno de los últimos capítulos de este debate hemos visto cómo el caso del FBI contra Apple ha sido el detonante de otra pregunta derivada: ¿son las puertas traseras necesarias realmente? ¿Deben los cuerpos de seguridad tener acceso indiscriminado a esos dispositivos cuando lo necesiten, como reclamaba el FBI? Es lo que hemos tratado de dilucidar con varios expertos en el campo de la seguridad informática.

La falacia del debate privacidad-seguridad

Para expertos en seguridad como Bruce Schneier esa dicotomía es falsa. Este analista lleva tiempo hablando de los compromisos que tenemos que ir asumiendo gradualmente en materia de privacidad y seguridad, y dedicaba hace ya tiempo una reflexión específica a este debate:

Facebook

La seguridad y la privacidad no son los extremos opuestos de un balancín; no tienes que aceptar menos de uno para conseguir más del otro. Imagina la cerradura de una puerta, una alarma antirrobo y una valla. Imagina armas, medidas contra la falsificación en billetes y esa tonta prohibición de líquidos en los aeropuertos. La seguridad afecta a la privacidad solo cuando se basa en la identidad, y hay limitaciones a ese tipo de aproximación.

Schneier, que añadía que el debate "no es sobre seguridad vs privacidad, sino sobre libertad vs control" arrojaba en aquella reflexión de hace 7 años -tan válida entonces como hoy en día- datos contundentes que dejaban claro que hoy en día la seguridad es más importante que la privacidad.

La seguridad es vital para la supervivencia. La privacidad es única de los humanos, pero es una necesidad social. Es vital para la dignidad personal, para la vida familiar, para la sociedad -lo que nos hace humanos de forma unívoca- pero no para la supervivencia.

Esa no es una reflexión vacía: la pirámide de Maslow refleja esa jerarquía de las necesidades humanas que es confirmada una y otra vez por las encuestas. En aquel artículo Schneier hacía referencia a una encuesta (no disponible ya) en la que el 51% de los participantes habían preferido la seguridad sobre la privacidad, mientras que esta última solo era elegida por el 29% de los encuestados. Esos datos se reforzaban con encuestas como la que el año pasado publicaba el Washington Post: 2 de cada 3 personas se posicionaban a favor de la seguridad sobre la privacidad.

Privacy2

Otros analistas en este ámbito plantean otra reflexión algo distinta. Sheldon Richman, de The Future of Freedom Foundation, explicaba cómo ese debate y esos compromisos no deberían existir en la forma en la que plantean los gobiernos. En un mercado libre, nos dice, una persona descubriría cuál es el equilibrio perfecto para él, y no se presentaría esa situación porque "la información sería desvelada voluntariamente por cada persona bajo términos mutuamente aceptables".

Sin embargo diversos gobiernos plantean lo contrario: que ellos sean los que planteen ese equilibrio sin que nosotros podamos decidir cuál es el equilibrio adecuado para nosotros. Eso, afirma Richman, es una intrusión que se hace sin consentimiento o sin nuestro conocimiento "y espero que nadie diga que votar o seguir viviendo en los Estados Unidos constituye un consentimiento a la invasión de la privacidad", añade.

Expertos César Lorenzana, Chema Alonso y Román Ramírez

Para hablar en profundidad de la cuestión de las puertas traseras quisimos ponernos en contacto con varios expertos en materia de seguridad informática en nuestro país. Nuestros invitados en esta ocasión fueron Román Ramírez (@patowc), que entre otras cosas es creador y organizador del evento de seguridad Rooted CON, Chema Alonso (@chemaalonso), experto en seguridad y, entre otras cosas, autor del blog Un informático en el lado del mal, y César Lorenzana, capitán en la Unidad de Cibercrimen de la Guardia Civil (@GDTGuardiaCivil).

"Si metes backdoors, metes inseguridad para todo el mundo", afirma Román Ramírez

Ramírez comenzaba haciendo una analogía singular: "las fuerzas del estado no pueden perseguir a un Lamborghini con un 600", explicaba al hablar de cómo esas fuerzas de seguridad deben tener herramientas para luchar contra el cibercrimen, "pero eso no quiere decir que todos tengamos que ir en un 600", añadía.

Roman2

Román Ramírez en Rooted CON 2016. Fuente: Flickr/Fotea/Rooted CON

Este experto dejaba claro que las puertas traseras no eran la solución al problema porque como decía, "si metes backdoors, metes inseguridad para todo el mundo", y añadía que una vez que ese caballo de Troya estuviera en nuestros dispositivos "los ucranianos chungos tardarían dos meses en violarlo".

Ramírez también quería dejar claro que ciertas comparaciones eran absurdas: que alguien que ha matado a otra persona o trasladado toneladas de droga sea encausado por usar cifrado era absurdo. Una cosa es conceder herramientas y poderes excepcionales a las fuerzas de seguridad en casos excepcionales, nos decía, y otra muy distinta "otorgarles un poder infinito". El detonante de ese debate fue el caso entre Apple y el FBI, y ahí su reflexión era la siguiente:

Creo que la postura de Apple es correcta por lo siguiente: es irrelevante como tal el caso en sí. Lo importante es lo que quería conseguir el FBI: una palanca para conseguir que todos los fabricantes tecnológicos les dieran carta blanca. Que les dieran herramienta que no tuvieran que pasar bajo control judicial y que pudieran usar cuando le dieran la gana.

Para este experto el debate sobre si tendrían que existir puertas traseras o no era inexistente. Este tipo de sistemas no tenía sentido, y lo que había que hacer era proporcionar herramientas a las fuerzas de seguridad para luchar contra delitos informáticos. Siempre con la supervisión de un juez, y siempre teniendo en cuenta que al darles esas herramientas, las fuerzas de seguridad deben actuar con coherencia: "para que un tipo pueda llevar pistola él tiene que cumplir su parte del contrato", afirmaba.

"Se debe establecer el equilibrio entre libertades y derechos", nos dice Chema Alonso

Chema Alonso lleva mucho tiempo hablando de este tema tanto como conferenciante como como parte de su labor profesional y divulgativa en su blog. De hecho al iniciar la conversación nos recordaba que hay tres artículos publicados sobre este tema (el primero, el segundo y el tercero) y que esa era una buena forma de enteder su postura ante este debate.

Chema

Chema Alonso en Rooted CON 2016. Fuente: Flickr/Fotea/Rooted CON

Si leéis esas entradas entenderéis en profundidad los argumentos de este experto, que explicaba como "no hay un derecho universal específico dedicado a la privacidad". Cada país tiene su propia legislación y concede sus herramientas a su gobierno y las fuerzas de seguridad de ese país para luchar contra todo tipo de delitos. Alonso explicaba que "la ley en EEUU es la suya, y cuando yo voy a EEUU tengo que cumplir su ley, y cuando una multinacional viene a mi país tiene que cumplir las leyes de mi país".

Para Alonso lo que ha ocurrido entre el FBI y Apple ha tenido un trasfondo muy distinto del que han querido comunicar los responsables de esa agencia y esa empresa. Ni el FBI quería únicamente desbloquear ese iPhone 5C del terrorista de San Bernardino, ni Apple quería únicamente proteger la privacidad de todos sus usuarios.

¿Puede Apple desbloquear el teléfono y ayudar al FBI sin generar una puerta trasera? Sí, puede. Apple tiene el 100% de posibilidades de acceder al teléfono. Si alguien cree que no, lo siento. La seguridad se basa en el trusted chain, en el code signing, y el que lo firma es Apple. La empresa podría haberles ayudado, desde luego.

Pero claro, lo que pedía el FBI era en realidad era esa llave maestra de la que se ha hablado. "Yo como Chema Alonso no quiero que el FBI tenga una llave maestra. Porque yo estoy al servicio de la ley, y esos derechos los elijo yo democráticamente (gobierno y parlamento europeo)", nos explicaba. De hecho la diferencia en esa protección de libertades y derechos no era una empresa como Apple, "que es un consejo de administración en el que decide no es Cook, sino el que más acciones tiene. El garante de mis derechos no es Apple, es el gobierno".

Lo que es desconcertante para Alonso es que ese debate haya levantado tanta polémica cuando en realidad hay análisis forenses todos los días en todo el mundo. "La privacidad se rompe todos los días porque un juez prima el derecho de la privacidad y el derecho de otras personas a buscar justicia", destacaba este experto en seguridad informática.

Con todo y con eso, su opinión era tan contundente como la de Ramírez: las puertas traseras no tienen sentido. De hecho explicaba como "para hurtos o bajas laborales ilegítimas, no es proporcional la ruptura de la privacidad al delito. Pero sí hay delitos en las que esa herramienta sí debe aplicarse".

"Una llave maestra haría que cayese el sistema de confianza montado en Internet", según César Lorenzana

César Lorenzana comenzaba opinando sobre el caso de Apple y el FBI que desató la polémica, y dejaba claro que en su opinión "ninguno de los dos está contando toda la verdad". Como se acabó comprobando, el FBI no necesitaba la ayuda de Apple para descifrar el célebre iPhone 5C, algo que hicieron comprando un exploit con el que pudieron acceder a los datos.

Lorenzana2

César Lorenzana en RootedSatellite: Valencia. Fuente: Flickr/Rooted CON

Para él, eso sí, Apple no tiene una llave maestra de descifrado, y de tenerla es absurdo pedírsela porque la empresa va a negarlo. Sin embargo, eso no les exime de colaborar si la justicia lo exige: "Apple aprovecha y se hace su campaña de privacidad. Por mucho que digan que son adalides de la privacidad sí que tienen que ayudar en según que situaciones".

En ese debate sobre privacidad, libertades y seguridad Lorenzana tenía claro que los ciudadanos deben tener claro que las herramientas que se pueden usar para la lucha contra los delitos hacen que unos gobiernos y agencias tengan más recursos que otras. "En Estados Unidos se pueden violar muchas cosas, pero no la tecnología", pero lo que no pueden hacer los ciudadanos es protestar si las herramientas de las que disponen los cuerpos de seguridad no bastan para detener o evitar ciertos delitos.

Pero de nuevo su opinión era clara: la existencia de una llave maestra sería absurda, ya que caería todo el sistema de confianza montado en internet. Igual que no hay una llave maestra para entrar en cualquier casa -si es necesario realmente entrar, un juez lo aprueba y los cuerpos de seguridad acaban entrando- no puede haberla para dispositivos electrónicos. De hecho si existiera empresas como Apple tendrían que enfrentarse a una verdadera pesadilla en su gestión a la hora de cederla. "Si Apple hace esto para EEUU, ¿con qué cara me dices que no si la pido en España? ¿O cuando te lo pida China? ¿O Irán?". Lorenzana lo dejaba claro:

Los que trabajamos en este área pensamos igual: quiero mi información a salvo. Si fuerzo a determinado proveedor a crear una puerta trasera, ¿quién me dice que no va a utilizarlo contra mi? Eso no va a ningún sitio. Hay que encontrar un camino alternativo. Un equilibrio.

Para este experto la libertad y la seguridad son compatibles, "pero tiene que haber procedimientos para violar la libertad de alguien para proteger la seguridad de otros muchos". Además le preguntábamos por el estado de la seguridad informática en nuestro país. ¿Tenemos algo que envidiar a otros países o gobiernos en esta materia?

Para nada, nos decía. "Creo que estamos mejor que los que nos rodean, sobre todo en temas como el ingenio o inventiva. Cosas que otros hacen con herramientas de 800.000 euros nosotros lo hacemos con herramientas muy eficaces y mucho más baratas que hemos desarrollado con mucho amor y mucho cariño". Para Lorenzana España también ha mejorado en materia de regulación, algo en lo que íbamos por detrás, pero lo deja claro: "no considero que estemos por debajo de nadie de los que nos rodea".

En Xataka | Si eres paranoico respecto a la seguridad y la privacidad, tenías razón
En Applesfera | Guía para entender qué está pasando con el FBI y el cifrado del iPhone

También te recomendamos

Un día en el campo: todo lo que necesitas para disfrutarlo con tu bebé

Smurf Suite: Snowden destapa el software de la NSA británica para controlar cualquier móvil

Estas son las cuatro ideas que la Casa Blanca estudió para acabar con el cifrado de móviles

-
La noticia Meter puertas traseras es meter inseguridad para todo el mundo: expertos en seguridad contra los backdoors fue publicada originalmente en Xataka por Javier Pastor .



Gracias a Javier Pastor

No hay comentarios.:

Publicar un comentario