Las paredes digitales también oyen: la batalla por la privacidad en nuestros mensajes

La encriptación, o cifrado, es uno de los modos más eficaces de evitar que un tercero pueda acceder a nuestros mensajes de texto, correos electrónicos, llamadas telefónicas y videochats. Ampliar

En Europa, las autoridades tratan de frenar los intentos de las compañías de mensajería móvil por comercializar los datos de sus clientes. En EE UU, la victoria de Donald Trump ha hecho crecer el temor a un incremento de la vigilancia cibernética y del control digital por parte del Gobierno. Amnistía Internacional denuncia que nuestras comunicaciones sufren la amenaza constante de ciberdelincuentes y del espionaje injustificado de los Estados. Los usuarios, sin embargo, parecen estar cada vez menos preocupados.

Leer Estándar
Publicado en 20minutos.es

Puede que la lucha por la privacidad en la era digital no sea aún una batalla perdida, pero los avances, si es que los hay, no invitan precisamente al optimismo. Los recursos de vigilancia de que disponen los gobiernos son muy grandes, y el interés de las compañías por rentabilizar sus servicios —gratuitos en la mayoría de los casos— mediante el uso comercial de la actividad del usuario (el cliente es el producto), también.

Esa aparente gratuidad, unida al supuesto vacío social que puede conllevar el nadar contra corriente, y a la comodidad, hace, además, que a los propios usuarios les preocupe su privacidad en teoría, pero no tanto en la práctica. La relajación es a menudo mayor entre las nuevas generaciones de nativos digitales, habituados a criterios menos rígidos con respecto a lo que es compartible y lo que no.

Según los resultados de la última encuesta anual Navegantes en la red, elaborada por la Asociación para la Investigación de Medios de Comunicación (AIMC), y que recoge los hábitos de los internautas españoles y la evolución de las tendencias digitales, la preocupación por la privacidad en la red (incluyendo mensajes y redes sociales) experimentó el año pasado el primer descenso desde que se realiza esta investigación (1996), con una bajada de tres puntos (hasta un 32,2%).

El estudio concluía que ha disminuido la percepción de vigilancia en las comunicaciones a través de Internet, y que, entre 2013 y 2015, se redujo asimismo el número de personas que se sienten muy o bastante vigiladas, pasando del 53.5% al 46.0%. Según el sondeo, el 41.1% de los internautas se sienten “poco vigilados”, mientras que un 12.8%, “nada observados”. A pesar de ello, ocho de cada diez encuestados sostienen que les preocupa el uso que se pueda hacer de los datos personales que publican en Internet, y casi el 90% es consciente de que conviene “ser cuidadoso” con la actividad en las redes sociales.

Otra encuesta, el Estudio sobre la ciberseguridad y confianza en los hogares españoles, realizado por el el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), y correspondiente al periodo enero-junio de 2016, revela que la gran mayoría (93,2%) de los usuarios españoles de teléfonos inteligentes y tabletas Android declara realizar descargas de aplicaciones desde los repositorios oficiales. Sin embargo, en un tercio (32,8%) de los dispositivos Android analizados, la configuración por defecto había sido modificada para permitir la instalación de aplicaciones desde fuentes desconocidas. Además, el 63,7% de los usuarios de redes sociales configura su perfil para que solo sea accesible por sus amigos y contactos, pero el 31,8% expone los datos publicados en su perfil a terceras personas y/o a desconocidos, e incluso un 4,6% de los consultados declara desconocer por completo el nivel de privacidad de su perfil.

De las revelaciones de Snowden a la amenaza de Trump

Entre tanto, se suceden las noticias sobre amenazas, reales o potenciales, a la privacidad de los usuarios, ya sea con fines comerciales o por parte de los gobiernos. En Estados Unidos aún siguen estando muy presentes el escándalo por las revelaciones del exagente de la CIA Edward Snowden sobre cibervigilancia gubernamental masiva, o la polémica por la reciente negativa de Apple a dar al FBI acceso a los datos del iPhone de uno de los autores de la matanza de San Bernardino, en California. Y el pasado octubre se supo que Yahoo espió en 2015 cientos de millones de cuentas de correo de sus usuarios a petición de la Agencia de Seguridad Nacional (NSA, en sus siglas en inglés) y del propio FBI. Aunque se desconoce qué información específica buscaban las autoridades, se sabe que querían que Yahoo se enfocara en la búsqueda de ciertos caracteres en frases dentro de correos electrónicos o de documentos adjuntos.

Por otra parte, la victoria de Donald Trump en las elecciones presidenciales no ha hecho más que aumentar la preocupación entre las compañías tecnológicas y los defensores de las libertades civiles, temerosos de que el republicano, autodenominado el presidente de “la ley y el orden”, intente expandir programas de vigilancia y reavive la batalla sobre el acceso del Gobierno a información codificada. Durante la campaña, Trump realizó varias críticas contra el sector tecnológico, incluyendo llamamientos a impedir el acceso a sectores de Internet para limitar la “propaganda islamista” y a un boicot contra productos de Apple, por el mencionado rechazo de la empresa a colaborar con el FBI.

Como recuerdan en Xataka, en el verano de 2015 Trump dijo que estaba a favor de que la NSA pudiera retener los metadatos obtenidos como parte de la vigilancia. Para lograr un mayor control, el ahora presidente electo proponía crear un nuevo organismo judicial que supervisara el acceso a los datos. Después, en uno de los debates, Trump reforzó su postura a favor de la cibervigilancia masiva e incluso llegó a decir que él daba por hecho que en sus llamadas telefónicas siempre había alguien escuchando. Sin embargo, en el programa publicado en su web no ofreció más detalles sobre cómo tiene pensado implementar esto.

Otro factor preocupante es la reelección del senador republicano Richard Burr, el presidente de la comisión de inteligencia de la Cámara Alta, quien lideró un fallido esfuerzo el año pasado por aprobar una legislación que exija a las compañías habilitar una “puerta trasera” para sus productos, que permita a agentes del Gobierno saltarse la encriptación y otras formas de protección de datos. En este sentido, Jan Koum, cofundador de WhatsApp, dijo a Reuters que su compañía, líder con diferencia en el sector, será “extremadamente enfática” en contra de tales esfuerzos, ya que “dañarían la reputación de las empresas estadounidenses en la escena mundial”.

Freno a WhatsApp

Otra cosa, sin embargo, parecen ser las políticas comerciales. El pasado mes de agosto, WhatsApp anunció su intención de compartir con Facebook (empresa a la que pertenece) el número de teléfono de sus usuarios, así como información acerca de la frecuencia con la que éstos utilizan la aplicación de mensajería instantánea. La compañía admitió además que otras empresas filiales de Facebook, como Instagram, podrán usar asimismo la información de WhatsApp para “actividades diversas”, como sugerir qué cuentas seguir, y aclaró que, aunque los usuarios podían negarse a que sus datos se empleen para “mejorar experiencias respecto a anuncios y productos”, no podrían impedir que Facebook conociese su número de teléfono y sus patrones de actividad en WhatsApp.

Finalmente, y tras las críticas recibidas desde diversas autoridades europeas (incluyendo una investigación abierta por la Agencia Española de Protección de Datos), WhatsApp aseguró la semana pasada que no intercambiará datos de sus usuarios europeos con Facebook, al menos hasta que se resuelvan las “preguntas y preocupaciones” que despertó su nueva política de privacidad.

La política comercial de la compañía contrasta con el alto nivel de seguridad que ofrece a sus usuarios frente a la posible vigilancia de terceros, gracias a la encriptación de los mensajes. Este servicio, que funciona desde principios de este año, ha situado a la aplicación, junto con Telegram, la mensajería instantánea de Apple y la de la propia Facebook, en los primeros puestos de un ránking sobre privacidad en las aplicaciones de mensajería elaborado por Amnistía Internacional (AI) y publicado el pasado mes de octubre. De acuerdo con este informe, Snapchat y Skype se encuentran entre las que peor protegen la intimidad de sus clientes.

Para la elaboración del estudio, AI tuvo en cuenta cinco aspectos, valorados en una escala de 1 a 100: reconocimiento de las amenazas online para la privacidad y la libertad de expresión de los usuarios; aplicación por defecto de encriptación de extremo a extremo; información a los usuarios de las amenazas para sus derechos y del nivel de encriptación aplicado; revelación de información sobre los requerimientos del gobierno a la empresa para que facilite datos de usuarios y la respuesta de la empresa; y publicación de detalles técnicos de los sistemas de encriptación.

La organización situó a la empresa china Tencent en el último lugar del ránking, con una puntuación de 0 sobre 100. Por delante de la compañía china se encuentran BlackBerry Messenger (BBM) y Snapchat, con puntuaciones de 20 y 26, respectivamente. Skype obtiene 40 puntos y se coloca en el cuarto puesto por la cola.

La encriptación, básica

La llamada “encriptación de extremo a extremo” es la clave. Si las comunicaciones están encriptadas, se necesita una clave secreta para descifrar el texto. Con otras formas de encriptación, es muy frecuente que esta clave esté en manos de la empresa que proporciona los servicios de correo electrónico o alojamiento de sitios web, entre otros. Pero, con la encriptación de extremo a extremo, el usuario es la única persona que posee la clave, no la empresa, y esa clave no abandona nunca el dispositivo del cliente, de manera que las comunicaciones son privadas en todo momento.

AI concluía que nuestras comunicaciones “sufren la amenaza constante de ciberdelincuentes y piratas informáticos, y del espionaje injustificado por parte de las autoridades del Estado”. La organización añadía que “las personas jóvenes, activistas y periodistas que comparten datos personales a través de aplicaciones de mensajería corren un riesgo especial. Muchos de nosotros confiamos a estas aplicaciones datos íntimos de nuestra vida personal. Las empresas que no toman medidas básicas para proteger nuestras comunicaciones traicionan esa confianza”.

Así quedaron retratadas en el informe, una por una, las principales aplicaciones de mensajería instantánea:

  • Facebook y WhatsApp. Las aplicaciones de mensajería instantánea de ambas empresas (WhatsApp pertenece a Facebook) suman 2.000 millones de usuarios. Son las que más usan la encriptación y las más transparentes sobre las medidas que están adoptando. WhatsApp es la única aplicación en la que se avisa expresamente a los usuarios de cuándo no se aplica la encriptación de extremo a extremo a un chat determinado, pero Facebook Messenger no usa este tipo de encriptación por defecto y no advierte a los usuarios de que en las conversaciones normales se utiliza una forma de encriptación más endeble. Puntuación: 73 sobre 100.
  • Apple. Las aplicaciones iMessage y Facetime de Apple proporcionan encriptación total de extremo a extremo por defecto. Apple también ha adoptado una postura pública en contra de las “puertas traseras de la encriptación” y revela las peticiones gubernamentales de datos del usuario. Sin embargo, la empresa “debería hacer más” para notificar a los usuarios dentro de las propias aplicaciones cuándo su información está protegida mediante la encriptación de extremo a extremo y cuándo no lo está (por ejemplo, cuando alguien envía un mensaje a una persona que no usa un iPhone). Puntuación: 67 sobre 100
  • Telegram. Con 100 millones de usuarios activos al mes, Telegram Messenger se autoproclama una aplicación de mensajería segura y tiene una postura firme sobre la protección de la intimidad y de la libertad de expresión de los usuarios. Por tanto, y según AI, “sorprende” que la empresa no use la encriptación de extremo a extremo por defecto, y que los usuarios no reciban ningún aviso cuando utilizan una encriptación más endeble. Puntuación: 67 sobre 100.
  • Google. Las aplicaciones de mensajería de Google son Allo, Duo y Hangouts. Hay encriptación de extremo a extremo en Duo, pero es solo es optativa en Allo, y Hangouts carece totalmente de ella. Google sí revela las peticiones de datos de los gobiernos, y ha adoptado una postura pública en contra de las “puertas traseras de la encriptación” que desbloquearían aparatos o aplicaciones y permitirían que los gobiernos accediesen a datos personales. Puntuación: 53 sobre 100.
  • Line. El servicio de mensajería móvil Line tiene más de 200 millones de usuarios activos al día, la mayoría de ellos en Asia. La aplicación recibió la calificación máxima por proporcionar encriptación de extremo a extremo por defecto a todas las comunicaciones de sus aplicaciones de mensajería, pero no hace lo suficiente para informar a los usuarios de las amenazas para los derechos humanos, y no publica un informe de transparencia. Puntuación: 47 sobre 100.
  • Viber. Tiene 700 millones de usuarios registrados y casi 250 millones de usuarios activos al día. Viber obtuvo la calificación máxima por proporcionar encriptación de extremo a extremo por defecto en todas las comunicaciones. No obstante, no publica un informe de transparencia ni revela todos los detalles de cómo implementa la encriptación. Puntuación: 47 sobre 100.
  • Kakao. La empresa surcoreana es propietaria de KakaoTalk, una aplicación que tiene 49 millones de usuarios activos al mes. En octubre de 2014 fue sometida a una presión significativa tras conocerse que había facilitado información sobre sus usuarios al Gobierno de Corea del Sur. Posteriormente, la empresa tomó medidas para reforzar su nivel de encriptación, pero no aplica la encriptación de extremo a extremo por defecto. Puntuación: 40 sobre 100.
  • Skype. Propiedad de Microsoft desde 2011, el popular servicio de llamadas de voz y vídeo cuenta con 300 millones de usuarios activos. Skype es, según AI, un objetivo importante de la vigilancia gubernamental en todo el mundo. A pesar de la política de firme compromiso con los derechos humanos de Microsoft, la empresa sigue usando un método de encriptación endeble en Skype. Puntuación: 40 sobre 100.
  • Snapchat. La aplicación Snapchat es utilizada por más de 100 millones de personas cada día. Aunque tiene una política de firme compromiso con la privacidad, en la práctica no adopta medidas suficientes para proteger la intimidad de sus usuarios. No usa la encriptación de extremo a extremo y “tiene que hacer más” para informar a los usuarios sobre cómo se enfrenta a las amenazas a sus derechos. En concreto, la “desaparición” de los mensajes podría dar a los usuarios una sensación falsa de privacidad. Puntuación: 26 sobre 100.
  • BlackBerry. BlackBerry Messenger (BBM), con 100 millones de usuarios, solo ofrece encriptación de extremo a extremo como servicio de suscripción de pago. A pesar de la reconocida seguridad del sistema operativo de BlackBerry, y según AI, la empresa canadiense no ha hecho ningún compromiso público con la libertad de expresión y no publica informes de transparencia. Puntuación: 20 sobre 100.
  • Tencent. Posee las dos aplicaciones de mensajería más populares en China, WeChat y QQ, y es la última en la clasificación de AI. No solo no cumple adecuadamente ninguno de los criterios, sino que es la única empresa que no ha declarado públicamente que no atenderá las peticiones gubernamentales de acceso a mensajes encriptados mediante la creación de una “puerta trasera”. Puntuación: 0 sobre 100.

Ver este artículo en 20minutos.es