Es noticia
Una empresa española investiga el ciberespionaje masivo para la UE
  1. Tecnología
Cifrado y voluntad política son las claves

Una empresa española investiga el ciberespionaje masivo para la UE

Los expertos de Tecnalia han presentado un informe a las autoridades europeas que incluye análisis de los métodos utilizados por la NSA y recomendaciones para proteger los datos de los ciudadanos

Foto:

¿Qué metadatos se pueden recoger para propósitos de espionaje masivo a escala nacional e internacional? ¿Cómo puede protegerse el usuario de las técnicas de recolección agresiva de sus datos personales? ¿Tienen credibilidad técnica y coherencia las afirmaciones realizadas por la prensa después de las revelaciones de Snowden?

Desde que el exanalista de la CIA destapó la caja de los truenosrevelando que la inteligencia estadounidense espió masivamente a través de internet, estos son algunos de los interrogantes que preocupan a ciudadanos e instituciones europeas. Al fin y al cabo, los escándalos de cibervigilancia salpican ya a la mismísima Alemania, después de que saliera a la luz que sus servicios de inteligencia revelaron información confidencial a la NSA para espiar a empresas y políticos europeos.

Hace unos meses, el Parlamento Europeo decidió que fueran expertos en seguridad informática los que se encargaran de responder a esas preguntas. La Oficina de Evaluación de Opciones Científicas y Tecnológicas de la UE (STOA por sus siglas en inglés) eligió a la empresa española Tecnalia para elaborar la primera parte de un informe en el que se evalúan los riesgos del ciberespionaje para los ciudadanos y las posibles estrategias para incrementar nuestra privacidad.

Un equipo de investigadores españoles especializados tanto en técnicas de cifrado como en seguridad industrial haestado trabajando durante seis meses en la sede de la corporación tecnológica en Bizkaia. ¿Su objetivo? Responder a la treintena de preguntas que STOA les planteó, rastreando en publicaciones científicas, consultado a expertos en seguridad internacionales y examinado al detalle las revelaciones de Snowden.

Tecnalia acaba de presentar las conclusiones de su estudio en la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) del Parlamento Europeo. En su investigación, la firma española corrobora que la NSA tiene capacidad tecnológica para espiar a diestro y siniestro, y nos invita a todos a pensar que nuestras llamadas telefónicas y nuestra actividad en la red interesan (y mucho) a las agencias de espionaje.

"Creo que la gran mayoría de los ciudadanos no es consciente de la forma en que se están exhibiendo sus detalles más íntimos a través de su comunicación diaria", explica Stefan Schuster, autor principal del informe. Este experto en seguridad, nacido en Alemania pero residente en España desde hace 20 años, considera que la concienciación debería ser una de las líneas de trabajo fundamentales del Parlamento Europeo para que todos sepamos mejor cómo podemos proteger nuestra privacidad en internet.

¿Ciudadanos expertos en cifrado?

"Los sistemas de cifrado fuertes implementados adecuadamente son unas de las pocas cosas en las que puedes confiar", decía Edward Snowden hace un par de años. Según las conclusiones de Tecnalia, el extécnico de la CIA sigue teniendo razón: antivirus, firewalls, servidores VPN y sobre todo el cifrado de las comunicaciones son las principales técnicas que los usuarios pueden emplear para protegerse en la era post-Snowden.

En su informe han incluido una completa lista de servicios a los que podemos recurrir. HTTPS Everywhere, una extensión para que los navegadores utilicen la conexión segura de HTTP; DiskCryptor, para cifrar las unidades de disco; Bitmessage para el cifrado de correos electrónicos (un protocolo P2P que comenzó a utilizarse masivamente a raíz de las revelaciones sobre el espionaje de la NSA) o la red Tor para navegar de forma anónima son algunas de las herramientas recomendadas por los expertos españoles.

'Los sistemas de cifrado fuertes implementados adecuadamente son unas de las pocas cosas en las que puedes confiar'

Ahora bien, ¿pueden y deben utilizar los ciudadanos de a pie todas estas herramientas? ¿Tendrán que convertirse en avanzados usuarios de este tipo de programas para empañar los prismáticos virtuales que potencialmente vigilan sus actuaciones? Schuster afirma que estas herramientas siguen siendo muy complejas para la ciudadanía y por eso ha trasladado a los eurodiputados la necesidad de que las soluciones de cifrado puedan implementarse de forma sencilla.

En este sentido, una de las medidas que propone el informe es el desarrollo de un estándar europeo. "Si en el cifrado tenemos problemas de que algunas agencias estatales influyen en la definición de estándares para meter sus puertas traseras, se debe establecer algún sistema que garantice una implementación, el desarrollo de un estándar de cifrado europeo supervisado", explica Schuster.

Seguridad por defecto y 'software' de código abierto

Como supimos por la documentación de Edward Snowden, los servidores de gigantes tecnológicos como Microsoft, Facebook, Yahoo o Google fueron analizados al detalle por la NSA y el FBI. Por ello, el informe de Tecnalia señala la importancia de la seguridad “por defecto del softwarey los proveedores de servicios. "WhatsApp, durante muchos años, ha sido muy criticada por su inseguridad”, comenta el investigador a modo de ejemplo. “Cualquiera con pocos conocimientos podía leer esa información, pero ahora ya han cifrado los mensajes".

También han recomendado a los representantes del Parlamento Europeo la implantaciónde sistemas operativos y programas de código abierto en las administraciones públicas, siguiendo el ejemplo de Múnich, que migró hace años sus sistemas operativos a Linux (aunque, eso sí, ya se han planteado regresar al Windows de Microsoft).

"Para entornos de seguridad, de confidencialidad, como la administración pública, vemos una ventaja en que se use softwarebasado en código abierto. No decimos que esté libre de puertas traseras”, matiza Shuster, “sino que la posibilidad de que se detecten vulnerabilidades sería mucho más alta". La propia comunidad de desarrolladores podrían analizar el código en busca de fallos.

¿Servirán para algo las recomendaciones?

Tomar medidas contra el espionaje a través de internet es un tema que va a largo plazo, opina Stefan, “porque cada Estado se toma el derecho de decidir hasta qué punto es legal recoger esos datos para la seguridad nacional".

Al final, el equilibrio de la balanza entre las libertades civiles y los intereses de la nación es un asunto político. "La decisión, dónde está el equilibrio entre seguridad y privacidad del ciudadano, no se puede decidir tecnológicamente". El problema de la vigilancia masiva no se puede resolver en el plano técnico: ahora que han escuchado a los expertos, la pelota está en el tejado de las instituciones.

¿Qué metadatos se pueden recoger para propósitos de espionaje masivo a escala nacional e internacional? ¿Cómo puede protegerse el usuario de las técnicas de recolección agresiva de sus datos personales? ¿Tienen credibilidad técnica y coherencia las afirmaciones realizadas por la prensa después de las revelaciones de Snowden?

Parlamento Europeo Seguridad
El redactor recomienda