Foto: El antiguo director adjunto de la NSA, John C. Inglis

Ha pasado más de un año desde que el antiguo contratista de la Agencia de Seguridad Nacional (NSA por sus siglas en inglés) Edward Snowden empezara a filtrar detalles sobre los programas de vigilancia electrónica de la agencia, y aún quedan muchas preguntas en el aire sobre cómo pudo acceder a tantos documentos y sobre la tecnología que describen. En la conferencia sobre seguridad informática Black Hat celebrada en Las Vegas (EEUU) a principios de este mes, Rachel Mardsen hizo alguna de esas preguntas a John C. Inglis, quien se jubiló como director adjunto de la NSA en enero de este año. Desde junio Inglis es asesor estratégico para Securonix, una empresa de Los Ángeles (EEUU) que vende software para ayudar a las compañías a detectar acciones no autorizadas de sus empleados.

Agentes de la NSA han descrito a Edward Snowden como un empleado administrativo que trabajaba para un contratista externo. Sin embargo pudo acceder a toda clase de información clasificada. ¿Cómo pudo suceder algo así?

Snowden era administrador de sistemas, así que por definición tenía más privilegios. ¿Eso expone una debilidad del sistema? A posteriori vemos que Snowden fue mucho más allá de lo que podríamos esperar. El reto es cómo permites a individuos a los que has dedicado mucho tiempo y esfuerzo en encontrar, vetar, y en confiar en ellos, ejercer su ingenio, innovación y creatividad? Tenemos que mejorar nuestra posición sin cargarnos al 99,9% de las personas que han funcionado con lealtad. Tenemos que centrarnos en los comportamientos, por ejemplo en el acceso a los datos en tiempo real, en vez de defender los perímetros, los sistemas operativos o los artefactos. Hay que vigilar en busca de un cambio en el comportamiento que sea una anomalía y que pide una inspección más detallada.

Dado lo que sabe sobre las capacidades tecnológicas de otros servicios de inteligencia, ¿cuál es la posibilidad de que accedieran a la colección completa y sin editar de los documentos que tenía Snowden sin su conocimiento?

Yo diría que es elevada. Es un tipo inteligente. Sabe mucho de seguridad y encriptado. Pero algo que hemos aprendido después de 70 años de historia de la criptografía es que una única mente nunca vence a una serie de diversas de mentes. La idea de que una única persona pueda hacerse con información frente al esfuerzo de servicios de inteligencia muy capaces es mucho pedir. Hay cierta arrogancia en eso.

¿Cómo respondes a la afirmación de Snowden de que no existen cauces para que un contratista de la NSA revele algo que pudiera constituir un delito y que está siendo silenciado?

Existe una ley que permite a los contratistas revelar secretos. Los registros demuestran que no intentó hacer nada de eso. Podría haber mandado una carta privada a representantes del Congreso, a senadores, a la prensa. Dijo que se quejó en abril de 2013 por escrito. No fue una queja, fue una pregunta directa sobre algo que había aprendido en un curso. Recibió una respuesta ese mismo día de un abogado de la NSA. Esto fue cuatro meses después de que, admitido por él mismo, empezara a compartir información con la prensa. No sé cómo eso constituye un intento de revelar algo.

¿Cómo concilia la NSA sus misiones contradictorias de inteligencia de señales (encontrar formas de recoger datos privados) y asegurar la información (encontrar formas de proteger los datos de EEUU)? Por ejemplo, a la agencia se la ha acusado de imponer el estándar de encriptado fallido Dual_EC_DRBG (ver "La filtración sobre la NSA no afecta a la matemática criptográfica pero destaca puntos débiles conocidos").

El sesgo tiene que ser la defensa. Y si separásemos la misión de asegurar la información de la misión de las señales de inteligencia, estoy seguro de que hallaríamos que lo que los tipos encargados de asegurar la información aprenden sobre la verdadera naturaleza de las vulnerabilidades en el ciberespacio sería mucho peor. Estarían separados de quienes descubren esas vulnerabilidades. La gran mayoría de las cosas que descubre la NSA se imponen con objetivos de defensa a quienes defienden estos sistemas.

¿Se podría usar la tecnología para hacer que los programas de vigilancia masiva fueran más respetuosos con la intimidad personal? El antiguo criptógrafo de la NSA William Binney afirma que ayudó a construir un sistema con este tipo de salvaguardas, pero que los líderes de la agencia lo rechazaron.

Sería absurdo que la NSA rechazara tecnología que nos ayudara a conseguir objetivos de seguridad nacional al mismo tiempo que defendemos la privacidad y las libertades civiles. Sé que al final no se aprobó. Hay recogida de datos casual, dado que cualquier comunicación en el mundo tiene dos partes, pero te has comprometido por las leyes y la política de la agencia a tratar a los inocentes como inocentes hasta que no tienes información sólida que haga que los trates de otra manera. Si le preguntas a un empleado de la NSA cómo llega a un compromiso entre la privacidad y la seguridad nacional, dirán que la pregunta no vale porque se espera que hagan ambas cosas.