Avance
Teléfonos móviles para el mercado de consumo que transmiten mínima información personal.
¿Por qué es importante?
Gobie os y anunciantes recopilan detalles íntimos de los teléfonos móviles.
Actores clave
- Blackphone
- CryptoPhone
- Open Whisper Systems
El 21 de enero, a los manifestantes que abarrotaban la Plaza de la Independencia de Kiev (Ucrania) les llegó un mensaje de texto. Por aquel entonces su presidente, Viktor Yanukovich, aún se aferraba al poder y trataba con brutalidad a los oponentes. El mensaje, procedente del número 111, decía: "Estimado suscriptor, estás registrado como participante en un disturbio de masas". El mensaje, que se cree que fue enviado desde el aparato de seguridad de Yanukovich a todos los teléfonos en la zona de la protesta, era un claro recordatorio de cómo los teléfonos móviles pueden ser utilizados para la vigilancia.
Poco después, un hombre ucraniano entró en una anodina oficina en National Harbor, Maryland (EEUU), y solicitó la ayuda de un hombre llamado Phil Zimmermann.
Zimmermann es criptógrafo. Su compañía, Silent Circle, cifra llamadas de voz, mensajes de texto y cualquier archivo adjunto. Si utilizas Silent Circle, tus llamadas a otros usuarios son enviadas a través de los servidores de la compañía y se descifran en el otro teléfono. El servicio no evita la entrega de mensajes ominosos en el rango de algunas estaciones base. Pero puede bloquear las escuchas y evitar que los fisgones conozcan el número de la persona que está llamando o enviando mensajes de texto. En muy poco tiempo, los organizadores de la protesta en el centro de Kiev empezaron a recibir códigos de Silent Circle. "Esos son los tipos de ambientes donde se necesita un amplio despliegue de la tecnología de cifrado", asegura Zimmermann, con evidente satisfacción.
Durante el último año ha quedado más claro que lugares como Kiev no son los únicos ento os en los que la gente podría querer la privacidad que Zimmermann proporciona. Los documentos sacados a la luz por el excontratista de la Agencia de Seguridad Nacional de EEUU, Edward Snowden, sugieren que la NSA recoge enormes cantidades de información de plataformas de computación en nube y proveedores de servicios inalámbricos, incluyendo los números a los que llama la gente común y las veces que llaman. El gobie o no sólo podría estar vigilándote: también podrían estar haciéndolo los sitios web, los anunciantes e incluso los minoristas que intentan seguir tus movimientos dentro de las tiendas. Los smartphones mode os y las aplicaciones que se ejecutan en ellos están diseñados para recoger y difundir enormes cantidades de datos, como la ubicación, los historiales de navegación web, los términos de búsqueda y las listas de contactos del usuario.
Este verano Zimmermann presentará una nueva forma de lucha contra todo esto: un smartphone de alta seguridad llamado Blackphone. Está fabricado por un consorcio de empresas entre las que se incluye Silent Circle, y utiliza las herramientas de cifrado de Zimmermann además de otras protecciones. Ejecuta una versión especial del sistema operativo Android, PrivatOS, que bloquea muchas de las formas en que los móviles filtran datos sobre tus actividades. Aunque los líderes militares y gube amentales llevan mucho tiempo usando móviles con seguridad a medida, esta iniciativa podría ser una señal de cambio hacia el uso de teléfonos más privados y seguros en el mercado de masas.
Blackphone, que se vende por 629 dólares (455 euros) con suscripciones a servicios de protección de la privacidad, es una de las muchas medidas que están tomando los tecnólogos en respuesta a las revelaciones de Snowden. Una de estas iniciativas consiste en un mayor cifrado del tráfico web común. El científico informático en el Trinity College de Dublín (Irlanda), Stephen Farrell, que lidera el proyecto a través del Inte et Engineering Task Force, afirma que una parte crucial de la estrategia es contar con un teléfono que cifre las comunicaciones y selle las fugas de datos. "Personalmente, me gustaría tener un teléfono con una configuración mucho más fortalecida y que facilitara la privacidad", afirma.
Criptoguerrero
Phil Zimmermann creció en Florida y siempre le gustó irrumpir en lugares y cosas: sus conquistas juveniles incluyen Disney World y el Miami Seaquarium. Estudió ciencias informáticas en la Universidad Atlántica de la Florida (EEUU), y se interesó por la criptografía en la década de los 70, cuando surgieron artículos sobre una tecnología llamada criptografía de clave pública. La criptografía tradicional requería que las partes en una conversación cifrada tuvieran la misma herramienta de decodificación única (o "clave"). El nuevo enfoque era fundamentalmente diferente: se trataba de dos claves matemáticamente relacionadas, una privada y otra pública. De pronto fueron posibles aplicaciones como las firmas digitales. Podías utilizar una clave privada para "firmar" un documento y más tarde cualquier persona podía usar la clave pública para comprobar que tú eras de hecho el autor.
El software de privacidad de Zimmermann es clave para el Blackphone. "Tal y como dijo Steve Jobs, si quieres crear un buen software también tienes que construir el ordenador", asegura.
Zimmermann compaginó su fascinación por esta nueva herramienta con su faceta de activista. En la década de 1980, mientras trabajaba como ingeniero de software durante el día, era activista por la paz por la noche, trabajando en el movimiento de congelación de armas nucleares y siendo arrestado en el sitio de pruebas nucleares de Nevada (EEUU). (Asegura haber visto al actor Martin Sheen y al famoso científico Carl Sagan en la cárcel). Consideraba la Casa Blanca de Reagan como una amenaza a la paz y los derechos humanos, puesto que iba contra los movimientos y los gobie os socialistas. Pronto empezó a unir sus intereses. "Quería crear software criptográfico para proteger a la comunidad, al pueblo de El Salvador, a los grupos de derechos humanos", afirma.
En última instancia se le ocurrió algo nuevo para aplicaciones como el correo electrónico. Lo que hoy se conoce como PGP, del inglés Pretty Good Privacy (privacidad bastante buena), tiene como base la criptografía de clave pública pero con algunos trucos nuevos, utilizando algoritmos más rápidos y vinculando elementos como los nombres de usuario y las direcciones de correo electrónico a claves públicas. PGP se convirtió rápidamente en el modo más popular de cifrar el correo electrónico. También hizo de Zimmermann un combatiente en las llamadas guerras de cifrado de la década de 1990. Por aquel momento, al Gobie o de EEUU le preocupaba que las fuertes tecnologías de cifrado acabaran saliendo del país y que fuera más difícil espiar a otros países. Así que después de que Zimmermann publicara su código en inte et en 1991, el Departamento de Justicia abrió una investigación criminal. Y no la abandonó hasta 1996. Para aquel entonces, los temores de que los gobie os extranjeros usaran la criptografía para esconder sus actividades frente a los EEUU se vieron ensombrecidos por el gran potencial que tenía la tecnología para las empresas estadounidenses en el ento o empresarial globalizado que surgió después de la Guerra Fría. Los negocios abrían oficinas y fábricas en mercados laborales baratos, "que solían estar en países con ento os de escuchas telefónicas agresivas y poco respeto por los derechos humanos", asegura Zimmermann. Estas empresas empezaron a enfrentarse a amenazas a las que en su día sólo se enfrentaban los activistas políticos y de derechos humanos. Para dar mejor servicio a ese mercado, Zimmermann comenzó a vender herramientas de criptografía a través de una nueva empresa, PGP Inc.
Zimmermann siempre quiso llevar el cifrado generalizado un paso más allá: la seguridad telefónica. Sin embargo, hasta estos últimos años las transmisiones de voz no adquirieron de forma generalizada la forma digital requerida por las tecnologías criptográficas. Había construido un prototipo en la década de 1990, pero requería el uso de módems conectados a un PC. "Ese producto jamás iba a lograr despegar", asegura. Hoy día, las compañías telefónicas cifran las llamadas, pero guardan las llaves criptográficas en sus servidores, e "históricamente, las empresas de telefonía siempre han colaborado mucho con las escuchas telefónicas", afirma. Por su parte, los protocolos de Zimmermann guardaban las llaves sólo en los extremos, evitando que las compañías telefónicas e incluso sus propios servidores descifraran el contenido de una llamada.
Hoy día casi toda la telefonía es digital, no sólo las formas más obvias como Skype, sino también las líneas fijas y móviles. Por eso, cuando un exmiembro de los US Navy SEAL, Mike Janke, contactó con Zimmermann en 2011 con una idea para ofrecer un servicio con el que ayudar a que los miembros militares de EEUU pudieran hacer llamadas seguras a casa, aceptó de inmediato. Se unieron al creador del cifrado de disco completo de Apple, Jon Callas, para fundar Silent Circle. (En un principio la compañía también ofrecía correo electrónico, un servicio llamado Silent Mail. Sin embargo, muchos usuarios empezaron a almacenar las claves en Silent Mail, haciendo que la empresa fuera vulnerable a una solicitud de datos de la NSA. El equipo eliminó Silent Mail y está reconstruyéndolo para que almacene las claves de forma diferente).
Un rastro de migas de pan
A Silent Circle le faltaba una pieza: el hardware. "A lo largo de los años, cuando la gente me preguntaba '¿Qué grado de seguridad tengo si uso tu software de cifrado?', tenía que decir: 'Creemos que ofrecemos buena encriptación, pero el ordenador donde lo estás ejecutando puede que esté en propiedad de un hacker, por lo que deja de ser útil'", afirma Zimmermann. "Con el Blackphone estamos tratando de hacer algo al respecto".
El Blackphone es una fusión de tecnologías. Silent Circle proporciona los servicios de voz y texto cifrados. El dispositivo está siendo fabricado por Geeksphone, una empresa española que se especializa en teléfonos que funcionan con sistemas operativos de código abierto. Juntos han creado PrivatOS, que proporciona más control sobre qué datos pueden ver las aplicaciones, cifra los datos almacenados en el teléfono y permite obtener actualizaciones inalámbricas de seguridad directamente desde el Blackphone, en lugar de depender de las compañías telefónicas. Las dos compañías también han atraído a otros proveedores de servicios de privacidad y seguridad. Por ejemplo, una de ellas bloquea a las empresas de seguimiento y evita que vean los sitios web que visitas y las búsquedas que haces.
En febrero consiguieron una compañía telefónica dispuesta a vender el teléfono (aunque cualquier comprador podía utilizarlo y ponerle una tarjeta SIM): KPN, con sede en Holanda, que también ofrece servicio en Bélgica y Alemania. También estaban en conversaciones con otras compañías. Sería "el único dispositivo que nadie se ha atrevido a crear todavía", aseguró el fundador de Geeksphone, Javier Agüera, de 22 años, por lo menos nadie que tuviera en mente al usuario medio.
A finales de febrero Zimmermann y su equipo estaban en un restaurante en una acera de Barcelona (España), comiendo tapas. Era la víspera del lanzamiento del Blackphone en la feria de móviles más importante, el Congreso Mundial de Telefonía Móvil. Tenían en el bolsillo las primeras versiones del teléfono. Cuando me uní al grupo y aprendí más cosas sobre el teléfono, me di cuenta de mi desnudez digital. Eché un vistazo a mi nuevo iPhone 5S. Al abrir los ajustes wifi, vi redes disponibles con nombres como Barcelona Wi-Fi, Cbarc 1, Spyder y varias otras. No conocía la fiabilidad de ninguna, pero no pensé que fuera importante ya que después de todo no estaba conectado a ellas. Pero resulta que durante el proceso automático que hace el teléfono para buscar la señales notifica a los routers sobre el número de identificación. Esto ya está siendo aprovechado por los minoristas, que utilizan sondas wifi para rastrear los hábitos de los clientes. Y puesto que la información de las aplicaciones se combina con los datos de los navegadores web, sitios de compras y otras fuentes, decenas de empresas pueden utilizar el número para controlarme.
El arquitecto jefe de Blackphone, Mike Kershaw, se me acercó en la mesa. Me explicó con orgullo cómo Blackphone impediría tal cosa. Kershaw ha desarrollado programas para que el teléfono no busque señales wifi a menos que sea en una zona geográfica predefinida, como la de alrededor de tu casa u oficina. Así que, mientras nos comíamos las tapas, yo era la única persona en la mesa dejando migas de pan digitales. Los otros comensales tenían herramientas para prevenir que el historial de navegación y los términos de búsqueda no fueran emparejados con su identidad. Yo no. Tenían un control detallado sobre los permisos de las aplicaciones. Yo no.
A la mañana siguiente, cerca de un modesto stand en el Congreso Mundial de Telefonía Móvil, unos 200 periodistas y analistas llenaban los pasillos ante el anuncio del lanzamiento del Blackphone. "No somos una compañía de teléfonos que haya añadido una función de privacidad", aseguró Zimmermann. "Somos una empresa de privacidad vendiendo un teléfono". Pero ya estaba claro que se trataba de una especie de antiteléfono, que va en contra de la corriente principal de la industria de teléfonos inteligentes. Más tarde ese día Zimmermann caminaba por una enorme instalación de Samsung. Estaba llena de móviles Galaxy 5, cargados con la configuración de Android que le gusta a Google: la que recopila datos. "Tienen un stand bastante grande", señaló Zimmermann con gesto inexpresivo.
No a prueba de la NSA
Los expertos en seguridad se reservan la opinión sobre el Blackphone hasta que puedan probar el teléfono. No se lanzará hasta junio. Sin embargo, el cifrado que usa Silent Circle, y la paranoia evidente de sus creadores, cuenta con amplia admiración. "Me gustan mucho las soluciones de Silent Circle", afirma el criptógrafo Bruce Schneier, que aboga por una mayor seguridad en las tecnologías de comunicación y un mayor uso de la encriptación.
Aunque el teléfono es resistente ante amenazas cotidianas, como la piratería y el espionaje de agentes de datos, la misma empresa admite que no es a prueba de la NSA, y que podría tener un talón de Aquiles: las aplicaciones que sus usuarios inevitablemente acabarán descargando. El científico informático en la Universidad Estatal de Carolina del Norte (EEUU), Xuxian Jiang, una autoridad en seguridad de Android, señala que ese es el modo en que muchos dispositivos adquieren sus vulnerabilidades. El Blackphone tampoco protege el correo electrónico por si mismo. El hecho de que tu dirección de correo utilice tecnología de encriptación como PGP depende de tu proveedor de correo electrónico. Aún así, Jiang señala acerca del teléfono que "son sin duda buenas mejoras de la privacidad".
Hay poca competencia. Open Whisper Systems ha lanzado un sistema de cifrado para llamadas de Android. No obstante, el Blackphone ya se ha establecido: Zimmermann asegura que en marzo ya se habían recibido pedidos para cientos de miles de unidades. La compañía espera vender millones de teléfonos en los dos primeros años. En muchos sentidos, las revelaciones de la NSA, la creciente conciencia de cómo los consumidores están siendo rastreados por los intereses comerciales y conflictos como el de Ucrania han sido la mejor la publicidad posible. "Hacer creer a la gente que esta tecnología era necesaria solía ser una batalla cuesta arriba", concluye Zimmermann. "Ahora, ya no es así".