Inicio / Entrada de Blog / ¿Se puede esquivar a PRISM?

¿Se puede esquivar a PRISM?

Desde que hace unas semanas, el ya archiconocido Edward Snowden revelara al diario The Guardian la existencia de PRISM, el programa de ciberespionaje de la NSA, se han ido sucediendo semanalmente nuevas filtraciones del ex agente americano, referentes a las escuchas de los cables de fibra óptica por parte de la NSA, del Gobierno Británico en lo que se conoce como Operación Tempora, colaboraciones de los servicios secretos alemanes con la NSA, o el escándalo de ataques de hacking tradicionales en las reuniones del G20 en 2009.


La crisis política que ha sembrado Snowden es tal, que aún hoy, continúa bloqueado en territorio ruso, a la espera de que alguno de los países a los que ha solicitado asilo político, se arriesgue a ir en contra de Estados Unidos, el Big Brother. Algunos, pensarán que Snowden es un héroe que ha revelado al mundo la verdad. Otros, que es un temerario que ha hecho mucho daño con sus revelaciones, y los últimos,  que se ha limitado a confirmar con datos concretos y fehacientes aquello que todos sospechábamos. Hay opiniones para todos los gustos.


Lo cierto es, que ante la confirmación de que PRISM es una realidad, no han tardado en producirse las reacciones en diversos sectores de la opinión pública. Como ejemplo de ello la compañía Mozilla, abanderada del software libre, ha iniciado una campaña de recogida de firmas para pedir a los Gobiernos que cesen en su actividad de monitorización, al tratarse de un hecho que atenta contra los derechos humanos fundamentales. Son muchos los ciudadanos del mundo que claman al cielo contra lo que consideran una  invasión de su intimidad y privacidad, al tiempo que se preguntan qué pueden hacer para evitar esta situación.



La pasada semana Ibón Uría, periodista y redactor del medio digital Infolibre, contactó conmigo para consultarme acerca de estos temas, de cara a la elaboración del reportaje “Siete trucos para (intentar) escapar del espionaje Informático” , que fue publicado finalmente ayer lunes. Cuando me preguntó qué podríamos hacer para evitar ser sometidos a la monitorización de nuestra actividad en Internet, le hablé , entre otras cosas, del proyecto Prism-Break, en el que se recoge una lista de proveedores tecnológicos como alternativa para esquivar a PRISM, pero lo primero que le dije es que es prácticamente imposible intentar escapar del ojo que todo lo ve.


Es cierto que el uso del estándar del estándar SSL (el candadito y https:// en lugar de http://) en nuestras comunicaciones, hará que nuestras credenciales y todos nuestros datos vayan cifrados, de modo que no puedan ser inteligibles por alguien que pueda estar monitorizando el canal, uséase el cable de fibra óptica en este caso. Pero si los servicios a los que accedemos utilizando SSL, incluso en el caso de que decidamos evitar aquellos que monopolizan nuestra vida digital (Facebook, Twitter, Linkedin,..)  están sujetos a la USA Patriot ACT y FISA poco podrán hacer incluso los que no se alineen con estas acciones cuando la NSA toque a su puerta solicitando datos puntuales sobre cualquier usuario. Por supuesto ni que decir tiene que pretender seguir usando los servicios mencionados, que forman parte de PRISM, y no ser espiados, es como querer bañarse en una piscina sin mojarse.


Porque, como se reflexiona en este artículo que se ha extendido en la red en los últimos días, titulado “Duck Duck Go: Illusion of Privacy“, en el que se analiza la avalancha masiva de tráfico que ha experimentado este buscador que aparece en la lista elaborada en Prism Break en los últimos días, aunque los responsables de Duck Duck Go afirmen que no guardan información de carácter personal de sus usuarios ni registran la dirección IP, si la NSA quiere la información, tiene la forma de conseguirla. Para empezar, es necesario señalar que como se indica en el artículo la privacidad de la que Duck Duck Go habla para sus usuarios, es respecto de la publicidad de terceros y el cross-site tracking. Pero en ningún caso habla de privacidad frente a agencias gubernamentales. Esto a día de hoy es impensable.


Duck Duck Go


No es que los dirigentes de Duck Duck Go mientan, pero se podría decir que no dicen la verdad. Nadie puede rehusar a colaborar con la NSA si esta así se lo requiere.  Yahoo intentó en vano resistirse a la corte FISA, librando una batalla judicial que no dio fruto alguno. Aunque el cada vez más conocido buscador no guarde en sus servidores información acerca de sus usuarios, y utilice el estándar SSL para cifrar las comunicaciones de modo que no puedan ser interceptadas, éstas pueden ser descifradas mediante la clave privada del certificado SSL que reside sólo en los servidores de Duck Duck Go. Esto quiere decir que las comunicaciones sólo pueden ser descifradas por Duck Duck Go , ya que son los únicos que disponen de ese certificado. Pero, ¿y si la NSA les solicita el certificado? ¿Se negarán a proporcionárselo? Por otra parte, y como dice el artículo, suponiendo que esto fuera así, y considerando que los servidores de Duck Duck Go están alojados en los centros de datos de Verizon, que facilita diariamente a la NSA registros de millones de clientes estadounidenses, ¿no lo tendrían fácil para obtener por esta vía el certificado? Terminando de rizar aún más el rizo, y suponiendo que Verizon tampoco facilitara el certificado a la NSA, si los mismos servidores de Google han sido penetrados por hackers chinos, o las centrales nucleares de Irán han sido hackeadas sin tan siquiera estar conectadas a Internet, ¿cuánto tardaría la NSA en conseguir con malas artes el certificado SSL de Duck Duck Go? Sólo necesitarían esa clave privada, pues los paquetes de datos pasan por esos cables de fibra que se encuentran bajo su control.


Esta es sólo una más de las reflexiones que se pueden realizar acerca de este tema. Bien es cierto que hay aún vías para poder por ejemplo cifrar los correos electrónicos utilizando criptografía asimétrica, ya que tan sólo nosotros conoceremos nuestra clave privada, pero volviendo a lo mismo, ¿cuańto le llevaría a alguien que se empecine entrar en nuestro equipo y conseguir esa clave privada? ¿Y si ese alguien es una agencia gubernamenatal con medios, tecnología y 0-days?



Del mismo modo, mucho se ha hablado del uso de la red TOR para poder navegar de forma libre y anónima por Internet. The Onion Ring, es una red de comunicaciones distribuida de baja latencia en la cual el tráfico se reparte en diferentes modos que van añadiendo capas de cifrado, de modo que no se revela la dirección IP del remitente, manteniendo la integridad y el secreto que viaja por ella. Es por ello que es utilizada para lo que se conoce como la Deep Web, de la que también hablaremos aquí algún día.


Funcionamiento de TOR


Cuando se utiliza la red TOR para navegar, todo el tráfico se cifra desde el cliente, pasando por todos los nodos por los que transita, hasta el último, y desde ahí hasta el destino final el mensaje va en claro. Por lo que en teoría sólo podría monitorizarse el tráfico teniendo el control de uno de los nodos. Pues bien, a pesar de esto, hace poco, un conocido y reputado profesional de la seguridad informática en España, que además se podría decir que es de los que mejor conoce la red TOR, fue erróneamente acusado por el FBI al estar realizando un trabajo de investigación sobre TOR, habiendo programado un crawler que indexaba y rastreaba direcciones de la Deep Web. Al tratarse de un programa que indexaba todo lo que encontraba para crear un buscador de direcciones web “.onion”, dio entre otras cosas con foros de pedofilia que existen en los bajos fondos de la red. Al vincular su direción IP con dichos foros, el FBI alertó a las autoridades españolas y ahí comenzó la odisea para H. Él mismo explicó lo sucedido en este artículo publicado en Security By Default.


La pregunta es, ¿No se suponía que la red Tor era anónima?….


El ojo que todo lo ve


Ante todo esto, sólo queda evitar caer en la paranoia, pensar que todo esto existe y ha existido siempre, que la actividad de una persona de a pie cualquiera en Internet no es el objetivo de estas agencias, y que si esto es así, que al menos sirva para detener a los que realmente hacen el mal e impedir que campen a sus anchas.


Un saludo y Feliz Semana!

(Sin votaciones)
Cargando…