- La segunda parte de la entrevista de eldiario.es con el exanalista de la NSA gira en torno a la tecnología: Apple vs FBI, Twitter vs Facebook, Europa vs. Facebook y su vida en Rusia
- No te pierdas la primera parte: “La vigilancia no tiene que ver con la seguridad, tiene que ver con el poder”
Edward Snowden está siguiendo con máximo interés el enfrentamiento de Apple con el Gobierno norteamericano, que quiere obligar a la empresa a abrir una puerta de atrás en los iPhone por la que los servicios secretos puedan fisgar en los móviles. La industria tecnológica se ha apiñado en favor de Apple, cuya derrota crearía un precedente legal que arrastraría al resto de las compañías. También hemos hablado de TOR y del Privacy Shield, el nuevo acuerdo que la Comisión Europea tiene con el Departamento de Comercio de EEUU en sustitución del Safe Harbor, que fue anulado el pasado año como resultado del pleito entre la Unión Europea y Facebook. Se supone que Privacy Shield –y antes Safe Harbor– regulan las obligaciones de las empresas estadounidenses en el tratamiento de los datos de ciudadanos europeos como, por ejemplo, todos los datos de usuarios europeos de Facebook. En la práctica, según Snowden, ambos acuerdos no sirven para casi nada.
¿Qué le parece que Apple se haya convertido de repente en el líder de la resistencia contra la vigilancia gubernamental?
Ningún otro país en el mundo, ni siquiera China, Rusia o Irán, han pedido lo que el FBI pide a Apple. El FBI le está pidiendo que se invente una tecnología que todavía no existe para que el FBI pueda entrar en el dispositivo con facilidad. Y la cuestión es que al FBI no le importa este teléfono en particular. El jefe de policía de San Bernardino, el lugar donde tuvo lugar el ataque terrorista, ya ha dicho que no espera encontrar nada en ese teléfono. Pero como pertenece a un terrorista, es objeto de gran interés por parte del FBI y pueden usarlo en este caso. Quieren aprovechar este precedente para obligar a las compañías a que hagan el trabajo que tendría que hacer la ley. Y esto es muy peligroso porque no se trata de un teléfono, se trata de todos los teléfonos. Si les funciona con una compañía, entonces les funciona con todas las compañías.
Aún más peligroso, si esta compañía lo hace con el Gobierno norteamericano, entonces lo tendrá que hacer con todos los gobiernos del mundo. Porque si Apple de pronto dice 'vamos a darle una puerta trasera al Gobierno de Estados Unidos', entonces China dirá 'nos tienes que dar acceso a la misma puerta trasera o te quedas fuera de nuestro mercado'. Y, aunque confíes en el FBI y pienses que son estupendos y que no van a abusar de su autoridad, ¿qué hay del resto de los gobiernos?
Tendrá graves consecuencias para la libertad de expresión.
Ahora tenemos dispositivos que los periodistas pueden usar para hablar con sus fuentes de manera confidencial o coordinarse con disidentes para conseguir la otra cara de la historia. Pronto esas mismas fuentes empiezan a desaparecer país tras país, comunidad tras comunidad. Y pasará esto porque la seguridad a nivel de la tecnología es siempre binaria: la tienes o no la tienes. Y un dispositivo que tiene una puerta de atrás nunca puede ser seguro, un dispositivo diseñado para que pueda entrar el Gobierno también está diseñado para que entren los hackers, criminales, adversarios, espías... Es binario: estamos seguros o no lo estamos en absoluto. Por eso es tan importante que Apple gane este caso.
Parece que el FBI tiene mil maneras de acceder a ese teléfono, pero que lo que quieren realmente es establecer un precedente legal que les dé la llave maestra de todos los teléfonos de todos los fabricantes.
Eso es precisamente lo que están buscando. No están tratando de entrar en un teléfono en particular, están tratando de conseguir una puerta de atrás que les permita entrar de manera arbitraria en cualquier teléfono o cualquier otro tipo de dispositivo. Lo que justifican con el argumento del terrorismo hoy, será utilizado en los semáforos mañana.
Por otra parte, Apple no está siendo precisamente heroico. Si permiten la entrada de puertas traseras en la industria tecnológica norteamericana, perderán cuota de mercado.
Es verdad que, si se establece este precedente, las compañías estadounidenses no podrán producir dispositivos seguros, pero sus competidores extranjeros sí. Obviamente, esto sería devastador para cualquier compañía tecnológica que tenga su sede en Estados Unidos, como Apple: por eso tienen tanto interés en que no suceda.
No lo están haciendo de manera altruista ni se están sacrificando, aunque esto no significa que no debamos aplaudirles. A veces hacer lo correcto merece nuestro respeto, incluso cuando es la única opción. Y tampoco es la única opción que tienen. Podrían negociar con el Gobierno en secreto, darles acceso y seguir con sus cosas, como ya ha ocurrido varias veces en el pasado.
Ese secreto no duraría mucho.
Me parece que esta opción es hoy menos convincente de lo que solía ser.
El pasado octubre, en el caso de Europa contra Facebook, se consiguió invalidar el acuerdo Safe Harbor entre la Unión Europea y Estados Unidos, un pacto que permitía a empresas estadounidenses llevarse datos privados de usuarios europeos a servidores en el extranjero. ¿Qué opina del fin de este acuerdo y, sobre todo, de su sucesor, el acuerdo Privacy Shield firmado a principios de febrero?invalidar el acuerdo Safe Harbor
Esta decisión es extraordinaria por muchas razones y hasta diría que es sorprendente lo mucho que ha tardado en tomarse. Si después de conocer en 2013 cómo había sido el espionaje masivo de la NSA, la Unión Europea hubiera leído la ley tal cual aparece en los libros de los Estados Unidos en lugar de como se la contaban sus representantes, se habrían dado cuenta de que, con el nivel de protección de la privacidad de los datos, ningún ciudadano extranjero estaba protegido.
Así que el acuerdo Safe Harbor nunca funcionó.
En Europa hay muchas leyes distintas de protección de datos que gestionan cómo los datos pueden ser conseguidos, manejados y protegidos de una industria a otra y de un sector a otro. En los Estados Unidos no tenemos una ley de protección de datos: lo que hay son unas pocas leyes que regulan la privacidad en sectores muy particulares. El sector de servicios financieros y la industria de servicios médicos tienen alguna pequeña protección para el consumidor pero, a no ser que se utilicen esos datos en un contexto muy específico, hay barra libre para manejar los datos.
En vez de una legislación, lo que tenemos son esos contratos en los que cada proveedor de servicios establece los términos de servicio. Y en esos acuerdo de términos de uso, estás comprando software donde los términos pueden ser modificados unilateral e inmediatamente por el proveedor de servicio en cualquier momento. Usando ese servicio, estás de acuerdo con que te estafen y abusen de ti de manera permanente.
Se refiere a la casilla de “estoy de acuerdo” que nadie lee.
Exactamente, ese pequeño clic que tú pinchas cuando te abres una cuenta y que nadie lee. Hay estudios que demuestran que, si quisieras leer todos los contratos que firmas en un solo año, te llevaría más horas de las que caben en el calendario porque son extraordinariamente largos. Y tienes uno para cada cosa. Compras un tostador y estás firmando un contrato. Lo mismo con tu proveedor de correo, Facebook, tu operadora telefónica, tu plataforma de música... Todos estos servicios tienen complejos contratos legales diferentes que cambian constantemente. Y es cosa tuya si quieres firmar para poder ver tus correos, pero quién quiere leer un contrato de 50 páginas. Lo que quieres es hacer clic en el casilla de OK y asumir que te van a tratar de una manera humanitaria.
Ahora empezamos a ver las debilidades de este sistema. Es difícil imaginar una red funcional y normalizada sin una ley básica de protección de la privacidad del consumidor. Pero, hasta que eso cambie, hasta que haya una legislación adecuada, ni la Privacy Shield ni cualquier otro acuerdo servirá para nada. El hecho es que, bajo las enmiendas de la ley FISA de 2008, en EEUU los extranjeros no tienen derecho a la privacidad.
Entonces no ha cambiado nada con el nuevo acuerdo entre Europa y Estados Unidos.
En términos legales, nada ha cambiado. La Administración de Obama se ha curado en salud diciendo que están implementando políticas en las que serán más cuidadosos al tratar los datos de los ciudadanos europeos, pero esta “protección” se refiere únicamente a cuando están leyendo la información. Ellos registran todo de todo el mundo, ciudadanos americanos y ciudadanos europeos, sin la justificación de una sospecha criminal previa. Tanto si creen que eres inocente como si creen que eres Osama bin Laden.
La NSA guarda un registro de todo lo que hace un ciudadano europeo, independientemente de si hace algo malo o no. Y pueden acceder a ese registro sin una orden y examinar todos los archivos. La única diferencia es cómo los tratan después de haberlos investigado. El Privacy Shield no es más que un intento de ganar tiempo.
Un juez federal ha sentenciado que los usuarios de TOR no tienen una expectativa razonable de privacidad. Es decir, este juez considera que el derecho a tu privacidad no está garantizado incluso si te intentas proteger. Si usar la más sofisticada y popular herramienta de privacidad no indica una expectativa de privacidad, ¿cómo podemos tener una esperanza de privacidad?
Esto es indicativo, más que ninguna otra cosa, de que los jueces simplemente no comprenden la tecnología. Porque, como bien dices, TOR ha sido instalado precisamente para proporcionar una expectativa razonable de privacidad. No es a prueba de balas, nada lo es. Pero es la mejor tecnología para preservar la privacidad que hay en el mundo ahora mismo. Así que, cuando un juez dice que alguien que usa TOR no espera mantener su privacidad, solo puede haber llegado a esta conclusión de una manera: según la doctrina de las Terceras Partes, vigente en Estados Unidos.
Según esta doctrina, en el momento en que la información ha sido entregada a terceros, cuando ha salido de tu casa, ya no esperas privacidad. Es decir, cuando la información sale de tus dispositivos privados para entrar en Internet, a través de un proveedor de telecomunicaciones en el que tú confías para manejar tus comunicaciones apropiadamente y llevarlas a su destino, ya no hay expectativa de privacidad razonable.
Este es el motivo obvio por el que la propuesta del Privacy Shield no funcionará por principio y no sobreviviría a un Tribunal Europeo de Derechos Humanos. La doctrina de las Terceras Partes es la ley vigente en Estados Unidos y, con esa premisa, el juez puede concluir que la red TOR, aunque su intención sea producir una expectativa razonable de privacidad, todavía utiliza Internet, por lo que nunca puede ser privada. Y esa doctrina de las Terceras Partes es de hecho una reliquia de 1970, de antes de que existiera Internet en cualquiera de sus concepciones modernas, y era aplicable al mundo de la telefonía fija: de un solo individuo haciendo llamadas a otro individuo. Con esta premisa se crea esta estructura en la que nunca puedes tener ni el nivel más básico o mínimo de privacidad, siempre y cuando estés confiando en una tercera parte para manejar tus comunicaciones.
¿Entonces ninguna comunicación puede ser segura porque en cada comunicación confías en una tercera parte?
Exactamente. A no ser que tengas tu propia compañía de telecomunicaciones o que estés usando una lata conectada por un cordel, no existe una expectativa razonable de privacidad.
¿Al menos es útil contra el terrorismo? ¿Estamos más seguros gracias a eso?
Se supone que si puedes vigilar a todo el mundo, serás capaz de filtrar y encontrar los indicadores que te ayuden a detectar la actividad terrorista. El problema es que no funciona. En los días que siguieron a las filtraciones sobre vigilancia masiva de 2013, el presidente de Estados Unidos, Barack Obama, nombró dos comités de investigación independiente con acceso total a la información clasificada (como secreta) para ver lo que esos programas estaban haciendo y auditar su eficacia, además de valorar si necesitaban ser reformados de alguna manera. Uno de ellos se llamaba Privacy and Civil Rights Oversight Board y el otro se llamaba President's Review Group on Information and Communication Tecnologies. Ambos grupos tuvieron que admitir que ninguno de los programas de vigilancia había detenido ni un solo ataque terrorista en los Estados Unidos, a pesar de haber interceptado las comunicaciones de todos los norteamericanos y el otro 95% de la población mundial sin una orden judicial durante más de una década.
Si podemos vulnerar los derechos de todas esas personas durante 10 años y no tener nada al final que justifique estos programas, es poco probable que vayamos a tenerlo en el futuro.
¿Por qué ha decidido abrir cuenta en Twitter, pero no en Facebook, que es mucho más popular?
Principalmente, porque he trabajado para la NSA y sé de primera mano lo que son capaces de hacer. Es mucho más difícil interactuar de manera segura en Facebook que en Twitter. El volumen y la variedad de los datos que guarda Facebook es simplemente tan enorme, boyante y opaca, que es difícil ver lo que hacen y cómo lo usan. No digo que nunca vaya a usar Facebook para difundir mis ideas: mi actividad en Twitter tampoco es privada y no espero que mis comunicaciones estén protegidas allí de ninguna manera, aunque sería bonito si pudiéramos esperar eso.
Cuando usamos estas redes, debemos decidir qué es lo que nos importa realmente y qué estamos dispuesto a arriesgar para defenderlo, independientemente de la manera que elegimos para comunicarnos, la plataforma que usemos o la comunidad con la que hablemos. En mi caso, no puedo volver a casa y estoy muy lejos de mi familia. Pero prefiero renunciar a mi patria que renunciar a mi voz.
Hay mucha curiosidad sobre su vida en Rusia. ¿Cómo es? ¿Paga alquiler? ¿La cuenta del teléfono? ¿Sale a cenar con amigos?
¡Por supuesto que pago alquiler! Llevo una vida bastante normal, al menos comparada con mi vida anterior. Tienes que entender, esto es evidente solo con mirarme, que las discotecas no son lo mío. Nunca he sido de los de “vámonos a bailar”.
He oído grandes cosas de la escena nocturna de Moscú.
Ya, ya [risas]. La gente dice “es que vive en Rusia” pero eso es sólo media verdad. La verdad es que yo vivo en Internet, siempre ha sido así. Soy hijo de Internet. Me ha hecho lo que soy, me ha dado mis valores. Y me gustaría pensar que le estoy devolviendo a Internet al menos una pequeña parte de todo lo que me ha dado.