Sin un lugar donde esconderse
El mundo actual está centrado en la tecnología móvil. Tanto los dispositivos de Apple como los de Android, por desgracia, no destacan precisamente por proteger tu privacidad. Piensa por un momento: tienes un smartphone. Puede que estés leyendo esto en el tren o en tu casa; hay un teléfono en algún lugar de la habitación, ¿verdad?
El teléfono está apagado o, al menos, su pantalla lo está. Permanece ahí, en reposo, y si alguien te envía un mensaje, la pantalla se enciende. ¿Cómo es posible? ¿Por qué solo suena tu teléfono cuando alguien, desde cualquier parte del mundo, marca tu número? ¿Y cómo es que, cuando llamas a otra persona, únicamente suena su teléfono? Todo dispositivo móvil está constantemente conectado a la torre de telefonía más cercana, incluso cuando la pantalla está apagada. Aunque no lo veas, se emiten señales de radiofrecuencia. Estas señales transmiten el IMEI del dispositivo —la identidad del equipo— y el IMSI, que identifica al abonado. Puede que los detalles no sean exactos, pero las siglas clave son IMEI e IMSI.
Existen dos conjuntos únicos de números que solo aparecen una vez en el mundo. Esto hace que tu teléfono sea distinto de todos los demás. El IMEI está integrado en el propio hardware del dispositivo. Aunque cambies la tarjeta SIM, ese número seguirá siendo el mismo y se comunicará al operador de red. El IMSI, en cambio, se almacena en la tarjeta SIM y está vinculado a tu número de teléfono. Es, en esencia, la credencial que permite usar ese número. Tu teléfono puede parecer inactivo, pero está anunciando constantemente “estoy aquí”. ¿Cuál es la torre más cercana? Cada torre reconoce la señal e identifica todos los teléfonos dentro de su área de cobertura, incluidos el tuyo y el mío.
El teléfono analiza las torres cercanas y compara sus señales para determinar cuál es la más potente. Normalmente, la señal más fuerte corresponde a la torre más cercana. Esto sirve para estimar la distancia a cada torre. A continuación, el teléfono se conecta a esa torre y queda registrada la conexión: “Este teléfono, con este número, se conectó en este momento”. El teléfono y su número pueden revelar tu identidad, ya que utilizas tu tarjeta de crédito para comprarlo. Incluso si no es así, el dispositivo permanece activo mientras duermes en casa.
Los movimientos de tu teléfono son tus propios movimientos; es decir, te identifican. Sigue tus trayectos, rastrea tus desplazamientos de casa al trabajo y viceversa. Solo tú lo utilizas. Aunque parezcan detalles insignificantes, transmite continuamente su ubicación y comparte información con distintas partes de la red. Cada vez que alguien intenta localizar tu teléfono, la red cruza datos para determinar su ubicación actual en función de su número. La torre más cercana envía una señal al dispositivo, que activa la llamada entrante. La comunicación se establece a través de la red. Esto implica que las compañías mantienen un registro de tu ubicación siempre que el teléfono está encendido, generando así un historial de presencia.
No sería necesario conservar esta información de forma permanente. En realidad, no hay una razón sólida para hacerlo. Sin embargo, para las empresas resulta valiosa. Esto nos lleva al problema del big data: información que antes era temporal —como dónde estabas a los ocho años, adónde fuiste tras una ruptura o con quién pasaste la noche— ahora se conserva. ¿A quién llamaste después? Antes, estos datos desaparecían como el rocío de la mañana; ahora se almacenan. Antes se desvanecían y se olvidaban, pero ya no ocurre así. No importa si eres una persona normal o completamente inocente, porque así funciona la vigilancia masiva basada en la recopilación de datos.
Los datos se recogen por adelantado, con la esperanza de que algún día resulten útiles. Esto se refiere únicamente a la red telefónica. No incluye las numerosas aplicaciones que se comunican con la red con mucha más frecuencia. ¿Cómo recibes notificaciones de mensajes o correos? ¿Cómo sabe Facebook dónde estás? Recopilan información sobre tu ubicación mediante los servicios de localización del teléfono, el GPS y los puntos de acceso wifi cercanos. Todo esto se apoya en un mapa global que se actualiza constantemente e incluye redes inalámbricas de todo el mundo. Como ya se ha mencionado, cada teléfono tiene un identificador único global, y lo mismo ocurre con cada punto de acceso wifi.
Todos los dispositivos con módem de radio, incluido el router de tu casa, cuentan con un identificador global único. Este identificador puede mapearse cuando el dispositivo emite señal inalámbrica, de forma similar a como el teléfono se comunica con una torre. Estos identificadores también pueden ser capturados y registrados por terceros. ¿Y los coches de Google que circulan por la calle? Registran qué redes wifi están activas en la zona y las incorporan a un mapa masivo.
Incluso sin tener el GPS activado, cuando están conectadas a wifi, las aplicaciones pueden detectar otras redes cercanas. Por ejemplo, pueden identificar varias redes dentro de un mismo edificio. Estas señales solo son accesibles desde ubicaciones físicas concretas. A partir de ellas, es posible determinar la posición aproximada. Es un tema complejo que daría para horas de explicación. En resumen: apagar el teléfono ni siquiera garantiza nada. Si lo apagas, ¿cómo sabes con certeza que está realmente apagado?
En el pasado, cuando trabajaba en Ginebra para la CIA, utilizábamos teléfonos antiguos sin Internet ni funciones inteligentes. Tenían baterías extraíbles, lo que los hacía más seguros. Sin energía, la tecnología no funciona. Sin embargo, los dispositivos actuales están sellados, lo que dificulta retirar la batería. Existen formas de manipular un teléfono para que parezca apagado cuando en realidad sigue encendido, escuchando y ejecutando procesos, aunque esto no afecte a la mayoría de las personas.
A mí me han seguido, pero no me preocupa especialmente. Si alguien se esfuerza tanto, probablemente obtendrá la misma información por otros medios. Soy precavido, pero cuando se manipula el funcionamiento de los dispositivos, es difícil mantener el control. Además, solo confío en los teléfonos hasta cierto punto, por lo que la información que pueden extraer es limitada. Así funciona la seguridad operativa: centrarse en los riesgos reales y en sus consecuencias, en lugar de preocuparse por escenarios improbables, lo que yo llamo “hackeos tipo vudú”. Un saludo a quienes se interesan por este tema.
Escribí un artículo sobre cómo detectar si un teléfono está realmente apagado o si podría estar espiando, junto con Andrew “Bunnie” Huang, doctor en ingeniería eléctrica del MIT. Él creó The Introspection Engine, que se publicó en el Journal of Open Engineering. Puedes encontrarlo en línea, y profundiza bastante en este tema. Modificamos un iPhone 6, que en aquel momento era relativamente nuevo, para monitorizar físicamente su estado en lugar de confiar en lo que el propio dispositivo indicaba. Nuestro objetivo era comprobar si el teléfono podía espiarte. Aun así, para la mayoría de las personas, esto no representa una preocupación importante. Las principales amenazas son los programas de recopilación masiva de datos. El hecho de que el teléfono se comunique constantemente con las torres de telefonía es, en realidad, el principal riesgo.
Incluso si usamos el modo avión, en muchos casos ya no desactiva completamente el wifi y solo apaga el módem celular. Nuestros teléfonos permanecen encendidos todo el tiempo, y nosotros también estamos conectados continuamente. El mayor problema del uso de smartphones hoy en día es que no sabemos qué están haciendo en cada momento. Incluso cuando la pantalla está apagada, desconocemos a qué se conectan ni con qué frecuencia lo hacen. Por desgracia, Apple e iOS hacen prácticamente imposible ver las conexiones de red continuas del dispositivo e intervenir en ellas para decir: “No quiero que Facebook se comunique ahora mismo” o “No quiero que Google lo haga; solo quiero que mi aplicación de mensajería segura y la del tiempo se conecten. Y, una vez que consulte el tiempo, ya no quiero que sigan comunicándose”.
Debemos tomar decisiones más inteligentes tanto respecto a las aplicaciones como a las conexiones. Por ejemplo, pensemos en el uso de Facebook, ya que muchas personas lo utilizan. Quieres acceder a sus servidores de contenido para conectar con tus amigos y ver fotos, pero no deseas comunicarte con servidores de anuncios. Tampoco quieres que se conecte a sistemas que monitorizan tu comportamiento. No quieres interactuar con todas esas entidades de terceros.
Facebook integra funciones en muchas de las aplicaciones que descargas, y a menudo ni siquiera te das cuenta de que ocurre porque está oculto. Esta es una de las razones por las que la recopilación de datos resulta problemática hoy en día: las empresas dificultan que los usuarios comprendan lo que está pasando. Nuestros dispositivos, como los smartphones o los ordenadores, deberían mostrar su actividad de una forma mucho más clara para que las personas puedan tener control sobre su información.
Imagina que pudieras mirar tu teléfono y ver un icono central que te representa, del que salen varias líneas. Cada una de esas líneas correspondería a una aplicación activa o a un servidor con el que se está comunicando. Podrías observar, por ejemplo, que una aplicación se conecta a Facebook cada pocos segundos. Y podrías detenerlo fácilmente seleccionando esa aplicación, revocando su capacidad de comunicarse. A Facebook se le habría quitado la capacidad de “hablar”. ¿Le quitarías ese privilegio?
Muchos de nosotros pulsaríamos un botón que dijera: “Haz lo que quieras, pero no me espíes”, si existiera. Pero ese botón no existe. Ni Google ni Apple lo permiten, aunque Apple ofrece algo más de control que Google. Argumentan que supondría un riesgo para la seguridad. Puede que no estén del todo equivocados, pero eso no es suficiente para justificar que se limite el acceso de los usuarios a esta capacidad bajo la suposición de que no pueden comprenderla. Según ellos, el problema es que el sistema es demasiado complejo, abstracto e interconectado.
Si un sistema es tan complejo como para que ni siquiera sus usuarios puedan entenderlo, entonces el problema es el propio sistema. Debería simplificarse. Está claro que las empresas ponen en riesgo nuestros datos con frecuencia, y resulta preocupante que esto no se reconozca de forma generalizada, a pesar de las innumerables noticias sobre filtraciones de datos, espionaje corporativo, manipulación de hábitos de consumo y búsqueda, supresión de información en los timelines y otras formas de influencia.
Uno de los problemas es el desequilibrio en el acceso a la información. “Ellos” tienen acceso a toda tu información, incluida la relacionada con tu dispositivo, y pueden hacer lo que quieran con ella. En cambio, aunque técnicamente eres el propietario de tu dispositivo porque lo has pagado, en la práctica las empresas y los gobiernos cada vez tienen más control sobre él. Vivimos en un mundo en el que asumimos todos los costes —impuestos, dispositivos, servicios— pero cada vez poseemos menos. La generación más joven lo entiende bastante bien.
Esto se debe a que el dinero otorga poder y la información otorga influencia. Diversas entidades gubernamentales y empresariales comprendieron que les resultaba beneficioso ocultar sus prácticas de recopilación de datos mientras expandían sus sistemas por toda la sociedad. Antiguamente, cuando Estados Unidos recopilaba información de inteligencia, los agentes del FBI colocaban dispositivos de escucha en edificios o utilizaban intervenciones físicas. También se establecían estaciones de escucha por satélite, lo que se conocía como recopilación de señales extranjeras. Incluso se construyeron grandes antenas parabólicas en el desierto para interceptar transmisiones. Pero estos sistemas estaban limitados y eran accesibles únicamente para el Gobierno. No afectaban a toda la población de forma masiva. La vigilancia era específica porque tenía que serlo.
Hoy en día, la tecnología permite que la vigilancia se vuelva indiscriminada. Puede funcionar como una red de arrastre y dar lugar a una recopilación masiva, algo que debería considerarse inaceptable en una sociedad con un mínimo de principios. Sin embargo, esto se ha ocultado deliberadamente a la opinión pública. Gobiernos y empresas evitaron hablar del tema y lo negaron, amparándose en que los usuarios habían aceptado los términos y condiciones.
Dicen: “Aceptaste las condiciones del servicio. Hiciste clic en ‘Acepto’”. Pero en realidad lo hiciste porque querías crear una cuenta, hablar con tus amigos, obtener indicaciones o usar el correo electrónico. No estabas intentando aceptar un documento legal de cientos de páginas que, aunque lo leyeras, difícilmente entenderías. Y aunque lo entendieras, tampoco importaría, porque en muchos casos incluye cláusulas que permiten modificar el acuerdo unilateralmente en cualquier momento.
Se ha construido un marco legal en el que se asume que los datos que recogen sobre nosotros no nos pertenecen. Este es uno de los principios fundamentales que permiten la vigilancia masiva desde el punto de vista legal en Estados Unidos. El Gobierno sostiene que todo lo que hace es legal y, por tanto, aceptable.
Pero desde el punto de vista del público, ese es precisamente el problema: que sea legal no significa que esté bien. El escándalo no es que se infrinja la ley, sino que no hace falta hacerlo. Y una de las bases de este argumento es la llamada doctrina de terceros, derivada del caso “Smith contra Maryland” en los años setenta.
En ese caso, una persona acosaba telefónicamente a una mujer. La policía solicitó a la compañía telefónica los registros de llamadas sin una orden judicial, y la empresa los proporcionó. El tribunal determinó que esos registros no pertenecían al individuo, sino a la compañía. Por tanto, no era necesaria una orden judicial.
El problema es que este principio se ha ampliado enormemente. A partir de un caso concreto, se ha establecido la idea de que no tienes derechos de privacidad sobre los datos que están en manos de una empresa. Y eso, en la actualidad, abarca prácticamente toda tu vida digital.
Cuando se estableció este precedente, Internet apenas existía y los smartphones no formaban parte de la sociedad. Sin embargo, décadas después, se sigue utilizando para justificar prácticas mucho más invasivas. Esto otorga un enorme poder a las empresas, que pueden abusar de él.
Cuando se habla de “explotación de datos”, en realidad se está hablando de la explotación de personas. No son solo datos: es tu vida. No son datos manipulados: eres tú quien está siendo manipulado. Y cada vez más gente empieza a darse cuenta de ello.
El problema es que las empresas y los gobiernos siguen actuando como si no lo entendieran, o como si no estuvieran de acuerdo. Y eso me recuerda algo que solía decir un viejo amigo mío, John Perry Barlow, con quien trabajé en la Freedom of the Press Foundation: “No puedes despertar a alguien que finge estar dormido”.


No hay comentarios:
Publicar un comentario