Sobre ética en la industria del espionaje y la picaresca tecnológica

hacking team etica

El 18 de Julio de este mismo año, se hacía pública la que sería hasta el momento la filtración de datos más grande de la historia, perteneciente al “popular” servicio de citas entre adúlteros Ashley Madison. 32 millones de personas en una base de datos relacionada inequívocamente con actividades consideras poco morales en la sociedad actual.

Días antes, el grupo italiano Hacking Team reconocía públicamente que había sido hackeado, con un volcado de 400GBs de información sobre sus clientes, entre los que estaban agencias de inteligencia de varios países (EEUU, Marruecos, Egipto, Arabia Saudí y hasta España) y empresas privadas de diversos sectores (automovilístico, telecomunicaciones, infraestructura, logística,…).

Hace unas semanas, estallaba el caso Volkswagen. La compañía tenía que reconocer públicamente el que ya es considerado el mayor fraude de la historia. Premeditadamente, instalaron en los motores de varios de sus modelos (y de modelos de sus otras marcas) un sistema anti-emulación que les permitía pasar los controles medioambientales a los que están sometidos todos los fabricantes, pese a que sus vehículos, en carretera, llegaban a producir hasta 40 veces más del máximo de contaminación permitida.

¿Qué tienen en común estos tres acontecimientos?

La falta de ética en la industria tecnológica se cobra vidas

Los tres son ejemplos de cómo el interés puede llevar a las personas a sacar lo peor de sí mismas, amparándose en la excusa de los beneficios económicos y la psicopatía corporacional.

Ashley Madison cobraba 19 dólares por borrar permanentemente los datos del usuario. Un servicio premium que directamente no hacía nada (únicamente engordar las arcas de la compañía), a la vista de toda la información volcada en el hackeo.

Hacking Team, uno de los referentes en materia de desarrollo de tecnologías de espionaje para terceros, era hackeada, presuntamente por otra compañía que se dedica a esto. Podemos considerar que hay hackers interesados (éticamente o no) en hacer públicos los abusos realizados por otros hackers encargados de robar a ciudadanos o entidades secretos por los que un tercero paga.

Por último, en alguna de las múltiples reuniones en las oficinas de Volkswagen, hubo algún alto directivo que sugirió saltarse toda la ética (ya no solo empresarial, sino humana) y mandar a dos ingenieros (ES) (como si la culpa fuera únicamente de estos dos) desarrollar un software creado específicamente para evitar que los controles de seguridad notaran que las emisiones del motor superaban con creces el máximo permitido.

Y en los tres casos, hubo víctimas mortales.

En el de Ashley Madison, varios adúlteros, que o bien se suicidaron, o bien fueron víctimas de una disputa doméstica que acabó en tragedia (EN).

Un espía surcoreano fue encontrado ahogado en su coche (EN), presuntamente después de darse cuenta de que su trabajo quedaba al descubierto por las filtraciones del hackeo a Hacking Team.

Las muertes ocasionadas, directa o indirectamente, por el aumento desorbitado de la polución de los vehículos del mayor fabricante del coches del mundo son prácticamente incuantificables. Algunos hablan de varios cientos al año, y otros de miles (EN).

A esto podríamos añadir numerosos ejemplos de decisiones empresariales y/o tecnológicas que se han saldado con damnificados, como en su momento ocurrió con Freehand System, un sistema que permitía volver a llevar una vida relativamente normal a personas con algunos tipos específicos de tetraplejía, y que fue abandonado sin cobertura alguna de todos los clientes que ya hacían uso del costoso sistema, o la falta de ética que demuestran la mayoría de grandes compañías de tracking publicitario, y que podrían llevarnos a un escenario en el que toda esa información acabara por causar un Holocausto como el vivido en Holanda en la época nazi.

Algunas cuestiones que deberíamos considerar

A la vista de todo esto, creo conveniente sacar a debate dos puntos que me gustaría que tratáramos con más profundidad en los comentarios.

1º La legislación actual antepone la “seguridad nacional” a la “seguridad individual”

No es la primera vez que un juicio acaba en saco roto debido a que depende de alguna información considerada confidencial, que llevarían a hacer público el funcionamiento de las herramientas usadas por la maquinaria de control masivo. Esto permite por ejemplo que un whistleblower como Snowden sea considerado un peligro contra la seguridad nacional, pese a que precisamente lo que hizo fue anteponer los derechos de los ciudadanos antes de los intereses gubernamentales.

Y lleva a situaciones tales como la generación de una industria que vive precisamente de servir herramientas a las agencias de inteligencia para que vulneren la privacidad de sus objetivos, sean ciudadanos o entidades. Empresas legales como Hacking Team, que entregan el arma pero que no disparan, y una maraña de normativas absurdas y sacadas de contexto que protegen el abuso reiterado de los derechos de los ciudadanos, así como ataques a otros organismos en lo que podríamos considerar una verdadera guerra fría.

Los derechos terminan donde empiezan los intereses del gobierno, que se escudan en la lucha contra el terrorismo para cohibir las libertades del ciudadano.

Los derechos terminan donde empiezan los intereses de una corporación, que se escuda en la necesidad de ser cada vez más rentables para realizar acciones que atentan contra nuestra propia especie.

Y da igual que por activa y por pasiva quede demostrado que una sociedad de control únicamente sirve para esto. Que los verdaderos malos (que son cuatro), cuentan con los conocimientos y recursos necesarios para saltarse esos controles ejercidos por el poder.

2º Esos sistemas de control y vigilancia están expuestos a terceros

Tan pronto se crea un backdoor para acceder ilícitamente (perdón, legalmente, que la factura viene firmada por la agencia de inteligencia del país de turno), esa puerta trasera puede ser usada por terceros, que tendrán esos u otros fines.

Las herramientas creadas por esta industria son usadas tanto por los supuestos buenos (cuerpos de seguridad) como por los malos (industria del crimen). De hecho no es raro que las herramientas ya en desuso por alguno de estos pasen a la maleta de los otros (en las dos direcciones, cuidado).

Eso descontando el hecho de que como vemos, el cazador puede ser cazado en cualquier momento, sea de forma brusca y sonada como le ocurría a Hacking Team, o silenciosamente, utilizando estas herramientas y este conocimiento para el fin que sea.

E incluso sin considerar esto último, el uso de una herramienta específica por un organismo que podemos considerar afín a los intereses de la ciudadanía puede que cambie con el tiempo (movimientos políticos o sociales), y servir el día de mañana para causar daño a los que a priori protegían.

Protegiendo legalmente el abuso reiterado de estos exploits, aunque sea con el mejor fin que podamos pensar, también proteges el abuso reiterado por parte de la industria del crimen.

Ahora le toca a usted

¿No sería mejor para todos que la regulación prohibiera el uso de este tipo de herramientas en cualquier caso? Habida cuenta que el límite es tan difuso, ¿deberíamos permitirnos correr el riesgo asociado a la existencia de este tipo de herramientas?

Confiemos en que no haya que esperar al próximo exploit masivo para que se pongan las medidas oportunas.

¿Porque qué medidas propondría? ¿Y en quién debería recaer la responsabilidad de estos hechos?