Estas últimas horas he estado siguiendo con profundo interés el justo debate que se ha montado a raíz de la orden judicial que el FBI interpuso a Apple, y la negativa de la empresa a cumplirla.
Aunque muchos medios hayan recogido la noticia como una petición del FBI para romper el cifrado de los datos almacenados en los dispositivos de la compañía, lo cierto es que los tiros no van por estrictamente por ahí, pero sus implicaciones sí son semejantes.
A saber, la petición del FBI es la de que Apple desarrolle un software externo que elimine la restricción actual que existe en el número de intentos de desbloqueo en sus terminales, normalmente fijado en 10, con el objetivo de lanzar ataques de fuerza bruta sobre dispositivos que de antemano el juez ha permitido que se ataquen, ya que se consideran prueba de un delito.
No es que Apple genere una segunda clave para descifrar la información de nuestros dispositivos. De hecho, tal y como funcionan hoy en día, sería materialmente imposible, ya que Apple NO conoce nuestras claves, y el dispositivo se cifra y descifra a partir del uso local que le demos. Pero eliminando el control del número de pruebas ante el bloqueo, los cuerpos de seguridad americanos sí podrían descifrar dispositivos y usarlos como prueba ante un juicio.
Algo que estos organismos llevan pidiendo mucho tiempo, habida cuenta de que tener acceso a estos dispositivos simplificaría tanto investigaciones en curso como juicios.
En España, sin ir más lejos, ha entrado en vigor hace escasos meses una nueva ley que gestiona, entre otros temas que detallaré a continuación, el ámbito de actuación de los cuerpos del orden y la seguridad en entornos digitales.
Y me parece oportuno dedicarle un artículo en profundidad a este último punto, ya que parece que será el pan nuestro de cada día de aquí en adelante.
Comencemos.
El caso FBI-Apple frente a LECrim
Tim Cook, el actual CEO de la compañía, publicaba hace un par de días una carta abierta (EN) en la que exponía las razones para negarse a lo que recalco, no es una mera petición del FBI, sino una orden judicial firmada:
Cuando el FBI nos ha pedido datos que están en nuestra posesión, se los hemos entregado. Apple cumple con las citaciones y órdenes de registro válidas, como lo hemos hecho en el caso de San Bernardino.
[…] El FBI puede usar otras palabras para describir esta herramienta, pero no te equivoques: crear una versión de iOS que evite la seguridad de esta manera sería sin duda crear una puerta trasera. Y aunque el gobierno puede argumentar que su uso estaría limitado a este caso, no hay ninguna manera de garantizar tal control.
El debate es semejante al que traía a esta humilde morada no hace mucho. Prohibir el cifrado, o como en este caso, implementar medidas para que una administración (que recordemos, está ahí para garantizar la seguridad de la sociedad) tenga la potestad de saltarse controles de seguridad de un dispositivo, es a efectos prácticos establecer una puerta trasera que va a ser explotada (con toda la buena voluntad del mundo, seguramente) por esta administración, y que podría acabar siendo explotada por terceros.
El problema va aún más lejos. Al uso que se le dará el día de mañana. Porque hoy, en efecto, es cazar a criminales, pero mañana quizás un activista sea también considerado criminal. Y pasado, quizás una persona de raza negra, o judía, o una persona con problemas de peso, o con una postura política específica, también sea considerada criminal.
Permitir que tus trabajadores desarrollen una tecnología para saltarse los controles de seguridad que has implementado para proteger la privacidad y seguridad de tus clientes, a sabiendas de los usos tergiversados que podrían desencadenarse en el presente y en el futuro, no debería entrar en los planes de ninguna compañía, como no entra en la de Apple, y como parece, tampoco entraría en la de Google o en la de WhatsApp si el día de mañana se lo pidieran. Les va, de hecho, el negocio (la confianza de sus clientes) en ello.
Ahora bien, ¿deben los cuerpos del orden tener acceso a la información alojada en estos dispositivos para un caso específico que esté hoy en día en investigación?
Siempre y cuando haya una petición judicial neutral, creo que la mayoría estaríamos de acuerdo en aceptarlo.
En España la implantación de la Ley LECrim va precisamente por estos derroteros. Entre sus numerosos cambios, como es la implantación de un nuevo proceso por aceptación de decreto (ES), la protección mediática de los acusados (ya no son imputados, son investigados) y el fin de la incomunicación de detenidos, se unen también dos muy relacionadas con el tema tratado:
- La regulación del registro y la intervención de las comunicaciones telefónicas y telemáticas como los SMS, los mensajes instantáneos digitales (WhatsApp) y el correo electrónico.
- La regulación de la figura del agente encubierto en internet.
Es decir, se dota a los cuerpos del orden de la capacidad, previa petición y aceptación por parte del juez, y con algunas limitaciones (solo para delitos de más de tres años de cárcel, con periodos de hasta un máximo de 18 meses, revisiones periódicas,…), de intervenir servicios digitales personales para investigaciones criminales, y de hacerlo sin el conocimiento explícito de la víctima/investigado.
El tema es, por tanto, tan complejo de analizar como parece.
¿Dónde está el límite?
Sinceramente, es difícil fijarlo. Aunque entienda que la figura del juez es una intermediacción que al menos a un servidor como usuario me tranquiliza (el papel del magistrado es ser neutral en cualquier investigación), por otra parte, se abre la veda al uso de técnicas que vulneran la privacidad de los ciudadanos.
Pasados esos 18 meses, ¿qué va a pasar con toda la información que el cuerpo de seguridad oportuno ha obtenido de mi persona, presumiendo que un servidor no sea el investigado? Y si lo soy, y al final resulto inocente, ¿qué pasará con esa información?
¿Qué pasará, de hecho, con todas las terceras partes implicadas? Amigos, familiares, conocidos, con los que me comunico por medios telemáticos, y cuya privacidad ha sido, indirectamente, dilapidada.
Está claro que un poder así, en malas manos, puede resultar catastrófico. Lo ha sido, de hecho, y creo que no hay nadie que esté dispuesto a volver a pasar por esa situación otra vez.
El límite entre la seguridad de la sociedad y la privacidad del ciudadano sigue siendo uno de los elementos más complicados de fijar, y para colmo es crítico a la hora de comprender el papel de la tecnología en el entramado social.
Lo que tengo totalmente claro es que la postura de Apple, en este sentido, ha sido la correcta. Las peticiones que haya que hacer, si es que hay que hacerlas, deberán pasar por cuantas más manos neutrales, mejor. El caso contrario dirige a un escenario de control absurdo y masivo, que acabará nuevamente volviéndose maquiavélico, venga de parte de una agencia de inteligencia nacional, venga de parte del FBI, de la CIA, de la policía, o de un grupo terrorista que ha tenido acceso a esa «puerta trasera exclusiva» de los cuerpos del orden.
El debate está servido, y me temo que tenemos para largo…
Con el acceso a las llamadas telefónicas pasaría lo mismo y hoy en día todo abuso se ha castigado. El tema se trata en los extremos y siempre hay una solución para todo. En este caso, que fueran los propios de Apple quienes hicieran el desbloqueo previa orden judicial, por ejemplo.
En malas manos?, bueno, hay que informarse bien antes de votar.
Hombre, se ha «castigado» recortando el presupuesto y cambiando la ley. La NSA sigue operando con mayores restricciones, y que yo sepa, no hay nadie metido en la cárcel o perseguido por sus acciones. Sí, casualmente, por lo contrario (exponer este suceso a la opinión pública).
Y en malas manos esta información puede ser muy, muy nociva para la sociedad. Que recalco, seguramente ni sea el caso del FBI, ni de la CIA, ni de la policía.
En uno de los enlaces del artículo explico cómo una situación semejante (un censo nacional en el que además se incluyó intereses religiosos, con la intención de repartir equitativamente recursos económicos a diferentes administraciones religiosas), en Holanda, acabó sirviendo al régimen nazi para matar al 90% de los judíos del país.
Ese censo (o ese derecho de recopilar una información específica) se hizo con toda la buena voluntad del mundo, para beneficio de la sociedad. Pero años más tarde acabó siendo usado como un arma contra ellos mismos.
De eso no estamos libre nadie. No hay que pensar que las fuerzas del orden son el enemigo. Están ahí para protegernos. Pero es que abierta la puerta, no hay nada que prohiba a un tercero, o a ellos mismos, obligados por un gobierno futuro, tergiversar el buen fin con el que fue creada.
No deberíamos permitir en la sociedad, por ningún motivo, mecanismos arbitrarios que restrinjan los derechos individuales, entre ellos el derecho a la privacidad. Por tanto parecería que los términos que describes en la nueva ley en España, son más adecuados al necesitar la aprobación de un juez para la intervención de comunicaciones privadas.
Los limites adecuados entre seguridad y privacidad son muy difíciles de definir, más aún en los tiempos que vivimos. Siempre habrá pros y contras frente a cualquier medida.
Y que decir de lo de Apple Pablo. Es claro para los que tenemos que ver con tecnología que cualquier mecanismo que se le introduzca al cifrado para romperlo, es un absurdo inaceptable. Veremos seguramente una batalla en los tribunales americanos entre una de las compañías más poderosas del mundo y una pila de burócratas con todo el poder político en sus manos. Y lo más lamentable es que Apple podría perder.
Imagina este escenario: la nación más poderosa del mundo, mañana gobernada por un cavernícola como Thrump, con herramientas para descifrar lo que les venga en gana. Podríamos más adelante estar ante absurdos como por ejemplo, la obligatoriedad de instalar en nuestras casas cámaras para que nos vigilen…
Y bien sabes que estoy de acuerdo. Por otro lado, también me pareció interesante el discurso que esgrimía Chema sobre el caso. Hay que tener en cuenta que hablamos de una orden judicial, y por tanto, ¿puede una compañía negarse a cumplir la ley, por injusta que parezca?
Es un tema peliagudo. ¿Debería estar una empresa por encima de un gobierno? Si esto fuera algo habitual, el resultado sería una repartición del poder que nos pasará factura, tarde o temprano.
Y recalco, que en este caso en particular creo que Apple ha hecho lo adecuado. Solo me gusta ponerme en el otro lado, aunque sea como ejercicio mental.
Tocas un tema paralelo que me preocupa de tiempo atrás y que vale revisarlo frente al caso presente. El creciente poder de multinacionales con recursos económicos incalculables y con una gran capacidad de influir políticamente. ¿Se debilitan los estados frente a emporios económicos omnipresentes en todo lugar? Le escuchaba a alguien decir en estos días sobre el tema, «y si Apple, que aporta una ingente cantidad de impuestos en EEUU, amenazara con trasladar operaciones, por ejemplo a México…». Hasta donde puede el estado americano presionar a Apple. Habrá que ver.