Sobre el papel de los cuerpos de seguridad en entornos tecnológicos

backdoor iphone

Estas últimas horas he estado siguiendo con profundo interés el justo debate que se ha montado a raíz de la orden judicial que el FBI interpuso a Apple, y la negativa de la empresa a cumplirla.

Aunque muchos medios hayan recogido la noticia como una petición del FBI para romper el cifrado de los datos almacenados en los dispositivos de la compañía, lo cierto es que los tiros no van por estrictamente por ahí, pero sus implicaciones sí son semejantes.

A saber, la petición del FBI es la de que Apple desarrolle un software externo que elimine la restricción actual que existe en el número de intentos de desbloqueo en sus terminales, normalmente fijado en 10, con el objetivo de lanzar ataques de fuerza bruta sobre dispositivos que de antemano el juez ha permitido que se ataquen, ya que se consideran prueba de un delito.

No es que Apple genere una segunda clave para descifrar la información de nuestros dispositivos. De hecho, tal y como funcionan a día de hoy, sería materialmente imposible, ya que Apple NO conoce nuestras claves, y el dispositivo se cifra y descifra a partir del uso local que le demos. Pero eliminando el control del número de pruebas ante el bloqueo, los cuerpos de seguridad americanos sí podrían descifrar dispositivos y usarlos como prueba ante un juicio.

Algo que estos organismos llevan pidiendo mucho tiempo, habida cuenta de que tener acceso a estos dispositivos simplificaría tanto investigaciones en curso como juicios.

En España, sin ir más lejos, ha entrado en vigor hace escasos meses una nueva ley que gestiona, entre otros temas que detallaré a continuación, el ámbito de actuación de los cuerpos del orden y la seguridad en entornos digitales.

Y me parece oportuno dedicarle un artículo en profundidad a este último punto, ya que parece que será el pan nuestro de cada día de aquí en adelante.

Comencemos.

El caso FBI-Apple frente a LECrim

Tim Cook, el actual CEO de la compañía, publicaba hace un par de días una carta abierta (EN) en la que exponía las razones para negarse a lo que recalco, no es una mera petición del FBI, sino una orden judicial firmada:

Cuando el FBI nos ha pedido datos que están en nuestra posesión, se los hemos entregado. Apple cumple con las citaciones y órdenes de registro válidas, como lo hemos hecho en el caso de San Bernardino.

[…] El FBI puede usar otras palabras para describir esta herramienta, pero no te equivoques: crear una versión de iOS que evite la seguridad de esta manera sería sin duda crear una puerta trasera. Y aunque el gobierno puede argumentar que su uso estaría limitado a este caso, no hay ninguna manera de garantizar tal control.

El debate es semejante al que traía a esta humilde morada no hace mucho. Prohibir el cifrado, o como en este caso, implementar medidas para que una administración (que recordemos, está ahí para garantizar la seguridad de la sociedad) tenga la potestad de saltarse controles de seguridad de un dispositivo, es a efectos prácticos establecer una puerta trasera que va a ser explotada (con toda la buena voluntad del mundo, seguramente) por esta administración, y que podría acabar siendo explotada por terceros.

El problema va aún más lejos. Al uso que se le dará el día de mañana. Porque hoy, en efecto, es cazar a criminales, pero mañana quizás un activista sea también considerado criminal. Y pasado, quizás una persona de raza negra, o judía, o una persona con problemas de peso, o con una postura política específica, también sea considerada criminal.

Permitir que tus trabajadores desarrollen una tecnología para saltarse los controles de seguridad que has implementado para proteger la privacidad y seguridad de tus clientes, a sabiendas de los usos tergiversados que podrían desencadenarse en el presente y en el futuro, no debería entrar en los planes de ninguna compañía, como no entra en la de Apple, y como parece, tampoco entraría en la de Google o en la de WhatsApp si el día de mañana se lo pidieran. Les va, de hecho, el negocio (la confianza de sus clientes) en ello.

Ahora bien, ¿deben los cuerpos del orden tener acceso a la información alojada en estos dispositivos para un caso específico que esté a día de hoy en investigación?

Siempre y cuando haya una petición judicial neutral, creo que la mayoría estaríamos de acuerdo en aceptarlo.

En España la implantación de la Ley LECrim va precisamente por estos derroteros. Entre sus numerosos cambios, como es la implantación de un nuevo proceso por aceptación de decreto (ES), la protección mediática de los acusados (ya no son imputados, son investigados) y el fin de la incomunicación de detenidos, se unen también dos muy relacionadas con el tema tratado:

  • La regulación del registro y la intervención de las comunicaciones telefónicas y telemáticas como los SMS, los mensajes instantáneos digitales (WhatsApp) y el correo electrónico.
  • La regulación de la figura del agente encubierto en internet.

Es decir, se dota a los cuerpos del orden de la capacidad, previa petición y aceptación por parte del juez, y con algunas limitaciones (solo para delitos de más de tres años de cárcel, con periodos de hasta un máximo de 18 meses, revisiones periódicas,…), de intervenir servicios digitales personales para investigaciones criminales, y de hacerlo sin el conocimiento explícito de la víctima/investigado.

El tema es, por tanto, tan complejo de analizar como parece.

¿Dónde está el límite?

Sinceramente, es difícil fijarlo. Aunque entienda que la figura del juez es una intermediacción que al menos a un servidor como usuario me tranquiliza (el papel del magistrado es ser neutral en cualquier investigación), por otra parte, se abre la veda al uso de técnicas que vulneran la privacidad de los ciudadanos.

Pasados esos 18 meses, ¿qué va a pasar con toda la información que el cuerpo de seguridad oportuno ha obtenido de mi persona, presumiendo que un servidor no sea el investigado? Y si lo soy, y al final resulto inocente, ¿qué pasará con esa información?

¿Qué pasará, de hecho, con todas las terceras partes implicadas? Amigos, familiares, conocidos, con los que me comunico por medios telemáticos, y cuya privacidad ha sido, indirectamente, dilapidada.

Está claro que un poder así, en malas manos, puede resultar catastrófico. Lo ha sido, de hecho, y creo que no hay nadie que esté dispuesto a volver a pasar por esa situación otra vez.

El límite entre la seguridad de la sociedad y la privacidad del ciudadano sigue siendo uno de los elementos más complicados de fijar, y para colmo es crítico a la hora de comprender el papel de la tecnología en el entramado social.

Lo que tengo totalmente claro es que la postura de Apple, en este sentido, ha sido la correcta. Las peticiones que haya que hacer, si es que hay que hacerlas, deberán pasar por cuantas más manos neutrales, mejor. El caso contrario dirige a un escenario de control absurdo y masivo, que acabará nuevamente volviéndose maquiavélico, venga de parte de una agencia de inteligencia nacional, venga de parte del FBI, de la CIA, de la policía, o de un grupo terrorista que ha tenido acceso a esa “puerta trasera exclusiva” de los cuerpos del orden.

El debate está servido, y me temo que tenemos para largo…