Ed Snowden
El mayor peligro para la seguridad nacional se ha convertido en las empresas que dicen protegerla
1. Lo primero que hago cuando tengo un teléfono nuevo es desmontarlo. No lo hago para satisfacer la urgencia de un manitas ni por principios políticos, sino simplemente porque no es seguro utilizarlo. Reparar el hardware, es decir, retirar quirúrgicamente los dos o tres pequeños micrófonos ocultos en el interior, es sólo el primer paso de un arduo proceso, y sin embargo, incluso después de días de estas mejoras de seguridad caseras, mi teléfono inteligente seguirá siendo el artículo más peligroso que poseo.
Antes del Proyecto Pegasus de esta semana, un esfuerzo periodístico global de los principales periódicos para exponer las consecuencias fatales del Grupo NSO (la nueva cara del sector privado de una industria de la inseguridad fuera de control), la mayoría de los fabricantes de teléfonos inteligentes, junto con gran parte de la prensa mundial, colectivamente ponían los ojos en blanco cuando identificaba públicamente un iPhone recién salido de la caja como una amenaza potencialmente letal.
=> Recibir por Whatsapp las noticias destacadas
A pesar de los años de informes que implicaban el hackeo de teléfonos con fines de lucro del Grupo NSO en las muertes y detenciones de periodistas y defensores de los derechos humanos; a pesar de los años de informes que los sistemas operativos de los teléfonos inteligentes estaban plagados de fallas de seguridad catastróficas (una circunstancia agravada por el hecho de que su código había sido escrito en lenguajes de programación obsoletos que durante mucho tiempo se han considerado inseguros); y a pesar de los años de informes que incluso cuando todo funciona como se espera, el ecosistema móvil es un infierno distópico de monitoreo y manipulación del usuario final, a muchas personas todavía les resulta difícil aceptar que algo que se siente bien puede no serlo en realidad.
Durante los últimos ocho años, a menudo me he sentido como alguien que intenta convencer a su único amigo que se niega a crecer para que deje de fumar y reduzca el consumo de alcohol, mientras tanto, los anuncios de las revistas todavía dicen «¡Nueve de cada diez médicos fuman iPhones!» y «¡La navegación móvil sin seguridad es refrescante!».
Sin embargo, en mi infinito optimismo, no puedo evitar considerar la llegada del Proyecto Pegasus como un punto de inflexión: una historia bien investigada, exhaustivamente documentada y francamente desquiciada sobre una infección de “caballo de Troya” “alado” llamada “Pegasus” que básicamente convierte el teléfono que llevas en el bolsillo en un dispositivo de seguimiento todopoderoso que se puede encender o apagar de forma remota, sin que tú, el dueño del bolsillo, lo sepas.
En resumen, el teléfono que tienes en la mano existe en un estado de inseguridad perpetua, abierto a la infección por cualquiera que esté dispuesto a poner dinero en manos de esta nueva industria de la inseguridad. La totalidad del negocio de esta industria consiste en crear nuevos tipos de infecciones que eludan las últimas vacunas digitales (también conocidas como actualizaciones de seguridad) y luego venderlas a países que ocupan la intersección al rojo vivo de un diagrama de Venn entre “anhela desesperadamente las herramientas de opresión” y “carece dolorosamente de la sofisticación para producirlas en el país”.
Una industria como esta, cuyo único propósito es la producción de vulnerabilidad, debería ser desmantelada
2. Incluso si nos despertáramos mañana y el Grupo NSO y todos sus aliados del sector privado hubieran sido aniquilados por la erupción de un volcán particularmente público, no cambiaría el hecho de que estamos en medio de la mayor crisis de seguridad informática en la historia de la informática.
Las personas que crean el software detrás de cada dispositivo de alguna importancia, las personas que ayudan a hacer de Apple, Google, Microsoft, una amalgama de fabricantes de chips miserables que quieren vender cosas, no arreglarlas, y los desarrolladores de Linux bien intencionados que quieren arreglar cosas, no vender cosas, están todos felices de escribir código en lenguajes de programación que sabemos que son inseguros, porque, bueno, eso es lo que siempre han hecho, y la modernización requiere un esfuerzo significativo, sin mencionar gastos significativos.
La gran mayoría de las vulnerabilidades que luego son descubiertas y explotadas por la industria de la inseguridad se introducen por razones técnicas relacionadas con la forma en que una computadora realiza un seguimiento de lo que se supone que debe estar haciendo, en el momento exacto en que se escribe el código, lo que hace que la elección de un lenguaje más seguro sea una protección crucial… y, sin embargo, es una que pocos llevan a cabo.
Si quieres ver cambios, necesitas incentivarlos. Por ejemplo, si quieres ver a Microsoft sufrir un ataque al corazón, habla sobre la idea de definir la responsabilidad legal por el código malicioso en un producto comercial. Si quieres darle pesadillas a Facebook, habla sobre la idea de hacerlo legalmente responsable por cualquier filtración de nuestros registros personales de la que un jurado pueda estar convencido de que fueron recopilados innecesariamente. Imagina lo rápido que Mark Zuckerberg comenzaría a destrozar la tecla de borrar.
Donde no hay responsabilidad, no hay rendición de cuentas… y esto nos lleva al Estado.
3.El hackeo patrocinado por el Estado se ha convertido en una competencia tan habitual que debería tener su propia categoría olímpica en Tokio. Cada país denuncia los esfuerzos de los demás como un crimen, mientras se niega a admitir la culpabilidad por sus propias infracciones. ¿Cómo, entonces, podemos decir que nos sorprende que Jamaica aparezca con su propio equipo de bobsleigh? ¿O cuando una empresa privada que se hace llamar “Jamaica” aparece y reclama el mismo derecho a “hacer trampas” que un estado-nación?
Si el hackeo no es ilegal cuando lo hacemos nosotros, entonces no será ilegal cuando lo hagan ellos, y “ellos” se está convirtiendo cada vez más en el sector privado. Es un principio básico del capitalismo: es sólo un negocio. Si todos los demás lo hacen, ¿por qué yo no?
Este es el razonamiento superficialmente lógico que ha producido prácticamente todos los problemas de proliferación en la historia del control de armas, y la misma destrucción mutua asegurada que implica un conflicto nuclear está prácticamente garantizada en uno digital, debido a la interconectividad y homogeneidad de la red.
Recordemos nuestro tema anterior sobre Pegasus del NSO Group, que especialmente, pero no exclusivamente, apunta a los iPhones.
Si bien los iPhones son más privados por defecto y, ocasionalmente, están mejor diseñados desde una perspectiva de seguridad que el sistema operativo Android de Google, también constituyen una monocultura: si encuentras una manera de infectar uno de ellos, puedes (probablemente) infectarlos a todos, un problema exacerbado por la negativa de Apple a permitir que los clientes realicen modificaciones significativas en la forma en que funcionan los dispositivos iOS.
Cuando combinas esta monocultura y la caja negra con la popularidad casi universal de Apple entre la élite global, las razones de la fijación del NSO Group con el iPhone se vuelven evidentes.
Los gobiernos deben llegar a comprender que permitir (y mucho menos subsidiar) la existencia del NSO Group y sus pares malévolos no sirve a sus intereses, independientemente de dónde se ubique el cliente, o el estado cliente, a lo largo del eje autoritario: el último presidente de los Estados Unidos pasó todo su tiempo en el cargo cuando no estaba jugando golf tuiteando desde un iPhone, y apostaría a que la mitad de los funcionarios de más alto rango y sus asociados en todos los demás países estaban leyendo esos tuits en sus iPhones (tal vez en el campo de golf).
Nos guste o no, adversarios y aliados comparten un entorno común, y cada día que pasa, nos volvemos más dependientes de dispositivos que ejecutan un código común.
La idea de que las grandes potencias de nuestra era (Estados Unidos, China, Rusia, incluso Israel) están interesadas en que, digamos, Azerbaiyán alcance la paridad estratégica en la recopilación de inteligencia es, por supuesto, profundamente errónea. Estos gobiernos simplemente no han logrado comprender la amenaza, porque la brecha de capacidad no ha desaparecido… todavía.
4. En tecnología, como en salud pública, para proteger a cualquiera, debemos proteger a todos. El primer paso en esta dirección, al menos el primer paso digital, debe ser prohibir el comercio de software de intrusión. No permitimos un mercado de infecciones biológicas como servicio, y lo mismo debe ser cierto para las infecciones digitales. Eliminar el motivo de lucro reduce los riesgos de proliferación al tiempo que protege el progreso, dejando espacio para la investigación de conciencia pública y el trabajo inherentemente gubernamental.
Si bien eliminar el software de intrusión del mercado comercial no se lo quita a los estados, sí garantiza que los traficantes de drogas imprudentes y los productores de Hollywood criminales sexuales que pueden sacar unos cuantos millones de los cojines de sus sofás no puedan infectar todos o ninguno de los iPhone del planeta, poniendo en peligro los brillantes trozos de estatus de la clase de café con leche.
Sin embargo, una moratoria de este tipo es una mera clasificación: solo nos da tiempo. Después de una prohibición, el siguiente paso es la responsabilidad.
Es fundamental entender que ni la escala de los negocios del Grupo NSO ni las consecuencias que ha infligido a la sociedad global habrían sido posibles sin el acceso al capital global de firmas amorales como Novalpina Capital (Europa) y Francisco Partners (EE. UU.).
El lema es simple: si no se desinvierte en empresas, los propietarios deben ser arrestados. El producto exclusivo de esta industria es el daño intencional y previsible, y estas empresas son cómplices conscientes.
Además, cuando se descubre que una empresa participa en tales actividades bajo la dirección de un estado, la responsabilidad debe ir más allá de los códigos civiles y penales más pedestres para invocar una respuesta internacional coordinada.
5. Imagine que es el Consejo Editorial del Washington Post (primero tendrá que deshacerse de su columna vertebral). Imagine que asesinan a su columnista y responde con un susurrante llamado a los arquitectos de ese asesinato para que la próxima vez completen un poco más de papeleo. Francamente, la respuesta del Post al escándalo de NSO es tan vergonzosamente débil que es un escándalo en sí mismo: ¿cuántos de sus escritores necesitan morir para que se los convenza de que el proceso no es un sustituto de la prohibición?
Arabia Saudita, utilizando “Pegasus”, hackeó los teléfonos de la ex esposa de Jamal Khashoggi y de su prometida, y utilizó la información obtenida para preparar su monstruoso asesinato y su posterior encubrimiento.
Pero Khashoggi es simplemente la más prominente de las víctimas de Pegasus, debido a la naturaleza a sangre fría y espantosa de su asesinato.
El “producto” (léase: “servicio criminal”) del Grupo NSO se ha utilizado para espiar a innumerables periodistas, jueces e incluso profesores.
A candidatos de la oposición y a los cónyuges e hijos de los objetivos, a sus médicos, a sus abogados e incluso a sus sacerdotes. Esto es lo que la gente que piensa que una prohibición es “demasiado extrema” siempre pasa por alto: esta industria vende la oportunidad de matar a tiros a los periodistas que no te gustan en el lavadero de coches.
Si no hacemos nada para detener la venta de esta tecnología, no solo serán 50.000 objetivos: serán 50 millones de objetivos, y sucederá mucho más rápido de lo que cualquiera de nosotros espera.
Este será el futuro: un mundo de personas demasiado ocupadas jugando con sus teléfonos como para darse cuenta de que alguien más los controla.