Los derechos y los problemas de la tecnología de mensajería insegura

Mujer embarazada

El día de ayer, 10 de agosto de 2022, en el estado de Nebraska, se dio hizo una acusación a una joven de 18 años, Celeste Burgess, y su madre, Jessica Burgess, por llevar a cabo la terminación de un embarazo. Según la noticia, Celeste había quedado embarazada, no quería el bebé y se lo dijo a su mamá, Jessica. Ambas planificaron la compra de píldoras abortivas y la quema de “la evidencia” del aborto. Efectivamente, ambas llevaron a cabo la actividad, quemaron el feto y lo enterraron. Esto se llevó a cabo el año pasado, cuando Celeste tenía 17 años y todavía no se había revocado la decisión Roe v. Wade (1973). Aun así, no podemos subestimar que esto haya ocurrido en Nebraska. El gobernador republicano había hecho un llamado a la legislatura a aprobar legislación que haría el aborto ilegal en dicho estado si se revocaba Roe v. Wade. En general, siempre ha sido un lugar provida y adverso a la práctica del aborto, aun en los casos de violación e incesto.

Las dos fueron acusadas de remover, esconder, abandonar y encubrir la muerte de un “cuerpo humano”. La investigación comenzó cuando otra persona le notificó al Departamento de la Policía de Norfolk que Celeste había abortado en abril, a los 23 meses de embarazo, y secretamente enterró el feto con la ayuda de su madre.

Ahora bien, no solo bastó el reporte de la persona, ni tan siquiera el hallazgo del feto quemado para la acusación, sino también otro elemento que debería levantar alarmas en todo el mundo: la acción de la compañía Meta (dueña de Facebook, Instagram y WhatsApp) a la hora de entregar cerca de 300 MB de información confidencial de ambas, incluyendo la comunicación entre ellas por Facebook Messenger.

Nótese que este es un caso de cómo la tecnología compromete la seguridad de individuos para llevar a cabo algo que es consecuente con el derecho moral que tenía la entonces menor de edad para decidir sobre su cuerpo. Mucha gente piensa que el uso de mensajes encriptados usando GnuPG u otro instrumento de estándar OpenPGP, el empleo de sistemas operativos GNU/Linux (especialmente los enfocados en seguridad como Kodachi o Tails), motores de búsqueda como StartPage, DuckDuckGo o Qwant, instrumentos para buscar o compartir información como Tor, Orbot, OnionShare, BitTorrent, criptomonedas de privacidad como Monero o PIVX, entre otros es solo para que gente “malvada” lleve a cabo acciones tales como tráfico de menores, pornografía infantil, tráfico ilegal de mercancías, o transacciones ilegales de diverso tipo. Aunque no se pueda negar que estos programas se aplican a ciertas actividades indeseables, estos instrumentos son legales porque permiten que los ciudadanos validen sus derechos cuando han sido indebidamente negados por el estado u otras razones circunstanciales. Esta es la razón por la que individuos en China, Corea del Norte, Eritrea, Arabia Saudita, Irán y otros regímenes represivos usan estos instrumentos para poder acceder a libre información que es censurada por sus respectivos gobiernos. Algunos de estos instrumentos han sido las vías por las que las personas pueden revelar a periodistas algún secreto corporativo o gubernamental importante, de impacto social, y así garantizar la libertad de prensa.

Como todo en la vida, estos instrumentos se pueden emplear para bien, o se pueden abusar. Estos mecanismos son necesarios si queremos conservar una sociedad genuinamente abierta.

Además, la carencia de seguridad tiene implicaciones muy serias. No solo expone a los usuarios a la ulterior revelación de mensajes confidenciales, sino también a ransomware, virus, troyanos o programas maliciosos de todo tipo.

La gente promedio envía mensajes instantáneos por medios provistos por la industria, tales como el SMS (el peor de todos en términos de seguridad), Facebook Messages, WhatsApp, Google Meet, Google Talk, Mensajero de Instagram, Apple iMessage, Twitter, Microsoft Skype, Microsoft Teams, Snapchat, entre muchos otros. El nivel de seguridad de todos instrumentos es variado, no todos son lo mismo. Sin embargo, tienen un denominador en común: por defecto, usualmente son inseguros. Típicamente, estos mensajeros envían datos no encriptados. Esto significa que, por defecto, ellos son inseguros.

Ahora bien, algunas de estas aplicaciones permiten la comunicación encriptada entre usuarios, como, por ejemplo WhatsApp. Tan reciente como el año pasado, muchos han cuestionado la seguridad de dichas comunicaciones. En primer lugar, su dueño es Facebook, compañía que gana dinero literalmente entregando información de sus usuarios a terceros. Además, tiene alrededor de 1,000 empleados en todo el mundo que se dedican a monitorear los mensajes. Por ahora, no tenemos noticias de mensajes revelados que se enviaron encriptados por WhatsApp. Sin embargo, en su caso, al igual que el de los mensajes de Microsoft Teams, le corresponde al usuario cambiar el estatus de su aplicación por defecto a “end-to-end encryption“. Hay que mencionar que todavía bajo esa situación, WhatsApp hace una colección de metadatos: no verá el mensaje en sí, pero sí verá a quién se le ha enviado y quién lo envía. La inmensa mayoría de los servicios comerciales hace esto.

Candado - Seguridad de Código
Imagen en el dominio público.

Lo anterior no significa que no existan aplicaciones que permitan una completa intimidad de la comunicación. Preferiremos en este caso aquellas que sean software libre o de código abierto, ya que su código está a la vista de los programadores, quienes pueden decirnos en torno a las fallas de seguridad. Usualmente, los mantenedores de estas aplicaciones son diligentes en resolver prontamente estos problemas.

Signal

Signal

Signal es un mensajero muy popular cuya razón de ser es la privacidad. Su capacidad de conservar la intimidad está avalada por personas tales como Edward Snowden y Bruce Schneier, especialista reconocido en temas de seguridad cibernética. El código de la aplicación para móviles está disponible bajo la licencia GNU General Public License versión 3 (GNU GPLv3), y la licencia para los ordenadores y protocolo para servidores están disponibles bajo la GNU Affero General Public License versión 3 (GNU AGPLv3), ambas de software libre y de código abierto. La organización que la desarrolla radica informes de transparencia regularmente, y permite la auditoría de seguridad de sus aplicaciones y protocolo, algo que nos brinda mayor confianza en la pulcritud del desarrollo del código.

Un defecto que puede tener el sistema es que requiere número de teléfono para registrarse y, también, para añadir a otros para comunicarse. Esto es subsanable utilizando algún número secundario. En fin, no es un asunto demasiado serio, pero algunas personas lo podrían ver como un problema de seguridad personal si quieren enviar mensajes anónimamente. El proyecto de Signal ha informado que pronto estará modificando esta característica para hacer la aplicación más segura en el futuro. Además, su récord de los metadatos es mínimo y todavía busca reducirlos aun más. El otro problema es que no permite “The Onion Routing” (Tor), la técnica para garantizar anonimidad en cuanto a búsqueda de información y comunicación. Como la comunicación es encriptada, esto no es un problema mayor, pero no tiene disponible esa capa de seguridad adicional. Tampoco tiene alguna característica que permita la autodestrucción de mensajes.

Signal está disponible para múltiples sistemas operativos: iOS, Android, GNU/Linux, Mac y Windows.

Session

Logotipo de Session

Session es otro mecanismo de comunicación que recomiendo. Es un proyecto que cualifica como software libre y de código abierto, dado que su aplicación está disponible bajo la GNU GPLv3. Su mantenedor es la Oxen Privacy Tech Foundation, creadora de Oxen, una criptomoneda enfocada en seguridad. Como el código de Session es abierto, cualquiera puede cotejar el código para ver y reportar vulnerabilidades. Regularmente, se someten informes de transparencia y su seguridad es auditada por terceros. Al igual que Signal, retiene muy pocos metadatos. Los mensajes se solían transmitir vía Tor, pero ahora utiliza Lokinet, una tecnología similar a la de Tor con Nodos de Servicio Oxen (que se usa para su criptomoneda) como enrutadores.

Ahora bien, Session tiene dos ventajas sobre Signal:

  1. Permite el uso de Tor, así que es posible tener esa opción adicional de seguridad.
  2. Permite la programación para la autodestrucción de mensajes.

El único defecto que he encontrado de Session es que no ofrece la opción de resguardo encriptado de los mensajes (aunque los mensajes en sí están encriptados).

Está disponible para múltiples sistemas operativos: Android, iOS, GNU/Linux, Mac y Windows.

Briar

Logotipo de Briar

Briar es otro programa de software libre y de código abierto diseñado específicamente para plataformas Android. También es una aplicación de software libre y de código abierto, liberado bajo la GPLv3. Distinto a las otras dos, esta es de mensajería peer-to-peer (P2P), pero encriptada. También puede usar Tor como una vía para la comunicación P2P.

No veo mucho problema con Briar excepto que no provee para otros sistemas operativos, sea de dispositivos u ordenadores convencionales.

Información adicional

Esto no es solo información para mujeres que, bajo diversas circunstancias (dependiendo del estado, país, comunidad o situación familiar) necesiten validar sus derechos más elementales ante situaciones usualmente adversas. Igualmente, más allá del asunto de los derechos reproductivos, estos mecanismos pueden servir a otras personas que se encuentren en una situación difícil y que legítimamente los necesiten.

Nada de lo escrito aquí decide el mecanismo de comunicación que individuos en particular deben escoger. Existen otras opciones también, pero estas son las que más confío. La aplicación ideal dependerá mayormente de usted y su situación. Aun con todo lo dicho, nada de lo escrito aquí garantiza de lleno el 100 % de intimidad, por las siguientes razones:

Fraude robándole la tarjeta a usuaria
Imagen en dominio público, cortesía de Mohamed Mahmoud Hassan.
  • Acuérdense de lo dicho en otro artículo: ningún mecanismo de seguridad puede protegerle de usted. Aun si suponemos el software más seguro del universo, la mayoría de las fallas en privacidad provienen de los mismos usuarios. Esto se pudo ver recientemente en el caso del conspiracionista por excelencia Alex Jones, cuyo abogado cometió el error de enviarle inadvertidamente al adversario información privada confidencial por la que este último pudo corroborar que Jones estaba mintiendo.
  • Puede ocurrir que usted confíe plenamente en alguien, pero que esa persona no sea leal. Un ejemplo sucedido en Puerto Rico fue la revelación de un chat de WhatsApp por parte de alguien que participó en un grupo de la rama ejecutiva del gobierno de Puerto Rico. Esta revelación llevó a la renuncia del entonces gobernador Ricardo Rosselló. Asegúrese razonablemente que el receptor del mensaje sea una persona de fiar.
  • En términos realistas, se puede minimizar lo mejor posible las fallas de un software, pero no se puede garantizar un programa 100 % sólido todo el tiempo. Los desarrolladores inadvertidamente pueden poner código deficiente o accidentalmente dejar alguna vulnerabilidad de la que ellos no se hayan percatado. Aunque todos estos proyectos toman las medidas pertinentes para que eso no ocurra, ningún desarrollador o software es infalible. Por eso, siempre estén pendientes a actualizaciones, que usualmente son para resolver un número de fallas, entre ellas, las de seguridad.

Como nota final, hay que destacar la labor de la Electronic Frontier Foundation (EFF), que ha permitido luchar a favor de estos instrumentos valiosos para mantener una sociedad democrática y abierta. Apóyenlos en la medida que puedan.

Este blog se mantiene por el administrador, pero también se sostiene, en parte, gracias a las donaciones de sus lectores. Si le gusta el contenido y desea ayudar, en la medida que se pueda, done con PayPal. Puede también comprarme un café usando PayPal o Stripe. O pueden enviar dinero usando cualquiera de las siguientes criptomonedas:

Bitcoin (BTC): 1MLP6kxvE3vNsNcv91BPT3zDd86eMyk9UN

Bitcoin Zero (BTC0): 0x8A21E06542755D5e216EDF529B7ba3E6E8958CD4

Litecoin (LTC): LN4gPjGF9cKRJfcVZaTfTvkEnRae4AfAyk

Basic Attention Token (BAT): 0xbFb99452c5558145FF5b3a25129B42f1e03Ae83F

MCO2: 0xAcB069c69A135F6669CBA0C1b7Bd24bDae74880a

Muchas gracias.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.