Cuando la política se entrecruza con la tecnología casi siempre hay dos víctimas: primero la verdad y después la tecnología. Este es uno de los daños más graves causados por los programas de vigilancia que, según las revelaciones de Edward Snowden, llevó adelante durante años la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés). Aunque el alcance de estos programas sea acotado, como algunas de mis fuentes sostienen, o casi ilimitado, como aseguran otros de mis interlocutores, la verdad ya empieza a flaquear y tengo la certeza de que, a largo plazo, también se verá afectada la tecnología.

Esta es la primera de una serie de notas sobre las revelaciones de Edward Snowden sobre la vigilancia de la NSA, primero aparecidas en el diario inglés The Guardian y que, según informes actuales, ha alcanzado prácticamente todos los niveles, desde ciudadanos estadounidenses hasta compañías privadas, desde jefes de Estado hasta el papa.

Es una serie de notas porque se trata de uno de los temas más complejos que puedan imaginarse, no sólo en el aspecto técnico, sino también en el político.

Por ejemplo, la vigilancia no es una práctica nueva. El registro histórico más antiguo que se conoce es de la guerra entre los egipcios y los hititas, en el siglo XII antes de Cristo. La Viena a la que llega el joven Beethoven para estudiar con Haydn era un estado policial con espías infiltrados en todos los estamentos, sin prensa independiente y con un estricto control de los libros que circulaban. La lista de ejemplos es interminable.

Mínimo, nos hemos estado espiando mutuamente durante 3000 años, pero no parecemos dispuestos a reflexionar sobre el asunto. Nos quedamos con las pancartas, que son muy decorativas, pero tienden a ocultar el horizonte y hacernos perder perspectiva. La vigilancia como método debe ser puesto bajo la lupa de manera descarnada y racional, porque con enunciados políticamente correctos no vamos a resolver nada. Mi propia visión como defensor de las libertades civiles es diferente de mi visión como víctima de la inseguridad, confieso, y tan sólo llegar a un equilibrio interior me resulta muy difícil.

Otro ángulo: Google, Microsoft y Yahoo! tienen una sola forma de atajar virus y spam: monitorear nuestros mails; también colocan así avisos contextuales. Y esta es la forma en que Google te avisa que usaste la palabra "adjunto" pero que no adjuntaste nada. No es que nuestros mails sean leídos por personas, pero es una forma de monitoreo masivo, y la aceptamos.

De modo que nada es blanco y negro en este campo, del que me ocuparé oportunamente.

Técnicamente, el asunto no es menos complejo, como se verá en los siguientes párrafos (y sólo rozaré la superficie). Sí, pueden hacerse un número de cosas para contrarrestar los programas de vigilancia masivos e indiscriminados, pero son más arduos que los que se han manifestado públicamente.

Verdad o consecuencia

Brasil, no sin razón enfurecido, ha proclamado la necesidad de mantener los datos de las empresas que prestan servicios en línea, como Google, Apple, Microsoft y Yahoo!, en servidores locales. Con esto, aseguran, se evitaría el espionaje de Estados Unidos, porque esas empresas estarían obligadas a acatar la ley local, en lugar de la estadounidense.

Políticamente, suena genial, una suerte de Declaración de la Independencia 2.0. El problema es que no sirve para nada; es más, podría ser todavía peor para la privacidad de los brasileños. ¿Por qué?

Porque en Internet no importa mucho dónde están los servidores. "La arquitectura de la red no es geopolítica, sólo hay números IP y sistemas autónomos", me decía en estos días una de las fuentes que consulté para empezar a entender el asunto.

Eso significa que la única forma de evitar que alguien husmee en los paquetes de datos disponibles sin cifrar en una red es desconectándose de esa red o creando una Internet propia y aislada; para eso haría falta instaurar un sistema paralelo de nombres de dominio (DNS) y cercenar toda posible vinculación física con el exterior. Dudo mucho que los brasileños se sientan felices de no poder volver a ver sino sitios brasileños. Sin embargo, una idea de esta clase (www.reuters.com/article/2013/10/25/us-usa-spying-germany-idUSBRE99O09S20131025) fue sugerida por Alemania hace una semana, según la agencia Reuters; es poco probable, no obstante, que una Internet vallada prospere en esa nación.

 

OK, ¿pero por qué la ubicación geográfica de los servidores no es relevante en la Red? Porque cualquier empresa estadounidense, si recibe un pedido de la NSA, podría copiar los datos de esos servidores supuestamente seguros y moverlos a los que están instalados en Estados Unidos. Podría hacerlo, además, sin que quedasen rastros. Es bastante obvio que uno de los principales problemas de la ciberconflictos es la imposibilidad de atribuir de forma fehaciente los ataques. Las acciones encubiertas en Internet no corren ninguno de los riesgos de las reales, y son imposibles de rastrear, sobre todo si hay una nación con recursos ilimitados detrás.

En la ruta

Pero además hay problemas domésticos para que la mudanza de servidores sea inútil, al menos con el fin de evitar la vigilancia externa (no interna, permítanme añadir). Los datos no se quedan quietos en un servidor. Van y vienen entre servers. Por añadidura, entre la computadora del usuario y el servicio en la otra punta (digamos, Facebook) se producen una serie de saltos entre routers y pasarelas, llamados hops.

Es decir, los paquetes con tus datos van pasando por varias máquinas hasta llegar a destino. Es obvio que para llegar a Facebook el tráfico deberá entrar en territorio estadounidense; de ahí que la idea de mudar estos servidores parece reducir el riesgo de espionaje.

Lo que no se dice es que el tráfico de datos dentro Brasil (y dentro de la Argentina, para el caso) suele pasar por Miami. Esto no depende del usuario ni del sitio de destino, sino de las compañías que proveen el servicio de conexión y las de alojamiento de sitios. Es una simple cuestión de costos: el peering es más barato con Estados Unidos. O, para ser más precisos, el costo depende del balance entre lo que dos proveedores intercambian en términos de cantidad de tráfico. Si intercambian cantidades iguales, entonces no pagan. Por eso, salvando una serie de detalles, los operadores locales tienden a usar Miami, porque bajamos más datos que los que subimos.

Así, en muchos casos, el tráfico de datos pasa por Miami incluso para establecer conexiones dentro de un mismo país. Por idénticos motivos, las comunicaciones dentro de nuestra región suelen pasar por territorio estadounidense.

Así que, por más que los servidores de Google y Facebook queden en territorio propio, los datos pasarán por routers sobre los que Estados Unidos o sus aliados tienen jurisdicción. Si la NSA quiere tomarlos ahí, puede hacerlo sin violar las leyes de Brasil o de cualquier otro país.

A los saltos

Hice algunas pruebas, de las que adjunto imágenes. Por ejemplo, tracé la ruta desde mi máquina al NIC y los paquetes de datos pasan por tres puntos en los Estados Unidos para luego ir a Río de Janeiro y, finalmente, llegar al NIC.

Insisto, esto no tiene que ver con http://nic.ar , sino con el proveedor del servicio y con el de alojamiento (hosting). En ocasiones -puede haber varios motivos para esto-, se llega al NIC sin salir a Estados Unidos; pero desde Chile accedí pasando por territorio estadounidense en todos los casos (pueden usar http://traceroute.org para trazar rutas desde otros países).

Para llegar al sitio del aeropuerto de San Pablo ( www.gru.com.ar ) los paquetes pasan primero por España. Lo mismo para acceder a MercadoLibre.com.ar. En rigor, no es territorio español, sino que ese host está registrado a nombre de una empresa española (Telefónica, en este caso), pero el IP corresponde a Estados Unidos. Miami, para ser precisos. Si prueban desde otros proveedores (Fibertel, Personal), posiblemente obtengan rutas diferentes, aunque Miami es una estación muy transitada.

También tracé las rutas a las páginas de los gobiernos de varios países de la región. Para llegar al de Ecuador, los hops pasan, de nuevo, por Estados Unidos. Otro tanto ocurre con Venezuela (Miami, Washington, Texas).

Una de las páginas del gobierno peruano ( www.presidencia.gob.pe ) está directamente alojada en territorio estadounidense (en DreamHost.com, en Los Angeles, California); la otra ( www.peru.gob.pe ) está alojada en Lima y la ruta que tracé no pasó nunca por Estados Unidos. Lo mismo al trazarla desde Brasil. Pero desde Chile, otra vez, los paquetes salieron al hemisferio norte.

Las imágenes que adjunto fueron creadas con el software libre Open Visual Traceroute ( http://sourceforge.net/projects/openvisualtrace/ ), disponible para Windows y Linux. La geolocalización no es siempre exacta, aunque sí es correcto, en todos los casos donde se anota, que los paquetes salen del subcontinente; en ocasiones hay que ubicar el IP a mano, por ejemplo con un sitio como www.iplocation.net/index.php.

Windows viene con un comando de línea para trazar rutas, tracert. En Linux, pueden usar mtr o inetutils-traceroute, disponibles en el centro de software.

Les mandé estos trazados a varios amigos expertos en redes, para ver si había algún error, y también a John Levine, ex miembro de la Icann y autor de un excelente artículo sobre estos temas en CircleID ( www.circleid.com/posts/20131019_an_internet_governance_update/ ), que me dijo: "Podés ver qué pocas conexiones hay entre las redes sudamericanas. Casi todo el tráfico internacional y una sorprendente cantidad de tráfico doméstico hacen largos desvíos por Europa y Estados Unidos. Como puse en mi blog, no hay obstáculos técnicos para construir redes regionales. Sólo se requiere dinero y voluntad política.

"Los desvíos de datos son técnicamente malos en dos sentidos: añaden retraso extra y puntos en los que la conexión puede fallar, además de ofrecer oportunidades de espionaje. Y como hemos visto, los europeos son tan fisgones como los estadounidenses, si bien más discretos."

Una cosa es cierta, no obstante, aunque no por las razones que se adujeron: aumentar la cantidad de servidores con contenido en la región ayudaría a balancear el peering y eso contribuiría a salir menos vía Miami. Aún así, el desbalance seguiría siendo muy grande para garantizar alguna clase de privacidad; es más, compañías como Google y Microsoft ya tienen servers en la región, y eso no ha alterado el escenario de forma fundamental.

Peor el remedio

Quizás trazar rutas no sea algo que los jefes de Estado hagan a menudo, pero sus asesores deberían haber insistido con la inutilidad de esta medida.

Lo mejor sería invertir en infraestructura para que los paquetes de datos internos no tengan que pasar tanto por Miami, pero eso es mucho más caro que un discurso encendido. Y menos ostensible. "Los cables no se ven", me decía un amigo, fogueado en estas batallas (aunque pueden verlos aquí: www.cablemap.info).

Me ocuparé en próximas columnas de lo que realmente podría ayudar a controlar el espionaje masivo. Por ejemplo, el cifrado. Pero en este punto lo que me parece más interesante es cómo razonamiento analógico, mecanicista, pre-digital sigue rindiendo frutos. La clase política o sigue viviendo en el siglo XIX o está persuadida de que nadie se dará cuenta de que este parche de mover los servidores de lugar no hará sino producir una falsa sensación de seguridad y, con esto, allanarle el camino a futuros espionajes.

Peor todavía, una decisión técnicamente absurda motorizada por razones políticas es el primer paso para empezar a degradar tecnologías que hoy funcionan de manera impecable.

En el más oscuro de los escenarios, mover los servidores podría de hecho ayudar a la NSA y otras agencias de inteligencia en su vigilancia. La razón de esto está en una noticia que se conoció esta semana. Según The Washington Post, la NSA habría usado un programa llamado Muscular para intervenir las redes de Yahoo! y Google (www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html). Como se desprende del artículo del Post, y como señalaba antes Levine, mover los servidores parece más bien aumentar las oportunidades de espionaje que reducirlas.

Nos vamos

La mudanza de servidores no es la única ilusión nacida de las revelaciones de Snowden. También lo es la idea de que un cambio en la gobernanza de Internet conseguirá contrarrestar el espionaje. No es así, en mi opinión, porque la vigilancia no ocurre en el nivel de los servidores del sistema de nombres de dominio (DNS, por sus siglas en inglés), de los estándares de la Web o la asignación de números y nombres.

Ocurre en el nivel de los cables mismos o se trata de pedidos secretos a compañías como Apple, Google, Microsoft y otras, que a su vez tienen prohibido declarar en sus informes de transparencia. Este es sólo otro parche para calmar los ánimos, sin ningún efecto sobre posibles futuras intervenciones.

No obstante, los organismos que se ocupan de establecer los estándares de Internet (la Internet Engineering Task Force -IETF-, la Internet Corporation for Assigned Names and Numbers -Icann-, el Web Consortium, la Internet Society -Isoc- y el Architecture Board funcionaban en Estados Unidos) le han dado la espalda al gobierno de Estados Unidos, a causa de la vigilancia de la NSA, con la Declaración de Montevideo, fechada el 7 de octubre (www.icann.org/en/news/announcements/announcement-07oct13-en.htm).

Para Tony Rutkowski, que fue presidente de la Internet Society en 1994, "la Declaración de Montevideo es básicamente pobre y no tiene ni idea del asunto; emana de gente que debería tener más juicio, y que está consintiendo a un conjunto de personas que fomentan agendas personales o sociopolíticas".

A mi juicio, estos organismos no tenían más remedio que apartarse. Si querían evitar un mal mayor -una revuelta que podía fragmentar gravemente la Red en capítulos nacionales-, tenían que dar alguna clase de señal, hacer un gesto hacia "la globalización de la gobernanza de Internet". ¿Sirve de algo en relación con la vigilancia masiva de la NSA? No creo. Tal vez evita la balcanización, pero no el espionaje.

Sebastián Bellagamba, director para América Latina y el Caribe de la Internet Society, piensa de otro modo. Le pregunté en qué podía ayudar a reducir los alcances de la vigilancia masiva el cambio en la gobernanza de Internet. Me dijo: "Ayuda en el sentido de implementar mecanismos transparentes de desarrollo de políticas y estándares que pueden prevenir backdoors y cosas no deseadas. Una especie de peer review constante. También es verdad que se dio la oportunidad para avanzar en temas que se vienen reclamando hace tiempo, como el de que haya un solo gobierno que tiene un rol preponderante en temas de gobernanza. De eso trata la Declaración de Montevideo. Y sí comparto que también que se busca con esto evitar la balcanización".

***

¿La solución es quedarse de brazos cruzados? Por supuesto que no. Pero hacer algo inútil es, me parece, más riesgoso que quedarse de brazos cruzados. ¿Y entonces? Un buen primer paso podría ser visitar el sitio de la Electronic Frontier Foundation (www.eff.org), donde hay buenos consejos e información. Además, y como prometí, trataré el tema de cómo proteger nuestra privacidad en futuras columnas.