A lo de ser el cazador cazado no escapa al parecer ni el FBI, porque puede que el fin no justifique los medios ni siquiera para esta autoridad u otra. Según sabemos por Gizmodo el FBI afronta acusaciones por haber utilizado malware en una de las investigaciones actuales, concretamente en la operación Playpen (relacionada con la pornografía de menores). ¿No existen límites en el uso de software malicioso si hablamos de autoridades?
En este caso el FBI logró detener a más de 100 personas usando estas técnicas que en otro contexto serían probablemente ilegales, pero además de una modificación a nivel legal para poder operar con estos softwares, la autoridad expone en un informe que sus acciones no deben interpretarse como maliciosas por "una persona razonable". No obstante, pese a las buenas intenciones, no queda claro que esta acción respete la privacidad de la población.
El poco amparo legal y los arreglos
los jueces puedan dar el visto bueno a que el FBI hackee cualquier ordenador sin que sea necesario saber la localización del mismo
El cambio a nivel legal al que nos referimos es una modificación de una de las Reglas Federales para el Procesamiento Criminal, concretamente la número 41. ¿En qué consiste el cambio? En que los jueces puedan dar el visto bueno a que el FBI hackee cualquier ordenador sin que sea necesario saber la localización del mismo, como se especifica en la regla original.
Ante este cambio, y pese a tratarse de las autoridades y el Departamento de Justicia, las alarmas en lo concerniente a la privacidad y a la seguridad saltaron. La modificación será efectiva si no hay ningún impedimento en diciembre, por lo que desde la propuesta de modificación hay varias movilizaciones en contra, tanto por parte de organizaciones como de empresas (como Google).
Uno de estos focos fue el Senador Ron Wyden, que se manifestó claramente en contra de esta modificación aludiendo a lo perjudicial que se plantea de cara a la privacidad de los estadounidenses y afirmando que actuaría en contraposición estableciendo medidas legales que impidiesen estas acciones. Así lo recogían en Ars Technica tras hacerse la propuesta de modificación.
Estas enmiendas tendrán consecuencias significativas en la privacidad de los ciudadanos americanos y lleva a que el gobierno tenga poder para llevar a cabo vigilancias remotas e investigaciones en dispositivos electrónicos. Tengo planes de introducir legislación para contrarrestar estas enmiendas a corto plazo, así como de pedir detalles en lo que es este opaco proceso de autorización para el uso de técnicas de hackeo por parte del gobierno.
Así, esta reforma tiene principalmente dos consecuencias negativas para los ciudadanos inocentes. Por una parte está el que, como hemos dicho, la privacidad se vea vulnerada, afectando a las propias víctimas del caso en cuestión. Y por otro lado está el hecho de que la herramienta que se usa no deja de ser malware, aunque el FBI aluda a motivos etimológicos para argumentar que sus herramientas no son un software malicioso.
FBI claims that when they deploy malware, it magically ceases to be "malware" because "mal" = "bad" & FBI is good. pic.twitter.com/LKKVEc27Ry
— Julian Sanchez (@normative) July 12, 2016
De hecho, en febrero de este mismo año (y debido a la misma operación a la que nos referíamos al principio, Playpen), un juez pidió a los federales que debían proporcionar los detalles del método de hackeo que habían empleado. Según explican en Motherboard, en la documentación de la corte se refleja que el FBI rastreó unas 1.300 direcciones IP, tanto del país como de otros como Grecia, Chile y Reino Unido.
En casos anteriores los federales también tuvieron que revelar detalles de estas técnicas informáticas de investigación, como en la Operación Torpedo de 2012. Aquí se usaron herramientas como Metaspoilt, una herramienta con la que se detectan vulnerabilidades de un sistema pudiendo acceder al mismo.
No sólo es cuestión de EEUU
Puede que por el peso de la nación a nivel mundial y por popularidad, el caso del FBI y otras agencias estadounidenses en cuanto a los espionajes sean los más ruidosos, pero no son ni mucho menos las únicas alarmas contra la privacidad en lo respectivo a los gobiernos. Así como hasta hace unos años las organizaciones no gubernamentales se centraban en la defensa de derechos como la libertad de expresión, con la expansión de internet y la tecnología a nivel de una gran mayoría de usuarios éstas también emprenden acciones contra los abusos a la privacidad.
Ejemplo de ello es el informe que presentaba la organización Derechos Digitales con respecto a que los gobiernos de América Latina habían recurrido a Hacking Team, una empresa de expertos de seguridad, para el espionaje de los ciudadanos. Aunque en su momento ya hablamos a fondo de ellos y vimos que entre los clientes de esta empresa no sólo figuraban los países de ese continente, sino que otros como España también habían recurrido a estos expertos en seguridad.
Por su parte, Amnistía Internacional hablaba directamente de spyware, recurriendo al asesoramiento de Morgan Marquis-Boire, periodista y experto en seguridad. En el informe de esta organización también se menciona el caso de Hacking Team, así como espionajes a sitios web como Mamfakinch por parte del gobierno marroquí o al activista Ahmed Mansoor.
Hablando de estos casos en los que el motivo del espionaje no es claramente una acusación o una sospecha de delito, hacen que las dudas sobre la legalidad y la ética de estas prácticas se acentúen aunque se trate de acciones emprendidas por autoridades o gobiernos. Hemos visto que aunque no haya un amparo legal, tampoco parece demasiado complicado lograrlo como vemos en el caso de la reforma de la regla 41 que comentábamos.
Tratándose de asuntos tan graves como la pornografía infantil está claro que han de emprenderse acciones a nivel de informática para encontrar a los delincuentes, pero por otro lado está que tanto inocentes como culpables pierdan el derecho a la privacidad en la práctica. Veremos cómo lo gestiona cada gobierno, queda mucho por regular sobre todo viendo lo que está por venir en cuanto a tecnología.
En Xataka | HackingTeam: quiénes son, por qué su "hackeo" es importante y qué ha ocurrido hasta ahora