Internet no puede funcionar sin cifrado
Se han propuesto desde eliminar la encriptación en la mensajería hasta darle una puerta trasera a los servicios de inteligencia; ambas ideas son impracticables
Después de los atentados del viernes 13 de este mes en París, gobiernos y agencias de seguridad han vuelto a la carga con la idea de que hay que usar un cifrado cuyas llaves maestras queden en manos de los servicios de inteligencia. Luego del ataque a la Redacción de la revista Charlie Hebdo, a principio de año, el primer ministro británico, David Cameron, llegó a hablar de erradicar por completo el cifrado en la mensajería. Esta columna tiene como meta demostrar que ambas propuestas no son absurdas, delirantes ni complicadas. Simplemente, son imposibles.
Para eso, el primer paso es comprender qué es la encriptación. El término proviene de la palabra griega kryptós, que significa varias cosas, según las piezas literarias donde aparece: secreto y oculto (en la Ilíada), escondido (en la Electra de Sófocles), tapado por otras cosas (en Heródoto). Tiene el mismo origen que cripta y criptógama, el grupo de plantas que se reproduce de forma invisible, porque no hay semillas, sino esporas.
Al encriptar ocultamos información (más sobre esto enseguida) de tal forma que sólo puedan leerla las personas autorizadas. Una de las formas más sencillas de cifrado es la que Julio César usaba hace 20 siglos. Funcionaba así: cada letra del texto por cifrar era reemplazada por otra, que surgía de contar 3 letras hacia adelante en el alfabeto. De este modo, una frase como La casa es blanca quedaba convertida en Od fdvd hv eodqfd. Para la tecnología disponible en la época, estaba bastante bien. O sea, nadie entendía lo que decía, excepto aquellos que conocían el mecanismo. Hoy llevaría milisegundos adivinar cuántas posiciones hay que contar para obtener la letra original, porque la frecuencia de aparición de las letras en cada idioma ha sido bien estudiada desde, al menos, el siglo 9 de nuestra era.
Entran en escena las computadoras. Con sus cerebros electrónicos capaces de ejecutar miles de millones de operaciones por segundo, podemos poner en práctica algoritmos de cifrado infinitamente más complejos que el de Julio César. Pero, en el fondo, la misión sigue siendo la misma: que los mensajes se mantengan privados, que nadie más que las personas autorizadas puedan leerlos. Mensajes, en este contexto, significa unos y ceros. Fotos, textos, video, música, llamadas telefónicas, WhatsApp, Facebook, Twitter, todo en Internet (en el mundo contemporáneo, en otras palabras) está compuesto por unos y ceros. Toda la información que los seres humanos creamos ahora está hecha de unos y ceros; de allí proviene la palabra informática, ahora caída en desgracia, pero más válida que muchas otras que han venido a reemplazarla.
Y sí, en un primer vistazo el cifrar mensajes puede resultarles muy útil a los pedófilos, terroristas, narcotraficantes, cibercriminales y demás. Es verdad, pero sólo lo es en la medida en que los cuchillos pueden prestarles un servicio a los homicidas; y no me refiero a la hora de comer. Por eso es fácil, incluso atractivo, imaginar un mundo sin cuchillos. Deberíamos arrancar los bocados a tarascones y no sería muy polite, pero bueno, el mundo se convertiría en un lugar más seguro, ¿no? Falso, porque los asesinos podrían usar docenas de otras herramientas y utensilios para perpetrar sus atrocidades. El tenedor, por ejemplo. OK, también lo eliminamos. Después de todo no hay nada de malo en comer con las manos, es una cuestión puramente cultural. Por desgracia, tampoco así ganaríamos nada de seguridad.
Con el cifrado el escenario es todavía más desalentador, porque no podemos prescindir de él, al revés de lo que ocurre con martillos, destornilladores, mazas, piedras, palos, sogas, combustibles y sustancias corrosivas. Quizás sería viable comer con las manos, abandonar todos nuestros instrumentos, así como gran parte de los compuestos que usamos en la civilización industrializada y, por supuesto, el fuego, que es tan dañino. Sería un mundo interesante, algo así como un planeta con 7000 millones de cazadores-recolectores provistos de una tecnología anterior a la del Homo erectus. No faltarían reyertas por la comida, eso es seguro, y quizá no sería, ahora que lo pienso, mucho más seguro que ahora. Pero al menos lo podemos imaginar.
En cambio, eliminar el cifrado para obtener más seguridad equivale a eliminar puertas y ventanas para prevenir robos y entraderas. Conduce a una contradicción. Dicho simple: Internet no funciona sin cifrado. O, para ser más preciso, funciona, pero no sirve prácticamente para nada. Habría que apagarla porque nadie la usaría y estaría ahí, consumiendo energía eléctrica sin objeto alguno.
La encriptación es lo que permite, por ejemplo, el comercio electrónico. Si sabemos que habrá un ejército de piratas oyendo las redes a la espera de que pongamos los datos de nuestra tarjeta de crédito, que viajarían sin protección alguna, entonces no la usaremos más en línea. Es decir, adiós a los casi 2 billones (sí, billones, 12 ceros) de dólares que producirá el comercio electrónico en 2016.
Pero no es sólo el e-commerce. Toda la industria de las tarjetas dejaría de existir, porque también hay que cifrar la comunicación entre los puntos de venta de los comercios reales y los puntos en donde se procesan los pagos. Diré más: la industria bancaria colapsaría por completo, tras intentar infructuosamente regresar al billete, la moneda y el cheque, las planillas de papel, las colas, las transferencias contantes y sonantes. Los cajeros automáticos perderían todo sentido. Sería una primavera, además, para los asaltantes, porque llovería plata, literalmente. Una primavera corta, sin embargo, porque el derrumbe del sistema bancario haría que esos billetes valieran menos que el papel en que están impresos. Es apenas el principio, pero solamente con este cambio, todos los negocios basados en la Red desaparecerían. Netflix, por ejemplo, recibiría 70 millones de cheques por mes. O sea, unos 27 cheques por segundo, las 24 horas del día durante los 365 días del año.
Con la economía lanzada a los estándares de 1950, pero con casi 4000 millones de personas más, el desastre sería de proporciones bíblicas.
Pero está bien, la idea parece ser más bien quitarnos el cifrado en la mensajería entre particulares. "¿Queremos medios de comunicación entre individuos que no podamos leer?", se preguntaba Cameron a principio de año, quedando peligrosamente cerca del lapsus linguae, porque su duda implica que leer las cartas que se enviaban antes los ingleses –o sus correos electrónicos, en tiempos más recientes– era algo rutinario. Antes de que lo pregunten, no, el e-mail, hasta hace relativamente poco, no viajaba cifrado, excepto que el usuario empleara encriptación de clave pública, algo que se reservaba a una minoría de conocedores y expertos en seguridad. Y todavía hoy sigue siendo bastante vulnerable, pese a las políticas de los principales proveedores de correo electrónico.
Concedido, para algunos puede sonar razonable que el gobierno pretenda hacer escuchas, aunque más no sea por aquello de que "las personas decentes no tienen nada que ocultar". Es un argumento no sólo miope, porque la privacidad no tiene nada que ver con ocultar cosas (es un derecho humano que algunas naciones, entre otras Gran Bretaña, no contemplan en su Constitución ), sino también peligroso, porque si Gran Bretaña tomara la decisión de eliminar el cifrado, sólo podría hacerlo unilateralmente. Quizá otros países se unieran a esta cruzada contra el cifrado entre particulares, pero es improbable que todos se plegaran con la misma facilidad. En la Argentina, por ejemplo, la privacidad es un derecho garantizado por la Constitución, y lo único que protege ese derecho en línea es el cifrado. Dicho simple: la encriptación seguiría siendo un producto disponible para muchos habitantes del mundo.
Por lo tanto, los ingleses se quedarían sin resguardo para sus mensajes, pero seguirían expuestos al terrorismo, porque los atacantes podrían emplear servicios de mensajería radicados en otros países o podrían mandar a programar sus propios sistemas de cifrado. Dinero, es evidente, no les falta.
Peor aún, si de algún modo un país se las arreglara para bloquear cualquier mensaje cifrado entre individuos, los atacantes podrían optar por regresar, ellos también, a métodos previos a la informática, con lo que se volverían mucho más difíciles de rastrear.
Nota al margen respecto de la privacidad, aunque ya saben lo que opino al respecto. En una carta abierta al primer ministro británico publicada por Wired, Nico Sell, fundador del mensajero Wickr, fue contundente: "La encriptación debe ser un derecho humano global", sostuvo. Coincido, y añado que, además, debe ser un derecho humano amparado por la Constitución, como ocurre en nuestro país y en Estados Unidos, entre otros.
Todo lo que hablamos es sensible
La otra idea es menos disparatada, y quizá ya ha sido puesta en práctica un número de veces, sólo que ahora sería mucho más riesgosa (y, en los hechos, también imposible). Implementar una puerta trasera en los sistemas de cifrado –que los servicios de inteligencia usarían a discreción– equivale a introducir voluntariamente una vulnerabilidad en el cifrado, con un agravante: ahora los criminales sabrían que está ahí, y sólo sería cuestión de tiempo (no mucho, además) para que la encuentren y se la vendan (caro, muy caro) a terroristas y naciones enemigas. Paradójico: las agencias encargadas de la seguridad de esa nación estarían diciéndole a todo el mundo que, si buscan un poquito, van a encontrar por dónde entrar en la conversación de la gente.
Oh, pero claro, es sólo la conversación de las personas comunes la que se pretende escuchar a hurtadillas. ¿De qué habla la gente común? Nada demasiado importante, ¿cierto?
Falso otra vez. Porque como ocurre con docenas de otros asuntos, plantea el problema de definir qué es una persona común. ¿Un policía es, en este sentido, una persona común? ¿Lo es todo el tiempo o sólo cuando no está de servicio? ¿Y un periodista? ¿Qué ocurre con los directores ejecutivos de las grandes compañías? ¿Deberían desactivar sus VPN cuando hablan con sus cónyuges (si es que sus cónyuges son personas comunes, claro está)? ¿Los médicos, que podrían estar intercambiando información sensible sobre la salud de sus pacientes, también deben considerarse personas comunes? ¿Un piloto de avión, el motorman del subterráneo a la hora pico, los enfermeros en un hospital? La lista sigue; no quiero abusar. Sería muy fácil, por ejemplo, determinar en qué momento un banco, una estación de trenes o un parque de diversiones es más vulnerable sólo haciendo un poco de minería de datos en los mensajes intercambiados entre sus empleados.
Al final, estas propuestas delirantes que se amparan en que es lícito desproteger cierto tipo de información, ciertos unos y ceros que son patrimonio de la gente común, encuentran siempre el mismo escollo: no existen personas comunes. Ahí radica el dislate de querer arrebatarnos el cifrado. No sólo equivale a robarnos definitivamente la privacidad en línea (la poca que no fisgonean Facebook, Google y todos los demás, dicho sea de paso), sino que abriríamos millones de flancos débiles a cualquiera con la capacidad de escuchar el flujo de bits que circula por Internet. Lo que los gobiernos y agencias de inteligencia parecen no poder entender es que en una sociedad republicana, libre y democrática todos tomamos decisiones que pueden afectar a la seguridad pública todos los días. Ahora, además, conversamos acerca de esas decisiones en WhatsApp, Skype, SMS, Hangouts, el Mensajero de Facebook y todos los demás.
El dilema de los servicios de inteligencia frente al terrorismo es evidente y hasta cierto punto comprensible, como me dijo Ewen MacAskill en la entrevista citada unos párrafos más arriba, y sería el primero en decirles que sí, que erradicando el cifrado entre particulares o insertando puertas traseras en el software de encriptación mejorarían su capacidad para prevenir el crimen. Pero es exactamente al revés.