Cómo hacer llegar la criptografía a los activistas: una tarea crucial

Un grupo de periodistas y activistas va llenando poco a poco una sala. Toman asiento. Algunos conversan, otros juegan con sus teléfonos. Creen que están ahí para asistir a un seminario, pero sin saberlo, están siendo hackeados. Cinco minutos después de su llegada, un experto en seguridad ha pirateado la mayoría de sus teléfonos, accediendo así a información confidencial sobre sus contactos, coactivistas, protestas previstas e historias.

El caso es auténtico, aunque nadie resultó perjudicado. El curso había sido organizado por la ONG neerlandesa Free Press Unlimited y el hackeo forma parte de un seminario durante el cual se pretendía mostrar a los periodistas y activistas la importancia de la seguridad en línea. Terapia de choque, podríamos llamarla.

Pero en la vida real, este tipo de incidente no tiene nada de excepcional. El autoritarismo está en aumento en todo el mundo y, con él, la represión de activistas y periodistas. Y es algo que no ocurre únicamente cara a cara, sino también en línea. Los ordenadores y teléfonos de activistas representan una presa fácil en el mundo entero y muy particularmente en el Sur global. No obstante, una nueva generación de activistas criptográficos pone sus competencias especializadas al servicio de otros activistas.

“La criptografía es muy importante para los activistas”, afirma Jaap-Henk Hoepman, profesor asociado en la Universidad de Radboud en Nimega, Países Bajos, especializado en temas como criptografía, privacidad y seguridad en línea.

“Cuando un activista hace algo que va contra las normas sociales, particularmente en países poco democráticos, debería intercambiar la información y sus contactos de forma segura, para evitar represalias. Y la criptografía puede ayudar a conseguirlo”.

Particularmente porque el número de activistas que viven en países de alto riesgo está en aumento. Freedom House, una organización con sede en Washington DC, dedicada a proteger la libertad de expresión en el mundo, ha calculado que, en 2017, 71 países sufrieron un declive en cuanto a libertades civiles y políticas, mientras que apenas 35 registraron progresos.

Sofía Celi se cuenta entre los activistas que han sido testigos directos del aumento del autoritarismo. Esta activista criptográfica estaba afincada originalmente en Brasil, pero se trasladó a Quito, Ecuador, tras la elección en 2018 del presidente de extrema derecha Jair Bolsonaro, que ha manifestado repetidamente su admiración por la dictadura militar que gobernó el país en el pasado. “A pesar de nuestra cercanía con los activistas en Brasil, tras los eventos de los últimos meses decidimos trasladarnos a Quito”, comenta Celi.

Autonomía digital

Ya en Quito, Celi ha trabajado con el Centro de Autonomía Digital (CAD), un grupo de activistas dedicados a la criptografía y la seguridad digital. Su objetivo son otras ONG y activistas en el Sur global.

La usabilidad es uno de sus principales desafíos. “Algunos proyectos dieron pasos gigantes para conseguir que su software resultase funcional, como el Proyecto Tor”, indica Celi, refiriéndose a un navegador y una red de código abierto que permite a los usuarios navegar en Internet de forma anónima, pudiendo acceder a ciertos sitios web que no aparecerán en la red habitual. “Los expertos en seguridad muchas veces asumen que este tipo de cosas resultan fáciles de configurar, pero en la mayoría de los casos no son accesibles para el usuario común. Estas herramientas a menudo se basan en pruebas y conceptos matemáticos maravillosos, pero la gente no suele utilizarlas porque implican una curva de aprendizaje empinada”.

Esto es algo que reviste especial importancia en el Sur global. “Los activistas en el Sur global suelen ser mucho más vulnerables y sus Gobiernos mucho más represivos”, comenta Celi.

“Pero la comunidad de seguridad no diseña necesariamente pensando en ellos, porque muchas veces asumen que los activistas del Sur global tendrán acceso a software o incluso a smartphones de alta tecnología. No siempre es el caso. Algunos activistas en el Sur global, por ejemplo, disponen de un único PC que comparten entre 10 personas”.

Por este motivo CAD diseña toda una serie de sistemas que resultan apropiados para cualquier tipo de activistas, independientemente de dónde se encuentren. Está diseñando, por ejemplo, un sistema antiphishing que reconoce si el mensaje e-mail recibido es auténtico o no. El phishing [o suplantación de identidad] designa una técnica mediante la cual un agente malintencionado se hace pasar por otra persona o empresa, con objeto de robar información confidencial (por ejemplo, contraseñas).

Aunque a Celi le atrae la investigación criptográfica matemática más compleja, considera que evitar este tipo de ataques con menor nivel tecnológico tendría potencialmente un impacto mucho mayor. “Por supuesto, resulta más interesante estudiar problemas profundamente académicos”, corrobora. “Pero el phishing es uno de los riesgos de seguridad más comunes para los activistas, y elaborar una defensa para contrarrestarlo es esencial”.

Criptografía ilegal

¿Pero cómo hacen frente los criptógrafos a la utilización no prevista de sus herramientas? Los cibercriminales, por ejemplo, recurren a programas como Tor tanto como los activistas. Un estudio efectuado en 2016 por el King’s College de Londres reveló que el 57% de los sitios en la red Tor incluían contenido ilícito.

“Tenemos que ser conscientes de las posibles consecuencias negativas de estas tecnologías”, reconoce Hoepman. “Pero no les corresponde a los criptógrafos decidir quién puede o no puede utilizar la criptografía. Lo único que podemos hacer es informar sobre sus ventajas y desventajas”.

Para Celi, la usabilidad ocupa una vez más un lugar central al abordar este problema ético. “Tenemos una responsabilidad moral. Los cibercriminales siempre encontrarán herramientas para llevar a cabo sus actividades. Por ello, debemos hacer que este tipo de tecnología resulte lo más accesible posible, de manera que cualquier persona y cualquier activista pueda utilizarla”, indica.

Globalmente, los periodistas son otro grupo clave que se beneficia de una criptografía sólida, y Free Press Unlimited los apoya a la hora de entrar en materia. Uno de sus campos de especialización es el de los derechos de los informantes. “Hoy en día, los informantes a menudo quedan expuestos después de filtrar la información”, señala Leon Willems, director de Free Press Unlimited.

“La mayoría de las veces su situación es mucho peor que antes de haberla filtrado. Pueden verse obligados a huir, sufrir represalias o incluso perder su empleo. Estas personas en realidad están proporcionando un servicio a la opinión pública, sin embargo, la mayoría de las veces se las castiga por ello”.

Por eso desarrollaron un sistema, Publeaks, basado en un software similar denominado GlobaLeaks, para que la filtración de información resultes segura y esté protegida criptográficamente. “Primero pusimos a prueba el sistema en Países Bajos, porque en caso de producirse un error, la protección legal relativamente sólida en este país supondría que los usuarios no sean quienes paguen las consecuencias. Y en base a esa experiencia ahora estamos apoyando operaciones en México, Nigeria e Indonesia”, apunta Willems.

En Indonesia, un derivado de GlobaLeaks, denominado IndonesiaLeaks, ha contribuido ya a sacar a la luz un importante escándalo de corrupción, con el apoyo de Free Press Unlimited, que insiste en subrayar la apropiación por parte de los actores del Sur global respecto a la tecnología. “Decidieron utilizar este software, denominado GlobalLeaks, pero el proyecto es enteramente suyo, aunque les proporcionásemos el apoyo técnico necesario para implementar el sistema”, puntualiza Willems.

Independientemente de si los activistas y periodistas estén basados en Indonesia, Brasil o Países Bajos, no cabe duda de que la criptografía se está convirtiendo en una herramienta cada vez más importante. Y al poder ocultar sus movimientos, los defensores de los derechos podrán ser capaces de exponer a aquellas personas cuyas infracciones es necesario dar a conocer a la opinión pública.

Este artículo ha sido traducido del inglés.