¿Qué datos de los usuarios pueden obtener las fuerzas de seguridad federales estadounidenses de los proveedores de servicios de mensajería cifrada?
Un documento de enero de 2021 de la Oficina Federal de Investigación (FBI), recientemente publicado, ofrece un resumen conciso de nueve aplicaciones diferentes de "mensajería segura". Muestra que, con un proceso legal, el FBI puede obtener varios tipos de metadatos y, en algunos casos, incluso el contenido almacenado de los mensajes. Sin embargo, lo que está disponible varía mucho según la aplicación. El documento de una página debería servir de orientación a las personas preocupadas por la privacidad -incluidos periodistas, denunciantes y activistas-, al tiempo que ayuda a disipar ideas erróneas sobre las capacidades de vigilancia del FBI (o la falta de ellas) en el contexto de la mensajería cifrada. Enhorabuena a la organización sin ánimo de lucro Property of the People (POTP), dirigida por el "gurú de la FOIA" Ryan Shapiro y el infatigable abogado Jeffrey Light, por obtener este documento en virtud de la Ley de Libertad de Información.
Fechado el 7 de enero de 2021, el documento afirma que refleja las capacidades del FBI en noviembre de 2020. Las aplicaciones incluidas en el gráfico son iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (propiedad de Meta, también conocida como Facebook) y Wickr ( adquirida por AWS en junio). La mayoría de estas aplicaciones (iMessage, Signal, Threema, Viber, WhatsApp y Wickr)cifran los mensajes por defecto. En cuanto al resto, Telegram utiliza el cifrado de extremo a extremo (E2EE) por defecto en algunos contextos, pero no en otros. E2EE está activado por defecto en las nuevas versiones de LINE, pero puede no estarlo en clientes más antiguos. Y WeChat, propiedad del gigante chino Tencent, no admite el cifrado de extremo a extremo en absoluto (sólo el cifrado de cliente a servidor). Esta variación puede explicar por qué el documento se refiere a las aplicaciones como "seguras" en lugar de "E2EE".
¿Qué datos de los usuarios puede obtener el FBI?
El gráfico ilustra la variación en la cantidad de datos que los distintos servicios recopilan y retienen sobre los usuarios y sus comunicaciones y, en consecuencia, qué datos proporcionarán a las fuerzas de seguridad si reciben una orden judicial válida. (Piense, por ejemplo, en una orden judicial que pida "todos los registros" en posesión de un proveedor relativos a un usuario: cuanta más información conserve sobre sus usuarios, más se le podrá exigir que facilite a las fuerzas de seguridad). Esto va desde la información mínima disponible de Signal y Telegram, a la información básica del suscriptor y otros metadatos que varios servicios revelan al FBI, e incluso contenido "limitado" de mensajes almacenados de tres de las nueve apps: LINE (que, como se ha dicho, aún admite chats no E2EE), iMessage y WhatsApp.
Esta última parte puede sorprender a algunos usuarios de iMessage y WhatsApp, dado que estamos hablando de mensajería E2EE. Es cierto que E2EE hace que los mensajes de los usuarios sean inaccesibles para las fuerzas de seguridad en tránsito, pero el almacenamiento en la nube es otra historia. Si un usuario de iMessage tiene activadas las copias de seguridad de iCloud, se realiza una copia de seguridad de la clave de cifrado junto con los mensajes (con fines de recuperación) y se revelará como parte de la devolución de la orden judicial de Apple, lo que permitirá leer los mensajes. Se puede hacer una copia de seguridad de los mensajes de WhatsApp en iCloud o Google Drive, por lo que una orden de registro de uno de estos servicios en la nube puede proporcionar datos de WhatsApp, incluido el contenido de los mensajes (aunque una orden de registro de WhatsApp no devolverá el contenido de los mensajes). (WhatsApp ha empezado a desplegar recientemente la opción de realizar copias de seguridad de mensajes E2EE en la nube, por lo que el gráfico del FBI está ligeramente desactualizado).
Aunque es posible reconstruir parte de la información del gráfico consultando la documentación pública de los fabricantes de aplicaciones y los expedientes penales de los tribunales, el FBI la ha reunido convenientemente en una página de un solo vistazo. Si estás familiarizado tanto con la legislación que rige la privacidad de las comunicaciones electrónicas como con los matices técnicos de tu(s) aplicación(es) de mensajería encriptada, es posible que no tengas ni idea. Puede que esto describa a muchos lectores de Just Security y periodistas especializados en vigilancia gubernamental, pero probablemente no refleje el modelo mental del usuario medio sobre el funcionamiento de un servicio de mensajería E2EE.
El gráfico también revela detalles de los que los fabricantes de aplicaciones no hablan abiertamente, si es que lo hacen, en sus directrices públicas sobre las solicitudes de las fuerzas de seguridad. Con una orden judicial, WhatsApp revelará qué usuarios de WhatsApp tienen al usuario en cuestión en su libreta de direcciones, algo que no se menciona en la página de información policial de WhatsApp. Por su parte, Apple proporcionará 25 días de búsquedas de iMessage desde y hacia el número de destino, independientemente de si se produjo o no una conversación, algo que se describe en las directrices de Apple para la aplicación de la ley, pero que cuesta un poco entender, ya que ni el FBI ni Apple explican lo que significa en un lenguaje sencillo. En cada caso, la empresa está revelando una lista de sus otros usuarios que casualmente tienen la información de contacto del usuario objetivo, independientemente de si éste se comunicó con ellos o no. (Si otros servicios de mensajería divulgan información similar, no se refleja en el gráfico). Estos detalles ponen de relieve la amplitud de la ley de vigilancia electrónica de EE.UU., que permite a los investigadores exigir cualquier "registro u otra información relativa a un abonado [objetivo]" en respuesta a una orden 2703(d) o una orden de registro. Aunque tanto Apple como Meta han luchado por la privacidad de los usuarios frente a las exigencias extralimitadas del gobierno, la ley hace que muchos de los datos de los usuarios se conviertan en juego limpio.
Percepciones erróneas populares sobre la privacidad de la mensajería
En resumen, no es fácil para una persona normal entender exactamente qué información de sus aplicaciones de mensajería puede acabar en manos de los investigadores federales. No sólo las diferentes aplicaciones tienen propiedades diferentes, sino que los fabricantes de aplicaciones no tienen muchos incentivos para ser directos sobre estos detalles. Como demuestra el gráfico del FBI, el mercado de las aplicaciones de mensajería seguras y gratuitas es un campo gratificantemente concurrido y competitivo. Los proveedores quieren dar a los usuarios actuales y potenciales la impresión de que su aplicación es la mejor en lo que respecta a la seguridad y privacidad del usuario, tanto si éste está preocupado por piratas informáticos malintencionados, gobiernos o el propio proveedor. Los proveedores han aprendido a ser cautelosos a la hora de exagerar las propiedades de seguridad de sus servicios, pero apuestan por que los textos publicitarios reciban más atención que los informes técnicos o de transparencia.
En este sentido, los incentivos de los fabricantes de aplicaciones coinciden con los del FBI. Dada la larga campaña del FBI contra la encriptación, resulta extraño que los proveedores de servicios encriptados a los que ha condenado por su nombre en discursos públicos sean sus compañeros de cama. Pero tanto los proveedores de servicios como el FBI se benefician de una idea popular errónea que subestima los datos de los usuarios que ciertos servicios E2EE ponen a disposición de los investigadores. Ese malentendido mantiene simultáneamente la imagen de los proveedores a los ojos de los usuarios preocupados por la privacidad, al tiempo que mantiene la narrativa del FBI de que se está "oscureciendo" en las investigaciones criminales debido al cifrado.
Aunque este malentendido puede ayudar a los investigadores policiales, puede tener consecuencias importantes para sus objetivos. No sólo los delincuentes comunes, sino también los periodistas y sus fuentes, los denunciantes y los activistas tienen mucho en juego a la hora de elegir su servicio de comunicaciones.
Como se señala en el artículo de Rolling Stonesobre el gráfico del FBI, los metadatos de WhatsApp fueron clave para la detención y condena de Natalie Edwards, una ex funcionaria del Departamento del Tesoro de Estados Unidos que filtró documentos internos a un periodista con el que intercambió cientos de mensajes por WhatsApp. Edwards (y presumiblemente también el reportero, que le debía a Edwards un deber ético de protección de la fuente) creía que WhatsApp era seguro para la comunicación entre periodista y fuente. Ese malentendido le costó la libertad a Edwards.
La realidad tras el mito
Gracias a la FOIA y a sus celosos discípulos del POTP, el público puede ver ahora el documento interno del FBI que resume perfectamente la realidad tras el mito. Muestra que a pesar de sus afirmaciones de "oscuridad", el FBI puede obtener una notable cantidad de datos de usuarios de aplicaciones de mensajería que colectivamente tienen varios miles de millones de usuarios en todo el mundo. (La posibilidad de contrastar las afirmaciones públicas del gobierno con sus declaraciones internas es una de las razones por las que el acceso público a los registros gubernamentales, razón de ser del POTP, es tan crucial). Muestra el papel que desempeñan el almacenamiento en la nube y los metadatos a la hora de mitigar el impacto del cifrado de extremo a extremo en la vigilancia de las comunicaciones en tiempo real. Y muestra qué populares servicios de mensajería E2EE realmente no saben casi nada sobre sus usuarios.
Si los usuarios creen que las aplicaciones cifradas que utilizan no guardan mucha información sobre ellos, el gráfico del FBI demuestra que esa creencia es en gran medida falsa. Con algunas excepciones, muchos de los principales servicios de mensajería E2EE entregan todo tipo de datos a las fuerzas de seguridad federales, y las copias de seguridad en la nube pueden incluso permitir la revelación de mensajes almacenados enviados en dos de las mayores aplicaciones de mensajería E2EE. Aunque poco o nada de lo que contiene el documento sea realmente nuevo, sigue siendo útil verlo expuesto de forma tan sucinta en una sola página. Si te preocupa la privacidad de la mensajería, utiliza esta tabla (junto con las guías de privacidad y seguridad específicas para tu situación, como para el periodismo o las protestas) para ayudarte a decidir qué aplicación es la mejor para ti, y compártela también con las personas con las que chateas. De este modo, podrá tomar una decisión más informada sobre qué aplicaciones conservar (y cuáles dejar atrás).
