¿Quién te está espiando en la internet?

Obrero Revolucionario #1120, 30 de septembre, 2001, en rwor.org

"La seguridad es cuestión de grado. Lo más que uno puede hacer es dificultar el acceso a la información. Pero es sencillamente imposible sellarla por completo. Yo nunca transmito información privada por un sistema inalámbrico, y mantengo mis documentos privados en una computadora que no está conectada a la internet. Doy por hecho que todos los mensajes que mando por e-mail o por mensajero instantáneo son tan privados como una tarjeta postal. Todos deben adquirir una buena dosis de paranoia".

Tepes, cracker, revista wired.com,
febrero 6, 2001

"No tenemos privacidad, en absoluto. Más vale reconocerlo".

Scott McNealy, CEO, Sun Microsystems

Cada vez que sacamos información de la internet, damos información.

La internet es un importante medio de comunicación: buscamos noticias e información en websites; compramos cosas; nos mandamos mensajes; y los grupos de discusión de la internet (listas de e-mail, grupos de noticias y grupos de intereses afines [web-based threads]) son una forma importante de discusión y debate.

Es importante saber que al hacer esto damos información: identidad, ubicación e intereses a fuerzas potencialmente hostiles; además, exponemos la información privada archivada en el disco duro.

El mundo del espionaje por internet está cambiando rápidamente. La capacidad técnica para espiar se está desarrollando continuamente; además, las nuevas técnicas no se le comunican al público, por lo cual es difícil precaverse.

Por otra parte, todavía no está claro qué derechos tienen las empresas comerciales y el gobierno de reunir información en la internet. El gobierno está decidiendo muchos puntos legales del espionaje por internet, y el público está cuestionando nuevas medidas en los tribunales.

Este artículo examina el campo del espionaje por internet, y lo que se informa al público sobre actividades y capacidades de espionaje.

Olla de miel federal

"La Operación Avalancha es un modelo de cooperación federal, estatal y local en la investigación... La Autopista de Información tiene su precio".

John Ashcroft, secretario de Justicia,
agosto 8, 2001

El 8 de agosto, el gobierno federal dio a conocer una operación de dos años realizada por el FBI, la policía de Dallas y el Servicio Postal, llamada Operación Avalancha. En septiembre de 1999, arrestaron a los dueños de un website de pornografía y después lo siguieron operando como si nada hubiera pasado. Así reunieron información de 250.000 suscriptores por todo el mundo y, con esa información, allanaron 144 casas en 37 estados. A la fecha han hecho más de 100 arrestos.

Ofrecer un servicio ilegal como señuelo para una investigación es una técnica policial conocida como "olla de miel". El website atrajo a interesados en sus productos, y la policía los convenció de dar información que sirviera para expedir órdenes de detención y arrestarlos. Esta es una técnica policial muy vieja, que han usado contra radicales y revolucionarios en todo el mundo, mucho antes de la internet.

Por ejemplo, la policía política circula peticiones en las reuniones políticas para recabar nombres y direcciones de los participantes. Ahora han trasladado esas tácticas a la internet.

En la Operación Avalancha, la policía solicitó información personal (tarjetas de crédito, dirección electrónica, dirección postal) para hacerse "miembro" de un club que ofrece páginas privadas del website y recibir materiales por correo.

La Operación Avalancha recibió mucha publicidad: el FBI atacó a presuntos vendedores de pornografía infantil y posó de defensor de los niños. Ya en otras ocasiones el FBI ha usado la pornografía infantil como justificación para espiar en la internet.

Visitas que dejan huellas

Todo el que va a un website deja información en él: de qué dominio (domain) viene o qué proveedor (Internet Service Provider, ISP) usó, por ejemplo AOL, Earthlink, MCI, AT&T; a qué hora empezó la sesión; qué páginas vio. Esa información no da, necesariamente, la identidad del visitante ni de la computadora, ni la cuenta de internet.

Pero en los últimos años se han creado técnicas más avanzadas para identificar exactamente quién va a un website y qué hace ahí.

Es posible incrustar pequeños programas en websites (y en e-mail) que se depositan en la computadora del visitante. Esos programas (Java, Active X o "web bugs") podrían hacer un montón de cosas, como borrar información o dar información sobre el disco duro y las actividades de la computadora.

Para conectarse a la internet, uno conecta su computadora a la computadora de un proveedor, y de ahí a una computadora distante que tiene el website buscado.

Aunque las situaciones varían, en general es posible que en todo site que uno visite quede un registro del punto de conexión a la internet (internet protocol number, o número de protocolo de internet, también llamado dirección internet, o IP).

Si uno se conecta por medio de DSL o un módem de cable, el rastreo lleva directamente a su computadora.

Si uno se conecta por medio de un módem telefónico, el proveedor puede guardar información de la dirección IP, que identifica la cuenta personal.

Cuando las autoridades identifican que un proveedor le está dando servicio a una persona que les interesa, pueden exigirle información sobre esa cuenta. La información que un proveedor tiene sobre sus clientes varía, pero por lo general el proveedor tiene un número de tarjeta de crédito que paga la cuenta.

Se sabe de un caso en que el proveedor tenía un registro de las llamadas hechas con sus módems, y le pudo dar a la policía los números telefónicos que se usaron para conectarse con esa cuenta de internet.

Un proveedor holandés hace poco anunció que no cooperará con la policía, pero tristemente eso es raro. El New York Law Journal informó que las autoridades federales recién obtuvieron la primera orden judicial para que un proveedor de cable les dé listas de llamadas e información de cuentas sin informarles a los clientes. Otras clases de proveedores han acatado esas órdenes judiciales desde hace algún tiempo.

Espionaje en el trabajo

"Por cada usuario, sabemos qué e-mails manda, adónde surfea, si manda imprimir algo, si colabora con otra persona en un documento de Word, si entra a la base de datos o si la cambia; básicamente, sabemos todo lo que hace en la red interna".

Kris Haworth, gerente de la compañía
de asesoría Deloitte & Touche

"Yo les digo a los empleados que si quieren tener comunicaciones privadas, no lo hagan en el trabajo".

Shanti Atkins, asesor de Employment
Law Learning Technologies

Por el momento el público no sabe qué información guardan los proveedores de internet ni qué información pueden obtener de ellos las autoridades. En cambio sí se sabe bastante sobre el espionaje electrónico en el trabajo. Para millones, la compañía donde trabajan es su proveedor en horas de trabajo, y los tribunales han declarado en varios casos que si una compañía es dueña de las computadoras, de las redes y de las conexiones de internet, pues tiene derecho de espiar todo lo que hagan los empleados en ellas.

Los cálculos de la cantidad de empleados que espían las compañías varían mucho. Un estudio indica que al 15% de los empleados que tienen internet les supervisan sistemáticamente el e-mail y que al 19% le rastrean todo el web surfing. Otro estudio de este año de la American Management Association indica que el 78% de las compañías supervisan de alguna forma las comunicaciones de los empleados y que el 47% mira el e-mail (10% más que el año anterior). International Data Corporation calcula que en 1999 las corporaciones internacionales gastaron $62 millones en programas de filtro y de supervisión, como Websense y Surfcontrol, y que gastarán $561 millones en el 2005.

Un ejemplo de los nuevos programas que tienen a su disposición las corporaciones es SilentRunner, creado por Raytheon Corporation (una enorme empresa de productos militares). SilentRunner reúne y organiza secretamente información sobre todas las actividades de una red y da un resumen detallado de lo que cada empleado hace en la internet: transmisión de web pages, e-mail, archivos digitales de video y sonido, hojas de cálculo, documentos de Word, FTP, mensajes instantáneos, contraseña (password), etc. Usa programas que van mucho más allá de los "detectores de palabras clave", y los creadores afirman que puede identificar el estilo de escritura de cualquier individuo en cualquier idioma y localizar e-mails y documentos sin firma escritos por esa persona. "Al sistema se le puede meter un e-mail para que sirva de plantilla, y el programa reúne todos los que se le parezcan", dice Christopher Scott, un arquitecto del programa. "Es como una muestra de DNA de la escritura".

Se dice que el gobierno ha comprado SilentRunner ($65.000 por programa). La compañía de seguridad TruSecure lo usa en 400 firmas clientes, pero ninguna compañía admite que lo usa para espiar a sus empleados. Actualmente solo un estado, Connecticut, requiere que una compañía le notifique a sus empleados que los está vigilando.

El caso de los jueces espiados

Este verano disciplinaron a docenas de empleados de los tribunales federales por "web surfing inapropiado" en las computadoras del trabajo. Así se supo que al sistema de tribunales federales (unos 10.000 empleados y 700 jueces) lo espía la Oficina Administrativa de los Tribunales, una pequeña entidad de la capital.

Los jueces del noveno circuito federal (que cubre nueve estados del oeste del país) se enfurecieron al saber que los estaban espiando y mandaron quitar el sistema de supervisión. El incidente causó titulares cómicos, como "Rebeldes de toga negra rechazan vigilancia de computadoras" (New York Times, agosto 8, 2001).

La rebelión duró una semana. El 13 de agosto, la Oficina Administrativa distribuyó las recomendaciones de un panel de 14 jueces federales que esencialmente dicen que los administradores tienen derecho de supervisar todas las computadoras y que eso se hace en prácticamente toda la rama ejecutiva. Los jueces ordenaron que se les avise a todos los empleados que si usan las computadoras del trabajo claudican todo derecho de privacidad.

Este asunto se iba a tratar nuevamente en una Conferencia Judicial nacional el 11 de septiembre.

El caso del servicio anónimo destapado

A fin de protegerse, millones usan servicios anónimos de surfing, como Anonymizer.com. Básicamente estos servicios ponen una computadora entre el proveedor de una persona y el website que visita. Esa computadora borra toda la información personal. El proveedor (o el patrono) no ve a qué websites entró la persona; solo ve que fue al sitio anónimo. El website visitado no ve la información personal del visitante; solo ve que viene del servidor anónimo.

Se da por hecho que esos servicios bloquean la información personal, pero eso depende de lo bueno que sea el servicio. Lo que nos lleva al caso de Safeweb.

Hace poco se supo que Safeweb, uno de los servicios anónimos más conocidos, tiene lazos con la CIA. Safeweb recibió $1 millón (de una inversión de capital de $8 millones) de In-Q-Tel, una compañía de Virginia creada por la CIA en 1999 para "estimular el desarrollo de tecnologías de internet".

La CIA planea usar un software de Safeweb (llamado "Triangle Boy") para que sus agentes se manden e-mails y visiten websites sin que lo sepan los gobiernos de los países espiados.

Los ejecutivos de Safeweb admitieron su relación con la CIA al periódico Washington Post, pero dijeron que eso no afecta la credibilidad de la compañía ni pone en peligro la privacidad de los clientes. La furia que afloró en las discusiones de internet muestra que mucha gente no quedó convencida de que su "anonimato" está a salvo en manos de la CIA.

El caso del jefe de la CIA descuidado

"Microsoft distribuyó una alerta urgente el viernes porque el Internet Explorer tiene un hueco que permite a atacantes accesar y controlar desde un sitio remoto toda computadora que tenga cualquier versión del sistema operativo Windows y las versiones 5 y 5.5 de Internet Explorer".

wired.com, abril 2, 2001

En la prensa salen constantemente advertencias como esta, que indican que el software que la mayoría de la gente usa está lleno de "huecos" por donde un atacante puede meterse a una computadora.

Una fuerza hostil tiene muchas formas de meterse a una computadora y usarla para lanzar ataques a otras computadoras, o leer lo que tiene el disco duro. Además de los huecos del software (por ejemplo, de browsers, Frontpage, sistemas operativos como Windows y MacOs), hay formas de meter pequeños programas a una computadora. Entre ellos están archivos de Java y Active X, que bajan (download) archivos web rutinariamente sin que uno sepa, y pequeños programas, llamados "virus", que pueden llegar en e-mails como archivos o anexos (attachments) "exe" (como macros en documentos Word).

No es fácil informar sobre todos esos "caballos de Troya", pero en resumen hay que saber que cuando uno está conectado a la internet un oponente hábil puede leer los documentos del disco duro y plantar programas para identificar y hacer daño más tarde.

Esto fue la causa de la humillación pública de John M. Deutch, el jefe de la CIA del gobierno de Clinton. A Deutch lo censuraron porque se llevó a casa memorandos altamente secretos y trabajó en ellos en una computadora que tenía conexión a la internet.

La CIA da por hecho que las conexiones a la internet permiten a fuerzas hostiles ver lo que hay en el disco duro, y que no hay contramedidas confiables fuera de simplemente no exponer ningún documento secreto.

El peligro persiste incluso si uno abre el documento en un disco floppy y lo cierra y saca antes de conectarse a la internet. Los documentos que se ven, se editan, se imprimen, etc., con programas como Word o WordPerfect dejan huellas en los archivos temporales y en otros backups automáticos, incluso si el archivo se borra de la computadora. Las fuerzas hostiles que copien el disco duro secretamente por la internet pueden reconstruir documentos secretos a partir de esa información.

Huecos en sueños de cifrado

"A la ley... le preocupa la creciente y significativa amenaza a la seguridad pública y a la labor de aplicación de la ley que causaría la proliferación y uso dentro de Estados Unidos de una infraestructura de comunicaciones que apoye fuertes productos de cifrado pero que no apoye el rápido descifrado por las autoridades".

Louis Freeh, director del FBI, al
Comité Judiciario del Senado, julio de 1997

"Hoy, toda organización de derechos humanos usa PGP".

Phil Zimmermann, padre del
programa gratuito de cifrado PGP

Phil Zimmermann tenía un sueño: inventar un programa "fuerte" de cifrado para codificar e-mails y documentos, y repartirlo gratis. Zimmermann militaba en el movimiento contra las armas nucleares y ofreció su programa como una contribución a la resistencia por todo el mundo.

Hace diez años, en 1991, publicó en Peacenet la primera versión de MS-Dos de su invento: Pretty Good Privacy (PGP, Privacidad Bastante Buena). El gobierno se encabronó y empezó una investigación penal. El gobierno ha tratado de impedir la difusión de programas de cifrado: ha declarado que el cifrado de nivel militar es una forma de "munición" y que es ilegal mandarlo a otros países (aunque los principios de cifrado se conocen en todo el mundo).

En 1996 el gobierno anunció que iba a suspender la investigación de Phil Zimmermann y Kelly Goen, su colaboradora. Zimmermann abrió una compañía para producir nuevas versiones de PGP.

PGP es muy popular y se usa en todo el mundo para codificar correspondencia, aunque le duela a los gobiernos. Como se publicó en un formato "de fuente abierta" (open source), otros estudiaron cómo se hizo y sacaron versiones para computadoras Macintosh y Unix.

¿Cuán efectivo es PGP? El cifrado de alta calidad es sumamente difícil de atacar por "fuerza bruta". Solo los principales gobiernos tienen los recursos para hacerlo, y se cree que incluso ellos solo pueden descifrar unos cuantos mensajes de alta prioridad.

Sin embargo, el código depende de su llave privada: una larga cadena de caracteres que uno escribe para descifrar los mensajes. Si la llave (que nunca se debe guardar en un disco duro por razones ya explicadas) cae en manos hostiles, el código pierde su valor.

Una nota preocupante: el gobierno de Clinton ofreció permitir el cifrado si las compañías de programación le daban al gobierno una llave maestra. La nueva compañía comercial PGP (de la cual se salió Zimmermann) flirteó públicamente con la idea. Ahora, no quiere publicar el código fuente de las últimas versiones de PGP para verificar si no tiene una "puerta de atrás".

Pero incluso si el gobierno no tiene la llave maestra, ahora hay una forma de hallar la llave privada. Lo que nos lleva al caso de Nicodemo S. Scarfo Jr.

El caso del mafioso informático

"Cuando criminales como narcotraficantes y terroristas usan cifrado para esconder sus comunicaciones, las autoridades deben poder responder de una forma que no obstruya una investigación y que no alerte al sospechoso".

Janet Reno, secretaria de Justicia, y John Hamre,
subsecretario de Defensa, enero 2000

"Si van a husmear en secreto todo caso en que el gobierno tiene interés y el sujeto usa computadora y cifrado, la cantidad de allanamientos se va a disparar. Los allanamientos van a ser algo usual... El gobierno afirma que debe tener el derecho de instalar secretamente mecanismos de vigilancia sin ninguna obligación de explicar qué hacen esos mecanismos".

David Sobel, abogado,
Electronic Privacy Information Center

La policía allanó la oficina de Nicodemo S. Scarfo Jr. en enero de 1999, pero cuando copió el disco duro de la computadora no pudo abrir un archivo muy importante. Scarfo, hijo del mafioso preso "Little Nicky" Scarfo, tiene fama de ser un genio de la informática y tenía todos los archivos cifrados. Por eso, la policía no consiguió las pruebas que buscaba de préstamos ilegales.

Entonces decidió descifrar los códigos.

El 10 de mayo de l999, el FBI volvió con una orden de registro.

La orden autorizaba al FBI y a la policía entrar secretamente a la oficina de Scarfo cuantas veces fuera necesario para instalar, mantener y retirar "métodos de recuperación que obtengan la información necesaria de la llave y los archivos cifrados".

Para obtener la contraseña, los agentes instalaron en la computadora de Scarfo un "sistema de registro del teclado" (keylogger), que anota la secuencia de teclas pulsadas.

Los agentes obtuvieron la contraseña, pero Scarfo la había cambiado y no servía para los archivos confiscados en el primer allanamiento. Después los investigadores encontraron una nueva versión del archivo en cuestión en un disco en la casa de Scarfo y lo pudieron abrir con la nueva contraseña. Así encontraron las pruebas que buscaban.

James Atkinson, de una compañía privada de vigilancia electrónica, le dijo a la prensa que se conocen tres tipos de sistemas de registro de teclado:

Hay software que se puede cargar a una computadora.

Hay un anexo que se puede vincular al portal por donde entra el cable del teclado.

Hay un aparatito del tamaño de un cubo de azúcar que se puede instalar dentro del teclado y archiva 32 millones de golpes de teclado.

Usualmente, la información de la computadora espiada se recibe en un sitio distante.

El caso de Scarfo se va a decidir en estos meses. Un aspecto en cuestión es si el espionaje por computadora debe seguir las mismas leyes del espionaje por teléfono.

Cuando los agentes solicitaron la orden de registro, dijeron que "no se captarán comunicaciones telefónicas, orales o electrónicas", y afirmaron que las restricciones al espionaje por teléfono no se aplican al "espionaje por teclado". Sin embargo, como le dijo el abogado de Scarfo a la prensa: "Todo lo que escribió en ese teclado -una carta a su abogado, notas personales o médicas, cuentas legitimas de negocio- todo lo tienen".

El FBI y los fiscales no han querido decir ni una palabra sobre el sistema de registro del teclado, ni siquiera si es software o si es un aparato. Los abogados del Departamento de Justicia le dijeron a un juez que cualquier información al respecto perjudicaría otras investigaciones en que están usando el mismo sistema. Afirmaron que se necesita completo secreto para que los investigados no adopten "tácticas de contraespionaje que obstruyan las investigaciones".

Otro objetivo de tanto secreto es apoyar la hipótesis oficial de que grabar lo que hace un teclado no es lo mismo que interceptar una línea telefónica, y que se puede hacer con cualquier orden de registro general.

El caso del e-mail delator

En el último año, el programa Carnivore del FBI ha recibido mucha atención. El programa busca e-mails dirigidos a determinadas personas, pero para hacerlo tiene que revisar todos los e-mails. Las autoridades federales dicen que el público debe confiar que solo van a leer los que tienen la dirección que buscan.

La mayoría de los e-mails pasan por la internet como paquetes de texto sin mezclar, fáciles de leer y de interceptar. Paul Syverson, un investigador de un laboratorio de computadoras de la marina, le dijo a la prensa: "Las redes públicas son vulnerables al análisis de tráfico. La cabecera de los paquetes identifica al receptor y se puede rastrear la ruta de los paquetes. Incluso los mensajes cifrados dejan al descubierto la identidad de emisor y receptor".

Sabiendo que Carnivore anda suelto y que los patronos podrían estar leyendo los e-mails, millones se han inscrito a los servicios de e-mail gratis, como yahoo.com, hotmail.com o excite.com, para salvaguardar su privacidad.

En estos servicios no ha habido mucho control de la información personal del que abre una cuenta porque son gratis y por lo tanto no se necesita tarjeta de crédito para suscribirse.

Sin embargo, un caso reciente mostró los peligros que esperan al despistado.

En la carrera senatorial de Minnesota el año pasado, empezaron a aparecer una serie de e-mails perversos contra el candidato liberal Mike Ciresi. Supuestamente eran de una simpatizante llamada "Katie Stevens", que estaba furiosa con él porque se enteró de que representaba a corporaciones que dañan el ambiente y compañías anti-sindicatos.

Ciresi sospechó que era una jugada sucia de su contrincante, el senador Gram. Consiguió copias de los e-mails hostiles y se empezó a destapar la verdad. (Los siguientes detalles provienen de un artículo del 16 de junio de Declan McCullagh en wired.com).

El e-mail se envió de una cuenta gratuita de Hotmail. Eso era obvio porque en la cabecera estaba la dirección del remitente: kylomb@hotmail.com.

Lo que "Katie Stevens" no sabía es que Hotmail también pone una línea llamada X-Originating IP que muestra la dirección IP del remitente. Esa dirección IP indica de dónde se conectó a la internet para mandar y recibir información en esa sesión.

Las direcciones IP revelaron que "Katie Stevens" empezó a mandar e-mails desde una computadora alquilada en Kinkos.

Pero con el tiempo, "Katie Stevens" bajó la guardia. Los investigadores rastrearon unos e-mails a una dirección IP asociada con un proveedor comercial: AT&T Worldnet.

Resulta que AT&T Worldnet conservaba listas de las llamadas por módem y con esas listas se pudo conectar la dirección IP a una llamada telefónica, y de ahí a un teléfono.

Así llegaron al teléfono de Christine Gunhus, la prometida del senador Gram.

Además, los e-mails tenían anexos (attachments) de Microsoft Word. MS Word graba en los documentos la información del dueño del programa. El autor de los documentos anexos era, por supuesto, Christine Gunhus.

Por último, los investigadores también encontraron GUID's (Globally Unique Identifiers) en los documentos de Word. El GUID tiene la dirección Ethernet de MAC. Cuando confiscaron la computadora de Gunhus, sacaron la dirección de la tarjeta Ethernet.

En junio de este año, Christine Gunhus no disputó las acusaciones de haber mandado ilegalmente con un seudónimo e-mails contra el rival demócrata de su esposo.

El conflicto sigue

A fines de julio la prensa informó que el presupuesto que se está gestionando le dará $7 millones más al FBI para tecnología de bloqueo de cifrado. El comité de asignaciones quiere que se gaste así: "1) análisis y explotación de sistemas que permitan acceso a pre-cifrado, 2) reconocimiento y descifrado de información escondida a plena vista y 3) descifrado de información cifrada". Otros $7 millones se destinarán a mejorar "la capacidad de interceptación" y "desarrollar sistemas de banda ancha y obtener prototipos capaces de interceptar transmisiones fuera del alcance técnico del FBI". Traducción: inventar mejores formas de espiar por módems de cable y DSL.

Ante estas medidas del gobierno, los programadores, los defensores del derecho de privacidad y otros grupos han puesto demandas, iniciado campañas de información y creado software para proteger a los usuarios de internet. La red está llena de sitios que ofrecen instrucciones para poner cortafuegos (firewalls), bloquear caballos de Troya, limpiar discos duros y mejorar el anonimato. Por las razones descritas en este artículo, es sumamente difícil evaluar si esos métodos sí sirven.

Solo un método garantiza una protección bastante sólida: surfear y mandar e-mails de una computadora que no esté asociada de ninguna forma con el usuario. Si "Katie Stevens" hubiera mandado todos sus e-mails de Kinkos, probablemente no la hubieran identificado.

Durante el lío de Deutch, la misma CIA admitió que no tiene contramedidas efectivas una vez que fuerzas hostiles conocen una cuenta o una persona. La norma de la CIA es muy simple: para mirar o editar documentos delicados se debe usar una "computadora dedicada" separada que nunca jamás se conecte a la internet.


Este artículo se puede encontrar en español e inglés en La Neta del Obrero Revolucionario en:
rwor.org
Cartas: Box 3486, Merchandise Mart, Chicago, IL 60654
Teléfono: 773-227-4066 Fax: 773-227-4497
(Por ahora el OR/RW Online no se comunica por correo electrónico.)