El ‘doble juego’ del espía informático
El Parlamento suizo decidirá si autoriza el uso de programas informáticos de Estado para infectar los ordenadores de delincuentes. El empleo de los llamados ‘caballos de Troya’ es controvertido. Según algunos expertos, son un arma de doble filo que podría ser contraproducente para la ciudadanía.
“Apenas hace diez años, no habría imaginado que gobiernos de países democráticos pudieran desarrollar virus informáticos para utilizarlos contra otros países democráticos, o incluso en contra de sus ciudadanos. Sin embargo, eso es exactamente lo que sucede hoy”. Para Mikko Hyppönen, uno de los principales expertos del mundo en seguridad informática, la Red se ha convertido en “una enorme máquina de vigilancia”, como lo dijo durante la edición 2014 de Insomni’hack, conferencia de seguridad informática que se celebra anualmente en Ginebra.
Según documentos revelados por el otrora colaborador de la CIA, Edward Snowden, y publicados por la prensa a mediados de marzo, la Agencia Estadounidense para la Seguridad Nacional (NSA) habría planificado infectar millones de ordenadores con códigos malignos (malware). Empero, Estados Unidos no es el único en utilizar estos programas gubernamentales o GovWare, advierte Mikko Hyppönen, dirigente de la compañía F-Secure. El informático finlandés apunta a China, Alemania, Rusia y Suecia.
¿Y Suiza? Los servicios secretos nunca han hecho uso de los caballos de Troya de Estado, aseguró a la televisión suiza Jürg Bühler, director adjunto del Servicio de Actividades Informáticas de la Confederación. La policía federal, en cambio, se ha servido en más de una ocasión, lo que generó controversia. Lo anterior, merced también a que el uso de estos espías informáticos no está regulado por un marco jurídico claro.
Espías en ordenadores y celulares
El gobierno suizo pretende llenar el vacío con la nueva Ley Federal para la Vigilancia de la Correspondencia Postal y de Telecomunicaciones. El texto, sobre el cual debe expresare la cámara baja del Parlamento (el Senado ya lo aprobó), prevé la utilización de GovWare para infectar -bajo determinadas condiciones- computadoras, teléfonos inteligentes y otros dispositivos móviles.
El desarrollo tecnológico de los últimos años, especialmente en Internet, ha hecho cada vez más difícil controlar el tráfico de las telecomunicaciones para perseguir delitos graves, subraya el Gobierno. Las operaciones de espionaje clásico, como las intervenciones telefónicas, son impotentes frente a los sistemas de comunicaciones cifradas, como Skype. De ahí la necesidad de dotarse de nuevos medios.
El potencial de estos programas informáticos es enorme, dice a swissinfo.ch, Paolo Attivissimo, experto en nuevas tecnologías. “Pueden colectar cualquier tipo de información”.
Mostrar más
Los trucos de un caballo de Troya
El dilema de los antivirus
Desde que fue sometida a consulta en 2010, la revisión de la ley ha sido muy criticada. “Condenamos el programa de vigilancia estadounidense Prisma, pero el Gobierno hace lo mismo”, dijo al diario Le Temps el diputado ecologista Balthasar Glätti. Para el presidente del Partido Pirata Suizo, Alexis Roussel, estos programas espía “constituyen claramente una intromisión en la esfera privada”.
Sin embargo, la violación de la privacidad es, por decirlo así, el mal menor. Según Paolo Attivissimo, la idea de propagar virus de Estado “va en detrimento de la seguridad de Internet”. El experto inquiere: “¿Cómo debería comportarse una empresa productora de antivirus frente a un GovWare? ¿Debe ignorarlo para no interferir en la investigación o bloquearlo, protegiendo así a todos los usuarios? Es un gran dilema”.
En este sentido, el F-Secure de Mikko Hyppönen es categórico. “El malware del Gobierno, independientemente de quién lo haya creado, será combatido”, afirma en su web el fabricante del programa, y asegura haber identificado el R2D2, un GovWare utilizado en el pasado por varios estados alemanes federados.
Si el software hostil fuera señalado por el antivirus, alguien podría empezar a estudiarlo y hacer una versión con fines delictivos, dice Paolo Attivissimo. “Que yo sepa, no hay casos documentados de este tipo. Pero es un escenario predecible y tarde o temprano va a suceder”.
Pedir al fabricante del antivirus ignorar el código maligno significa abrir un agujero en los sistemas informáticos del país en el que están protegidos con ese programa, dice el experto. “Un hacker podría utilizar el mismo producto a sabiendas de que no va a ser interceptado. En lugar de aumentar la seguridad del país, la introducción de un virus de Estado implica el riesgo de hacer vulnerables muchas computadoras”.
Contactada por swissinfo.ch, la Oficina Federal de Policía (Fedpol) descarta que la intención de GovWare sea causar daños en el sistema o modificar los mecanismos de seguridad. Si bien reconoce que un especialista podría identificar y analizar este tipo de software, la Fedpol considera infundado el riesgo de abuso. La razón: por Internet, y con poco dinero, se pueden obtener malware mucho más funcionales que un GovWere.
En Suiza, el empleo del software de Gobierno (GovWare) para fines de vigilancia no está regulado por una base jurídica clara.
La nueva Ley Federal para la Vigilancia de la Correspondencia Postal y de Telecomunicaciones permite, entre otros, la introducción de programas espía en ordenadores y dispositivos móviles.
Estos programas de software permiten recuperar el contenido de comunicaciones cifradas (correo electrónico, telefonía por Internet) y obtener información sobre el remitente y el destinatario. La ley excluye los registros en línea de la computadora y la vigilancia de un local con una cámara web o un micrófono.
Según el texto, la policía puede recurrir al GovWare exclusivamente para esclarecer delitos especialmente graves (homicidio, tráfico de personas, financiación del terrorismo …) o para encontrar personas desaparecidas o en fuga.
En marzo de 2014, la revisión fue aceptada por amplia mayoría en la cámara alta del Parlamento (Consejo de los Estados). La otra cámara, el Consejo Nacional, la debatirá a finales de junio. Su comisión de asuntos jurídicos establecerá el análisis del caso.
El proyecto de ley genera oposición. Diversas asociaciones que se ocupan de cuestiones digitales, los Verdes y el Partido Pirata Suizo han anunciado el lanzamiento de un referéndum en el caso de un sí en el Parlamento.
Claves para los jueces
Stéphane Koch, especialista en inteligencia económica, destaca otros aspectos problemáticos. “No estamos al abrigo de un mal comportamiento humano: un oficial de policía o un empleado de la empresa que desarrolle un malware, podría utilizarlo para fines personales”, comenta a swissinfo.ch.
La tecnología, por su naturaleza misma, requiere la externalización de datos y competencias que no debería ocurrir, dice el miembro de la Internet Society, una organización internacional para la promoción del acceso a la Red. “Cuanta más gente trabaja en el proyecto, mayor es el riesgo de abuso”. Las operaciones ilegales, subraya Stéphane Koch, pueden producirse no solamente en términos de la manipulación del caballo de Troya, sino también durante la transmisión de los datos recogidos y su almacenamiento en servidores y centros de datos, a menudo ubicados en el extranjero.
En Suiza, ninguna empresa tiene la competencia necesaria para desarrollar desde cero, con sus propios medios, este tipo de software, considera Ruben Unteregger, informático que participó en la programación del R2D2. “Necesitan apoyarse en proveedores de servicios internacionales que suministran productos en todo el mundo”, explica en una entrevista publicada por la revista en línea Watson.ch.
¿Qué hacer entonces? ¿Dotarse de un arma de doble filo o renunciar a una herramienta de alto potencial? Para Stéphane Koch, con algunos trucos sería posible mantener el control sobre los caballos de Troya. “Se podría permitir la activación solamente a través de ‘claves’ de las que dispongan únicamente algunas personas. Por ejemplo, los jueces. Sería posible ver cuándo es activado un virus y por quién”.
Suiza ha hecho uso del software de monitoreo para espiar las computadoras de personas sospechosas en al menos cuatro casos, confirmó el Departamento Federal de Justicia y Policía, en octubre de 2011. La operación, ordenada por el Ministerio Público Federal y aprobada por el Tribunal Penal Federal, estaba dirigida a la lucha contra el terrorismo.
De enero a abril de 2008, las autoridades federales interceptaron correos electrónicos y conversaciones telefónicas del activista de izquierda Andrea Stauffacher, de Zúrich, según el diario Neue Zürcher Zeitung. El programa informático fue proporcionado por la empresa alemana Digitask a un costo de 26.000 euros (unos 31.000 francos), precisa el diario.
Los caballos de Troya (o troyanos) también han sido empleados a escala cantonal. En 2007, la policía del cantón de Zúrich los utilizó en el marco de una investigación antidrogas. En 2011, el Ministerio Publico del cantón de Vaud pidió a una empresa suiza especializada la concepción de un troyano que, luego de ser introducido en el ordenador de un pederasta, permitió su arresto.
Traducción del italiano: Marcela Águila Rubín
En cumplimiento de los estándares JTI
Mostrar más: SWI swissinfo.ch, certificado por la JTI
Puede encontrar todos nuestros debates aquí y participar en las discusiones.
Si quiere iniciar una conversación sobre un tema planteado en este artículo o quiere informar de errores factuales, envíenos un correo electrónico a spanish@swissinfo.ch.