¡Y seguimos con nuestro ciclo de entrevistas! Sergio Salgado, de Xnet, ha tenido la paciencia de responder a nuestras preguntas. Interesante tanto por la lectura de la situación política actual como por las respuestas que se plantean desde la tecnopolítica.

1. Para los lectores que no te conocen, ¿podrías presentarte brevemente?

Soy Sergio Salgado y formo parte de Xnet, el grupo de activistas hace años conocido como eXgae, que se dedica a temas relacionados con la democracia en la era digital, la tecnopolítica para la organización ciudadana, la cultura libre y la neutralidad de la Red. Gestionamos un buzón de filtraciones ciudadanas contra la corrupción del que han salido informaciones como los correos de Blesa y las tarjetas black.

2 ¿Cuándo empezaste a ser consciente de la importancia de proteger tu privacidad? ¿Hubo algún acontecimiento concreto que determinará tu forma de pensar actual?

A bote pronto, se me ocurren 3 momentos:

– Uno propio del desarrollo básico de cualquier ser humano, cuando después de cumplir cierta edad descubres que tienes una cosa que se llama intimidad y sientes que debes resguardarla como un tesoro, y que para eso está la privacidad.

– Otro, a los 17 años, la primera vez que busqué en Google y me paré a pensar cómo funcionaba: si escribía algo con mi nombre quedaría ahí indefinidamente cada vez que alguien buscara mi nombre. La persona que me explicó cómo funcionaba Google me explicó también lo que era un nickname y me pareció una idea lógica para proteger la privacidad no usar por defecto el nombre real.

– Y un tercero tras integrarme en Xnet, que como colectivo tiene mucha experiencia en filtraciones y tras experiencias como los correos de Blesa, decidimos sistematizar nuestra experiencia y lo aprendido de otros como Wikileaks en un mecanismo muy simple y usable que es el buzón de Xnet de filtraciones contra la corrupción.

3. ¿Quieres hablarnos de alguno de los proyectos relacionados con la seguridad o la privacidad (ya sean de carácter técnico, social o político) en los cuales estés involucrado actualmente?

Estamos muy interesados en como la privacidad y la transparencia pueden ser usadas como escudo y como propaganda por parte de los partidos políticos en lugar de como protección y herramienta para la ciudadanía. En torno a estas cuestiones giró el último congreso internacional del Free CultureForum, y es parte de lo que explicamos para desmontar la doctrina legal (“Trade Secrets”) de los secretos comerciales que se trata de imponer a golpe de normativa europea.

4. ¿Qué prácticas realizas en tu día a día para proteger tu privacidad, tanto en el entorno digital como en la vida real?

A grosso modo, son las mismas que están a disposición de todo el mundo: desde Snowden hasta cualquier ciudadano preocupado por la vigilancia, y que pueden encontrarse por ejemplo en la web Security in-a-box.

Uso Linux y, cuando es necesario, Tor para navegar; PGP (Enigmail en el correo), KeePass (para almacenar contraseñas), TrueCrypt para cifrar archivos y volúmenes, Signal para mensajería instantánea y tenemos servicios propios como Owncloud en lugar de Dropbox o Google Drive… La mayoría de herramientas disponibles se encuentran en el manual de seguridad de la información para periodistas de CIJ que Xnet ha traducido al castellano en el marco del último FCForum.

5. ¿Qué le dirías al usuario común de Internet, que cree “no tener nada que ocultar”, o que piensa que la privacidad es una cuestión que solamente debería preocupar a “los que hacen cosas malas”?

Me parece que es un planteamiento erróneo a muchos niveles. Recientemente, a partir del estudio de los datos de Snowden, el periódico The Intercept reveló que toda la actividad digital, desde el consumo de la moderna pornografía hasta la radio clásica era espiado y clasificado por perfiles. El 99% no queremos ser clasificados por nuestro gobierno en ficheros ilegales debido a nuestro consumo de pornografía. Para el uno por ciento que no tiene tristemente nada que ocultar, le repito lo que me dijo un día el profesor Delgado Pin, “tienes todo el derecho del mundo a que tu gobierno no sepa que no tienes nada que ocultar”.

Si ese tipo de razonamiento fuera válido [el “no tener nada que ocultar”], el gobierno seguiría pudiendo abrir nuestras cartas y entrar en nuestras casas sin orden judicial.

6. Pensando en usuarios sin formación específicamente técnica, ¿que herramientas, hábitos o prácticas les recomendarías para mejorar su privacidad?

Les recomendamos leer la página Security in-a-box. Allí está todo lo que necesitan. Si ese usuario es además periodista, le recomendaríamos el manual de seguridad de la información para periodistas de CIJ traducido al castellano por Xnet.

También dejar de usar Windows y pasarse a Linux (yo, concretamente, a Elementary OS porque es fácil, no hay que aprender ni configurar nada, y además es bonito ;))

Lo que recomendamos es tomárselo como un juego realmente muy empoderante: el de tener en tus manos y ejercer por ti mismo tu propia soberanía digital, y garantizar por ti mismo la seguridad de tus comunicaciones en lugar de tenerlo como un regalo del poder.

7. ¿Hasta qué punto piensas que la crítica de la vigilancia masiva supone la legitimación involuntaria de formas de vigilancia individualizadas que, no obstante, siguen vulnerando los derechos de las personas afectadas? (Ejemplo: caso #Spyclops en Reino Unido)

Hasta ningún punto. La lógica según la cual el esfuerzo invertido en unas determinadas luchas por la transformación social supone olvidarse de otras luchas responde a una lógica de la escasez y de gestión de la miseria, con la que no estoy de acuerdo. Si la batalla contra la vigilancia masiva es la batalla en la que te sientes más útil, adelante. En los casos como el que decís no sé más que lo que puede saber cualquier ciudadano interesado en el tema, y no puedo hacer más que apoyar sinceramente a la gente que mantiene esa batalla. Debemos apostar por estas lógicas distribuidas en lugar de la escasez perpetua del “todos a una” y de competir entre nosotros para ver cual de nuestras luchas es más importante.

8. A día de hoy, ¿qué instituciones, actores u organismos piensas que suponen una amenaza para la libertad y la privacidad en Internet? ¿A quién corresponde defender estos derechos?

En primer lugar, los monopolios como Facebook y Google, que pretenden literalmente romper la web y convertirla en jardines cerrados de los que la gente no salga cuando entre en Internet. Y, en segundo lugar, las instituciones que deberían estar defendiendo Internet y la web como bien común, pero que o son ignorantes o cobardes ante estos monopolios (en el mejor de los casos) o cómplices (en el peor). Corresponde a los ciudadanos organizarse para defender lo común como siempre ha sucedido a lo largo de la historia.

9. ¿Crees que existen diferencias notables entre el activismo político “tradicional” y el activismo centrado en la defensa de los derechos en Internet o el “hacktivismo”? Lo cierto es que desde Críptica observamos una “brecha” (generacional, técnica, de género…) entre ambas formas de intervención política.

En mi quehacer diario no observo brechas de género, de dominio técnico o generacionales que se puedan demostrar estadísticamente. Lo que sí observo es más que una brecha, una diferencia sustancial entre la cultura política tradicional de la izquierda y nueva cultura política que podríamos llamar “ética hacker”, o la cultura política libre y que está llamada a cambiar la manera en la que se hace política. Todo lo nuevo como el 15M sale de esta nueva cultura política. Y la cultura tradicional de izquierdas está llamada a intentar imitarla con más o menos éxito, como es el caso de Podemos; esencialmente, un partido tradicional.

10. Finalmente, ¿cuáles deberían ser, según tu opinión, los aspectos que como movimiento político (desde el conjunto de las organizaciones defensoras de los “derechos digitales”) tendríamos que mejorar?

Tal y como dije en en mi respuesta anterior, la forma en que nos organizamos en red, en lugar de mediante organizaciones tradicionales, y hacerlo por objetivos muy concretos en vez de por bloques ideológicos. Eso es lo verdaderamente revolucionario, y debemos avanzar en esa vía y codificar estas metodologías para compartirlas. Debemos estar orgullosos de nuestras prácticas y seguirlas desarrollando.

Si tuviera que mejorar un aspecto concreto, los compañeros de Xnet (que saben más que yo de estas cosas) sugieren a menudo que debemos mejorar la capacidad de reacción temprana, es decir, de ser capaces de ejercer presión ciudadana en la primeras etapas de la elaboración de legislación y de las políticas públicas, que es cuando más efectiva puede ser esa presión. Debemos entender que los tiempos de nuestra manera de organizarnos no son los tiempos de los despachos oscuros de las viejas instituciones, y adaptarnos a ellos.

También mataría de una vez por todas el mito organizativo de la unidad, una de las herencias más nefastas de la cultura política de la izquierda.

El pueblo (inteligentemente) distribuido, jamas será vencido.

421 en Pakistán, casi 180 en Afganistán, alrededor de 120 en Yemen, unos 18 en Somalia: son el número de ataques confirmados llevados a cabo por drones, aviones remotamente tripulados, según The Bureau of Investigative Journalism. Capaces de sobrevolar durante horas un mismo territorio, estos “ojos que no parpadean” hace tiempo que trascendieron su mera condición de arma para pasar a representar la idea matriz que articula la lucha contrainsurgente de la administración Obama. Las grandes campañas militares están quedando paulatinamente atrapadas por esta “dronificación” de los esquemas de la guerra, que ahora tiende a expresar su violencia en forma de descomunales programas secretos de asesinatos selectivos. Con los drones se produce un movimiento que desplaza algunas de las cuotas del poder soberano del ejército a la Central Intelligence Agency (CIA), a la que se ha conferido la tutela del programa dron. La CIA es la encargada de seleccionar los objetivos, clasificarlos según el nivel de amenaza atribuido y planteárselos al presidente Obama en una reunión semanal, en la que espera recibir la autorización correspondiente para proceder a su eliminación. Pero, contrariamente a lo que se suele pensar, la CIA no es el único sector de la inteligencia estadounidense inmiscuido en este tipo de operaciones: la National Security Agency (NSA), cuyas prácticas ilegales fueron el principal blanco de las revelaciones de Edward Snowden, colabora estrechamente en la confección de los objetivos.

Para las campañas con drones, la información de inteligencia facilitada por la NSA representa un activo indispensable. Esta agencia, que dispone de un auténtico arsenal de instrumentos para intervenir las comunicaciones de todo tipo de dispositivos con conexión a Internet, desempeña un rol clave en los asesinatos mediante drones, que hasta ahora no ha sido tomado suficientemente en consideración. De hecho, la NSA ha llegado al punto de desplegar sus propios drones de vigilancia en las zonas de combate, los cuales incorporan aparatos que simulan ser antenas de telefonía para poder geolocalizar tarjetas SIM en tiempo real, en el marco de su programa GILGAMESH. Así, todos los teléfonos de un determinado lugar quedan secretamente capturados por la inteligencia americana, que los añade a su monumental “archivo de la sospecha” con vistas a asociarlos con potenciales candidatos a ingresar las diferentes escalas de alguna de las múltiples kill lists (“listas de asesinato”) existentes. A su vez, la política de categorización con la que trabaja la NSA (“tres saltos” que conforman 3 grados de separación) hace que no solamente el número del teléfono detectado, sino que también sus contactos y los contactos de sus contactos, se sumen a sus listas de sospechosos. Para hacernos a la idea, un teléfono estándar con 40 únicos contactos haría que 2,5 millones de individuos pasaran automáticamente a tener potenciales vínculos con el terrorismo, a ojos de la agencia.

La información proporcionada por la NSA hace que, en los ataques con drones, la lógica operacional se desplace del seguimiento de personas al seguimiento de sus teléfonos. Esto significa, antes que nada, sobredimensionar la importancia que se le otorga a las señales emitidas por los diferentes dispositivos en detrimento de la información de inteligencia sobre el terreno. Los metadatos referentes a la geolocalización, historial de conversaciones telefónicas o correos electrónicos reproducen una imagen fantasmal de la persona, que en muchos casos es equivocada, segmentada o incluso irreal. La posibilidad de intercambiar teléfonos o tarjetas SIM después de reunirse, dejarlos en manos de amigos o familiares, que un individuo utilice diferentes tarjetas SIM (acciones que, de hecho, los talibanes llevan haciendo desde hace años)… burlan en cierto modo el complejo aparato de rastreo desarrollado por la inteligencia estadounidense. Y todo esto sin entrar, evidentemente, en la posibilidad real de que un civil se encuentre, sin saberlo, cercano al lugar en donde se reúnen los objetivos buscados por la CIA, conque pase a formar parte de alguna kill list de manera colateral, basándose solo en la señal de geolocalización emitida por su teléfono móvil. “Matamos a gente basándonos en sus metadatos”, admitía el antiguo director tanto de la CIA como de la NSA. Y estos metadatos, lejos de la fiabilidad suprema que les otorga otro alto cargo de la NSA (“los metadatos te lo dicen absolutamente todo de la vida de alguien. Si tienes suficientes metadatos, no necesitas realmente el contenido”), se revelan como extremadamente engañosos desde el mismo momento en que una persona puede desprenderse de su dispositivo o intercambiarlo por otro. Contrariamente al optimismo de las instancias oficiales, los metadatos no les dicen (casi) nada del objetivo real, que se esconde en la maraña virtual del Big Data.

La apariencia de objetividad que rodea a los metadatos, interpretados como silenciosos actos de confesión para las agencias de inteligencia que planifican los ataques, exhibe aquí su fragilidad estructural. Comprobamos que construir un patrón de comportamiento coherente, que desanonimice realmente a un único individuo para integrarlo luego en alguna kill list, es algo especialmente difícil de conseguir sin otras fuentes de información que no sean los propios metadatos. Y las campañas con drones, que plantean un concepto de guerra que tiende a reducir el número de tropas desplegadas sobre el terreno (conque la información a pie de zona es más escasa que nunca), no podían acabar haciendo otra cosa que delegar paulatinamente en el singular oráculo de los metadatos, el cual bien puede constituir un discurso de objetividad aparente destinado a apaciguar las posibles críticas (“siempre se da en el blanco”, dejando de lado el hecho fundamental de que el objetivo perseguido sea un teléfono, no una persona: la posibilidad de seguir equivocándose de objetivo aun acertando el disparo sigue siendo un riesgo real), pero que en el plano operacional real no da casi pistas que sirvan para identificar claramente a los objetivos designados. “Una vez la bomba cae o llevamos a cabo un asalto nocturno, sabemos que el teléfono se encuentra allí. Pero no sabemos quien esta detrás de el, quien lo lleva en el bolsillo (…) [disparamos] con la esperanza de que la persona al otro lado del misil sea realmente el objetivo”, afirmaba para The Intercept un antiguo operador de drones. Naturalmente, esta dificultad a la hora de detectar a los objetivos reales convierte a casi todo el mundo tanto en potencial sospechoso como en integrante fantasmal de una kill list, contra el cual pudiera golpear súbitamente un misil lanzado por un dron. Los falsos positivos son algo estructural, no puntual, de los ataques con drones.

“Incluso suponiendo que el “terrorismo” sea detectable a través de patrones que pudieran ser identificados vía la minería de datos (lo cual es, como mínimo , una hipótesis arriesgada), semejante sistema generaría inevitablemente una plétora de sospechosos, con una arrolladora mayoría de falsos positivos, que a la postre se estiman en millones”. En los Estados Unidos, un hipotético sistema de detección casi virtuoso, con una fiabilidad del 99.9999%, seguiría generando 2750 falsos positivos diarios. De esta observación derivan dos consecuencias fundamentales: primero, la fragilidad implícita de los criterios que vendrían a caracterizar una violencia supuestamente “milimetrada” o “quirúrgica”; segundo, la peligrosa ineficacia del régimen de retención masiva de (meta)datos en lo referente a las metas que dice perseguir. El caso de Francia, que aprobó en 2013 una ley que daba poderes tanto a la policía como a la inteligencia francesa para monitorizar sin una orden judicial previa el tráfico de Internet de cualquier usuario, o que aprobó tras el ataque a la redacción de Charlie Hebdo otra legislación para que éstos pudieran intervenir las comunicaciones telefónicas o vía Internet, en este caso también sin garantías judiciales para los “sospechosos”… revela a fin de cuentas una paradoja: que, después de los atentados de París, el fracaso absoluto de los programas de vigilancia masiva al prever los atentados se está usando como pretexto para ampliarlos aún mas. Lo nunca visto: para las agencias de inteligencia europeas, la propia incompetencia parece que sirve como argumento para justificar la concesión de más poderes.

De la arquitectura política que dispone los mecanismos societales que sustentan las vastas cuotas de violencia asumidas por aviones remotamente tripulados trata precisamente “Drones. Sombras de la guerra contra el terror”, publicado recientemente por Virus Editorial. El irresistible ascenso del dron en el imaginario militar, un dispositivo que tiende a administrar parcelas cada vez mayores de la violencia del Estado, es un fenómeno que debemos someter a examen. Su uso por parte de la administración Obama para desplegar formas de violencia al margen de la tutela judicial o democrática forma parte de una agenda política en expansión, que delega sus funciones en la suma opacidad que caracteriza a las agencias de inteligencia (de hecho, una de las consecuencias más notables de la “guerra contra el terror” ha sido que estos organismos estén asumiendo de manera gradual el control del aparato del Estado, sin tener que rendir cuentas ante nadie). En el ensayo publicado por Virus, se realiza una aproximacióntanto histórica como política de los ataques con drones, al tiempo que se indaga en las razones por las cuales estos aparatos se han convertido en una verdadera obsesión para los ejecutivos de medio mundo: en palabras del propio texto, “el dron fascina y aterroriza a partes iguales por la innegable ventaja que confiere a quienes pueden recurrir a su poder de muerte”. Nos corresponde situar al dron bajo nuestra mirada, antes de que él lo haga bajo la suya propia.

[English version below]

Hemos tenido la gran suerte de contar con Glyn Moody para llevar a cabo esta entrevista para el ciclo “Transparencia forzada”, esperamos que os guste tanto como a nosotros

1. Para los lectores que no te conocen, ¿podrías presentarte brevemente?

Soy periodista, bloguero y conferenciante. Escribo sobre vigilancia, derechos digitales y acuerdos comerciales para Ars Technica en Europa y para Techdirt en Estados Unidos. Empecé a escribir y a dar charlas sobre los usos comerciales de Internet a principios de 1994, y sobre software libre en 1995. En 1997 escribí el primer artículo de difusión general sobre sobre GNU / Linux y el código abierto, el cual apareció en la revista Wired.

Mi libro, “Rebel Code: Linux and the Open Source Revolution” (seguramente, la única historia detallada del software libre escrita hasta ahora) fue publicado en 2001. “Digital Code of Life: How Bioinformatics is Revolutionising Science, Medicine and Business” apareció en 2004, y explora el aumento y la importancia del genoma digital.

Se me puede seguir vía @glynmoody (Twitter e identi.ca) o +glynmoody (Google+).

2. ¿Cuándo empezaste a ser consciente de la importancia de proteger tu privacidad? ¿Hubo algún acontecimiento concreto que determinara tu forma de pensar actual?

Mayoritariamente fue una atención de tipo gradual, pero las revelaciones de Snowden en 2013 me hicieron tener claro que las cosas estaban bastante peor de lo que pensaba, de modo que podría considerarse que entonces fue un momento clave para mí.

3. ¿Quieres hablarnos de alguno de los proyectos relacionados con la seguridad o la privacidad (ya sean de carácter técnico, social o político) en los cuales estés involucrado actualmente?

No estoy directamente implicado en ningún proyecto como tal, pero parte de lo que escribo es a nivel de las medidas políticas que se están llevando a cabo, e intento hacer que la gente se dé cuenta de qué está pasando y qué pueden hacer para implicarse. Por ejemplo, escribí una pequeña guía sobre activismo digital.

4. ¿Qué prácticas realizas en tu día a día para proteger tu privacidad, tanto en el entorno digital como en la vida real?

La primera de todas es no hablar de ninguna de estas cosas (leer la respuesta de la pregunta 6).

5. ¿Qué le dirías al usuario común de Internet, que cree “no tener nada que ocultar”, o que piensa que la privacidad es una cuestión que solamente debería preocupar a “los que hacen cosas malas”?

Quizás no tenga “nada que ocultar”, pero sigue teniendo cortinas en las ventanas o cierra el cerrojo del baño al entrar. No se trata de “esconder” cosas, sino de un derecho humano básico a la privacidad. La vigilancia vulnera ese derecho, incluso cuando no se trata de vigilancia activa, con gente leyendo tus correos y cuentas en las redes sociales. El mero hecho de almacenar todas estas cosas (tal y como pasa en muchos países, como en Reino Unido) significa que estamos siendo siempre observados de manera potencial.

Parte del problema es que esa gente no siente que el almacenamiento de su actividad en Internet por parte de la NSA y el GCHQ sea intrusivo. Si un gobierno propusiera que cada habitación en cada casa tuviera una cámara de vigilancia instalada, con las imágenes siendo almacenadas en los servidores del gobierno (pero con la “promesa” de que nadie las revisaría a no ser que se cometiera un crimen), la mayoría de la población sentiría que su privacidad está siendo violada. Almacenar información sobre tu actividad en línea es exactamente lo mismo, con la diferencia de que no podemos ver la cámara que nos está apuntando.

6. Pensando en usuarios sin formación específicamente técnica, ¿qué herramientas, hábitos o prácticas les recomendarías para mejorar su privacidad?

Unas pocas, pero bastante obvias. Usar siempre conexión cifrada (HTTPS) si es posible, tal y como es el caso de manera creciente. Usar siempre una VPN (Virtual Private Network): éstas son hoy muy baratas y realmente fáciles de usar. Si puedes, utiliza también un servicio de correo cifrado: PGP es el más obvio, pero no es demasiado fácil de configurar. Nuevos servicios están siendo inventados para ayudar en esta cuestión.

En tus ordenadores, usa software libre: sabemos que empresas como Microsoft proveen a la NSA información sobre vulnerabilidades en su software, y éstas pueden ser explotadas para tomar el control de tu máquina. Usar un gestor de contraseñas para recordarlas todas, las cuales también deberían ser todas distintas. Si tu ordenador tiene una webcam, cúbrela cuando no la estés utilizando: sabemos que pueden ser encendidas de manera remota.

Los teléfonos móviles son casi imposibles de “securizar”: aún utilizando un sistema operativo de código abierto como CyanogenMod y una VPN, tu teléfono esta enviando constantemente información sobre tu posición. También es presumible que los teléfonos puedan ser encendidos remotamente, de modo que simplemente apagarlos no es suficiente para hacerlos seguros. Es preciso observarlos con sospecha en todo momento, recordando que no tienen solamente una, sino dos cámaras que pueden ser usadas para espiarte.

7. ¿Hasta qué punto piensas que la crítica de la vigilancia masiva supone la legitimación involuntaria de formas de vigilancia individualizadas que, no obstante, siguen vulnerando los derechos de las personas afectadas? (Ejemplo: caso #Spycops en Reino Unido)

Pienso que determinadas formas de vigilancia altamente individualizadas pueden ser justificadas (asumiendo que son estrictamente controladas, por ejemplo a través de autorizaciones firmadas por jueces, no por políticos). Tratar de deshacerse de toda la vigilancia es políticamente irreal: demasiada gente ha sido asustada por sus gobiernos invocando el “terrorismo”, y quieren estar seguros de que tanto ellos como sus familias están protegidos. La vigilancia individualizada puede conseguir esto, pero no puede extenderse a cosas como el caso #Spycops, en el cual fue claramente injustificada.

8. A día de hoy, ¿qué instituciones, actores u organismos piensas que suponen una amenaza para la libertad y la privacidad en Internet? ¿A quién corresponde defender estos derechos?

Hay muchas donde escoger. Los más peligrosos son los gobiernos, porque son los que hacen las leyes (en la actualidad, leyes muy malas desde el punto de vista de la libertad en la red y la privacidad). Después vienen las grandes corporaciones (Facebook, Google, etc…), que toman a sus usuarios como recursos que deben ser explotados para obtener beneficios. Para ambos, la libertad y la privacidad tienen poca importancia. Por último, pero no por ello menos importante, tenemos a delincuentes comunes que infringen nuestra privacidad para robar información sobre nosotros o incluso nuestras identidades.

Los únicos defensores reales allí afuera son los activistas como vosotros, y la comunidad del software libre. Los segundos son particularmente importantes, porque crean buenas herramientas en las que podemos confiar (contrariamente al software propietario, el cual es intrínsecamente traicionero). Necesitamos apoyar tanto a activistas como a coders para que nos ayuden en esta cuestión.

Aquí, en Europa, tenemos otro aliado: el Tribunal de Justicia de la Unión Europea. Este es el tribunal más importante de la UE, y ha emitido recientemente una serie de resoluciones apoyando la libertad y la privacidad, de modo que necesitamos seguir presionando para que los casos lleguen hasta ellos, desde el momento en que es uno de los pocos sitios en los que podemos ser escuchados e incluso ganar.

9. ¿Crees que existen diferencias notables entre el activismo político “tradicional” y el activismo centrado en la defensa de los derechos en Internet o el “hacktivismo”? Lo cierto es que desde Críptica observamos una “brecha” (generacional, técnica, de género…) entre ambas formas de intervención política.

Sí, hasta cierto punto pienso que eso es verdad. El problema es en parte una cuestión de edad y de familiaridad con la tecnología: los activistas más veteranos no están generalmente cómodos en este mundo, la cual cosa hace más difícil para ellos luchar por él. La esperanza debe ser que gente más joven (que entiende la naturaleza fundamental de las tecnologías para la libertad) pueda ser estimulada para apoyar el trabajo de los activistas. Pienso que una manera importante de hacer esto es usar las redes sociales, puesto que la mayoría de gente joven obtiene información e ideas de allí. Desde el momento en que entendemos la tecnología, podemos usarla para llegar a determinadas metas.

10. Finalmente, ¿cuáles deberían ser, según tu opinión, los aspectos que como movimiento político (desde el conjunto de las organizaciones defensoras de los “derechos digitales”) tendríamos que mejorar?

Un aspecto de los que pienso que una parte de los ciberactivistas y organizaciones de derechos humanos minusvaloran es cómo los llamados “acuerdos comerciales” pretenden subvertir la democracia de maneras tan fundamentales que las libertades básicas se verán considerablemente disminuidas. Por ejemplo, aquí en Europa es vital que el público se dé cuenta de qué está ocurriendo con la Asociación Transatlántica de Comercio e Inversión (TTIP). Aunque suene aburrido (y es por esto que lo llaman así), este acuerdo tendrá un gran impacto en todos los aspectos de la vida digital (y analógica).

He escrito una introducción al TTIP y sus peligros que puede ser útil en este aspecto. También me preocupan acuerdos como CETA o TISA, pero por el momento lo más útil sea probablemente concentrar esfuerzos en luchar contra los peores aspectos del TTIP.

———————————————————————————————————

English version:

1. For the readers who don’t know you, could you briefly introduce yourself?

I am a journalist, blogger and speaker. I write about surveillance,
digital rights and trade agreements, mostly on Ars Technica in Europe and Techdirt in the US. I started writing and
lecturing about business use of the Internet in early 1994, and about
free software in 1995. In 1997 I wrote the first mainstream feature
about GNU/Linux and open source, which appeared in Wired magazine.

My book, “Rebel Code: Linux and the Open Source Revolution” – the only
detailed history of free software written so far – was published in
2001. “Digital Code of Life: How Bioinformatics is Revolutionising
Science, Medicine and Business” appeared in 2004, and explores the rise
and importance of digital genomics.

I can be followed @glynmoody on Twitter and identi.ca, and +glynmoody on
Google+.”

2. When did you become aware of the importance of protecting your
privacy? Was there any specific event that determined your current way
of thinking?

Mostly it was just a gradual awareness, but the Snowden revelations in
2013 made it immediately clear that things were much worse than I
thought, so that was definitely a key moment.

3. Would you like to talk about any of the privacy or security-related
projects (be they of technical, social or political nature) in which you
are currently involved?

I’m not really directly involved in any projects as such, but much of my
writing is about policy issues, and I try to to make people aware about
what’s happening – and what they can do to get involved. for example I
wrote a short guide on digital activism.

4. Which practices do you carry out in your daily routine to protect
your privacy, both in the digital and in the real world?

The main one is that I don’t talk about any of those things (but see
Question 6.)

5. What would you tell to the common Internet user, who thinks that they
have “nothing to hide”, or who thinks that only people who do “bad
things” should be worried about their privacy?

They may have “nothing to hide”, but they still put curtains on their
windows, or lock doors when they are in the bathroom. It’s not about
“hiding” things, it’s about a basic human right to privacy.
Surveillance infringes on that right, even when it is not active
surveillance, with people reading your emails or social media. Just the
act of gathering all of those things – as happens routinely in many
countries, such as the UK – means that we are potentially being observed.

Part of the problem is that people don’t really feel that the NSA and
GCHQ recording all their Internet activity is intrusive. If a
government suggested that every room in every house would have a CCTV
camera installed, with images being recorded 24×7 on government servers
– but with the “assurance” that nobody would look at them unless a crime
were committed – most people would feel that their privacy would be
violated. Storing information about our online activity is exactly the
same, except that we can’t see the CCTV trained on us.

6. Thinking about non-technical users; which tools, habits or practices
would you recommend to people to improve their privacy?

A few obvious ones. Always use an encrypted connection (HTTPS) if it is
available, as is increasingly the case. Always use a VPN (virtual
private network): these are now very cheap and very easy to use. If you
can, use an encrypted mail service: PGP is the obvious one, but it is
not very easy to set up. New services are coming through that will help.

On your computers, use free software: we know that companies like
Microsoft provide the NSA with information about the flaws in their
software, and these can be used to take control of systems. Use a
password manager to remember all your passwords, which should all be
different. If you have a built-in webcam, cover it up when you are not
using it: we know that these can often be turned on remotely.

Mobile phones are almost impossible to secure: even if you use an open
source operating system like CyanogenMod, and a VPN, your phone is
constantly giving out information about your position. It also seems
likely that phones can be switched on remotely, so simply turning them
off isn’t enough to make them safe. Regard them with suspicion at all
times, not least because they have not one but two cameras that can be
used to spy on you.

7. To what extent do you think the criticism of mass surveillance
becomes a dangerous legitimation of other forms of targeted surveillance
that violate the rights of the people affected (such as the #Spycops
case in the United Kingdom).

I think some forms of highly-targeted surveillance can be justified –
provided they are strictly controlled, for example by requiring warrants
signed by judges, not politicians. Trying to get rid of all
surveillance is politically unrealistic: too many people have been
scared by governments through invoking “terrorism”, and want assurances
that they and their families will be protected. Targeted surveillance
can do that, but must not extend to things like the Spycops case, which
was clearly unjustified.

8. Nowadays, which institutions, actors or organisations do you think
pose a threat for net freedom and privacy? And who should defend us
against that threat?

So many to choose from. The most dangerous are the governments, because
they make the laws – currently very bad laws from the viewpoint of Net
freedom and privacy. Then we have the big companies – Facebook, Google
etc. – that regard users as a resources to be mined for profit. Along
the way, freedom and privacy are of little importance. Last, but not
least, we have simple criminals who are happy to infringe on our privacy
in order to steal our data and even our identities.

The only real defenders out there are activists like yourselves, and the
free software community. The latter are particularly important, because
they produce good tools we can trust – unlike proprietary software,
which is inherently treacherous. We need to support both activists and
coders to help them help us.

Here in Europe, we have another ally: the Court of Justice of the
European Union. This, the highest court in the EU, has recently handed
down some very strong judgments in support of freedom and privacy, and
we need to keep pushing test cases towards them, since it is one of the
few places where we can win and where that will make a difference.

9. Do you think that notable differences exist between “traditional”
political activism and “net” activism or “hacktivism? As Críptica, we
perceive a “gap” (generational, technical, gender-based) between these
forms of political intervention.

Yes, to a certain extent, I think that’s true. The problem is partly a
question of age and familiarity with technology: older activists aren’t
generally very comfortable with this world, which makes it harder for
them to fight for it. The hope has to be that more young people – who
do understand the central nature of digital technologies to freedom –
can be encouraged to support activist work. I think an important way of
doing that is using social media, since that is mostly where younger
people get their information and ideas. Since we understand technology,
we can use it to reach out in important ways.

10. Finally, which aspects should we, as a political movement (taking
into account all digital freedom organisations) be working to improve?

One aspect that I think many digital activist and human rights
organisations overlook is how so-called trade agreements are attempting
to subvert democracy in such fundamental ways that basic freedoms will
be greatly diminished. For example, here in Europe it is vital that
public becomes aware of what is happening with the Transatlantic Trade
and Investment Partnership (TTIP). However boring that sounds – and
that’s partly why they call it that – it will have massive effects on
all aspects of digital (and analogue) life.

I’ve written an introduction to TTIP and its dangers that may be useful. Also of concern are agreements like CETA and TISA,
but at the moment it is probably most useful to concentrate on keeping
bad stuff out of TTIP.

Esta vez hemos entrevistado a Diego Naranjo (EDRi), en el marco de nuestro ciclo “Transparencia forzada”

1. Para los lectores que no te conocen, ¿podrías presentarte brevemente?

Me llamo Diego Naranjo y trabajo como Advocacy Manager para European Digital Rights (EDRi). EDRi es una federación de organizaciones no gubernamentales que trabajan en la defensa de derechos humanos en el mundo digital.

2. ¿Cuándo empezaste a ser consciente de la importancia de proteger tu privacidad? ¿Hubo algún acontecimiento concreto que determinara tu forma de pensar actual?

Sin duda, los libros del género de la “distopía” como 1984 de Orwell, “Fahrennheit 451” de Bradbury y “Un mundo feliz” de Huxley marcaron mi adolescencia. Desde entonces la idea de resistir al Gran Hermano ha influido en mi forma de pensar y ha marcado mis posiciones políticas al respecto.

3. ¿Quieres hablarnos de alguno de los proyectos relacionados con la seguridad o la privacidad (ya sean de carácter técnico, social o político) en los cuales estés involucrado actualmente?

Para este año en EDRi nos vamos a enfocar en una campaña contra la directiva EU PNR (https://edri.org/faq-pnr/), que puede ser aprobada en las próximas semanas; también trabajaremos en la reforma de la Directiva ePrivacy, que tras la aprobación del nuevo Reglamento General de Protección de Datos (GDPR, por las siglas en inglés: General Data Protection Regulation) tiene que ser revisada; finalmente, empezaremos a trabajar en los detalles sobre la implementación de la GDPR y estaremos atentos a los intentos de establecer nuevas normas de retención de datos a nivel nacional.

4. ¿Qué prácticas realizas en tu día a día para proteger tu privacidad, tanto en el entorno digital como en la vida real?

Realizo prácticas parecidas en ambos mundos (digital y no digital):

En el mundo digital:

1. Utilizo exclusivamente software libre en mis ordenadores.
2. Utilizo encriptación end-to-end (PGP) a diario.
3. En mi smartphone no utilizo Whatsapp, sino Signal y Telegram.
4. No uso redes sociales especialmente invasivas como Facebook.

En el mundo no digital:

1. Impulso la adopción de software libre por parte de instituciones públicas a través de enmiendas o propuestas en iniciativas legislativas y no legislativas de la Unión Europea.
2. Cuando uso correo ordinario, utilizo sobres para información privada, y postales para información no tan privada.
3. Intento realizar más reuniones en persona y charlas públicas que comunicaciones online.

5. ¿Qué le dirías al usuario común de Internet, que cree “no tener nada que ocultar”, o que piensa que la privacidad es una cuestión que solamente debería preocupar a “los que hacen cosas malas”?

Este es un “argumento zombie” que reaparece tras cada iniciativa pro-privacidad. La respuesta es que la privacidad no está relacionada con “ocultar cosas”, sino con la libertad de expresión, la libertad de reunión y otros derechos fundamentales. Todo el mundo debería ser capaz de hablar con sus amigos, expresar sus miedos y sus opiniones sobre cualquier tema sin ser vigilado constantemente. De lo contrario, esto lleva a que las personas se auto-censuren y dejen de ser ellos mismos. Esto puedo conllevar todo tipo de problemas, incluso de salud. ¿Seguro que buscarías la dirección de una clínica para la interrupción del embarazo si piensas que tu jefe puede estar analizando tus mensajes privados? ¿Vas a mirar información en Google sobre ISIS si eso puede llevar a que acabes en alguna base de datos como sospechoso de apoyar el terrorismo?

Este “chilling effect” lo podemos ver en otras escenas de la vida diaria. Por ejemplo, cuando conduces y ves que hay un coche de policía nadie se queda indiferente: Revisas todo, piensas si tienes la reglamentación del coche a mano, miras si vas a la velocidad permitida y, en general, te pones alerta. Si llevamos nuestro smartphone a todos lados y nos comunicamos cada vez más por Internet, podemos tener a “un policía” sobre nuestro hombro a cada segundo. ¿Quién quiere vivir en un estado de alerta permanente? ¿Qué tipo de libertad sería esa?

6. Pensando en usuarios sin formación específicamente técnica, ¿qué herramientas, hábitos o prácticas les recomendarías para mejorar su privacidad?

Edward Snowden ha propuesto varios consejos sencillos que pueden mejorar la privacidad fácilmente sin necesidad de muchos conocimientos técnicos: http://www.eldiario.es/cultura/tecnologia/privacidad/Edward-Snowden-explica-proteger-privacidad_0_457754864.html

Para los que tengan un conocimiento técnico menor que lo que se podría llamar “nivel usuario”, la recomendación es no instalar aplicaciones que requieran acceso a información cuyo uso no es necesario (ejemplo: aplicación de linterna que quiere acceder a tus contactos). Un paso más sería usar las aplicaciones que figuran en F-Droid (https://f-droid.org/), que son gratis y libres, y sólo en caso de no encontrar lo que necesitas ir a Google Play o Apple Store.

También se puede usar el buscador DuckDuckGo.com en vez de Google, para no ser rastreado.

Un paso un poco más avanzado es usar software libre. Ya hay muchas distribuciones (Ubuntu, Linux Mint…) que eliminan el mito de que el software libre es para informáticos.

7. ¿Hasta qué punto piensas que la crítica de la vigilancia masiva supone la legitimación involuntaria de formas de vigilancia individualizadas que, no obstante, siguen vulnerando los derechos de las personas afectadas? (Ejemplo: caso #Spycops en Reino Unido)

La vigilancia indiscriminada es, por definición, contraria a los derechos humanos, como han declarado reiteradamente los tribunales de Luxemburgo y Estrasburgo (casos Digital Rights Ireland y Schrems – CJEU, caso Szabo y otros en TEDH).

La vigilancia individualizada, por otro lado, no es un cheque en blanco. Debe estar previsto en una ley y seguir los criterios de necesidad y proporcionalidad. Esto debe incluir un sistema de prevención de abusos: En casos en que sean las agencias de espionaje (“agencias de inteligencia”) sean las que llevan a cabo la vigilancia, deben estar sometidas al escrutinio del Estado, incluyendo la supervisión judicial. En el caso de vigilancia por parte de fuerzas policiales, esto debe ser hecho siguiendo las normas de un Estado de Derecho, lo cual incluye que no se inicie ningún seguimiento de comunicaciones privadas sin autorización judicial y que, en ciertos casos, incluso éstas no puedan ser investigadas (por ejemplo, entre un abogado y su cliente, o entre médico y paciente).

8. A día de hoy, ¿qué instituciones, actores u organismos piensas que suponen una amenaza para la libertad y la privacidad en Internet? ¿A quién corresponde defender estos derechos?

El Internet de las Cosas (Internet of Things) es una amenaza que tiene que ser neutralizada ya mismo. Los efectos que esas tecnologías pueden tener en relación a la creación de perfiles (profiling) y como una nueva manera de control de la población es alarmante. Las multinacionales que viven de nuestros datos personales (Google, Facebook, Skype y otras) suponen una amenaza constante, como hemos visto tras las revelaciones de Snowden.

Defender estos derechos nos corresponde siempre a los ciudadanos. Los derechos, como los músculos, se fortalecen mediante su ejercicio constante. De lo contrario, nos volvemos débiles. Debido a que las políticas sobre privacidad se realizan cada vez más a nivel europeo, hacemos un llamamiento a que los ciudadanos se organicen en asociaciones y que actúen en los llamamientos a la movilización que hacemos organizaciones como EDRi, Xnet, Access Now, BEUC y otras. Si queremos perfilar nuestras futuras libertades en el mundo digital, el momento es ahora.

9. ¿Crees que existen diferencias notables entre el activismo político “tradicional” y el activismo centrado en la defensa de los derechos en Internet o el “hacktivismo”? Lo cierto es que desde Críptica observamos una “brecha” (generacional, técnica, de género…) entre ambas formas de intervención política.

Inevitablemente, el activismo de los derechos humanos en Internet requiere ciertos conocimientos técnicos (a veces, sólo muy mínimos), lo cual puede echar hacia atrás a cierta gente. Cuando no es ese el caso, nos encontramos con que este campo se identifica con hackers y geeks solamente, cuando lo cierto es que casi todos tenemos un correo electrónico y un smnartphone a mano, y por tanto los riesgos nos afectan a todos.

Cuando presento EDRi, siempre hincapié en que somos una organización de derechos humanos. De lo contrario, cuando hablamos de “derechos digitales” parece que hablamos de derechos humanos para el mundo desarrollado, cuando en realidad son solamente los derechos humanos que ya tenemos offline pero aplicados al mundo digital.

Hay otro asunto, quizá más importante. Es cierto que hay luchas más prioritarias y urgentes que la privacidad: el cambio climático y la desigualdades sociales son dos de las principales. Ahora bien, estas luchas se van a desarrollar en mayor o menor medida cada vez más usando medios digitales. Si no controlamos estas herramientas y prevenimos que exista la vigilancia masiva indiscriminada, podemos ver que esas luchas se vean amenazadas seriamente.

10. Finalmente, ¿cuáles deberían ser, según tu opinión, los aspectos que como movimiento político (desde el conjunto de las organizaciones defensoras de los “derechos digitales”) tendríamos que mejorar?

1. Tenemos que crear un discurso global sobre la vigilancia y la privacidad que se aleje de la retórica del Gran Hermano y que se acerque a los ciudadanos. Hay que usar ejemplos positivos y divertidos para poder llegar a la gente.

2. Impulsar económicamente (donaciones, crowfunding…) software libre y el uso de herramientas de privacidad. Un primer paso puede ser, por ejemplo, convencer a tus 5 contactos más utilizados de que instalen Signal y comunicarte por ellos (por mensajes y llamadas) de forma privada. Es una herramienta gratuita, fácil de usar, y que reemplaza a tu app de SMS, así que no necesitas duplicar tus apps.

3. Organizarnos en nuestras organizaciones locales y nacionales para abordar estos temas, y aliarnos a nivel europeo e internacional con otras organizaciones para aunar fuerzas. Hay que poner presión constante en los parlamentarios europeos y en la Comisión Europea, que son los que en gran medida deciden sobre nuestras libertades digitales.

Entrevista a Marie Gutbub, del Center for Investigative Journalism

1. Para los lectores que no te conocen, ¿podrías presentarte brevemente?

Me llamo Marie Gutbub. Soy periodista e instructora en seguridad. He estado trabajando con CryptoParty a lo largo de los últimos años y difundiendo conocimientos en materia de seguridad digital. En la actualidad trabajo en el Center for Investigative Journalism, con el cual organizamos el Logan CIJ Symposium (logancij.com), una conferencia sobre periodismo de investigación, privacidad, vigilancia y censura.

2. ¿Cuándo empezaste a ser consciente de la importancia de proteger tu privacidad? ¿Hubo algún acontecimiento concreto que determinara tu forma de pensar actual?

Estudié periodismo cultural y no aprendí nada sobre temas de seguridad digital o incluso protección de fuentes. Pensé que con el tipo de periodismo que yo hacía, no tenía nada que esconder. Después de graduarme, por algún tipo de extraña coincidencia, coincidí con personas que estaban trabajando en periodismo de investigación y en temas relacionados con la privacidad. Hablando con ellas, entendí que a mi formación como periodista le faltaba una parte realmente importante. Es ahí, relacionándome con esas personas, que rápidamente pude ver cómo la privacidad importa.

3. ¿Quieres hablarnos de alguno de los proyectos relacionados con la seguridad o la privacidad (ya sean de carácter técnico, social o político) en los cuales estés involucrada actualmente?

Trabajo en distintos proyectos, todos ellos con una meta común: quiero que la gente entienda qué es la vigilancia, quiero difundir el uso de herramientas que garanticen la privacidad y quiero ayudar a que estas herramientas sean más fáciles de utilizar. Por ejemplo, estos días estoy impulsando una iniciativa llamada #letsonion, para preguntar a los usuarios del navegador Tor qué sitios web les gustaría que tuvieran una dirección .onion, y explicar a la gente que gestiona esas webs por qué deberían tener una.

4. ¿Qué prácticas realizas en tu día a día para proteger tu privacidad, tanto en el entorno digital como en la vida real?

No me gusta hablar detalladamente de mi configuración. Pero básicamente utilizo Debian como sistema operativo, y para comunicarme uso Tor, PGP, OTR y algunas otras cosas. En el mundo real, nunca pierdo de vista mi ordenador o los dispositivos asociados a él. Y, por supuesto, tengo cuidado de a quien le digo qué.

5. ¿Qué le dirías al usuario común de Internet, que cree “no tener nada que ocultar”, o que piensa que la privacidad es una cuestión que solamente debería preocupar a “los que hacen cosas malas”?

Le enseñaría este vídeo que hice para CryptoParty: https://www.youtube.com/watch?v=fDPpzG6u-as

6. Pensando en usuarios sin formación específicamente técnica, ¿qué herramientas, hábitos o prácticas les recomendarías para mejorar su privacidad?

Para la gente que utiliza smartphones, Signal es realmente fácil de utilizar. También recomendaría empezar a usar Tor, PGP, OTR y programas similares. Hay eventos para aprender a usarlos. O también está el libro Information Security for Journalists, escrito por Arjen Kamphuis y Silkie Carlo: http://www.tcij.org/resources/handbooks/infosec. Puede ser útil para cualquiera que quiera entender cómo utilizar estas herramientas, no solamente periodistas.

7. ¿Hasta qué punto piensas que la crítica de la vigilancia masiva supone la legitimación involuntaria de formas de vigilancia individualizadas que, no obstante, siguen vulnerando los derechos de las personas afectadas? (Ejemplo: caso #Spycops en Reino Unido)

No he seguido el caso #Spycops. Pero no creo que, en un plano general, criticar la vigilancia masiva deba ser visto como peligroso. Simplemente, no se debe olvidar la crítica de otras formas de violación de los derechos de la gente.

8. A día de hoy, ¿qué instituciones, actores u organismos piensas que suponen una amenaza para la libertad y la privacidad en Internet? ¿A quién corresponde defender estos derechos?

Instituciones estatales como la NSA, el GCHQ o el BND, entre muchas otras, son la amenaza más fácilmente identificable en lo que concierne a la libertad y a la privacidad. También empresas como Google o Facebook por ejemplo, y cualquier otra empresa que nos espíe (en ocasiones trabajando con el propio Estado, tal como nos revelaron los documentos de Snowden) suponen una gran amenaza para la libertad y privacidad en la red. Irónicamente, los gobiernos son los que deberían protegernos, y somos nosotros los que deberíamos tener la opción de demandar judicialmente a las empresas que nos espían. Pero, ¿cómo lo podemos hacer cuando las instituciones estatales colaboran en este espionaje?

Esta es la razón por la cual los ciudadanos se deben proteger a si mismos, para reclamar un derecho a la privacidad que no está siendo respetado en la situación actual. Debemos construir herramientas, nos debemos enseñar los unos a los otros cómo actuar, y todos nosotros debemos utilizar cifrado robusto para proteger nuestra privacidad. Nos corresponde rechazar la intromisión gubernamental y empresarial.

9. ¿Crees que existen diferencias notables entre el activismo político “tradicional” y el activismo centrado en la defensa de los derechos en Internet o el “hacktivismo”? Lo cierto es que desde Críptica observamos una “brecha” (generacional, técnica, de género…) entre ambas formas de intervención política.

La mayoría de las comunicaciones se realizan en línea, seamos ciberactivistas o activistas políticos tradicionales. La diferencia es que los ciberactivistas conocen las amenazas y saben cómo protegerse. Corresponde a los ciberactivistas compartir y difundir sus conocimientos, y corresponde por otro lado a los activistas políticos tradicionales las tareas de entender cómo se pueden beneficiar de su experiencia y comprender que ellos mismos necesitarán, tarde o temprano (si es que no lo necesitan ya) tener acceso a esta capa de protección.

10. Finalmente, ¿cuáles deberían ser, según tu opinión, los aspectos que como movimiento político (desde el conjunto de las organizaciones defensoras de los “derechos digitales”) tendríamos que mejorar?

Hacer que la gente entienda qué es la vigilancia, y por qué está mal. Mucha gente tiene una idea falsa de lo que es la vigilancia. Educar tanto como podamos. Y cuando la gente quiera aprender, enseñarles cómo proteger su privacidad. Necesitamos que mucha gente use tecnologías de cifrado, necesitamos que todo el mundo las utilice.

¡Hola de nuevo! Disculpad la ausencia de las últimas semanas: hemos estado preparando un proyecto que esperamos que os guste, al que hemos decidido llamar “Transparencia forzada”. A grandes rasgos, se trata de un cuestionario surgido de una serie de inquietudes y dudas que nos han ido apareciendo internamente a lo largo de estos primeros meses de andadura política, y que hemos decidido hacer públicas en forma de preguntas. Hemos enviado este cuestionario a un cierto número de personas que consideramos relevantes en nuestro ámbito político, es decir, el de la defensa de los Derechos Humanos en Internet. Pensamos que sus respuestas pueden resultar orientativas en lo que respecta tanto a su lectura de la situación actual como en la forma que tienen de afrontar la amenaza que suponen el rastreo indeseado y la vigilancia masiva. Conforme recibamos sus respuestas, las iremos traduciendo y publicando en este mismo blog, de modo que estad al tanto… ¡os aseguramos que valdrá la pena leerlas!

Washington D. C. (11 de enero, 2016) – Hoy, Críptica se ha sumado a la
larga lista de 194 expertos, compañías y organizaciones de más de 35
países, pidiendo a los líderes mundiales que apoyen el cifrado y
rechacen frontalmente cualquier tipo de ley, política, iniciativa o
mandato que pudiera debilitar la seguridad digital. La carta es de
acceso público y se encuentra disponible en
https://www.SecureTheInternet.org.

En Francia, la India, Reino Unido, China, Estados Unidos y otros muchos
países, los gobiernos están planteándose aplicar políticas que
comportarían el debilitamiento del cifrado. No obstante, la seguridad y
la privacidad en línea dependen precisamente de herramientas y
tecnologías seguras. Esta carta representa la voz colectiva de expertos
en tecnología, compañías y organizaciones que utilizan el cifrado.

“Internet pertenece a los ciudadanos de alrededor del mundo, no a sus
gobernantes. Rechazamos que este precioso recurso sea nacionalizado o
quebrado por ningún país. Esta carta pretende unificar las voces de los
usuarios globales de Internet exigiendo la protección de las
herramientas necesarias para expresar nuestros Derechos Humanos en
línea”, dijo Brett Solomon, director ejecutivo de Access Now.

La carta, impulsada por Access Now junto con docenas de organizaciones
incluyendo Críptica y la Electronic Frontier Foundation, permite que las
organizaciones e individuos declaren su apoyo al cifrado. La carta será
enviada a los líderes mundiales que, según la prensa, están planteándose
medidas políticas que atentan contra el cifrado.

“El cifrado y el anonimato, y los conceptos de seguridad que hay detrás
de ellos, proveen de la privacidad y la seguridad necesarios para el
ejercicio del derecho a la libertad de opinión y de expresión en la era
digital”, dijo David Kaye, Relator de Naciones Unidas por la Libertad de
Opinión y Expresión.

Diferentes países están considerando propuestas que requerirían a las
compañías proveer de acceso excepcional a material cifrado. Esto crearía
una “puerta trasera” para permitir el acceso a cualquier tipo de
documento cifrado, incluyendo conversaciones personales, historial
médico y datos bancarios.

“Todas las comunicaciones han sido y son por naturaleza confidenciales
entre las partes que entienden el lenguaje mediante el cual se
comunican: el código. ¿Desde cuándo hemos decidido que todas las
conversaciones deberían poder ser escuchadas o leídas por terceros? ¿Por
qué no obligar entonces a que todas las conversaciones orales se
desarrollen por encima de determinados decibelios?” – Profesor KS Park,
Open Net.

“Un estudio del CIHR para la World Wide Web Foundation, que será
publicado próximamente, comprobó que Estados de todo el mundo, de todos
los tipos, han adoptado o están adoptando leyes que obligan a introducir
“puertas traseras” secretas dentro del Internet global y de la
infraestructura digital de las comunicaciones. Estados Unidos y otros
países occidentales empezaron esta “carrera armamentística” para acabar
con la seguridad. Ellos podrían haber encendido la mecha que supondría
el fin del Internet libre. Debemos reforzar la ley internacional y la
gobernabilidad de Internet para parar esta ofensiva – más que apoyar la
pérdida de la seguridad digital global”, dijo Douwe Korff, profesor
emérito de Derecho Internacional de la London Metropolitan University.

“Las leyes para debilitar el cifrado no detendrán a los terroristas o a
otros criminales a la hora de usar criptografía; lo que sí que harán es
que el resto del mundo esté menos seguro en Internet. La seguridad, la
privacidad y el anonimato son los componentes esenciales de la libertad
de expresión para todo el mundo, indistintamente de su lugar de
residencia o nacimiento, y la tecnología que permite es nuestra llave
para un futuro digital seguro. El cifrado no es un arma; es un escudo
que protege nuestra economía, nuestras infraestructuras críticas y
nuestra sociedad”, dijo Katie Moussouris de HackerOne.

“El cifrado es lo que hace que Internet funcione – es la razón por la
cual podemos comprar, hacer transacciones financieras y compartir
contenido en línea con unas personas y no con otras. Es así de simple.
Debilitar el cifrado es la amenaza a la seguridad nacional por
excelencia, al exponer nuestra infraestructura crítica, mercados
financieros, propiedad intelectual y datos personales a atacantes de
todo el mundo. Es obligatorio que mantengamos la integridad del cifrado,
y no permitir que tertulianos mal informados y políticos oportunistas
nos lleven a un desastre en materia de seguridad”, dijo Meredith
Whittaker, fundadora de Simply Secure.

“Una amenaza a los derechos digitales en cualquier sitio es una amenaza
para los derechos digitales en todos lados. Esto se está haciendo más
evidente desde el momento en que contemplamos iniciativas legislativas
en un determinado número de países que debilitarían los estándares de
seguridad para personas de todo el mundo”, dijo Birgitta Jónsdóttir,
miembro del Parlamento Islandés.

“El cifrado es una de las herramientas más fuertes que tenemos para
proteger a los usuarios en un mundo cada vez más digitalizado. No existe
una panacea para eliminar el crimen en línea, pero debilitar la
seguridad de los usuarios es claramente un paso en la dirección
opuesta”, dijo Rebecca MacKinnon, directora de Ranking Digital Rights.

“Recientemente, se encontró una puerta trasera en Juniper – un producto
utilizado por el gobierno estadounidense para proveer de acceso remoto a
los ordenadores de sus empleados. Una vez la brecha fue anunciada, fue
descubierta por hackers al cabo de siete horas. Forzar a las compañías a
construir puertas traseras en sus productos coloca dianas en las
espaldas tanto de las compañías como de sus usuarios”, dijo Bruce
Schneier, experto en seguridad.

“El cifrado es esencial para la protección de la privacidad, y la
privacidad es una condición básica para que pueda existir el derecho a
la libertad de expresión. No podemos pretender la protección de la
seguridad nacional abandonando nuestros principios democráticos, porque
entonces perderemos ambas, seguridad y democracia”, dijo Frank La Rue,
antiguo Relator de Naciones Unidas para la Promoción del Derecho a la
Libertad de Opinión y de Expresión.

Hasta ahora nuestro servidor inno.criptica.org usaba un certificado SSL emitido por StartSSL, una empresa privada que ofrece certificaciones SSL en varias modalidades, una de ellas gratuitas. La modalidad gratuita tiene unas cuantas restricciones, como la necesidad de renovación cada año de forma manual mediante el formulario web; o la imposibilitad de usar wildcards por lo que requiere registrar manualmente un certificado para cada subdominio.

En noviembre de 2014 fue anunciado un proyecto llamado Let’s Encrypt fundado por Electronic Frontier Foundation, Mozilla Foundation y University of Michigan con la finalidad de hacer llegar el cifrado para webs a todo el mundo, eliminando las barreras económicas, las dificultades de configuración y las validaciones manuales por e-mail.

El 3 de diciembre de 2015 (después de que la Autoridad Certificadora de Let’s Encrypt fuera firmada por una Autoridad Certificadora ya existente en los navegadores web) el servicio entró en beta para que todo el mundo pueda usarlo.

Así pues hemos configurado nuestro servidor para que haga uso de los certificados de Let’s Encrypt como podréis comprobar: https://inno.criptica.org/.

Además tenemos el servidor web configurado con unos cuantos cambios para mejorar su seguridad: redirección de http a https, uso del HSTS, soporte de solo TLSv1 TLSv1.1 y TLSv2 (adiós SSLv3), bloqueo de algoritmos no seguros (DES, MD5, RC4), uso de parámetros personalizados para Diffie Hellman de 2048 bits (adiós Logjam). Podéis ver un análisis completo en el servicio SSL Server Test de Qualys SSL Labs. Desafortunadamente el protocolo TLS es muy complejo y requiere varios cambios de configuración en los servidores web para hacerlo más robusto.

Con la actual configuración usamos certificados que caducan a los 3 meses y se renuevan automáticamente cada 2 meses. La configuración del sistema ha sido muy fácil: nosotros hemos usado un tutorial de Vincent Composieux: Install, configure and automatically renew Let’s Encrypt SSL certificate (English).

Animamos a todos aquellos que administráis algún servidor web a que le pongáis un certificado de Let’s Encrypt! Ahora ya no hay excusa para no ofrecer páginas cifradas.

Estat de la vigilància a Europa: abusos i vulneracions del dret a la privacitat

L’acte pretén situar en un context global les polítiques de seguretat aplicades pels diferents governs europeus després dels atacs a París, i avaluar en quin sentit aquestes suposen una amenaça tan pel que fa a les garanties democràtiques com en matèria de privacitat. D’altra banda, descriurem dues formes diferents d’espionatge i com ambdues han vulnerat els drets de les persones afectades: els programes de vigilància massiva emprats per la intel·ligència americana i el seguiment a l’activista Kate Wilson.

• Enric Luján, membre de Críptica
• Kate Wilson, víctima d’un dispositiu social d’espionatge intensificat (Més informació aquí: http://www.channel4.com/news/woman-demands-answers-over-undercover-police-officer)

Facultat de Dret (UB) [Metro Palau Reial]
Dimecres, 16 de desembre a les 11:30 (Aula Seminari 2)

---

Taller de navegació privada i anònima

Aprèn a moure’t a l’era de l’espionatge massiu! Porta el teu ordinador i t’ensenyarem a navegar per Internet de manera més segura, el primer pas de qualsevol persona preocupada per la seva privacitat.

Campus Nord (UPC) [Metro Palau Reial]
Dimecres, 16 de desembre a les 18:00 (Edifici Omega, despatx 101)

Llevábamos anunciándolo desde la presentación de la asociación, y finalmente ha llegado la fecha. Desde Críptica impartiremos en el FCForum 2015 un taller avanzado sobre herramientas que aseguren la privacidad de las comunicaciones, dirigido a todo aquel que desee asistir y tenga unos conocimientos previos en cuanto al uso de éstas (principalmente Tor y GPG).

El Free Culture Forum es un foro internacional para la cultura libre. Esto responde a la necesidad de encontrar un espacio común, desde donde construir y coordinar diversas acciones relacionadas con la cultura libre y el acceso al conocimiento. El evento tendrá lugar del 30 de octubre al 2 de noviembre en la ciudad de Barcelona, y dispondrá de diferentes espacios divididos en conferencias, talleres y grupos de trabajo. Nuestro taller comprenderá la creación de un hidden service en la red Tor, el uso avanzado de GnuPG y la eliminación de metadatos. Por otro lado, también habrá talleres de seguridad de carácter introductorio que serán impartidos por otras asociaciones, de manera que todo el mundo pueda participar en una sesión indistintamente de su dominio informático.

La duración del taller será aproximadamente de 2 horas y 30 minutos, y es necesario que los participantes asistan con sus portátiles. Para facilitar el seguimiento del mismo, hemos preparado una máquina virtual con las herramientas que enseñaremos a utilizar, por lo que recomendamos que traigáis instalado VirtualBox en vuestros equipos. Como alternativa, podéis utilizar GNU/Linux (u otro SO libre) e instalar las herramientas localmente.
La entrada es totalmente gratuita con aforo limitado.

La cita será el próximo 31 de octubre de 18:30 a 21:00 en el FCForum (organizado por Xnet), que tendrá lugar en el centro cultural La Farinera del Clot.