"Esto es una violación flagrante de la seguridad nacional y deberían rodar cabezas". Así se refiere el congresista estadounidense Chris Deluzio con respecto a un escándalo que acaba de saltar a los titulares y que gira en torno a un grupo de una app de mensajería.

Más concretamente, un grupo en la app 'segura' Signal, con el que varios miembros de la Administración Trump coordinaron la información relativa a un reciente ataque militar... sin darse cuenta de que habían invitado por error a un intruso.

Estás invitado

Empecemos por el principio: Jeffrey Goldberg, editor en jefe del medio The Atlantic, recibió el 11 de marzo una solicitud para unirse a un grupo en Signal, supuestamente procedente de Michael Waltz, consejero de Seguridad Nacional del presidente Trump. Dos días después, fue añadido a un grupo para abordar el problema de los hutíes de Yemen, integrado por figuras clave del gabinete: el vicepresidente J.D. Vance, el secretario de Defensa Pete Hegseth, el secretario de Estado Marco Rubio, la jefa de gabinete Susie Wiles, y otros altos funcionarios.

Goldberg pudo comprobar cómo empezaban a publicarse en el grupo toda una serie de comunicaciones que contenían información sensible: detalles operativos, cronogramas de ataques, identidades de agentes de inteligencia, e incluso evaluaciones post-ataque que incluían celebraciones con emojis de fuego, banderas y oraciones.

"A las 11:44 a.m. del 15 de marzo, [el secretario de Defensa] Hegseth compartió una 'actualización de equipo' con detalles precisos sobre los bombardeos inminentes. Dos horas después, las explosiones sacudieron Saná. Yo estaba en un supermercado".

En Genbeta

Las razones que da el fundador de Signal para asegurar que Telegram es menos seguro que Facebook Messenger

Como diría Fouché: "Ha sido peor que un crimen, ha sido un error"

Nadie en el grupo pareció notar la presencia del periodista, ni siquiera cuando salió voluntariamente del grupo. Posteriormente, el Consejo de Seguridad Nacional confirmó la autenticidad del mismo y reconoció que su inclusión había sido un 'error'.

Este descuido ha abierto una 'caja de Pandora' legal. Diversos expertos afirman que los funcionarios podrían haber violado la Ley de Espionaje, al compartir información clasificada por canales no autorizados. Signal, aunque sea una app cifrada, no está aprobado para comunicaciones oficiales ni de seguridad nacional.

Además, la activación del borrado automático de mensajes podría constituir una violación a las leyes federales de preservación de registros: en los EE.UU., todos los mensajes sobre actos oficiales son considerados registros gubernamentales y deben conservarse.

Make Signal secret again

Recordemos que Signal (con 3-5 millones de usuarios en los EE.UU.) es una aplicación 'open source' de mensajería cifrada de extremo a extremo, utilizada frecuentemente por periodistas, activistas y funcionarios que buscan comunicaciones más seguras que las ofrecidas por plataformas como WhatsApp o Telegram, sobre todo por el hecho de que no almacena metadatos.

Sin embargo, como ya hemos explicado, hay razones legales que convierten en problemático el uso de Signal en este caso en particular: la aparente razón de su uso entre altos funcionarios del gobierno de Trump habría sido la comodidad y rapidez para coordinar decisiones fuera del sistema burocrático tradicional, aunque esa informalidad ahora podría costarles muy caro.

Los "parásitos" europeos y una guerra difícil de vender

Más allá del caos tecnológico, los mensajes revelan todo tipo de tensiones entre distintas posturas dentro del gabinete. Así, por ejemplo, el vicepresidente Vance expresó reservas sobre los ataques... porque Europa se beneficiaría de los mismos sin haber contribuido, y porque "nadie sabe quiénes son los hutíes", por lo que sería difícil justificar la intervención ante la opinión pública estadounidense.

En Genbeta

Trump usa la IA para convertir Gaza en un resort de lujo: un vídeo que va desde Musk tirando billetes a bailes con Netanyahu

Hegseth, por su parte, se mostró comprensivo con la crítica a la UE ("Comparto plenamente tu repulsión hacia los parásitos europeos. Es PATÉTICO"), pero respondió que el momento era oportuno y que postergar la operación aumentaría los riesgos de filtración. Irónico.

Steve Miller, mano derecha de Trump, zanjó la discusión afirmando que el presidente ya había dado luz verde, y que la operación no era sólo un castigo a los hutíes por atacar rutas marítimas estratégicas, sino un mensaje geopolítico para dejar claro quién lidera el orden internacional.

Comprensiblemente, el Congreso ha estallado: legisladores de ambos partidos exigen explicaciones. Y el Departamento de Defensa ha anunciado una auditoría interna "inmediata y exhaustiva" sobre la posible divulgación no autorizada de información.

Imagen | Marcos Merino mediante IA + Logo de Signal

En Genbeta | "A nuestros políticos les flipa el PDF". Es el mejor modo de ocultar cosas a plena vista, según denuncia este ciberactivista 

La privacidad parece ser un concepto obsoleto en las altas esferas de la política, tanto nacional como comunitaria. Y es que, pocos días después de la entrada en vigor del decreto para aumentar la monitorización de datos de usuarios de hoteles en todo el territorio español, las instituciones de la UE parecen decididas a recuperar una infausta propuesta de vigilancia masiva de las comunicaciones digitales.

La Comisión Europea presentó una primera versión de esta propuesta en mayo de 2022, buscando obligar a los proveedores de servicios de mensajería, correo electrónico y almacenamiento en la nube a escanear automáticamente todos los contenidos privados en busca de material relacionado con abuso sexual infantil (CSAM, por sus siglas en inglés).

En octubre del año pasado, el Europarlamento había rechazado los aspectos más polémicos de la medida. Ahora, sin embargo, la controvertida propuesta vuelve a estar sobre la mesa y se debatirá hoy en ese mismo órgano.

Kang y Kodos, también conocidos como "las instituciones europeas".

Chat Control 2.0: un vistazo a la propuesta

Inicialmente, el plan de los legisladores consistía en que los servicios de mensajería y los proveedores de e-mail escanearan todos los mensajes en busca de material ilegal, sin importar si estos usaban protocolos cifrados, como los chats de WhatsApp o Signal.

Para ello, propusieron emplear lo que se conoce como 'escaneo del lado del cliente' (que ahora queda rebautizado en lenguaje políticamente correcto como 'moderación en la carga'), una técnica que los expertos afirman que no puede implementarse sin romper la protección de cifrado.

Una segunda versión de la propuesta, realizada en junio de este año, se centraba únicamente en el material compartido (fotos, vídeos y URLs), dejando al margen los mensajes de texto y audio: según esta redacción, los usuarios debían aceptar que el material que compartiesen fuera escaneado antes de que se pudiera usar la opción de cifrado.

Es decir, traducido a términos analógicos: "Puedes guardar tu carta en este sobre irrompible, pero sólo después de que dejes que un funcionario lea la carta en cuestión".

En Genbeta

La "identidad digital europea" facilitará los trámites… pero la UE la usa como caballo de Troya de la vigilancia masiva de la Red

Su aprobación sería el primer paso de la violación legal de las comunicaciones cifradas de extremo a extremo, una tecnología considerada esencial para garantizar la privacidad en la era digital.

Diversas personalidades, entre ellas el europarlamentario pirata Patrick Breyer y Meredith Whittaker, presidenta de Signal, han advertido sobre los peligros inherentes a esta legislación.

Breyer denuncia que la medida constituye una "vigilancia en tiempo real" indiscriminada, sin necesidad de órdenes judiciales ni sospechas previas, y que vulnera derechos fundamentales como la privacidad y la libertad de expresión.

Según él, la implementación de tecnologías de escaneo masivo podría resultar en millones de informes erróneos, saturando los sistemas judiciales y desviando recursos de investigaciones más efectivas.

Meredith Whittaker añade una voz crítica destacada al debate, señalando que cualquier intento de implementar medidas como el 'escaneo en el lado del cliente' (rebautizado como "moderación de carga") comprometería la integridad de la encriptación:

"No existe manera de preservar la encriptación de extremo a extremo y al mismo tiempo exponer los contenidos encriptados a vigilancia [...] la nueva propuesta de Chat Control es la misma vigilancia de siempre con una nueva etiqueta".

"Pedimos a quienes están haciendo estos juegos de palabras que paren ya y reconozcan lo que los expertos han repetido muchas veces: o el cifrado de extremo a extremo nos protege a todos y garantiza seguridad y privacidad, o está roto para todos".

Otro problema radica, insiste Whittaker, en que estas medidas introducen vulnerabilidades estructurales que ponen en peligro a millones de usuarios:

"La imposición del escaneo masivo de comunicaciones privadas socava fundamentalmente el cifrado. Punto. [...] Todas las medidas [contemplables] crean vulnerabilidades explotables por los hackers".

En Genbeta

En EE. UU., Internet es 'vulnerable por ley': la idea era que se aprovechara de ello el FBI… pero lo está usando China, según WSJ

¿Y ahora?

Según los últimos datos aportados por el Partido Pirata Europeo, la gran mayoría de países ya han expresado su apoyo: sólo unos pocos miembros de la UE permanecen indecisos (Italia, Portugal y Finlandia) o en contra (Austria, Bélgica, República Checa, Estonia, Alemania, Luxemburgo, Países Bajos, Polonia y Eslovenia). El gobierno español ha estado en todo momento (es coherente ahí) a favor de la propuesta.

Ahora, las negociaciones en curso entre la Comisión, el Consejo y el Parlamento decidirán el futuro de la privacidad digital en Europa. Como enfatiza Breyer, la resistencia ciudadana es crucial: "Debemos actuar ahora para proteger nuestros derechos fundamentales".

Consecuencias para los ciudadanos

La implementación de Chat Control 2.0 tendría un impacto profundo en la vida digital de los ciudadanos europeos:

• Vulneración de la privacidad: Cada mensaje y correo electrónico sería escaneado automáticamente, eliminando cualquier expectativa de privacidad.
• Riesgos de falsas acusaciones: Algoritmos con altas tasas de error podrían clasificar erróneamente contenido legal, exponiendo a usuarios inocentes a convertirse en sospechosos de investigaciones policiales innecesarias.
• Puertas traseras usables por los criminales: La apertura de 'puertas traseras' en sistemas encriptados podría ser aprovechada por agentes malintencionados, no es que no tengamos ya ejemplos recientes de eso.
• Restricción de apps: Los menores de 16 años podrían quedar excluidos de muchas aplicaciones, como WhatsApp, Instagram y juegos online, por requisitos de verificación de edad. Como ha quedado demostrado en el caso reciente de Australia, los controles basados en edad permiten que las autoridades sepan qué servicios usan también los adultos.

En Genbeta

Así nos afectará la nueva regulación europea de la inteligencia artificial: de la videovigilancia a los competidores de ChatGPT

Alternativas propuestas

En lugar de una vigilancia masiva, los críticos a esta medida sugieren enfoques más efectivos y menos invasivos:

• Perseguir a los criminales: Fortalecer a las fuerzas del orden, aumentando los recursos para investigaciones especializadas, en lugar de tratar como potenciales criminales a toda la población e inundar los sistemas judiciales con falsos positivos.
• Centrarse en el contenido ilegal: Eliminar el material pedófilo en su origen, obligando a los proveedores de alojamiento a escanear sus contenidos en lugar de centrar los esfuerzos en su detección en comunicaciones privadas entre ciudadanos.

Imagen | Marcos Merino mediante IA

En Genbeta | Están secuestrando datos confidenciales de miles de millones de usuarios. Esta herramienta los usa para crear perfiles detallados

Julio de 2022. Un avión procedente del aeropuerto londinense de Gatwick aterriza en Menorca tras haber sido escoltado durante parte del vuelo por un caza Eurofighter español. Tras el aterrizaje, la Guardia Civil entra en la nave y se lleva detenido a Aditya Verma, un joven británico de 18 años de origen indio.

El motivo de lo ocurrido fue un mensaje enviado por Verma antes de despegar, acompañado de una fotografía suya: "De camino a estallar el avión. Soy miembro de los talibanes". Dicho mensaje fue el que motivó el aviso de las autoridades británicas a las españolas.

Pero rápidamente queda claro que no había bomba alguna y que nuestro protagonista, hindú, no era talibán ni ninguna otra clase de terrorista.

Descartada esa opción, parecía obvio que terminaría rindiendo cuentas ante la justicia por causar desórdenes públicos con su broma y, con ellos, la movilización de un Eurofighter. Año y medio después, ha tenido lugar el juicio. Como recoge el comunicado del CGPJ,

"la Fiscalía de la Audiencia Nacional y la Abogacía del Estado solicitaban para el joven de 19 años [...] una condena de multa 22.500 euros por un delito de desórdenes públicos, así como una indemnización por responsabilidad civil de 94.782 euros a favor del Ministerio de Defensa por el coste de movilizar la aeronave militar".

La sentencia fue promulgada ayer y, sin embargo, ha sido absolutoria. Y es que el cómo se envió (y se interceptó) el mensaje de marras tiene gran importancia en el caso.

Interceptando bromas privadas

El mensaje, de hecho, fue enviado por Verma exclusivamente a un grupo privado de Snapchat, compuesto íntegramente por amigos suyos (que le acompañaban en el viaje), y hacía referencia al hecho, conocido por ellos, de que en el instituto le habían hecho bromas diciendo que tenía 'aspecto de talibán'.

En Genbeta

La "identidad digital europea" facilitará los trámites… pero la UE la usa como caballo de Troya de la vigilancia masiva de la Red

Por lo tanto, broma privada en un contexto privado, nada que ver con los falsos avisos de bomba que se realizan con ánimo de movilizar inútilmente a los servicios de emergencia. De hecho, así lo recoge el juez en su sentencia:

"No puede obviarse que el citado mensaje y la fotografía no se envía a ningún organismo oficial, ni se le da publicidad alguna, que llevaría de forma ineludible a la correspondiente movilización de los pertinentes servicios de policía, asistencia o salvamento [...].

Muy al contrario, se realizan en un ambiente estrictamente privado, entre el acusado y sus amigos con los que vuela, a través de un grupo privado de la que solo ellos tienen acceso, por lo que ni remotamente el acusado podía suponer (como expresamente señala éste en el juicio), que la broma que gastaba a sus amigos pudiera ser interceptada o detectado por los servicios británicos, ni por terceros ajenos a sus amigos que reciben el mensaje".

La abogada española de Verma argumentó precisamente en ese sentido, así como en lo ilegítimo de intervenir preventivamente (sin permiso y motivación judicial) contextos de comunicación privados:

¿Cómo pudo interceptarse este mensaje?

La cuestión es que no está muy claro cómo terminó el mensaje en manos de las autoridades británicas. En un primer momento, se difundió en los medios que esto había sido posible porque Verma había usado el WiFi del aeropuerto para enviarlo, pero varias razones llevan a descartarlo:

1. El propio usuario afirma que estaba usando su conexión de datos, no el WiFi.
2. Incluso si sus amigos estaban conectados al WiFi, Snapchat es una aplicación con comunicaciones supuestamente cifradas de extremo-a-extremo: aunque los paquetes de datos hubieran pasado por la red del aeropuerto, las autoridades no deberían haber podido leer su contenido.
3. Como explica James Bore, expertos en ciberseguridad consultado por el Daily Mail, es improbable que se esté vigilando de este modo el WiFi de los aeropuertos británicos: "Si así fuera, habría muchos más casos, porque la gente hace cosas estúpidas todo el tiempo. Constantemente tendrías vuelos con escolta aérea".

De modo que muchos usuarios se preguntan si el MI5 tiene implementada alguna 'puerta trasera' en Snapchat o si los propios responsables de la aplicación trampean su cifrado para escanear el contenido de los mensajes. Las políticas de privacidad de Snap, al menos, lo niegan:

"Los Snaps y los chats, incluidos los de voz y vídeo, entre tú y tus amigos, son privados: no escaneamos su contenido para crear perfiles o mostrarte anuncios. Esto significa que normalmente no sabemos lo que dices o publicas a menos que nos lo pidas (por ejemplo, si optas por las transcripciones de notas de voz). Además, conservamos algunos metadatos en los Snaps y chats que envías y recibes".

El gobierno británico ha impulsado una nueva ley, la Online Safety Bill (aún no vigente), que exigiría que las plataformas de redes sociales y servicios de mensajería implementasen sistemas de escaneo previos al envío (y al cifrado del mensaje) para detectar material de abuso sexual infantil (aunque para eso antes deben 'leer' previamente todo lo que se envíe, claro). La Unión Europea también está en proceso de aprobar una norma idéntica.

Imagen | Marcos Merino mediante IA

En Genbeta | Qué fue de PGP, el programa que hubo que imprimir en un libro para que su creador no fuera acusado de "exportar armamento"

El gobierno de Australia ha anunciado una nueva regulación para hacer frente a la desinformación que circula en plataformas de comunicación y en redes sociales. El organismo regulador de los medios de comunicación del país (ACMA por sus siglas Autoridad Australiana de Comunicaciones y Medios de Comunicación) podrá ahora obligar a las empresas de Internet a compartir datos sobre cómo han gestionado la desinformación.

Como vamos a ver, la medida parece muy lógica y en concordancia con la necesidad de frenar las "fake news", pero si tenemos en cuenta que el actual gobierno de Australia tiene un amplio historial de medidas que buscan controlar el flujo de información o poder ejercer una mayor vigilancia sobre la ciudadanía a través de las tecnologías, también levanta sospechas.

Además, esta medida llega hablando de noticias falsas sobre la Covid-19 (que se vienen sucediendo duramente desde 2020) pero también es una medida del gobierno del país frente a las elecciones que se van a celebrar pronto.

El imperio Meta está en el punto de mira

La Autoridad de Comunicaciones también podrá hacer cumplir un código de la industria de Internet a las plataformas que no cooperen. "Las plataformas digitales deben asumir la responsabilidad de lo que aparece en sus webs y tomar medidas cuando aparecen contenidos dañinos o engañosos", dijo el ministro de Comunicaciones, Paul Fletcher. Según la ACMA, la gran parte de información falsa se difunde a través de Facebook, Twitter y en general de las plataformas de Meta.

Las noticias o informaciones falsas suelen comenzar con "publicaciones muy emotivas y atractivas dentro de pequeños grupos conspirativos en línea" y son "amplificadas por influencers internacionales, figuras públicas locales y por la cobertura en los medios de comunicación", añadió el ministro.

En Genbeta

Así es Odysee, la alternativa 'anticensura' a YouTube que paga por ver vídeos y en la que se han refugiado los medios rusos

No es la primera vez que el gobierno de Australia apunta a los gigantes de Internet como causa de muchos problemas. Hace un año, en plena disputa, Facebook bloqueó la posibilidad de ver o compartir noticias de Australia para los usuarios del país. Este problema ya encontró solución.

Además, al anunciar la medida, el ministro también dijo que, tras este primer paso de usar grandes plataformas para desinformar, los grupos que difunden estas ideas conspirativas "a menudo instan a las personas a unirse a plataformas más pequeñas con políticas de moderación más laxas, como Telegram".

"Un estado de vigilancia": las decisiones de Australia

Aunque la medida parece lógica y en concordancia con lo que muchos gobiernos quieren hacer para hacer frente a la desinformación, coincide con que Australia tendrá elecciones en mayo, el partido en el poder podría perder el gobierno, según encuestas y su mandato se ha caracterizado por crear una especia de "estado de vigilancia" donde las autoridades tienen derecho de usar la tecnología para controlar a las personas más que es lo normal en muchos otros países democráticos del mundo.

Y esta tradición de control es algo que lleva muchos años normalizándose en el país. Además, la verificación facial está más extendida que en Europa.

En muchas ocasiones estas normas se han aprobado con el apoyo de la oposición. De hecho, según las informaciones aportadas hoy por el gobierno, las nuevas medidas de la desinformación deberían llegar dentro de unos meses, así que estarán también sujetas a la decisión de la oposición, en caso de perder el gobierno.

No hay que olvidar que en agosto de 2021 el Parlamento Federal de Australia aprobó una nueva ley mediante la que las autoridades tiene nuevos poderes en cuanto a la vigilancia de la ciudadanía a través de internet y de sus cuentas en redes sociales. En 2018 publicamos sobre un texto propuesto por el Gobierno y la oposición para aprobar una ley que rebajaba o eliminaba el cifrado en las comunicaciones, de la que luego se llegaron a arrepentir parcialmente.

En el año 2019, la oposición laborista y la coalición liberal-nacional se unieron en la aprobación de una ley para luchar contra los contenidos violentos y extremistas en las redes sociales y permite al gobierno la capacidad de responder cuando una red social como Facebook permita que contenidos con violencia se transmita y reproduzca durante mucho tiempo en la plataforma. En Australia también está muy perseguido saltarse la censura que tiene Internet.

En 2019, el país de Oceanía creó el primer organismo público del mundo especializado en vigilar los algoritmos usados por esta clase de empresas en el ámbito publicitario. La decisión del gobierno australiano, que estableció un significativo precedente para el resto de países, llegó tras una recomendación realizada en este sentido en un informe de la Comisión Australiana de la Competencia y el Consumidor (ACCC).

No es algo que todo el mundo sepa, pero cuando hablamos de transparencia de las administraciones públicas y del acceso a la documentación de las mismas, no nos referimos únicamente a que la ciudadanía pueda leer informes oficiales y actas de reuniones, sino frecuentemente también el contenido de las comunicaciones electrónicas de políticos y funcionarios…

…incluyendo correos electrónicos y conversaciones de WhatsApp; pero el problema de lo digital es que, teniendo su eliminación a un mero clic de distancia en la mayoría de los casos, es fácil que —por descuido o (des)interés— dicha clase de documentación termine 'perdiéndose'…

Esos emails de los que usted me habla

El neerlandés Martijn F. Nouwen es el director del 'Institute for Tax Transparency' (Instituto para la Transparencia Fiscal), un activista y estudioso de la jurisprudencia que se halla inmerso en una investigación sobre el modo en que los estados de la UE negocian y monitorizan sus multimillonarios acuerdos fiscales con compañías multinacionales.

Su baza en dicha investigación era el Reglamento de la UE nº 1049/2001, que garantiza a los ciudadanos de los países miembros de la Unión Europea UE el "acceso más amplio posible" a todos los documentos en posesión de los organismos comunitarios (Comisión Europea, Parlamento Europeo y Consejo de la UE), y que se establezcan las normas necesarias para permitir dicho acceso con "la mayor facilidad posible".

En Xataka

La corriente que pide el código fuente de los programas que deciden las ayudas al ciudadano: que el algoritmo no discrimine

Hay muy pocas excepciones al ejercicio de este derecho (aunque es cierto que algunas de ellas son algo amplias): sólo es legítimo mantener la documentación lejos del escrutinio ciudadano en aquellos casos en que peligre la seguridad pública, los asuntos militares/diplomáticos/económicos de un estado miembro o si la difusión obligara a difundir datos personales.

El problema de Nouwen es que cuando solicitó el acceso a la documentación que estaba buscando —que él esperaba que fuera cuantiosa, con cientos o miles de documentos relacionados con los "acuerdos avanzados de fijación de precios"— desde la Comisión Europea le informaron de que sólo tenían tres documentos relacionados con el tema… y finalmente sólo le entregaron uno de ellos. Y lo que más extrañó a Nouwen es que el ejecutivo comunitario afirmara explícitamente que no disponían de ningún e-mail sobre ese asunto.

¿Qué había pasado? Nouwen descubrió que la Comisión, básicamente, decide por sí misma qué documentación merece ser conservada y cuál es irrelevante. Y eso se traduce en que emails y mensajes instantáneos son considerados como documentación "de corta duración", por lo que arbitrariamente se ven excluidos de los criterios establecidos en el Reglamento de Transparencia y, regularmente, se eliminan enormes volúmenes de mensajes.

'Trasparencia' es lo que yo diga (y 'documento', lo mismo)

¿Cuántos? Ni la misma Comisión lo sabe con seguridad: sólo en octubre el personal de la Comisión generó 75 millones de correos electrónicos. Como la mayoría de ellos se considera que no contienen "información relevante", su contenido no se carga en el registro Ares de la UE… por lo que la información desaparece gracias a un sistema automatizado de "eliminación masiva instantánea" que lleva en funcionamiento desde julio de 2015.

El problema es que los criterios para evaluar algo como 'importante' han demostrado ser altamente subjetivos en este caso. Alexander Fanta, periodista del medio Netz Politik solicitó el pasado mes de mayo acceso al intercambio de mensajes entre la presidenta Ursula von der Leyen y Albert Bourla, el director ejecutivo de la farmacéutica Pfizer (cuya existencia se hizo pública gracias a un reportaje del New York Times).

En Genbeta

Este es el ingeniero que muestra las vergüenzas de la contratación pública gracias a la tecnología

La respuesta a su solicitud, firmada por Ilze Juhansone, secretaria general de la Comisión, fue que ésta no está en posesión de dichas comunicaciones por tratarse de

"documentos de corta duración que no contienen en principio información importante sobre asuntos relacionados con las políticas, actividades y decisiones de la Comisión".

En resumen, que todo asunto que la Comisión Europea quiera mantener alejado del escrutinio público basta con que lo negocien por WhatsApp, porque

"la política de mantenimiento de registros de la Comisión excluiría en principio la mensajería instantánea".

Todo esto a pesar de que el Reglamento de Transparencia define "documento" en los siguientes términos:

"Todo contenido, sea cual fuere su soporte (escrito en versión papel o almacenado en forma electrónica, grabación sonora, visual o audiovisual) referentes a temas relativos a las políticas, acciones y decisiones que sean competencia de la institución".

Me pareció ver una linda ilegalidad…

En declaraciones a Der Spiegel, el experto en normativa europea Alexander Thiele ha expresado su opinión de que dicha "negación general de la relevancia política o legal de los mensajes de texto" sería "más que legalmente cuestionable". Lo mismo ocurre con el principio de 'borrar todo lo que no se haya subido expresamente al registro Ares', porque la normativa europea sugiere adoptar el enfoque contrario: conservar todo lo que no sea explícitamente clasificado como privado.

Este problema surgió, por supuesto, con anterioridad al mandato del actual ejecutivo comunitario. Sin embargo, Von Der Leyen no parece contar con el mejor historial para devolver a la Comisión a la senda de la transparencia: el parlamento alemán ya tuvo que investigarla cuando se supo que se había dedicado a borrar mensajes de texto de sus móviles oficiales durante el período en que ejerció como ministra de Defensa.

Vía | Der Spiegel

Imagen | Basada en original de Pink Sherbet Photography

Zoom acaba de anunciar la compra de Keybase, un servicio de mensajería segura e intercambio de archivos en el que la seguridad y el cifrado son fundamentales, por una cifra que no se ha hecho pública por ahora.

El movimiento de la compañía tras uno de los servicios de videollamadas más populares de los últimos tiempos forma parte del "plan de 90 días de Zoom" que se propusieron para fortalecer su seguridad tras varias polémicas a cuenta de diversos fallos de privacidad que la pusieron en entredicho.

"Estamos entusiasmados de integrar el equipo de Keybase en la familia Zoom para ayudarnos a construir una encriptación de extremo a extremo que pueda alcanzar la escalabilidad actual de Zoom", han destacado en el comunicado que han publicado para anunciar la adquisición.

Keybase: "cifrado de extremo a extremo para cosas importantes"

Basta acceder a la web de Keybase y leer el gran claim para darse cuenta de su enfoque: "Cifrado de extremo a extremo para cosas importantes". Claro y raso.

Keybase es una startup creada en 2014 por Max Krohn y Chris Coyne, fundadores de la aplicación para ligar OkCupid, con el objetivo de hacer más fáciles y accesibles las comunicaciones seguras llevando la tecnología PGP a las masas. Si una de las mayores dificultades para el uso del programa Pretty Good Privacy era el intercambio de las claves públicas que permiten el cifrado de mensajes para un receptor, esta plataforma buscaba resolverlo mediante un directorio.

Este directorio servía para compartir las claves públicas de cada uno asegurando que nos pertenecían. ¿Cómo? Vinculando esta identidad necesaria para usar PGP con otras de nuestra identidades en la red, como perfiles de redes sociales.

En Genbeta

El 80% de los usuarios dicen preocuparse por la seguridad de sus contraseñas… pero la mayoría sigue sin cambiarlas regularmente

No obstante, el equipo de Krohn y Coyne pronto quiso ir más allá creando todo un ecosistema de comunicaciones seguras. Mensajería instantánea, plataforma de comunicación para equipos, espacios seguros de compartición de archivos... Todo ello, siempre, con la seguridad presente con el cifrado de extremo a extremo como bandera y la privacidad como bien más preciado.

Tras ser comprados por Zoom, la prioridad del equipo de Keybase es ayudar a que Zoom sea aún más seguro. Su misión es trabajar en la plataforma de videollamadas y comunicaciones entre equipos para lograr aumentar su seguridad y privacidad al máximo. Especialmente, en asegurar que la encriptación sea de extremo a extremo en Zoom. Actualmente, lo que hace esta aplicación es cifrar la información que envía el emisor y llega a sus servidores. Tras ello, esa misma información es cifrada de nuevo cuando es enviada a los receptores.

El problema es que entremedias, cuando la información pasa por los servidores de la compañía, está expuesta.

En Xataka

Encriptar: qué es, para qué sirve y cómo cifrar tus archivos

Desde Zoom, aseguran que mantendrán su actual funcionamiento porque ciertas características ofrecidas, como el uso de teléfono para las videoconferencias, requiere que Zoom mantenga algunas claves de encriptación en la nube. Sin embargo, aseguran que en un futuro cercano Zoom ofrecerá un modo de reunión encriptado de extremo a extremo a todas las cuentas de pago.

"Los usuarios conectados generarán identidades criptográficas públicas que se almacenarán en un repositorio en la red de Zoom y que podrán ser utilizadas para establecer relaciones de confianza entre las plataformas de reunión", explican los responsables. Las claves de encriptación serán controladas estrictamente por el anfitrión que se encargará de admitir a los asistentes. Creen que este servicio "proporcionará una seguridad equivalente o mejor que las actuales plataformas de mensajería encriptada de extremo a extremo para consumidores, pero con la calidad y la escala de vídeo" de Zoom. Lo tendremos que ver.

Por lo demás, la aplicación de Keybase va a seguir igual porque no hay planes específicos sobre su futuro. Este está, como explican desde la startup, "en manos de Zoom y veremos a dónde nos lleva eso".

La Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, adscrito al Centro Nacional de Inteligencia, ha publicado este viernes su informe anual sobre dispositivos y comunicaciones móviles con una advertencia: las comunicaciones inalámbricas seguirán en la diana un año más.

Este documento, cuyo objetivo es presentar algunas de las principales amenazas de seguridad y vulnerabilidades descubiertas a lo largo del pasado año, avanza también tendencias y focos de atención. Entre estas predicciones, el CCN-CERT destaca que la utilización "permanente y extensiva" de las tecnologías móviles confirma a los dispositivos móviles y "sus capacidades de comunicación inalámbricas" como uno de "los objetivos principales de las ciberamenazas" este año. Sigue, por tanto, la tendencia vista en 2019.

El móvil como identificador electrónico

El Centro Criptológico Nacional apunta, de cara a las tendencias para este año, que Google "está analizando la posibilidad de poder emplear el móvil como identificador electrónico". Esto, amplían, de cara a diferentes aplicaciones como una forma de identificación similar a la que podría suponer el carnet de conducir.

Esto provocará, tal y como explican, que las aplicaciones que empleen este método de identificación deben cumplir con requisitos estrictor de seguridad, de modo que será necesaria una estandarización llevada a cabo por organismos internacionales o capacidades criptográficas avanzadas.

El CCN-CERT también aborda la llegada de tecnologías como el 5G y subraya que "el tiempo confirmará si los atacantes desarrollarán nuevos ataques sofisticados, aprovechando esas capacidades ocultas, aún más cuando se despliegue toda la complejidad asociada a las nuevas redes móviles 5G".

En síntesis, desde este organismo gubernamental español dedicado a la gestión de ciberincidentes sobre sistemas clasificados, del Sector Público y empresas de interés estratégico, consideran que "diferentes ataques han demostrado la complejidad y lo poco que se conocen las tecnologías que están integradas hoy en día en un dispositivo móvil, especialmente las asociadas a las comunicaciones móviles, la tarjeta SIM y los componentes de radio". Unas tecnologías que que coexisten junto al sistema operativo, por ejemplo, "y para los que no se dispone de mecanismos avanzados y eficientes de monitorización y protección", dicen.

El ser humano lleva décadas intentando contactar con seres de otros planetas, y sus intentos frustrados han dado lugar a la denominada Paradoja de Fermi, que nos habla de la contradicción entre algunas estimaciones que apuntan a una alta probabilidad de existencia de civilizaciones inteligentes en el universo y nuestra ausencia de evidencias de estas civilizaciones.

Edward Snowden tiene su propia respuesta a esta paradoja, y la ha compartido con el astrofísico Neil deGrasse Tyson en el podcast divulgativo StarTalk. Según Snowden, la clave por la que todavía no hemos contactado con otras civilizaciones podría estar en lo mucho que estas han conseguido desarrollar sus métodos de cifrado en las comunicaciones.

Los cifrados intergalácticos

Según Snowden, es sólo cuestión de tiempo que cualquier civilización inteligente llegue a la conclusión de que sus comunicaciones deben estar protegidas y cifradas. A esto hay que añadirle que, por lo menos en el sentido puramente teórico, cuando unas comunicaciones están bien cifradas deberían ser imposibles de distinguir, ya que pasarían desapercibidas entre el resto del ruido de fondo.

De esta manera Snowden sugiere que sólo existe un corto periodo en el proceso de desarrollo de las sociedades en que sus comunicaciones son enviadas mediante medios primitivos y desprotegidos. De esta manera nuestro problema no estaría tanto en recibir señales y comunicaciones de otros planetas, sino en que estas están tan bien protegidas que nos son imposibles de distinguir del resto de sonidos y ondas de radiación cósmica.

Vista así la teoría parece tener lógica, aunque dejaría fuera de juego las románticas esperanzas de que el resto de civilizaciones también esté intentando comunicarse activamente con otras como lo hacemos nosotros. Tyson también apuntó que asumir esto sería como dar por sentado que los extraterrestres tienen los mismos problemas de seguridad que nosotros, algo que el propio Snowden concedió que podría no ser así si están lo suficientemente evolucionados como para tener una mayor educación política.

Vía | StarTalk
En Genbeta | Frases en lugar de palabras: así es la contraseña perfecta según Snowden

Lo pronosticábamos hace pocos meses en Genbeta, las direcciones IPv4 se estaban terminando. Con la asignación de los últimos cinco bloques que IANA ha repartido entre las cinco regiones del mundo, el pozo se agotó y esto marca un hito en la historia de Internet.

El reparto ha sido proporcional entre ARIN (América del Norte), LACNIC (América latina y algunas islas del Caribe), RIPE NIC (Europa, Oriente Medio y Asia central), AfriNIC (continente africano) y APNIC (Asia del Este y región del Pacífico). Con las direcciones asignadas tenemos hasta septiembre, después… IPv6.

El espacio de direcciones IP proporcionado por IPv4 es de 32 bit (4.294.967.296 direcciones IP). IPv6 es un espacio de direcciones de 128 bit, que traducido en número de direcciones, resulta una cifra astronómica (340 sextillones de direcciones IP). Cuando se ideó IPv4, 4.300 millones de direcciones IP parecían suficientes en la década de los 70, pero esta semana se han agotado.

Hay varias razones para que esto haya ocurrido. Por una parte, sólo el 14% de las direcciones IP se utilizan de forma efectiva. Las asignaciones no se han realizado de forma óptima en el pasado, en especial en la década de los 80, en aquellos años Internet no estaba extendido más allá de los ámbitos científicos, universitarios y gubernamentales.

Por otra, la pujanza de las economías emergentes, en especial Asia y zona del Pacífico, que han demandado de forma creciente nuevas direcciones, y finalmente el crecimiento sin precedentes de las terminales móviles que han revolucionado el concepto de conectividad.

El problema fundamental es que IPv4 e IPv6 son incompatibles. Las direcciones IPv4 están formadas por 4 grupos de números cuyo valor más alto es 255 (ejemplo: 195.235.113.3) y las correspondientes a IPv6 constan de ocho grupos de cuatro dígitos hexadecimales que se pueden comprimir si algún grupo es “nulo”.

El esfuerzo del cambio va a recaer en los proveedores de servicios de Internet, los operadores de red y los grandes portales. Algunas agencias gubernamentales en Estados Unidos ya han implantado IPv6. El usuario doméstico no debería notar nada, aunque a medio plazo tal vez necesitemos cambiar el router.

La solución a muy corto plazo es el uso de NAT (Traducción de Dirección de Red). Muchas grandes corporaciones e ISPs saldrán adelante en los meses siguientes con este sistema, pero la solución definitiva es la implantación generalizada de IPv6. Afortunadamente los sistemas operativos modernos y en particular los que equipan los terminales móviles, soportan IPv6.

Más información | Primeros pasos para la implantación de IPv6
Más información | IPv6, la migración de las redes en el ámbito empresarial
Más información | Seguridad en la implantación de IPv6, nuevo informe de INTECO
Fotografía | WebWizzard
Fotografía | nrkbeta

Actualización: A propósito de la “incompatibilidad”. Pensando en la red interna de nuestra casa o de una pequeña empresa, la decisión es montar la red interna con IPv4 o IPv6, el router se encarga de gestionar y direccionar entre ambos tipos de redes. El umbral de convivencia IPv4 e IPv6 es de 20 años. Por el momento, en pequeños ámbitos no necesitamos cambiar nada.

En Internet las cosas se transforman muy rápidamente: las herramientas de comunicación, las interfaces, la propia concepción de la web... Cómo no, la publicidad también se transforma y llegan nuevas técnicas. Una de ellas se llama IPP (Inspección Profunda de Paquetes) y por el nombre podéis adivinar que no es nada bueno.

La IPP consiste en analizar toda la información que enviamos y recibimos en nuestros ordenadores para obtener un perfil de la persona y mostrar publicidad. Así, la publicidad sería mucho más concreta y podría incluso revolucionar el mundo de la publicidad online, haciéndolo infinitamente más rentable.

Dos empresas son las que se encargan de poner en funcionamiento este mecanismo, Kindsight y Phorm. Con ellas están haciendo pruebas varios operadores de red, entre los que se incluye Telefónica, que está haciendo unos tests en Brasil con el consentimiento de los usuarios.

La mayor ventaja de la IPP es, como he dicho arriba, que los anuncios son más concretos y por tanto la publicidad es más cara. Sin embargo, los problemas que se plantean son varios.

El primero, la privacidad. Con las cookies, los anunciantes obtienen bastante información sobre nosotros y nuestros hábitos, pero al menos se pueden bloquear. Sin embargo, la IPP sería prácticamente infranqueable a no ser que usemos conexiones SSL, algo que no todos los sitios tienen disponible.

Es decir, que si los ISP implementan IPP en sus servidores, nuestras comunicaciones quedan a merced de los anunciantes. Aunque ahora mismo las compañías que ofrecen este servicio, Phorm y Kindsight, piden el consentimiento al usuario y no analizan ni transmiten información sensible, si aparecen empresas con menos ética la situación sería bastante grave.

Además, esto abre la puerta a un segundo problema: la seguridad. La implementación del IPP significa dar una vía para analizar los paquetes, y si alguien con malas intenciones consigue colarse en los servidores de los ISP, tendría a su disposición todo el tráfico de los usuarios. Catástrofe segura.

Personalmente, la IPP me da mala espina. Por mucha seguridad y consentimientos, la pérdida de privacidad e incluso de seguridad es clara. Por suerte, no parece ni que los ISP vayan a colocarlo de forma obligatoria ni que los organismos reguladores les vayan a dejar.

La única ventaja que le veo es que los usuarios podrían obtener beneficios a cambio de aceptar el IPP. Yo creo que no aceptaría tener a ningún sistema monitorizando mi actividad. ¿Y vosotros?

Actualización: Por un problema técnico, los comentarios no han funcionado. Pedimos disculpas, ya debería funcionar bien.

Imagen | Zanaca Vía | El País Más información | The Wall Street Journal