Si abres la puerta de una red a la policía, quizás detrás entra un ladrón

BarcelonaUn ciberataque de origen chino en varias empresas estadounidenses de telecomunicaciones ha puesto de relieve el riesgo que supone la existencia de las llamadas "puertas traseras" en los sistemas de comunicación. Estos mecanismos, existentes para cumplir con las órdenes judiciales de intercepción de comunicaciones, han permitido a los ciberintrusos acceder a información confidencial, incluyendo incluso posibles solicitudes de permisos para escuchas telefónicas.

La intrusión, que se atribuye al grupo Salt Typhoon, ha afectado a empresas como Verizon, AT&T y Lumen Technologies. Los investigadores creen que los piratas podrían haber tenido acceso a la infraestructura de red durante meses, lo que les habría permitido observar y posiblemente exfiltrar datos de tráfico de internet, así como información sobre las solicitudes de intercepción de comunicaciones por parte de las autoridades, que indicarían a los intrusos cuáles son las personas de interés para el gobierno de EE.UU.

Salt Typhoon, un grupo de hackers al servicio del estado chino, es conocido por su sofisticación y persistencia en la infiltración de redes. Activos desde 2020, se centran en el espionaje y robo de datos, especialmente en la captura de tráfico de red. Microsoft, que ha investigado el ataque, señala que la mayoría de los objetivos de Salt Typhoon se encuentran en Norteamérica o en el sudeste asiático. Otras empresas de ciberseguridad identifican a este grupo con los nombres de GhostEmperor y FamousSparrow. ESET, por ejemplo, asegura que FamousSparrow ha penetrado anteriormente en organismos oficiales y en varios hoteles de todo el mundo.

El incidente vuelve a poner de manifiesto el delicado equilibrio entre la seguridad nacional y la privacidad de los ciudadanos. Las "puertas traseras" son instrumentos potentes para combatir la delincuencia y el terrorismo, pero al mismo tiempo representan un punto débil que puede ser explotado por actores maliciosos.

En este caso, el ataque se ha producido aprovechando las vulnerabilidades de los sistemas que las operadoras deben poner a disposición de las autoridades para cumplir con las leyes de intercepción de comunicaciones. En los estados democráticos para acceder es necesario tener una orden judicial, pero en otros que lo son menos, los propios gobiernos abusan: todas las operadoras de Rusia deben canalizar su tráfico por los sistemas estatales; China ejerce con el gran cortafuegos un control estricto de lo que circula por sus redes; y las organizaciones de derechos humanos acusan al gobierno paquistaní de rastrear digitalmente a los disidentes y otros ciudadanos molestos.

Los expertos en ciberseguridad han expresado su preocupación por la magnitud del ataque y sus implicaciones. Brandon Wales, ex director ejecutivo de la Agencia de Ciberseguridad e Infraestructura (CISA), calificó el incidente como "la más significativa de una larga serie de llamadas de atención que muestran cómo China ha intensificado su juego cibernético". Wales advierte que tanto empresas como gobiernos deben tomarse en serio esta amenaza.

Privacidad y cuerpos policiales

El debate sobre el uso de "puertas traseras" no es nuevo ni exclusivo de EE.UU. En Europa el Parlamento Europeo intentó introducir en 2023 una legislación que obligaba a las plataformas de mensajería a escanear los chats para detectar contenido pedófilo (CSAM). Esta propuesta, conocida como ChatControl 1.0, fue rechazada por el Tribunal Europeo de Derechos Humanos (TEDH) por considerarla una violación del derecho a la privacidad.

A pesar de la sentencia del TEDH, el Consejo de la Unión Europea volvió a plantear la cuestión este año con una propuesta más limitada (ChatControl 2.0), que preveía el escaneo de mensajes sólo en casos de riesgo y con el aprobación previa del usuario. La votación prevista para junio fue suspendida debido a la falta de consenso entre los Estados miembros, especialmente por la oposición de países como Alemania, Austria, Polonia, Países Bajos y República Checa. Sin embargo, España se ha mostrado como uno de los principales defensores de esta iniciativa, argumentando la necesidad de acceder a los datos para combatir la pornografía infantil.

Actualmente, las negociaciones se han reanudado en el Parlamento Europeo para encontrar una solución que satisfaga las necesidades de seguridad sin comprometer la privacidad de los usuarios. Precisamente la infiltración de Salt Typhoon da un argumento de peso a quienes se oponen a que las autoridades puedan espiar las conversaciones digitales, por muy buenas que sean las intenciones iniciales.

La actual propuesta revisada del ChatControl europeo, que se está negociando estos días en Estrasburgo, pretende superar las reticencias de los ciudadanos asegurando que el escaneo forzoso de tráfico por parte de las operadoras se limitaría a los ficheros de imagen y de vídeo, sin examinar los mensajes de texto. El sistema vendría a ser una variante de lo que Apple propuso hace años, en los que una IA local del teléfono detectaría mediante patrones el contenido audiovisual sospechoso de pedofilia antes de que saliera del aparato.

Precisamente Apple es un ejemplo de relación complicada entre la privacidad y las demandas de los cuerpos policiales. En el 2016 Apple se negó a ayudar al FBI a descifrar el iPhone del autor de la masacre de San Bernardino, alegando que la creación de una "puerta trasera" pondría en riesgo la seguridad de todos sus usuarios. Este conflicto evidenció la tensión existente entre la colaboración con las autoridades y la protección de la privacidad. Sin embargo, en los últimos años Apple ha intensificado su colaboración con los cuerpos de seguridad, organizando incluso un congreso anual (Global Police Summit) para enseñarles cómo aprovechar los dispositivos de la marca en el trabajo policial. En este congreso agentes de policía de varios países aprenden a utilizar productos de Apple como el iPhone, el visor Vision Pro y CarPlay para labores de vigilancia y policía. Esta estrecha colaboración contrasta con la posición que Apple mantuvo durante el caso de San Bernardino y ha generado críticas por parte de organizaciones de defensa de la privacidad.

El ataque a las empresas de telecomunicaciones estadounidenses sirve como recordatorio de que las "puertas traseras" pueden ser un arma de doble filo. Los gobiernos deben encontrar un equilibrio entre la necesidad de perseguir el crimen y la protección de los derechos fundamentales de los ciudadanos. La seguridad y la privacidad no deben ser conceptos excluyentes, sino complementarios en una sociedad democrática. Y los ciudadanos debemos reservarnos la última palabra: por un lado, debemos ser muy restrictivos con los datos personales que facilitamos a gobiernos, empresas y plataformas –que pueden ser vulneradas–; y por otro, utilizar el cifrado de extremo a extremo de nuestros chats personales, teniendo bien presente que los pedófilos y los traficantes también lo están haciendo.