Un pas més enllà en la vigilància estatal
Advocada especialitzada en drets humans i tecnologia digitalLa capacitat d’un estat d’espiar els seus ciutadans ha crescut exponencialment els darrers anys gràcies al progrés tecnològic, que permet observar, enregistrar i analitzar més aspectes de la nostra vida que mai en el passat. Paral·lelament, la capacitat de mantenir informació digital en secret mitjançant l’encriptació ha seguit el mateix camí, en gran part per a frustració dels serveis d’intel·ligència de tot el món. Per aquest motiu, les principals agències d’intel·ligència del món anglòfon esperen que Austràlia obri camí a l’hora de desenvolupar mètodes per obtenir informació desencriptada a voluntat i treure profit de dades anteriorment confidencials. El projecte de llei presentat el mes passat pel ministre de Ciberseguretat australià constitueix un moviment agressiu en aquesta direcció.
Tothom hauria d’estar preocupat, perquè l’encriptació no és només cosa de delinqüents i terroristes, sinó que la fem servir tots i cadascun de nosaltres. La utilitzem per comprar a internet, gestionar les nostres finances i comunicar-nos en l’àmbit personal i professional. Els hospitals, els sistemes de transport i els organismes públics empren dades encriptades. La creació d’eines per afeblir els sistemes d’encriptació per a un fi concret els debilita per a tots els fins. Així doncs, si Austràlia aconsegueix el seu objectiu, la seguretat del teu compte bancari o del teu historial mèdic es podria acabar veient compromesa.
S’ha trigat més d’un any a elaborar el projecte de llei en qüestió. En la reunió del juny del 2017 dels Cinc Ulls (l’aliança en matèria d’intel·ligència entre els Estats Units, el Regne Unit, Austràlia, el Canadà i Nova Zelanda), celebrada a Ottawa, Austràlia va recalcar la necessitat que els estats trobin maneres d’eludir l’encriptació. Al comunicat conjunt que es va difondre després de la reunió s’assenyalava que l’encriptació pot “perjudicar greument els esforços en matèria de seguretat pública” i que els membres dels Cinc Ulls es comprometen a col·laborar amb les empreses tecnològiques per “buscar solucions conjuntes”.
El govern australià va posar fil a l’agulla per traduir aquest objectiu en un text legislatiu. El projecte de llei, que es va fer públic just abans de la darrera reunió dels Cinc Ulls a Austràlia, celebrada el mes passat, va confirmar l’estratègia. Com era d’esperar, els serveis d’intel·ligència i els cossos i forces de seguretat australians van rebre la proposta amb entusiasme.
Austràlia, que no té cap carta de drets que reculli els drets fonamentals dels ciutadans, és un indret lògic per posar a prova noves estratègies de recopilació d’informació que, més endavant, es poden adoptar en altres llocs. Entre altres coses, la llei que es proposa establiria un procés per mitjà del qual els “proveïdors de comunicacions designats” (definits de manera tan extensa que engloben qualsevol empresa que allotgi un lloc web) assistirien els organismes d’intel·ligència i seguretat, els quals podrien fer pràcticament de tot per accedir a comunicacions encriptades. A tall d’exemple, es podria obligar els proveïdors a crear eines, instal·lar programes o mantenir les agències al corrent de les novetats. En essència, els organismes estatals podran eludir l’encriptació, bé sigui a través de la cooperació de les empreses tecnològiques o de la coacció.
El govern s’ha afanyat a dir que això no equival a introduir un accés per la porta del darrere. A més, el projecte de llei prohibeix que es reclami a les empreses que introdueixin febleses “sistèmiques”. Ara bé, la prohibició és ambigua i les garanties en matèria de presentació d’informes i rendició de comptes són mínimes.
El cert és que senzillament no hi ha manera de crear eines que desbaratin l’encriptació sense posar en risc la seguretat digital i lesionar els drets i les llibertats individuals. Els pirates informàtics amb males intencions faran tot el que puguin per treure profit de qualsevol eina que les empreses es vegin obligades a proporcionar a l’estat.
Hi ha motius de pes per ser d’allò més reticents a facultar organismes estatals perquè creïn i es dotin d’eines que afebleixin les infraestructures tecnològiques. L’any passat, el programa de segrest WannaCry va sembrar el caos a la sanitat pública britànica. L’atac va aprofitar una vulnerabilitat del programari de Microsoft. Segons l’empresa, l’Agència Nacional de Seguretat dels Estats Units (NSA) va descobrir la feblesa molt abans de l’atac del WannaCry. Tot i això, va decidir no revelar-la a Microsoft perquè la resolgués, cosa que hauria permès protegir els sistemes informàtics de la sanitat britànica.
Figures i experts del sector sostenen que la NSA mirava d’acumular una mena d’arsenal digital: l’agència podia aprofitar la vulnerabilitat per als seus propis fins d’intel·ligència mentre no s’hi posés remei. El problema va ser que, segons sembla, en algun moment van robar informació sobre la vulnerabilitat en qüestió, i no va ser fins llavors que la NSA va informar Microsoft de la seva existència. Com va assenyalar l’empresa, va ser l’equivalent que s’hagués perdut un míssil Tomahawk. I ho van pagar els pacients britànics.
Segons sembla, en resposta a aquestes crítiques, el projecte de llei australià prohibeix que el govern impedeixi que una empresa repari aquesta mena de vulnerabilitats. Però això és un trist consol: a la NSA no li va caldre impedir que Microsoft reparés el problema perquè l’empresa ni tan sols sabia que existís.
L’atac del WannaCry il·lustra que els serveis d’intel·ligència donen prioritat al seu propi interès. Si donem als organismes estatals més poder per construir eines que permetin eludir l’encriptació, no només ens exposem a nosaltres mateixos al risc que ens robin dades, sinó que a més estem obligats a confiar que aquestes agències actuaran amb responsabilitat. En aquest sentit, les proves de què disposem fins a l’actualitat semblen indicar que faran el contrari.
El govern australià està posant a prova els límits de la nostra democràcia mirant d’habilitar un estat controlador i les conclusions que obtingui tindran conseqüències d’abast mundial. Ens hem de posicionar en contra d’aquesta apropiació de poder per part d’organismes estatals i rebutjar la idea que les comunicacions encriptades posen en risc la seguretat. Més aviat al contrari: són complementàries.
