El semanario alemán Der Spiegel lanzó hoy un contundente reportaje acerca de las oscuras prácticas de espionaje de la NSA con base en documentos filtrados por Edward Snowden, donde revela que la agencia ha logrado vulnerar muchísimos servicios cifrados de comunicaciones, como Skype.
Sin embargo, y pese al razonable cinismo de muchos en Internet, la NSA no ha transgredido todas las tecnologías de comunicaciones de Internet, pues documentos internos de la agencia datados hace dos años atrás revelarían que aún hay herramientas que no han logrado romper, lo que significa que son seguras para comunicarse sin temor a los programas de recolección de datos de la NSA.
Como relata Glenn Greenwald en su libro acerca de Edward Snowden, el exempleado de la NSA tenía muy buenos motivos para exigirle al abogado y periodista estadounidense que se comunicaran en un comienzo exclusivamente mediante PGP (siglas de Pretty Good Privacy), pues pese a que la herramienta de cifrado de mensajes fue creada en 1991, aún es lo suficientemente robusta para garantizar la seguridad de las comunicaciones pese a los programas de espionaje de la NSA.
En el reportaje de Der Spiegel se señaló que algunos “piensan que los expertos de las agencias de inteligencia están muy adelantados y pueden romper cualquier programa de encriptación. Eso es erróneo”. Los analistas de la NSA dividen los servicios de comunicaciones en cinco niveles correspondientes a su dificultad para atacarlos y a sus posibles resultados, con un rango que va desde lo “trivial” hasta lo “catastrófico”.
Por ejemplo, registrar el recorrido de un documento en Internet es “trivial“, capturar los contenidos de un chat de Facebook es una tarea “menor“, e interceptar mensajes en el más popular servicio de correos electrónicos ruso mail.ru es algo “moderado“.
Debe causar preocupación que documentos internos afirman que la agencia aún tiene problemas “mayores” para romper el cifrado de Tor, el cifrado del servicio de mensajería Off-the-Record, el cifrado del servicio de correo electrónico Zoho, y del ya difunto servicio freeware para cifrar archivos Truecrypt.
Sin embargo, para la NSA las cosas se vuelven “catastróficas” cuando la persona espiada usa una determinada combinación de herramientas, como por ejemplo Tor junto con el sistema de mensajería instantánea CSpace y el protocolo ZRTP, pues esta combinación resulta en “una pérdida casi total del seguimiento de las comunicaciones del objetivo”.
El protocolo ZRTP es comúnmente empleado para cifrar conversaciones en móviles mediante aplicaciones de código abierto como RedPhone o Signal, y fue desarrollado por Phil Zimmermann, creador también de PGP. Uno de los documentos que revisó el semanario alemán señalaría que “no hay manera de descifrar este mensaje encriptado en PGP”, por lo que además de las combinaciones de herramientas de seguridad con Tor, PGP aún es una alternativa para quienes desean comunicarse sin temor a que la conversación quede registrada en algún datacenter del gobierno norteamericano.
El reportaje de Der Spiegel es bastante completo, y dan escalofríos leer cómo la NSA junto a sus aliados frecuentemente logran implementar vulnerabilidades en los estándares de cifrado de datos, e interceptan conexiones supuestamente seguras mediante VPN y el protocolo https. Acorde a documentos de la agencia, ésta planeaba romper 10 millones de conexiones https al día para fines de 2012, buscando así identificar las contraseñas que los usuarios ingresan en sus servicios de Internet. Para fines de 2012, el sistema supuestamente fue capaz de “detectar la presencia de al menos 100 aplicaciones de cifrado de contraseñas”.