La privacidad del correo electrónico

«Por lo tanto, el uso de PGP es bueno para preservar la democracia. Si la privacidad se proscribe, solamente los bandidos tendrán privacidad».
Phil Zimmermann
Desde los inicios de la Internet, el servicio de correo electrónico se constituyó en una de las aplicaciones finales más usadas por los usuarios [1]; de hecho se le catalogó como una «aplicación asesina», cosa que en el argot computacional quería indicar que de por sí, ya justificaba y le daba valor a todo el desarrollo tecnológico que le soportaba. Hoy en día, el volúmen de información que se transmite y guarda por medio de las cartas digitales es tan significativo como el que se debe a las cartas tradicionales con soporte de papel [2].
Las instituciones y organizaciones modernas han hecho de ese medio un elemento crítico en sus operaciones diarias. El sistema de correo electrónico pasó a constituirse en un instrumento común en el funcionamiento corporativo. Por otra parte, los ciudadanos también hacen extenso uso del mismo para compartir información personal y/o profesional. Ese tipo de nexos, cuando se hacen cotidianos o al menos son sostenidos, da origen a los grupos y a las listas de distribución de correo electrónico.
Para ambos casos, el del ámbito personal o el de la organización, siempre existe una enormidad de casos en que la información que fluye a través del correo electrónico no está dirigida a cualquiera y muy por el contrario, conforma un intercambio de información privada para un grupo selecto de personas. Así por ejemplo, un gerente de mercadeo de una organización cualquiera, puede enviar una carta digital a un subordinado o a un colaborador para indicarle expresamente cual estrategia es la que va a aplicar para obtener éxito en el próximo lanzamiento de sus productos. Para ese gerente, el hecho de que sus competidores conozcan de antemano esa información podría resultar desastroso.
De manera pues que en el correo electrónico prevalecen las mismas necesidades de privacidad de la información que siempre han existido en el tradicional correo de cartas de papel. Requerimientos que de por sí dieron origen a una sucesión de leyes que sancionaban a quienes violaban la privacidad de ese tipo de comunicaciones.
Ahora bien, en la era de la información, el deseo por conocer mayores datos de cada individuo o de cada institución resulta más atractivo en los ámbitos de lucha por el poder. Ignorando el contexto personal de cada individuo podemos entonces señalar que ese deseo resulta igualmente válido para la competencia corporativa como para el control gubernamental. Así por ejemplo, surge el problema del espionaje industrial o el de los gobiernos que espian a otros gobiernos, a organizaciones y hasta a ciudadanos para obtener alguna ventaja que le permita aumentar o mantener el control que sobre los mismos poseen.
Como consecuencia de esa realidad las mismas sociedades democráticas han generado una serie de medidas de protecciones de la información y han provisto otras para reparar abusos ya cometidos. Así por ejemplo la norma es que un ciudadano cualquiera puede iniciar algún procedimiento legal en caso de que la privacidad de sus comunicaciones telefónicas haya sido violada.
Sin embargo ello no le protege de que esa violación acontezca de una forma tal que él ni siquiera puede percibir que ello ha sucedido. Es posible además imaginar casos en que el problema será la no-existencia de pruebas jurídicas para lograr reparar el daño. Ambos casos resultan entonces importantes de atender, dado que la frecuencia de los mismos es significativa. Por ejemplo, una empresa comercial se entera, incorrectamente, de un balance finaciero negativo de su competidor. Entonces en vez de revelar públicamente esa información, analiza cuidadosamente el balance y decide aplicar una estrategia de competencia que maximize los problemas financieros de su par. Ello podría originar así la quiebra de su competidor bajo la apariencia de que todo fue una competencia leal y digna.
El empleo de la tecnología puede así constituirse en la alternativa para ese tipo de situaciones. No se trata de aplicar una medida de protección que actúe con base a la amenaza de que un castigo podría caerle al infractor [3], si no instrumentar mecanismos científicos y/o técnicos, que reduzcan efectivamente la posibilidad de que la violación suceda o que se informe en tiempo real de que la misma está en progreso.
La idea básica es proveer a los usuarios, sean ciudadanos particulares o sean comunidades de ellos, agrupadas bajo cualquier categoría de interés, con instrumentos adecuados que le brinden un nivel de seguridad aceptable en el correcto uso de los medios de comunicación que comúnmente emplean.
Todo esta disertación no parece tener ningún problema para ser aceptada por la mayoría de la gente; sin embargo, en los últimos meses han venido sucediendo una serie de acontecimientos que parecen indicar que hay grandes intereses en que las cosas vayan por otro rumbo. Así por ejemplo, para muchos de los usuarios que conocen y comprenden bien el ámbito de operación de la Internet, nombres como «Echelon» [4] o «Carnivore» les traen a la mente sofisticados sistemas tecnológicos para inspeccionar las comunicaciones electrónicas que viajan por la red. Sistemas que antes del trágico 11 de Septiembre del 2001, eran vistos con preocupación de parte de varios poderes de las sociedades democráticas, ahora parecen ser tolerados como parte de la estrategia de lucha contra el terror. Así por ejemplo, si una agencia de inteligencia gubernamental quería lograr que un proveedor de acceso a la Internet -ISP en inglés-, colocara uno de esos sistemas para espiar a sus clientes y acudía ante una instancia legal para forzar semejante proceder antes de la fecha señalada, tenía muchas probabilidades de recibir una respuesta negativa.
Por otra parte, es lógico comprender que la realidad mundial cambió después de la tragedia de las torres del Centro de Comercio Mundial en Nueva York y en consecuencia, reconocer la necesidad de proveer una mayor permisividad para que los cuerpos y agencias de protección o inteligencia puedan actuar. Sin embargo, las capacidades actuales de los sistemas tecnológicos y las implicaciones de sus resultados son desconocidas por la mayoría de la gente. Y en el ámbito de la tecnología de la información eso resulta muy apreciable.
Los individuos que representan a los poderes judiciales no están apropiadamente formados para comprender todas las consecuencias que origina conceder o negar una sentencia vinculada con la tecnología de la seguridad de la información. Eso es un fenómeno mundial y también aplica en contextos de otras disciplinas o ciencias; por ejemplo en el caso de clonación de seres humanos está vigente una moratoria, peligrosa, para decidir la legalidad o ilegalidad de la misma.
De modo que los controles contra el abuso de poder y de la defensa por los derechos civiles pasan a un segundo plano frente a la lucha contra el terror. Semejante accionar coloca en los hombros de quienes ahora gozan de mayores facilidades, una mayor responsabilidad para demandar solamente aquello que realmente requieren en su lucha. Deben pues extremar los cuidados para no equivocar sus actos y perjudicar, aunque sea accidentalmente, a seres inocentes, que en el fondo son la razón por la cual existen. Si en vez de proteger a un inocente se le daña, la razón que justifica la existencia del cuerpo de protección o de la agencia de inteligencia involucrada queda completamente entredicha.
La angustia acerca de sí eso es lo que está sucediendo surge cuando uno considera que esas mismas agencias han llegado a señalar la presencia de amenazas inminentes para la humanidad a través del empleo de armas de destrucción masivas y más tarde se ha hecho evidente que se equivocaron en su apreciación [5]. Eso sin contar el fracaso para prevenir el propio ataque a las torres gemelas de Nueva York. Es decir, han fallado rotundamente en su trabajo frente a compromisos mucho más serios que el simple problema de violar la privacidad de la información de un ciudadano particular o de una organización.
Otra señal preocupante se tiene cuando se leen noticias como la que el Washington Post publicó en su sitio web el día 15 de Abril del 2005, bajo el título «Bush: El correo electrónico se detiene aquí» [6]. En esa noticia el autor cita textualmente al presidente estadounidense George W. Bush para indicar que ese funcionario no usa el servicio de correo electrónico porque le pueden leer sus mensajes. La pregunta obvia es entonces, ¿cuál es el grado de protección que realmente se puede tener al enviar una carta electrónica si hasta los asesores de seguridad del presidente norteamericano le sugieren que no emplee ese servicio?
Ese tipo de cosas parecen empujar a los usuarios a buscar sus propios medios para prevenir peligros ante sus envíos digitales. Debe comprenderse que para el común de las organizaciones y personas no es fácil renunciar al uso del correo electrónico como única forma de protección válida. Así pues, alternativas como el software de cifrado y descifrado surgen en forma casi instantánea de considerar.
Dentro de la gama de productos disponibles resalta entonces «Pretty Good Privacy» (PGP) [7], que se ha venido constituyendo en un estándar de facto mundial y tiene publicado un RFC como punto de partida para su estandarización. Adicionalmente su creador está trabajando en la proyección del mismo dentro del mundo del software abierto [8].
Por eso es que resulta muy preocupante la reciente sentencia de una corte de apelaciones en Minnesota que a finales de Mayo de 2005 decidió que la presencia de un software de cifrado / descifrado en un computador puede ser vista como evidencia de un intento criminal [9]. Semejante dictamen, aunque provenga de una territorialidad foránea, parece apuntar a una idea de dejar desprotegida la privacidad del correo electrónico del ciudadano común y de cualquier empresa. Más aún, los conduce a ambos hacia una postura de «no uses el correo electrónico o úsalo solo para cosas que no demanden ningún grado de confidencialidad».
Ese asombroso precendente jurídico contrasta también con el espíritu de permisividad que impera en la gran nación estadounidense sobre la adquisición y uso de armas de fuego; incluso en tiempos en que se combate el peligro real del terrorismo. Y eso es apreciable cuando se compara, como de alguna forma se le está dando un carácter de mayor amenaza a la simple presencia de un software que al de un rifle. Es por ello que frente a todo este panorama cabe entonces hacerse la pregunta de, si con todo este temor ante el terrorismo que nos acecha, ¿no se estará empezando a llegar tan lejos que terminaremos perjudicando a los inocentes a quienes deseamos proteger?
Referencias:
[1] Leiner, B. Et al, «A Brief History of the Internet», Internet Society, 10-12-2003, [documento HTML disponible en el URL: https://www.isoc.org/internet/history/brief.shtml], [Consulta realizada el 04-06-2005]
[2] Nader, F., «Mail Trends», adrenale corporation background paper, 12-12-2004, [documento PDF disponible en el URL: https://www.adrenale.com], [Consulta realizada el 04-06-2005]
[3] Lampson, B., «Computer Security in the Real World», IEEE Computer, pp. 37 – 46, June 2004.
[4] Schneier, B., «Secrets & Lies. Digital Security in a Networked World», John Wiley and sons, Inc., pp. 35 – 36, 2000.
[5] Heredia, L., «CIA Culpable», BBCmundo, 09-07-2004, [documento HTML disponible en el URL: https://news.bbc.co.uk/hi/spanish/news/newsid_3881000/3881173.stm], [Consulta realizada el 03-06-2005]
[6] MacMillan, Robert, «Bush: The E-Mail Stops Here», washingtonpost.com, 15-05-2005, [documento HTML disponible en el URL: https://www.washingtonpost.com/wp-dyn/articles/A56001-2005Apr15.html], [Consulta realizada el 03-06-2005]
[7] Página web de PGP Internacional, [documento HTML disponible en el URL: https://www.pgpi.org] , [Consulta realizada el 03-06-2005]
[8] Sitio web del Consorcio OpenPGP, [documento HTML disponible en el URL: https://openpgp.org] , [Consulta realizada el 03-06-2005]
[9] McCullagh, D., «Minnesota court takes dim view of encryption», SCNET News.com, 24-05-2005, [documento HTML disponible en el URL: https://tb.news.com/tb.cgi?__mode=list&tb_id=2100-1030_3-5718978&storytitle=Minnesota%20court%20takes%20dim%20view%20of%20encryption, [Consulta realizada el 03-06-2005]
Miguel Torrealba S.
Caracas, 5 de junio de 2005

Deja una respuesta

Tu dirección de correo electrónico no será publicada.