La inteligencia española, a la sombra de la NSA
En cuanto a nuestra información más privada, la que no contamos tan alegremente, también puede ser espiada por terceros, seamos ciudadanía, empresas o gobiernos. No es tan fácil, pero los cables de fibra óptica pueden ser pinchados y los programas y algoritmos de cifrado que se venden como inexpugnables incluyen puertas traseras, desconocidas por los usuarios, que permiten la entrada a los gobiernos. Por no hablar del rizo rizado: hackers a sueldo de los gobiernos robando informaciones de otros gobiernos y empresas.
Ante este panorama, no hay muchos sitios donde el ciudadano y la ciudadana puedan esconderse. Impotentes, se consuelan con la manida frase: No tengo nada que esconder. ¿Seguro? ¿Seguro que no les importa que el Gobierno conozca qué tipo de pornografía miran por Internet y deduzca sus pulsiones sexuales? ¿O cuánto dinero tienen y cuánto declaran? En el mundo digital no hay nada que no pueda ser hackeado, escudriñado y descubierto. Los hackers suelen decir: Lo que ha hecho un hombre, otro puede deshacerlo. Es sólo cuestión de tiempo y dinero, algo que los gobiernos poderosos tienen a espuertas. En cuanto a los normalitos, tipo España, hacen lo que pueden en su vida doméstica y no olvidan servir a los grandes, dejándoles paso franco y pasándoles los datos que haga falta. Esta es la pequeña historia del espionaje electrónico masivo en España.
Todo empezó con Echelon
En las alcantarillas del espionaje nunca se sabe, quizás fue Echelon la primera red de monitorización masiva, quizás no. Lo seguro y cierto es que la primera vez que el mundo escuchó el concepto electronic surveillance (vigilancia electrónica) fue cuando un periodista británico desveló la existencia de Echelon, en los años 70. Echelon era y algunos dicen que sigue siendo una red de espionaje que creó la Agencia de Seguridad Nacional estadounidense (NSA) después de la II Guerra Mundial, compartida con los servicios de inteligencia de Canadá, Reino Unido, Australia y Nueva Zelanda. La labor de Echelon era interceptar las comunicaciones por radio y satélite de telex, teléfono y fax. Más adelante, cuando el mundo analógico se hizo digital, la red Echelon amplió el abanico de objetivos a espiar, incluyendo las comunicaciones por teléfono móvil e Internet.
En 1998, la oficina del Parlamento Europeo bautizada como Evaluación de las Opciones Científicas y Tecnológicas (STOA, por sus siglas en inglés) presentaba el informe Una aproximación a las tecnologías de control político donde se desvelaba por primera vez y de forma oficial a los gobiernos europeos la existencia de Echelon. Para entonces, la red había evolucionado y tenía múltiples tentáculos, como el uso de inteligencia artificial para procesar los datos capturados o Carnivore, un programa que se instala en los proveedores de Internet para monitorizar a sus usuarios.
Europa se llevó las manos a la cabeza cuando supo, a través del informe, que EEUU había usado Echelon para espiar a empresas europeas y hacerles perder contratos frente a las norteamericanas. En la Wikipedia hay algunos ejemplos: En 1994, el grupo francés Thompson-CSF habría perdido un contrato con Brasil por valor de 1.300 millones de dólares en favor de la estadounidense Raytheon. Ese mismo año, Airbus habría perdido un contrato de 6.000 millones de dólares con Arabia Saudí en favor de las empresas estadounidenses Boeing y McDonnell Douglas, gracias a que las negociaciones entre Airbus y sus interlocutores árabes habrían sido interceptadas por Echelon.
La sombra de Echelon llega a España desde distintos frentes, siendo el más controvertido el espionaje al que se sometió al ingeniero español José Ignacio López de Arriortúa, que trabajaba en General Motors: la NSA llegó a grabar una videoconferencia de Arriortúa, más conocido como Superlópez, con un directivo de la empresa alemana Volkswagen. General Motors tuvo acceso al contenido de la videoconferencia y acusó al vasco de espionaje industrial y robo de documentos confidenciales. Más adelante, en los 90, cuando José María Aznar y George Bush eran super amigos, Echelon y Carnivore propiciaron la detención de varios comandos de ETA.
La élite del mundo telecomunicado
La respuesta de Europa a estas graves revelaciones fue unirse a la fiesta del espionaje en masa: en 1991, se puso en marcha ENFOPOL, llamado también Sistema EU-FBI para enfatizar que se trataba de una colaboración entre Europa y Estados Unidos. De cara al público, ENFOPOL era un plan de estandarización de los requisitos técnicos que debían cumplir las operadoras de teléfono fijo, móvil e Internet para que sus sistemas fuesen fácilmente pinchables por la policía.
Pero, según la oficina STOA, bajo Echelon, ENFOPOL e iniciativas parecidas se escondían reuniones de las fuerzas operativas de un nuevo estado global de inteligencia militar y policial. En llano: una élite que tiene el control absoluto del mundo telecomunicado, con Estados Unidos al frente, y Australia y Europa a los lados. Lo nuevo de estas redes de espionaje es que la vigilancia pasa de los targets u objetivos puntuales (disidentes, activistas, gobiernos..) a toda la ciudadanía, al estilo de la KGB, la Gestapo o la Stasi.
Para que esta vigilancia masiva funcione es preciso crear lobbies que presionen a los parlamentos, de forma que las leyes permitan una monitorización impune y fácil. En esta clave deben leerse las normativas que restringen el cifrado, que obligan a los fabricantes de programas informáticos a incluir puertas traseras para las fuerzas de la ley, o que conminan a los proveedores de telefonía e internet a que sus equipos sean fácilmente interceptables y a guardar los datos de las comunicaciones de sus clientes durante meses.
De eso va la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas aprobada en España en 2007, a partir de una directiva de la Unión Europea. Esta ley, muy discutida por abogados y activistas, tanto en España como en Europa, obliga a las operadoras a guardar los datos telefónicos y de comunicaciones electrónicas de sus clientes entre 6 y 24 meses, de forma que la policía pueda consultarlos, previa autorización judicial.
El hecho de que sea necesaria la autorización de un juez para que las fuerzas de la ley puedan espiar las comunicaciones de la ciudadanía suele acallar las críticas de los defensores de la privacidad. Se sobreentiende que la participación de un juez impedirá que se produzcan abusos. El problema llega cuando nos enteramos de que las autorizaciones para el pinchazo se han convertido en una burla.
Según el abogado Gonzalo Boye Tuset, las demandas de intercepciones telefónicas o de Internet han llegado a ser tantas en los juzgados españoles que han escapado a todo control. Según Boye, en estos momentos hay un millón de líneas telefónicas intervenidas con autorización judicial. Esto significa que a cada juez le toca controlar una media de 597 pinchazos diarios.
Se supone a los jueces la suficiente inteligencia como para ver que es imposible controlar tanta interceptación. Pero, según Boye, se sigue actuando así porque cada día la jurisprudencia es más laxa en cuanto a los criterios para autorizar esas intervenciones y, también, para asumir lo que es un control efectivo de las medidas. Para colmo, denuncia el abogado, la policía lleva a cabo turbias prácticas que desembocan en algo tan curioso como las interceptaciones ilegales dentro de la legalidad.
Estas consisten en pedir al juez que autorice la intervención de diversos números dentro de una investigación. Son números sin nombres, descritos como usuario desconocido o persona de acento extranjero, que al poco tiempo se retiran por carecer de relevancia. Pero, en realidad, se trasladan a otra investigación y así siguen estando intervenidos. De esta forma se van paseando los mismos teléfonos de un proceso a otro, consiguiendo que estén pinchados durante largo tiempo. Boye asegura que ha habido casos en los que un juicio a seis personas ha requerido la monitorización de más de 100 líneas telefónicas: Son intervenciones que cuentan con respaldos judiciales pero que, técnicamente, son ilegales.
Según Boye, los responsables de haber llegado a esta situación son los jueces y tribunales, especialmente el Tribunal Supremo y las salas de enjuiciamiento, los que no hacen lo que deberían: ser rigurosos con este tipo de irregularidades y no crear tantos espacios para la impunidad de tales prácticas. Si los jueces fuesen más estrictos a la hora de evaluar las demandas de interceptaciones, y éstas no dependiesen de criterios tan laxos, la policía no podría actuar de esta forma.
El gran hermano SITEL
Pero,¿cómo llevan a cabo los cuerpos de seguridad tal cantidad de intervenciones telefónicas? Estamos en terreno oscuro y pantanoso. El nombre que más suena cuando se habla de estos temas es SITEL, siglas de Sistema Integrado de Interceptación de Telecomunicaciones. Desde 2004, la Policía Nacional, la Guardia Civil y el Centro Nacional de Inteligencia (CNI, los servicios secretos españoles) usan este sistema informático que puede interceptar llamadas telefónicas fijas, móviles y SMS.
Se sabe muy poco de SITEL y sólo han trascendido algunas informaciones desveladas por investigadores como el periodista Fernando Rueda, quien explica que la interceptación se hace pinchando directamente los sistemas informáticos de las operadoras, que ya están preparadas para ello: La policía debe presentar la correspondiente orden judicial a la operadora y ésta le da una clave para entrar en SITEL, explica Rueda. Los datos llegan en tiempo real a la policía, que puede monitorizarlos desde el mismo portátil del agente que está llevando a cabo la investigación. Además, todo va acompañado de metadatos sobre quién inició la comunicación y quién la recibió.
En concreto estos metadatos serían el DNI del interlocutor, su domicilio, su teléfono u ordenador, localización geográfica de emisor y receptor, tráfico de llamadas, SMS y MMS. Ellos fueron la causa de una polémica que en 2009 enfrentó al PP y al PSOE por la legalidad o no del sistema. El Partido Popular denunció entonces que SITEL aporta mucha más información sobre la persona a la que se investiga que la mera conversación a la que generalmente se refiere el juez cuando autoriza una interceptación.
Hubo incluso quien denunció a SITEL ante los tribunales pero, como recuerda Rueda, todas las sentencias fueron favorables a este sistema. El PP se comprometió entonces a regular SITEL cuando llegase al poder, mediante una ley que de momento no se ha desarrollado, y que tampoco la oposición ha pedido. Hoy el mutismo es absoluto sobre SITEL. De hecho, todos los gobiernos han participado en la implantación de este sistema, que nació durante la etapa en que era presidente José María Aznar y Mariano Rajoy, ministro de Interior. El sistema se compró a la empresa Ericsson por 10 millones de euros en 2001, pero no se puso en funcionamiento de inmediato por dudas sobre su legalidad. Finalmente, en 2004, bajo el mandato del socialista José Luis Rodríguez Zapatero, SITEL vio la luz.
Abusos del sistema SIGO
SITEL es sólo la punta del iceberg, el más conocido de los sistemas de vigilancia ciudadana que utilizan las fuerzas de la ley españolas. Fernando Rueda afirma no tener ninguna duda de que los cuerpos policiales tienen otros sistemas ahora mismo para monitorizar internet. La Guardia Civil ha sorprendido más de una vez con programas de este estilo, como Hispalis, que rastrea las redes P2P. Otro sistema informático destinado al espionaje usado por este cuerpo policial es el Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciudadana (SIGO). En concreto, SIGO es una base de datos que guarda y cruza la información capturada por diversas vías. El sindicato Asociación Unificada de Guardias Civiles ha denunciado que en SIGO se almacenan identificaciones indiscriminadas de personas sin antecedentes.
Si con esto no fuese suficiente, las fuerzas de seguridad pueden pedir datos personales directamente a las empresas, con un mandato judicial. Recientemente se ha sabido que España es el tercer país que más peticiones de información ha mandado a la empresa Apple, por detrás de Estados Unidos y Reino Unido. Según estadísticas facilitadas por la propia compañía, sólo en el primer semestre de 2013 España hizo 102 peticiones sobre datos de personas y 308 de dispositivos.
El Ejército español tampoco se queda corto en esta carrera por saber más y tiene sus propios programas dedicados a la monitorización de la población. Trasciende muy poca información de los mismos pero en 2007 se supo que el Ministerio de Defensa trabajaba en OSEMINTI, siglas de Infraestructura de Inteligencia Semántica Operacional, un proyecto de los servicios de Inteligencia Militar españoles, italianos y franceses para identificar frases en las grabaciones telefónicas y textos de Internet.
CESICAT: espías de andar por casa
El 27 de octubre, los activistas de Anonymous desvelaba un escándalo de espías en la Generalitat de Catalunya que le ha costado el puesto al director del Centro de Seguridad de la Información (CESICAT), el convergente Carles Flamerich. Cabe decir que era un espionaje muy de estar por casa, pues el centro trabajaba con fuentes de información públicas: la web y las redes sociales. A partir de las mismas, realizaba seguimientos de activistas como el veterano Isaac Hacksimov, abogados como Carlos Sánchez Almeida, periodistas como Esther Vivas y medios de comunicación como La Directa y Media.cat.
Los informes resultantes y que Anonymous filtró a la opinión pública tenían un evidente tono policial, tanto en el lenguaje como en el seguimiento de algunas cuentas de Twitter, enfatizando quién inventaba las consignas (los trending topics) y quién llamaba a la violencia. Pero en la forma se parecían más a las monitorizaciones de marca que realiza un community manager, con sus estadísticas y gráficos de colorines, que a una investigación seria de espionaje. Aun así, son de gran valor, pues han servido para demostrar por, primera vez, al movimiento activista y hacktivista español que están siendo monitorizados en Internet.
Según las filtraciones de Anonymous, CESICAT montó operativos especiales de seguimiento de personas y grupos activistas a raíz de diferentes eventos como las campañas contra Bankia y La Caixa, la rebelión contra los peajes, el no a EuroVegas, el 15-M y otros. Además, se realizaban informes con todo lujo de detalles sobre personas concretas, como el fotoperiodista Jordi Borràs, quien lo ha denunciado a la Autoritat Catalana de Protecció de Dades. También fueron objeto de un informe especial cuatro adolescentes de un grupo de música ya desaparecido. Su delito: llamar a poner una bomba en La Caixa, desde su cuenta de Twitter.
Días después, a mediados de noviembre, Anonymous llevó a cabo una nueva tanda de filtraciones. En esta ocasión, los documentos liberados mostraban una nueva faceta de la labor de espionaje de CESICAT, esta vez no dirigida al movimiento activista sino a los propios políticos y sus escoltas, a los que se les habrían facilitado teléfonos móviles con programas espía. Por supuesto, las víctimas no habrían sabido que su móvil tenía un programa oculto que monitorizaba no sólo sus llamadas telefónicas, sino que también podía convertirse en un micrófono de ambiente por control remoto, para captar las conversaciones en el entorno físico, usando incluso la webcam para coger imágenes.
Según los documentos filtrados y las fuentes consultadas por El Confidencial, el medio que dio la exclusiva, se habrían repartido 500 teléfonos a miembros de los Mossos dEsquadra, mandos de este cuerpo y escoltas. Otra tarea del CESICAT, según las filtraciones, era crear programas a medida para ocultarlos en los teléfonos de activistas, aprovechando posiblemente una detención temporal.
A partir de aquí, el escándalo ha llegado a tales dimensiones que, al cierre de esta edición, no parece que haya habido suficiente con la dimisión de Carles Flamerich, y algunos dedos empiezan a apuntar a Felip Puig, conseller dInterior cuando sucedieron los hechos, según las fechas de los documentos filtrados por Anonymous. Puig es ahora consejero de Empresa i Ocupació, el departamento del cual ahora depende el CESICAT.
El diputado socialista en el Parlament Ferran Pedret pidió recientemente explicaciones públicas a Puig por este escándalo, que el conseller no desmintió, limitándose a decir que no había que creer lo que publicasen confidenciales de la red. Ante esta respuesta, el Partit dels Socialistes de Catalunya (PSC) ha anunciado que llevará el caso CESICAT ante la Fiscalía del Gobierno catalán.
Mientras esto sucedía, Anonymous filtraba una nueva remesa de documentos donde se mostraban las dificultades económicas por las que pasaba CESICAT en 2012, cuando tuvieron lugar los hechos ahora desvelados; los planes de convertir este organismo en la Agencia de Seguridad Nacional (NSA) catalana, y la propuesta de entrenar a sus trabajadores con expertos en inteligencia y ciberseguridad de Israel. Los documentos muestran también como CESICAT impartía cursos intensivos a los Mossos dEsquadra, para enseñarles a investigar a personas, grupos y eventos en internet, incluidas estrategias y tácticas, programas específicos para la monitorización o el descubrimiento de metadatos y otros.
Un paso por delante
Sin embargo, aunque nos llevemos las manos a la cabeza cuando descubrimos de cuántas formas diferentes y desde cuántos cuerpos policiales pueden controlarnos, lo cierto es que los espías suelen ir un paso por delante. En la actualidad, el problema para ellos no es recopilar la información. El problema es procesar esas cantidades ingentes de datos y poder sacar inteligencia de ellos o, lo que es lo mismo: entenderlos. Y a ser posible que no tengan que hacerlo humanos sino máquinas.
Se dice que los ordenadores donde la NSA estadounidense guarda todo lo que monitoriza ocuparían cinco edificios tan grandes como una tienda Ikea. Cantidades astronómicas de información en bruto repleta de oro para quien sepa cribarla. En lo que se refiere a los metadatos, los datos de tráfico, son fácilmente procesables. Pero lo más interesante está en los contenidos de las llamadas y correos electrónicos interceptados ¿Existe un sistema que pueda leerlos, entenderlos, contextualizarlos, que pueda comprender lo espiado, más allá del simple y burdo reconocimiento de palabras y frases sueltas? Es posible que sí, que ya esté inventado, pero que aún no haya trascendido su nombre ni otros detalles. Por el estado de la cuestión de las ciencias informáticas, el reconocimiento de voz, la inteligencia artificial y la computación semántica, posiblemente no sea aún el sistema perfecto, pero poco le quedará, pues militares, empresas, policías y servicios secretos están trabajando con ahínco en ello.
Una vez llegados a este nivel y cruzando bien los datos recopilados, no sería extraño que viviésemos situaciones como la que inventada recientemente en el blog Security By Default, donde alguien llama para pedir una pizza y le piden que se identifique con su DNI. A partir de este dato, la pizzería tiene todo tipo de información sobre esta persona, su estado de salud, familia, historial penal, últimos pagos realizados con tarjeta bancaria Cuando encarga dos pizzas especiales y una coca-cola, la pizzería no se lo permite porque sus informes médicos delatan que tiene hipertensión, diabetes y colesterol.
Más info: Echelon La UE advierte del peligro de espionaje industrial que facilita EchelonEl Parlamento Europeo demuestra la existencia de Echelon
La Eurocámara investiga la penetración en la UE del sistema Echelon
Comisión Europea recomienda codificar los e-mails ante la existencia de la red de espionaje Echelon
Sitel
(El PP denuncia que SITEL te graba la vida y que hay miles de españoles investigados y no lo saben)
(Documento Ministerio del Interior SITEL)
(SITEL. La gran oreja del Gobierno no tiene suficientes garantías jurídicas) (La AEPD concluye la inspección sobre SITEL)
Otros sistemas de interceptación (El sistema de escuchas ilegales GI2 es indetectable y puede grabar cuatro conversaciones a la vez) Denuncia del perito informático Miguel Ángel Gallardo en relación a los sistemas GI2