El círculo secreto

La pequeña pantalla del teléfono fijo Cryptophone IP 19 se ilumina. Una llave se dibuja y su gemelo, situado a escasos centímetros en la mesa de conferencias de la sede de la empresa GSMK en Berlín, hace lo mismo. Los dos aparatos hablan entre ellos, acuerdan qué clave criptográfica van a utilizar y el impulso eléctrico comienza la comunicación. La voz, pese a la cercanía, suena cavernosa. Es uno de los precios a pagar por estar seguro que nadie, ni agencias de inteligencia ni criminales ni tu vecino cotilla, podrá escuchar tus conversaciones. El otro, por supuesto, es la elevada cantidad de euros que cuesta el aparato.
El modelo de móvil Cryptophone 500, un Samsung Galaxy 3 modificado, como el que tiene en sus manos Konstantin König, jefe de ventas de esta empresa con diez años de experiencia en el sector de la protección de la comunicaciones, se vende en Alemania por «3.500 dólares». «Al principio, cuando la gente llega, nos dice que quiere encriptación», explica este alemán alto con un parecido razonable al actor Benedict Cumberbatch, «cuando en realidad lo que buscan es seguridad».
En un mundo donde nunca tanta información se ha intercambiado a tanta velocidad; donde la complejidad de las redes y su interconectividad crea infinidad de puntos débiles por los que los teléfonos pueden ser interceptados, con revelaciones sobre espionaje, ya sea por parte del servicio secreto estadounidense, de empresas chinas o competidores comerciales, sucediéndose, el interés por los servicios que aseguran una comunicación imposible de interceptar se ha multiplicado. Mientras que analistas de la firma ABI Research estiman que este segmento del hardware alcanzará a finales de 2014 los 1.000 millones de dólares, su contraparte del software ya logró superar esta cifra en 2013 y la estimación es que alcance los tres millardos en 2018.
«Snowden [el exanalista que reveló el espionaje masivo de las comunicaciones por parte de la NSA (Agencia Nacional de Seguridad estadounidense) ] ha hecho que mucha gente se dé cuenta del problema», reflexiona al teléfono Phil  Zimmermann, presidente, cofundador del servicio de comunicación encriptada Silent Circle y leyenda dentro de este tipo de comunicaciones. «Nosotros ya lo sabíamos, pero él hizo que todo el mundo se diera cuenta de que era mucho más grave de lo que cualquiera habría imaginado».

La voz de Zimmermann es, desde luego, una fuente autorizada. Creador en los 90 del Pretty Good Privacy —el sistema de encriptación más usado de correos electrónicos—, declarado Héroe de la Libertad por la revista Reason, integrante del Internet Hall of Fame, con un capítulo entero dedicado a su persona en esa biblia de la codificación llamada ‘The Code Book’…, este informático de 60 años recién cumplidos advierte que «vivimos en un mundo donde la vigilancia está aumentando y tenemos que luchar contra ello».
Básicamente, existen tres formas de ataque contra un teléfono. Una es la interceptación estratégica de la red. «Esto es más fácil si eres un Gobierno», explica, «pero si eres un criminal y vives en un país con un alto índice de corrupción, puedes pagar a un técnico de la compañía telefónica y este pone una escucha a tu rival en los negocios». La segunda es la denominada «en el aire»: interceptar la llamada cuando va camino de la estación que la direccionará por la red usando aparatos como una antena detectora de microondas o, si se busca algo concreto, capturadores de IMSI, que permiten identificar teléfonos por su número de identificación y escuchar directamente sus llamadas. El tercer método es un ataque directo a los terminales usando virus y troyanos.
«Se pueden robar los metadatos, quién está hablando con quién, que también es importante ya que da pistas por donde pueden ir los tiros en una empresa», asegura König, «como, por ejemplo, si soy un fabricante de coches y me pongo en contacto con un desarrollador de baterías de litio». El otro aspecto que puede robarse es la propia comunicación en sí, ya sea captándola del aire o tras «atacar el teléfono, meterte un troyano y extraer la voz directamente del micrófono».
Para luchar contra estos peligros, Zimmerman recomienda dos enfoques. «Hay que intentar usar medidas políticas para cambiar las directivas públicas acerca de la vigilancia», cuenta. Por ejemplo, la Administración de Obama acaba de anunciar un paquete de medidas para detener la colección de registros telefónicos de estadounidenses por parte de la NSA tras la Patriot Act. La American Civil Liberties Union, aunque ha aplaudido la acción, asegura tener «muchas preguntas sobre los detalles».
La otra parte es la tecnología. «Hace falta», sentencia König, «camuflar tu comunicación para proteger los metadatos, una buena encriptación de principio a fin para proteger el contenido de tu comunicación y un sistema operativo bueno para proteger tu plataforma».
Dos aproximaciones, dos precios
König apunta que ellos «solo venden teléfonos encriptados». Su proceso consiste en, tras «analizar tanto el hardware como el software», escoger un modelo de teléfono comercial. Luego reconstruyen completamente su sistema operativo desde el código fuente, «cerrando cualquier puerta trasera posible» y convirtiéndolo en un terminal seguro, con un sistema de encriptación interno, llamadas codificadas, mensajes seguros…
En su último modelo, ese Samsung Galaxy 3 modificado de 3.500 dólares, incluye el resultado de tres años de investigación, que es una patente todavía pendiente y con una característica que, asegura, es «única»: un cortafuegos entre el sistema operativo y la parte telefónica. Este cortafuegos monitoriza la comunicación entre el procesador de comunicaciones y el sistema operativo e impide que pasen infecciones del primero al segundo. Según se comenta en un artículo de ‘The Register’ sobre esta caracteristica, teóricamente sería posible infectar un teléfono del procesador de ancho de banda, pero el corresponsal encargado de tecnología móvil nunca ha oído hablar de nadie que lo haya logrado.
Silent Circle, el sistema de aplicaciones que Zimmermann ha desarrollado, se basa en una red propia de servidores. Ubicados en Canadá por sus leyes de «protección de la privacidad», usa un protocolo que, como los productos de GSMK, hace que los dos teléfonos conectados al servicio negocien una clave entre ellos sin que esta se origine ni almacene en los servidores. «¿Qué significa esto?», se pregunta Zimmermann retóricamente. «Que nosotros no tenemos las claves necesarias para desencriptar tu llamada, que no podemos escucharte ni ayudar a ningún Gobierno que lo quisiera hacer ya que, aunque nos obligasen, no podríamos hacerlo».
Los suscriptores del servicio, por entre 10 y 30 dólares mensuales según la cantidad de herramientas que requieran, adquieren acceso a estos servidores y a las aplicaciones creadas por esta empresa. Esto incluye llamadas de voz, mensajes de texto y correos electrónicos que salgan tanto de un teléfono como de un ordenador. Además, en caso de que el usuario quiera elevar su seguridad, acaban de sacar al mercado el Blackphone en colaboración con los españoles Geekphone.
A partir de junio de 2014 y por unos 629 dólares, los usuarios preocupados podrán adquirir este teléfono, que viene con tres suscripciones anuales al Silent Circle incorporadas y un sistema operativo propio bautizado como PrivatOS, compuesto por elementos que aumentan la privacidad y seguridad. Todos los códigos fuente se publican, una práctica habitual en las empresas del ramo y que aumenta su seguridad.
Los diferentes servicios y empresas de seguridad en las comunicaciones no son compatibles entre sí, lo que lleva a la paradoja de que un usuario preocupado que use de Silent Circle y otro que tenga un Cryptophone tendrán que realizar su llamada fuera de sus parámetros de confidencialidad. En caso de que viva en EE UU, por lo menos el Silent Circle ofrece un tránsito seguro hasta que la llamada sale de sus servidores a la red de telefonía pública.
«Nuestros clientes», explica Zimmermann, «son consumidores que se apuntan individualmente: empresas como petroleras, bancos… que contratan nuestros servicios y les vendemos una gran cantidad de ellos, y también agencias gubernamentales de Canadá, Reino Unido, Australia…».
«La cuestión es que podríamos poner los servidores en la NSA o en el Kremlim y aún así no podrían hacer nada», asevera, para al segundo comentar divertido:
—Por supuesto, es una broma. Nunca pondríamos los servidores ahí.
–
Este artículo se publicó en el número de junio de ‘Yorokobu’.  Contenía equivocaciones sobre las características del cortafuegos y las cifras de crecimiento en el negocio de la seguridad en los teléfonos móviles.  Gracias a J.J. Merelo por las correcciones e indicaciones sobre erratas.