Como hemos dicho, es posible enviar correo con cifrado fuerte de clave asimétrica, pero eso sólo es una solución parcial frente a los fisgones que husmean en la Red. Es muy razonable pensar que en no pocas ocasiones el contenido de un mensaje tiene importancia secundaria y que la identidad de quienes intercambian esos mensajes es lo prioritario. En cualquier caso, siempre será útil saber quién envía y quién recibe una comunicación. Si, además, es posible acceder a su contenido, mejor que mejor.

¿Existen herramientas que permitan ocultar con eficacia la identidad de los comunicantes? Existen y, en principio, su eficacia es alta, incluso muy alta, pero sería temerario asegurar que son invulnerables a cualquier ataque conocido o desconocido. En cualquier caso, lo que sí harán es dificultar mucho el trabajo de cualquier fisgón.

Antes de pasar a describir el uso de las herramientas informáticas existentes, es necesario hablar sobre el tipo de ataques que se pueden poner en funcionamiento contra la intimidad de las comunicaciones por Internet.

En primer lugar es necesario descartar aquello que parece anónimo sin serlo en absoluto. Cualquiera puede crear, con datos falsos, una cuenta en el servicio de correo de Google, por ejemplo. Luego tendrá mucho cuidado de no colocar su nombre en los mensajes y de no dar datos que revelen su identidad. Además, como tiene asignada una dirección IP dinámica (de las que cambian cada vez que el ordenador se conecta a la Red) Estará muy seguro de que ningún ser humano podrá dar con su identidad.

Tan seguro está que envía un mensaje a un foro diciendo que cierto capo político de su ciudad guarda parte del botín de sus actividades públicas en un local de la calle X, número Y. Acaba de torpedear una trama mafiosa y, ese día, se va a dormir con la satisfacción del deber cumplido.

Aproximadamente unos 20 o 30 días después de su cívica acción, teniendo en cuenta la lentitud de la Administración pública, recibe en su casa la visita de la policía que le hace entrega de una citación para declarar. El capo ha presentado una denuncia por daños contra su honor (todo el mundo sabe que estos tipos son “hombres de honor”). El Juez de instrucción ha evacuado oficio a la policía para que averigüen los datos de conexión relativos al mensaje enviado al foro en cuestión. Con ese mandamiento, la policía (la Brigada de Delitos Informáticos que, como todo el mundo sabe, sólo se dedica a perseguir pederastas y terroristas) Se ha puesto en contacto con el proveedor de servicios en el que está alojado el foro solicitándole la dirección IP y titularidad de la línea asociada a esa IP, correspondiente al mensaje aparecido en el foro tal, el día tal, a la hora tal... Naturalmente, el proveedor del servicio proporciona, inmediatamente, esos datos a la policía, que a su vez los remite al Juzgado de Instrucción, el cual los hace constar en las diligencias previas, documentos que son accesibles al denunciante y, así, ya tenemos a disposición del Capo, el nombre, los apellidos, la dirección, el Nif, etc. etc. de quien le denunció. Que el juicio se llegue a celebrar o que quien denunció la trama mafiosa sufra un accidente antes del día de la vista, ya es cosa del destino.

En definitiva, que el aparente anonimato de las cuentas de correo electrónico es radical y absolutamente falso. Todos los datos esenciales de la conexión están a disposición del proveedor del servicio, convenientemente almacenados a la espera de que alguien se los reclame, incluso sin mandato judicial.

Eso, precisamente, es lo que hizo Google con respecto a un blogger israelí que acusó a tres candidatos a unas elecciones de aceptar sobornos, relaciones con bandas delictivas, y fraude a las administraciones públicas. Google llegó a un acuerdo con los denunciantes según el cual daría al blogger la posibilidad de identificarse en las 72 horas previas a la vista y, si éste no lo hacía, su IP sería desvelada, cosa que es lo que realmente ocurrió.

Además, hay que recordar que los datos almacenados por los proveedores de servicios pueden ir mucho más allá de la mera dirección IP, de la hora de conexión, lugares conectados, contenidos, etc. Para crear y usar una cuenta, sigamos con el ejemplo de Google, es necesario introducir un usuario y una clave. Para que esto funcione, la máquina desde la que se realiza la conexión, ha de tener activadas las “cookies” y “Javascript”, es decir, deben estar activados programas capaces de recoger cuanta información se pueda uno imaginar de la máquina que se conecta y enviarla al proveedor del servicio, el cual tomará las precauciones oportunas para que quede indefinidamente almacenada y disponible.

Bien, sentado que los servicios web de correo no ofrecen ningún anonimato, sino todo lo contrario, comencemos con los “remailer”. Se trata de servicios web que recogen un correo electrónico y realizan ciertos cambios en él para que al destinatario le llegue como originado en el remailer y no en el remitente original.

Esto es aún más perverso que la cuenta de Google porque aumenta la apariencia de anonimato sin advertir que eso es sólo apariencia. En realidad tanto el texto, la ruta y el destinatario, son elementos que podrán ser observados por todos los sitios por los que el correo va pasando, naturalmente por el ISP (el proveedor del servicio de internet) Pero también por cualquiera que tenga interés en interceptar los datos que entran o salen del remailer, cosa que podrá hacer con cualquier sniffer bajado gratuitamente de la Red o con cosas más sofisticadas como esta siniestra aplicación informática llamada “NarusInsight Intercept Suite”.

Naturalmente, las cosas se pueden mejorar. Es posible establecer una sesión segura del tipo SSL o TLS. Esto quiere decir que los datos viajarán cifrados hasta el remailer, pero saldrán de él en claro y por lo tanto todos los datos y su contenido podrán ser interceptados por cualquiera que esté husmeando el buzón de destino, por el proveedor de destino, etc. etc.

No obstante, así, el origen del mensaje podría permanecer anónimo, pero es aquí donde entra la forma más simple de “análisis de tráfico”. El esquema es simple. Dando por supuesto que lo que entra y sale del remailer está siendo “monitorizado”, el proceso es el siguiente: Entra un mensaje en “R” y sale de “R” recibiéndolo “b”. el receptor “b” contesta, su mensaje entra en R y “a” lo recibe. Ahora es “a” quien contesta... En un tiempo mínimo se habrá establecido la correlación entre “a” y “b” con lo que no sólo se conocerán los datos de la comunicación, sino también la identidad de los comunicantes.

La lucha contra el análisis de tráfico se ha ido haciendo todo lo compleja que es posible y, en la totalidad de los casos, gracias al trabajo voluntario de activistas que lo único que pueden cosechar por su dedicación, son problemas. Así sucesivos remailers han ido añadiendo características como la del cifrado con clave asimétrica tanto del texto como de los datos de conexión, la partición del mensaje en trozos de igual tamaño para evitar que éste sea identificado precisamente por esa característica, la latencia en el reenvío, es decir, la espera de un tiempo indeterminado desde que un mensaje llega al remailer hasta que sale de él, para evitar que se pueda establecer una secuencia temporal que identifique a emisor y receptor, el reenvío, con cifrado anidado, entre un número indeterminado de remailers de las distintas partes de un correo despedazado y cifrado, etc.

Todas estas medidas de seguridad, que se explican mejor que aquí en este enlace, concretamente en el número 14 del boletín SET, están disponibles, en estos momentos, en dos programas de correo anónimo: Mixmaster y Mixminion.

Las páginas de ambos programas, con toda seguridad, producirán un grave desánimo en un usuario normal de informática. No es para tanto. Es más, a pesar de que su desarrollo tiene su origen en entornos Linux, irónicamente, su instalación y uso en Windows resultan asombrosamente sencillos, muchísimo más, en todo caso, que en sistemas Linux, pero esto será objeto de las próximas entradas.