Entendamos el título de esta entrada de dos formas. En
primer lugar, publicar de forma segura ha de entenderse como la
posibilidad de que, publicada en la Red cierta información, el
autor quede a salvo de represalias. La otra cuestión es que el
propio texto publicado sea resistente a acciones de censura.
Empecemos con la primera cuestión y con una advertencia. Ni
quien escribe esto es técnico o experto en la materia, ni su
propósito es revolucionar la ingeniería de las
comunicaciones. Entendemos la informática como una herramienta
cuyas entrañas no pueden estar al descubierto para cualquiera
que pretenda utilizarla. El usuario normal no tiene tiempo y,
seguramente, tampoco posibilidades, para aprehender el funcionamiento
profundo de un sistema operativo o de una aplicación. Sin
embargo, por otro lado, sin unos ciertos conocimientos técnicos,
quien corra riesgos a la hora de ejercer su inalienable derecho a la
libre expresión, estará desamparado y expuesto a la
destrucción personal.
No estamos dramatizando. No es necesario, como ya se ha dicho
aquí, ser un ciudadano de Birmania o de China, para que las
represalias de quienes estén interesados en controlar y
oscurecer la información, tengan unas consecuencias muy
letales y efectivas.
En los sistemas occidentales, en los “Estados de Derecho”, la
protección de determinados derechos individuales como los del
honor, la intimidad, la propia imagen, etc. se están
convirtiendo en medios muy eficaces de censura. En su momento
trataremos aquí las distintas formas y los efectos de las
acciones legales previstas para la protección de esos
derechos. De momento baste decir, que ante una información
comprometedora, por ejemplo, para una trama de corrupción
urbanística, el delincuente, presunto o no, se apresurará
a dar orden a sus picapleitos para que ametrallen con querellas o con
demandas por daños al honor a quienes les están
denunciando y revelando información que podría
llevarles a presidio. Esto es, ni que decir tiene, un medio muy
efectivo, de censura.
Sin embargo, todas esas acciones judiciales, todo el aparato de
leguleyos de no importa qué mafia quedará desactivado
si el origen de la información que les amenaza permanece
anónimo. Por lo tanto, la primera obligación de quien
entre en batalla con estas organizaciones de delincuentes amparadas
en el fraude de ley y en las lagunas del Derecho, es proteger su
anonimato. No se puede presentar batalla en campo abierto contra
quien puede movilizar el aparato jurídico y policial de un
Estado, por muy democrático que sea ese Estado.
En tal sentido, la primera regla, la primera ley de hierro que ha
de respetarse, es que la seguridad propia no puede ser confiada a
terceros. Pongamos dos ejemplos:
“Según informa Globes
Online, Google, en un movimiento sin precedentes, ha
proporcionado la IP de un blogger israelí sin llegar a mediar
una orden judicial al respecto.
El blogger acusaba a tres candidatos a unas elecciones de aceptar
sobornos de un contratista, hacerse pasar por discapacitados para
reducir impuestos y tener relaciones con bandas delictivas.
Los tres afectados interpusieron una demanda contra el "anónimo"
blogger, al tiempo que solicitaban una orden judicial para obligar a
Google a revelar su IP…
Inicialmente, Google alegó que revelar la identidad del
blogger violaba las reglas del equilibrio entre la libertad de
expresión y el derecho de las personas a proteger su
reputación.
Sin embargo, en una vista previa el juez afirmó que el
contenido del blog era sospechoso de una conducta delicitiva y Google
captó el mensaje. La empresa californiana llegó a un
acuerdo con los denunciantes mediante el que se proporcionaba al
blogger la posibilidad de identificarse en las 72 horas previas a la
vista, al tiempo que se le advertía que, en caso de no hacerlo
-como de hecho ocurrió- su IP sería desvelada”.
Otro ejemplo inquietante para aquellos que confían
demasiado en las buenas intenciones declaradas por terceras partes es
el del servicio web de cifrado de correo “hushmail”:
“A raíz de episodios judiciales recientes (de los que
en su día informamos),
el servicio on-line de cifrado Hushmail ha
modificado sus términos de servicio para eliminar sus
anteriores afirmaciones en el sentido de que ni siquiera un empleado
suyo podría acceder a ningún mensaje cifrado bajo
ninguna circunstancia.
Ahora -y como por otra parte era de esperar- Hushmail explicita
por fin que su sometimiento a las leyes de Canadá le
puede obligar a revelar cuanto formalmente se le exija…
En relación a Hushmail, y sumándose a la moda de
los criptólogos
parlanchines, Phil Zimmermann acaba
de manifestarse en el sentido más obvio: Hushmail hace lo
que debe, pero el cifrado se maneja mucho mejor en casa”.
Es decir, por un lado Google delata a sus usuarios y no
precisamente a órganos judiciales o a la propia policía,
con o sin mandato judicial, sino a particulares carentes de cualquier
legitimación legal. Por otro, un servicio web que aseguraba
proporcionar a sus usuarios un cifrado fuerte y tan seguro que ni los
propios empleados de la compañía podían romper
las claves de los textos que pasaban por su servidor, resulta que
estaba mintiendo con el mayor de los cinismos y aunque haya confesado
su naturaleza de potencial “soplón”, la confesión
llega demasiado tarde para quienes confiaron en esos golpes de pecho.
En conclusión: ningún servicio web, ya sea de
publicación de blogs, de envío de correo cifrado y
anónimo o de navegación anónima puede
considerarse mínimamente seguro.
¿Hay alguna solución? Posiblemente no haya ninguna
completa. Se sabe que la dirección IP es un dato
identificativo seguro que queda oportunamente registrado a lo largo
de los servidores por los que se navega, pero ¿qué
ocurre con otros datos como la dirección MAC, un número
único que identifica, como una huella dactilar, la tarjeta de
red instalada en el ordenador? Al parecer la dirección MAC no
viaja por la Web y, por tanto, no es un dato del que haya que
preocuparse… Teóricamente.
Carezco de los conocimientos suficientes para afirmar nada al
respecto, pero en una “dificultosa” conversación, un
miembro de los cuerpos de seguridad me ha advertido que cada vez que
alguien se registra en una página, tanto su dirección
MAC como otros datos identificativos de los componentes del
ordenador, incluida la placa base, quedan convenientemente
registrados y archivados por el servidor correspondiente.
Por sí solos, estos números sería
irrelevantes salvo que, a consecuencia de un registro, la máquina
desde la que se estableció la conexión cayera en “manos
indebidas”. Sin embargo, el hecho se convertirá en prueba
muy cualificada si junto a esos datos viaja nuestra dirección
IP, que es tanto como decir nuestro número de teléfono,
la dirección de nuestro domicilio y nuestro nombre y
apellidos.
¿Qué hacer? En primer lugar ocultar la dirección
IP de la mejor forma posible. En segundo lugar, modificar la
dirección MAC de la tarjeta de red. En tercer lugar, utilizar
una herramienta de conexión móvil y, en cuarto lugar,
acceder a una conexión a la Red que sea completamente ajena a
nosotros.
Para todo ello, al menos de momento, hay herramientas y métodos.
De ellos nos vamos a ir ocupando. Para empezar, lo primero que
haremos es comprender y utilizar la red Tor, pero eso será en
la próxima entrada.