Como hemos dicho, es posible enviar
correo con cifrado fuerte de clave asimétrica, pero eso sólo
es una solución parcial frente a los fisgones que husmean en
la Red. Es muy razonable pensar que en no pocas ocasiones el
contenido de un mensaje tiene importancia secundaria y que la
identidad de quienes intercambian esos mensajes es lo prioritario. En
cualquier caso, siempre será útil saber quién
envía y quién recibe una comunicación. Si,
además, es posible acceder a su contenido, mejor que mejor.
¿Existen herramientas que
permitan ocultar con eficacia la identidad de los comunicantes?
Existen y, en principio, su eficacia es alta, incluso muy alta, pero
sería temerario asegurar que son invulnerables a cualquier
ataque conocido o desconocido. En cualquier caso, lo que sí
harán es dificultar mucho el trabajo de cualquier fisgón.
Antes de pasar a describir el uso de
las herramientas informáticas existentes, es necesario hablar
sobre el tipo de ataques que se pueden poner en funcionamiento contra
la intimidad de las comunicaciones por Internet.
En primer lugar es necesario descartar
aquello que parece anónimo sin serlo en absoluto. Cualquiera
puede crear, con datos falsos, una cuenta en el servicio de correo de
Google, por ejemplo. Luego tendrá mucho cuidado de no colocar
su nombre en los mensajes y de no dar datos que revelen su identidad.
Además, como tiene asignada una dirección IP dinámica
(de las que cambian cada vez que el ordenador se conecta a la Red)
Estará muy seguro de que ningún ser humano podrá
dar con su identidad.
Tan seguro está que envía
un mensaje a un foro diciendo que cierto capo político de su
ciudad guarda parte del botín de sus actividades públicas
en un local de la calle X, número Y. Acaba de torpedear una
trama mafiosa y, ese día, se va a dormir con la satisfacción
del deber cumplido.
Aproximadamente unos 20 o 30 días
después de su cívica acción, teniendo en cuenta
la lentitud de la Administración pública, recibe en su
casa la visita de la policía que le hace entrega de una
citación para declarar. El capo ha presentado una denuncia por
daños contra su honor (todo el mundo sabe que estos tipos son
“hombres de honor”). El Juez de instrucción ha evacuado
oficio a la policía para que averigüen los datos de
conexión relativos al mensaje enviado al foro en cuestión.
Con ese mandamiento, la policía (la Brigada de Delitos
Informáticos que, como todo el mundo sabe, sólo se
dedica a perseguir pederastas y terroristas) Se ha puesto en contacto
con el proveedor de servicios en el que está alojado el foro
solicitándole la dirección IP y titularidad de la línea
asociada a esa IP, correspondiente al mensaje aparecido en el foro
tal, el día tal, a la hora tal… Naturalmente, el proveedor
del servicio proporciona, inmediatamente, esos datos a la policía,
que a su vez los remite al Juzgado de Instrucción, el cual los
hace constar en las diligencias previas, documentos que son
accesibles al denunciante y, así, ya tenemos a disposición
del Capo, el nombre, los apellidos, la dirección, el Nif, etc.
etc. de quien le denunció. Que el juicio se llegue a celebrar
o que quien denunció la trama mafiosa sufra un accidente antes
del día de la vista, ya es cosa del destino.
En definitiva, que el aparente
anonimato de las cuentas de correo electrónico es radical y
absolutamente falso. Todos los datos esenciales de la conexión
están a disposición del proveedor del servicio,
convenientemente almacenados a la espera de que alguien se los
reclame, incluso sin mandato judicial.
Eso, precisamente, es
lo que hizo Google con respecto a un blogger israelí que
acusó a tres candidatos a unas elecciones de aceptar sobornos,
relaciones con bandas delictivas, y fraude a las administraciones
públicas. Google llegó a un acuerdo con los
denunciantes según el cual daría al blogger la
posibilidad de identificarse en las 72 horas previas a la vista y, si
éste no lo hacía, su IP sería desvelada, cosa
que es lo que realmente ocurrió.
Además, hay que recordar que los
datos almacenados por los proveedores de servicios pueden ir mucho
más allá de la mera dirección IP, de la hora de
conexión, lugares conectados, contenidos, etc. Para crear y
usar una cuenta, sigamos con el ejemplo de Google, es necesario
introducir un usuario y una clave. Para que esto funcione, la máquina
desde la que se realiza la conexión, ha de tener activadas las
“cookies” y “Javascript”, es decir, deben estar activados
programas capaces de recoger cuanta información se pueda uno
imaginar de la máquina que se conecta y enviarla al proveedor
del servicio, el cual tomará las precauciones oportunas para
que quede indefinidamente almacenada y disponible.
Bien, sentado que los servicios web de
correo no ofrecen ningún anonimato, sino todo lo contrario,
comencemos con los “remailer”. Se trata de servicios web que
recogen un correo electrónico y realizan ciertos cambios en él
para que al destinatario le llegue como originado en el remailer y no
en el remitente original.
Esto es aún más perverso
que la cuenta de Google porque aumenta la apariencia de anonimato sin
advertir que eso es sólo apariencia. En realidad tanto el
texto, la ruta y el destinatario, son elementos que podrán ser
observados por todos los sitios por los que el correo va pasando,
naturalmente por el ISP (el proveedor del servicio de internet) Pero
también por cualquiera que tenga interés en interceptar
los datos que entran o salen del remailer, cosa que podrá
hacer con cualquier sniffer
bajado gratuitamente de la Red o
con cosas más sofisticadas como esta
siniestra aplicación informática llamada
“NarusInsight Intercept Suite”.
Naturalmente,
las cosas se pueden mejorar. Es posible establecer una sesión
segura del tipo SSL
o TLS. Esto quiere decir que los datos viajarán cifrados
hasta el remailer, pero saldrán de él en claro y por lo
tanto todos los datos y su contenido podrán ser interceptados
por cualquiera que esté husmeando el buzón de destino,
por el proveedor de destino, etc. etc.
No
obstante, así, el origen del mensaje podría permanecer
anónimo, pero es aquí donde entra la forma más
simple de “análisis de tráfico”. El esquema es
simple. Dando por supuesto que lo que entra y sale del remailer está
siendo “monitorizado”, el proceso es el siguiente: Entra un
mensaje en “R” y sale de “R” recibiéndolo “b”. el
receptor “b” contesta, su mensaje entra en R y “a” lo recibe.
Ahora es “a” quien contesta… En un tiempo mínimo se
habrá establecido la correlación entre “a” y “b”
con lo que no sólo se conocerán los datos de la
comunicación, sino también la identidad de los
comunicantes.
La
lucha contra el análisis de tráfico se ha ido haciendo
todo lo compleja que es posible y, en la totalidad de los casos,
gracias al trabajo voluntario de activistas que lo único que
pueden cosechar por su dedicación, son problemas. Así
sucesivos remailers han ido añadiendo características
como la del cifrado con clave asimétrica tanto del texto como
de los datos de conexión, la partición del mensaje en
trozos de igual tamaño para evitar que éste sea
identificado precisamente por esa característica, la latencia
en el reenvío, es decir, la espera de un tiempo indeterminado
desde que un mensaje llega al remailer hasta que sale de él,
para evitar que se pueda establecer una secuencia temporal que
identifique a emisor y receptor, el reenvío, con cifrado
anidado, entre un número indeterminado de remailers de las
distintas partes de un correo despedazado y cifrado, etc.
Todas
estas medidas de seguridad, que se explican mejor que aquí en
este enlace,
concretamente en el número 14 del boletín SET, están
disponibles, en estos momentos, en dos programas de correo anónimo:
Mixmaster y
Mixminion.
Las
páginas de ambos programas, con toda seguridad, producirán
un grave desánimo en un usuario normal de informática.
No es para tanto. Es más, a pesar de que su desarrollo tiene
su origen en entornos Linux, irónicamente, su instalación
y uso en Windows resultan asombrosamente sencillos, muchísimo
más, en todo caso, que en sistemas Linux, pero esto será
objeto de las próximas entradas.