No apagues tu teléfono. Una revisión de nuestras pautas de seguridad

En los años 80, un anarquista que quisiera realizar una acción directa ilegal, desarrollaba su plan y al mismo tiempo comprobaba que no hubiera dispositivos de escucha en su casa. En los 90, el mismo anarquista apagaba su teléfono y usaba criptografía para comunicarse por internet. En la década de 2020, tenemos que reconsiderar nuestra estrategia, los servicios de inteligencia han mejorado su capacidad de recolección de datos y debemos tenerlo en cuenta.

Comencemos fijándonos en cómo se realiza el análisis del llamado big data. Para ello tenemos que hablar de 3 cosas: metadatos, plantillas y redes. Parece aburrido y difícil, pero trataré de explicarlo de la forma lo más simple posible.

Metadatos: En el contexto de la actividad online, «contenido» significa «el mensaje que has enviado» y «metadato» significa «todo excepto el contenido». Así que si, por ejemplo, le envías un mensaje a una amiga para quedar para comer, el contenido podría ser «Vayamos a comer juntas», y los metadatos podrían ser «Mensaje enviado el 01/07/2020 a las 11:32 desde 0478239055 hasta 079726823 mediante Signal» (para saber qué es Signal, consultar la sección de «Notas» al final del artículo).

Tu teléfono guarda esta información incluso si la aplicación cifra el mensaje. Los metadatos apenas son protegidos por la tecnología y por la legislación. No importa en qué país estés, los servicios especiales tienen acceso libre a la mayoría de tus metadatos, seas sospechoso de algo o no.

Plantillas: Seas consciente de ello o no, tus metadatos tienen una plantilla. Si tienes un trabajo diario, tu patrón será más rígido, en caso contrario, tu plantilla será más flexible, pero seguro que tienes una plantilla. Si alguien quiere saber el ritmo de tu día a día, lo tienen muy fácil, porque tu plantilla está en tus metadatos.

Pongamos un ejemplo: Quizás te conectas al Wi-Fi de tu bar favorito casi todos los domingos por la noche hasta las doce de la medianoche, al día siguiente te levantas a las 10 de la mañana y compruebas tu Signal, usas tu abono de transporte para ir a clase todos los lunes por la tarde y le dedicas de media 1 hora a Instagram dos veces al día. Todo esto es parte de tu plantilla.

Red: Tienes una red online. Tus amigos en WhatsApp, la gente en la agenda de direcciones de tu teléfono, el Dropbox que usas con los colegas, todos los que compraron una entrada online para el mismo grupo punk al que fuiste a ver, la gente que usa los mismos puntos Wi-Fi que tú. Coge tus redes, combínalas con las redes de otras personas y los grupos surgen por sí solos.

Si estás en la comunidad anarquista, resultará bastante obvio teniendo en cuenta todas las pequeñas conexiones de tu red, por ejemplo, porque irás a ver a los mismos grupos de música o conocerás a las mismas personas que otros anarquistas. Aunque nunca hayas hecho clic en una página anarquista en Facebook, o nunca hayas pulsado el botón de ir a un evento anarquista en Facebook, tu red es difícil de ocultar.

Ahora supongamos que el domingo a las 3 de la madrugada, junto a tus amigos, has cometido un delito grave, uno que conlleva una investigación seria. Parece claro que lo hicieron los anarquistas, pero no hay más pistas. Tú sigues las pautas de seguridad tradicionales: quemas las notas de papel, evitas hablar de tus planes cuando hay tecnología cerca y no dejas rastros físicos.

Pero como anoche llevaste a cabo un delito de consideración, tus metadatos mostrarán un ritmo muy distinto al de costumbre: te habrás quedado hasta las 2 en tu bar habitual para esperar a tus amigos, no te levantarás a las 10 y no comprobarás tu Signal, o usarás Instagram tan sólo 1 hora ese día.

Si yo quisiera resolver este delito usando análisis de datos, haría lo siguiente:

Usaría un software para analizar los patrones de la escena anarquista local e identificar así a las 300 personas más vinculadas a la escena anarquista;

Usaría un segundo software para analizar los metadatos de estas 300 personas en los últimos meses e identificar los mayores cambios en sus metadatos el domingo por la noche, así como cualquier metadato que mostrase una actividad sospechosa;

Descartaría las variaciones en los patrones debidas a razones evidentes o a coartadas claras (gente que está de vacaciones, en el hospital, que acaba de perder su trabajo, etc.)

Esto me llevaría a estudiar con más detenimiento a aquellas personas no descartadas de esa lista.

Como ves, de un montón de gente a la que no podría investigar al mismo tiempo, puedo identificar rápidamente a unos pocos para hacerles seguimiento. Así que podría encontrarte y atraparte.

¿Y ahora qué?

Si las pautas de seguridad tradicionales no nos protegen como antes, ¿cómo nos adaptamos? No tengo las respuestas, pero para empezar diría que tienes que conocer tu red y tu plantilla.

Siguiendo con el ejemplo anterior: deja el bar a medianoche, vuelve a casa y deja el teléfono junto a la cama. Entra en las aplicaciones que normalmente abres antes de irte a la cama y pon la alarma a las 10 de la mañana. Vuelve al bar sin el teléfono. Levántate a las 10 de la mañana y comprueba tu Signal. Arrástrate hasta clase o pídele a una amiga que viaje con tu abono de transporte y no uses tecnología en tu casa mientras se dirige a clase con tu abono. Cíñete a tu plantilla. No apagues tu teléfono.

Otra opción es que manipules tu red, pero eso es mucho más complicado de hacer. Para lograrlo tendrás que dejar de usar tu smartphone en general y cesar toda actividad social en Internet (esto requiere mucha motivación). De esta forma, conocer tu plantilla de datos y asegurarte de que cuando llegue el día parezca un día convencional te será mucho más fácil.

Algunas de las antiguas reglas aun se aplican: no hables sobre el delito grave cerca de dispositivos con micrófono, no alardees sobre las acciones que han salido bien, etc. Otras reglas como «apaga el teléfono cuando planees acciones ilegales», necesitan revisarse porque alteran mucho tus metadatos. Nadie más desconecta su teléfono. Parecemos sospechosos cuando lo hacemos.

Esta no es más que una idea sobre cómo podríamos actualizar nuestras pautas de seguridad. Puede que haya otras personas con ideas diferentes o mejores sobre cómo proceder. Si comenzamos una conversación, podremos llegar a alguna parte.

Conclusión: tenemos que seguir adaptándonos

A medida que la tecnología avanza emerge más información, incluidos datos sobre los que tenemos muy poco control. Hay cada vez más ejemplos, como los televisores inteligentes o SmartTV y los propios teléfonos inteligentes que se dedican a escuchar lo que decimos e incluso el tono de nuestra voz cuando hablamos. Hoy en día, los proyectos de análisis de datos usan programas que leen las matrículas de los coches y buscan correlaciones en los patrones de tráfico. Están comenzando a hacer lo mismo con el reconocimiento facial, por lo que la presencia de nuestra cara en el espacio público se convertirá en parte de nuestros metadatos. Más información significa más precisión en el análisis de los datos. Nuestros metadatos son cada vez más extensos, lo que dificulta cada vez más manejarlos o replicarlos completamente. Eso significa que tendremos que adaptar nuestras contra-medidas si queremos ocultar algo.

¿Cómo podemos manejar todo esto? No lo sé. Pero debemos tratar de entender toda esta mierda. Estas no son más que unas ideas sobre qué pautas de seguridad podríamos utilizar en la actual era del big data y su análisis masivo.

NOTAS:

  1. Signal es una aplicación para smartphones que asegura la confidencialidad e inviolabilidad de los mensajes intercambiados entre sus usuarios, incluso ante el requerimiento legal de un gobierno, el que sea, decidido a obtener el contenido de los mensajes de un usuario concreto. Al menos esa es la teoría. En cualquier caso, es un método de comunicación en principio más seguro que WhatsApp, Telegram y similares, por lo que es usado con frecuencia por personas interesadas en preservar su legítimo derecho a la intimidad.
  2. Eres libre de distribuir y rehacer este texto sin necesidad de hacer referencias. Una versión en inglés de este texto puede encontrarse aquí: https://labur.eus/zJCd6

Utzi erantzuna

Zure e-posta helbidea ez da argitaratuko. Beharrezko eremuak * markatuta daude