Cómo ser anónimo en internet

La digitalización masiva de una gran parte de los sectores económicos —incluyendo algunos tan sensibles e importantes como la banca— ha dado lugar a un amplio debate acerca de la protección de la identidad y la privacidad de los usuarios en el entorno digital.

En el mundo actual, gran parte de la población comparte de manera digital datos tan críticos como sus afiliaciones políticas o religiosas —las cuales gozan de una protección especial de acuerdo al artículo 16 de la Constitución española de 1978—; sus cuentas bancarias, o su correspondencia online.

Como consecuencia, en los últimos años se han venido desarrollando leyes con la única finalidad de blindar los datos personales de las personas. De hecho, con arreglo al artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea —proclamada el 7 de diciembre del año 2000— “toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan”.

Asimismo, el artículo 8.2 de dicha Carta especifica que “estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamentado legítimo previsto por la ley”.

Sin embargo, todo el ordenamiento jurídico concerniente a la protección de los datos personales se viene abajo si se tienen en cuenta los documentos de inteligencia filtrados en los últimos años que hacen referencia a la existencia de programas de vigilancia masivos.

Datos generales acerca de la privacidad en internet

Internet, groso modo, es una enorme y compleja red global que permite que seres humanos ubicados tanto en distancias próximas como en las antípodas puedan establecer comunicación de forma prácticamente instantánea. Para ello, internet hace uso de su espina dorsal: los cables submarinos de telecomunicaciones.

Estos cables unen todo el planeta: recorren los océanos Atlántico y Pacífico; sin olvidar el mar Mediterráneo, Negro o Arábigo. Forman lo que se denomina el internet backbone; esto es, el conglomerado mundial de múltiples redes. Están compuestos, por norma general, de fibra óptica —pues ofrece rápidas velocidades y un gran ancho de banda— y, de acuerdo a algunos documentos desvelados por el antiguo agente de inteligencia Edward Snowden, son una pieza fundamental en el espionaje ejercido por las agencias de inteligencia de Estados Unidos.

Según TeleGeography, empresa de investigación y consultaría focalizada en los mercados de telecomunicaciones, actualmente existen 293 cables submarinos. Esta cifra tiene en cuenta los cables activos, los que se encuentran en construcción y los que se espera que estén completamente financiados a finales de año.

Ser anónimo en internet: Mapa de los cables submarinos de telecomunicaciones
Mapa que muestra los cables submarinos de comunicaciones | TeleGeography

Estos cables suponen un gran interés para las agencias de inteligencia: de acuerdo a varias fuentes, son los encargados de transmitir el 98 % del tráfico de datos intercontinental, incluyendo el tráfico telefónico.

No obstante, ¿por qué se siguen utilizando cables submarinos y no satélites? Porque, tal y como relata el Comité Internacional para la Protección de los Cables Submarinos (ICPC), estos “permiten transmitir el tráfico de voz y datos con mayor fiabilidad y seguridad que los satélites”. De esta manera, “mientras que una llamada por satélite debe viajar 35.784 km de la tierra al satélite, y luego otros 35.784 km del satélite a la tierra, una llamada de fibra óptica transpacífica solo necesita viajar alrededor de 8.045 km de punto a punto”.

Tal cantidad de información no puede pasar desapercibida por las agencias de inteligencia; de hecho, los propios cables submarinos pueden servir para realizar análisis geopolíticos: en Corea del Norte, por ejemplo, no aterriza ningún cable, a pesar de que el país está rodeado de ellos; Cuba, por su parte, únicamente está unida a Venezuela y Jamaica gracias al cable ALBA-1; Estados Unidos, sin embargo, concentra un gran número de cables tanto en su costa Atlántica como en su costa Pacífica.

Lo preocupante es que, de acuerdo a los documentos revelados por Snowden, EE. UU. utiliza este privilegio para interceptar el tráfico de datos que viaja a través de ellos. A esta recolección de datos se le denomina Upstream collection.

Ser anónimo en internet: Esta diapositiva muestra que la NSA tenía acceso a los datos transmitidos a través de los cables submarinos.
Esta diapositiva pertenece a un archivo robado por Snowden titulado PRISM/U S-984XN Overview or The SIGAD Used Most in NSA Reporting Overview. Es muy relevadora, pues muestra dos programas de vigilancia de la unidad SSO de la NSA: el programa Upstream, que recolecta datos de los cables de telecomunicaciones submarinos (se puede ver que las líneas marrones, que representan los cables, aparecen rodeadas con círculos azules), y el programa PRISM, que permite el acceso directo a los servidores de Microsoft, Yahoo!, Google o Facebook | edwardsnowden.com

Los Estados, por otro lado, pueden obligar —o cuanto menos presionar— a las empresas proveedoras de servicios de internet (conocidas por la sigla en inglés ISP) a proporcionar datos acerca de la navegación de un determinado usuario. Aunque este mecanismo de control puede ser utilizado de manera legítima, un uso indiscriminado cercenaría la aparente libertad que proporciona el pseudoanonimato de internet.

En el caso de España, la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones especifica que “los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones” deben conservar, “con respecto al acceso a internet, correo electrónico por internet y telefonía por internet” diversos datos, entre los que se incluyen “el nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono”; “la identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por internet”; o “la fecha y hora de la conexión y desconexión del servicio de acceso a internet registradas, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a internet a una comunicación, y la identificación de usuario o del abonado o del usuario registrado”.

Con todo, hay que tener en cuenta que se excluye del ámbito de aplicación de esta ley “el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas”.

Respecto al período de conservación de los datos, el artículo 5 establece que “la obligación de conservación de datos impuesta cesa a los doce meses computados desde la fecha en que se haya producido la comunicación. Reglamentariamente, previa consulta a los operadores, se podrá ampliar o reducir el plazo de conservación para determinados datos o una categoría de datos hasta un máximo de dos años o un mínimo de seis meses, tomando en consideración el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de un delito grave, previa consulta a los operadores”.

España obliga a los operadores de servicios de comunicaciones a conservar datos de los usuarios.Haz click para twittear

Para facilitar estos datos a los “agentes facultados”, la ley especifica claramente en el artículo 1 que debe existir “la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales”. Este artículo es clave: impide que el Estado se extralimite poniendo coto a la cesión de estos datos. Sin embargo, en otros Estados la seguridad jurídica de los usuarios puede ser insuficiente.

En todo caso, no solo los ISP obtienen gran información sobre los internautas; las grandes empresas proveedoras de contenido, como Alphabet, Facebook o Twitter, también adquieren ingentes cantidades de datos que han de tratar conforme a las legislaciones vigentes en cada Estado o territorio.

Entre estos datos se encuentran aquellos que son proporcionados por los usuarios de forma deliberada y directa (como el nombre o la fecha de nacimiento), pero también se encuentran otros que se recolectan de una manera menos transparente (como la dirección IP).

Los Estados requieren información a estas empresas de manera periódica. Estos requerimientos pueden ser legítimos, pero también pueden obedecer a órdenes polémicas. Como ejemplo, es posible destacar que el informe de la organización Freedom House Freedom On The Net 2016 concerniente a Turquía afirma que el presidente del país, Recep Tayyip Erdoğan, presentó “denuncias penales contra más de 250 personas por ‘insultarlo’ de forma online”, a la par que ha denunciado a otras “2.000 personas por ‘insultarlo’ por cualquier otro medio desde que fue elegido presidente en agosto de 2014”.

Así, en determinadas ocasiones el anonimato es fundamental pues, continuando con el ejemplo anterior, cualquier persona que exponga en una red social un comentario en contra del presidente de Turquía puede verse inmersa en un proceso judicial. La creación de un perfil fake puede no ser suficiente garantía, ya que la IP requerida a la empresa pertinente, entre otros datos, podrían ocasionar que las autoridades turcas dieran con la identidad del creador de dicho perfil.

España ha hecho uso de su capacidad recolectora en diversas ocasiones. Como ejemplo legítimo, es posible citar los autos de prisión provisional dictados por la Audiencia Nacional para Abdessamad Ghailani Hassani y para Zouhair Terrach, yihadistas “en proceso de radicalización avanzado” detenidos en Madrid el pasado 25 de mayo.

En ambos autos se establece que el juez permitió la intervención de las “comunicaciones telefónicas y telemáticas”; como fruto, se detectó que ambos visitaban “con mucha frecuencia páginas-perfil de Facebook que abordaban la temática del terrorismo yihadista”.

¿Quién compartió estos datos con las autoridades competentes? Según el auto referente a Abdessamad Ghailani Hassani, los investigadores obtuvieron la información gracias a “la compañía Facebook Ireland LTD” y a Vodafone, empresa que proporcionó, incluso, la dirección MAC del dispositivo informático con el que el yihadista realizaba las conexiones a sus distintos perfiles de Facebook.

Auto_Abdessamad

Requerimientos de información de España dirigidos a Google, Twitter y Facebook

Entidades gubernamentales y no gubernamentales solicitan regularmente datos a estas tres compañías. Las solicitudes deben basarse en fundamentos jurídicos y, tras ser revisadas, pueden ser aprobadas o rechazadas —este último caso suele ocurrir con solicitudes muy generales o que dañan la libertad de expresión—.

Google. Según datos de la propia compañía, de julio a diciembre del 2016 recibió 728 solicitudes legales relativas a datos de usuarios. Se generaron datos únicamente para el 39 % de estas solicitudes.

Twitter. La empresa radicada en la ciudad estadounidense de San Francisco recibió, del 1 de enero al 30 de junio del 2016, 117 requerimientos de información sobre cuentas, normalmente en relación con investigaciones criminales. Se proporcionó “cierta información” para el 57 % de los requerimientos.

En el caso de Twitter, es destacable el hecho de que rechace las solicitudes “que tienen como objetivo determinar la identidad de los usuarios anónimos”, pues prima “su derecho a la libertad de expresión garantizado por la Primera Enmienda de la Constitución de Estados Unidos”.

Facebook. La empresa fundada y dirigida por Mark Zuckerberg recibió, de julio a diciembre del 2016, 825 solicitudes relacionadas con procesos legales: afectaban a más de 1.000 cuentas y usuarios. Finalmente, se generaron datos para el 55.52 % de las solicitudes.

Las redes de anonimato

El objetivo de las redes de anonimato es ocultar la dirección IP del cliente, así como disminuir el riesgo de identificación mediante el denominado device fingerprint, que implica la recolección de datos como el sistema operativo o navegador utilizados. La red de anonimato Tor es probamente la más madura; no obstante, también existen otras como Freenet o I2P.

Para poder disponer de las ventajas que ofrece Tor no es necesario tener grandes conocimientos informáticos; en la mayoría de las ocasiones únicamente es necesario descargar y ejecutar un navegador habilitado para surcar esta red denominado Tor Browser.

Con Tor Browser, el cliente enmascara su identidad utilizando los nodos que voluntarios de todo el mundo configuran y operan. De esta manera, los servidores de destino reciben información errónea sobre el cliente.

Con respecto al device fingerprint, lo que Tor pretende es que los clientes parezcan más o menos iguales: de esta manera, es muy complicado poder identificar a un cliente con datos demasiado generales e imprecisos. Además, gracias a Tor los ISP únicamente pueden saber que el usuario está usando la red Tor, pero no les es posible conocer el servidor de destino de los datos.

Ser anónimo en internet: Mapa de los nodos de Tor
Mapa que muestra la localización de los nodos de Tor | tormap.void.gr

Tor utiliza un sistema de cifrado propio que puede conjugarse con el protocolo HTTPS para proteger los datos ante posibles intercepciones o ataques man-in-the-middle. No obstante, este cifrado propio termina en el nodo de salida en caso de conexiones a sitios web convencionales, si bien se mantiene en conexiones a servicios ocultos .onion.

En general, y a no ser que hicieran uso de las vulnerabilidades de Tor —las cuales son complejas de explotar—, las agencias de inteligencia no podrían conocer los datos enviados a través de Tor ni la localización del emisor, ni siquiera utilizando el ya mencionado método conocido como Upstream collection.

Los servicios ocultos de Tor

Los clientes pueden no ser los únicos interesados en proteger su identidad y localización. Piénsese, a modo de ejemplo, en un tenedor de información confidencial con deseos de publicarla de forma anónima: podría hacer uso de los servicios ocultos .onion.

Los servicios ocultos, internos en la propia darknet de Tor, pueden estar basados en protocolos muy distintos: FTP, SQL, SSH, IRC, HTTP…; en general, cualquiera basado en TCP, pues los protocolos UDP e ICMP no son aceptados.

El principal objetivo es anonimizar al proveedor del servicio. ¿Cómo se consigue esto? Creando un circuito a través de un complejo sistema que evita las conexiones directas cliente-servidor.

Ser anónimo en internet: Conexión cliente Tor-Servicio oculto
Conexión de un cliente Tor contra un servicio oculto. Ambos extremos mantienen su anonimato al quedar resguardados por tres nodos. Un nodo de comunicación llamado rendezvous point es el punto en común tanto del cliente como del servicio oculto | The Tor Project

Cualquiera puede instalar un servicio oculto; de hecho, es muy sencillo. No obstante, es necesario ser cauteloso: los servicios ocultos están expuestos a ataques. Anonimato no equivale en ningún caso a seguridad. Las fugas o leaks de información pueden destruir el anonimato de un servicio oculto y pueden permitir dar con la identidad del creador, por lo que en caso de querer montar un servicio oculto se recomienda tener cierta experiencia en cuanto a montaje de servidores y seguridad informática.

¿Quién hace un uso legítimo del anonimato proporcionado por Tor?

Según comunica The Tor Project —organización fundada en diciembre de 2006 que se encarga de mantener Tor—, personas de muy diferentes ámbitos utilizan esta darknet para llevar a cabo diferentes actividades.

Así, militares y policías utilizan Tor para monitorizar a posibles delincuentes sin revelar su localización; periodistas en entornos de vigilancia extrema evitan compartir su verdadera dirección IP y, de esta manera, eluden una posible detención; e incluso usuarios convencionales usan Tor para evitar que sus ISP conozcan sus pautas de navegación, pues valoran su privacidad.

Además, tal y como afirma la organización, el anonimato puede servir para que determinadas personas, como aquellas temerosas de participar en debates políticos por miedo a represalias, puedan hacerlo sin miedo. De esta manera, Tor, y el anonimato en internet en general, puede ayudar a fomentar los derechos civiles y políticos.

¿Cómo ser anónimo en internet?
5 (100%) 1 voto

Comentarios

E-mail is already registered on the site. Please use the Login form or enter another.

You entered an incorrect username or password

Sorry, you must be logged in to post a comment.