Gobiernos espían WhatsApp y Telegram mediante ‘usuarios silenciosos’

Agencias de inteligencia en Reino Unido buscan la forma de eludir el cifrado de extremo a extremo

Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan que oficiales de inteligencia en Reino Unido proponen una “solución” a uno de los principales problemas que enfrentan las agencias de aplicación de la ley. Dada la incapacidad de las agencias policiacas para interceptar las comunicaciones a través de servicios como WhatsApp, los funcionarios del gobierno británico proponen que las agencias de aplicación de la ley participen en los chats o llamadas como “usuarios silenciosos”.

Un primer antecedente de esta clase de políticas fue discutido en privado por funcionarios estadounidenses durante la administración de Barack Obama, aunque esta es la primera vez que una medida similar es promovida de forma pública por un gobierno en cualquier país.

Crispin Robinson e Ian Levy, funcionarios del GCHQ (una de la tres agencias de inteligencia en Reino Unido), incluyeron la propuesta en un artículo publicado la semana pasada, detallando una serie de principios pensados para reducir la polémica que rodea al acceso a evidencia digital protegida con cifrado por parte de los proveedores de los diferentes servicios de comunicaciones.

Expertos en forense digital señalan que la polémica surgió debido al incremento de servicios de comunicación con cifrado de extremo a extremo, presente en servicios de mensajería como WhatsApp o en la configuración de privacidad predeterminada en los dispositivos Apple. El punto más alto de este debate llegó con un caso presentado por el FBI al tratar de acceder al iPhone de un presunto terrorista, el equipo fue bloqueado por Apple.

Aún no ha sido emitida resolución alguna por parte de alguna autoridad, pero Levy y Robinson esperan que su iniciativa reactive el debate sobre la necesidad de las autoridades por acceder a la información cifrada en casos de ser necesario.

“Sería relativamente fácil para los proveedores de servicios de comunicación agregar a las agencias de aplicación de la ley como ‘usuarios silenciosos’ durante una llamada telefónica o en un grupo de chat de WhatsApp, por ejemplo”, menciona Levy, Director del Centro Nacional de Seguridad Cibernética del GCHQ, en conjunto con Robinson, director de criptoanálisis de la agencia. “El proveedor del servicio controla el sistema de identidad, por lo que decide quién es quién durante el uso de estos servicios”, mencionan los funcionarios. “En realidad, el cifrado de extremo a extremo seguiría presente, pero se agregaría un ‘extremo adicional’. Es la solución menos intrusiva posible”.

Esta solución ya cuenta con detractores. “Es una pésima idea”, afirma Matthew Green, experto en forense digital de la Universidad Johns Hopkins. “Servicios como WhastApp notifican a los participantes de un chat grupal cuando un nuevo miembro es incluido; eliminar esta función implica modificar todo el código de la aplicación. Crear un vacío donde antes no lo había significa crear una vulnerabilidad de seguridad”, menciona el experto; “la aplicación no puede mentirte acerca de la identidad de los usuarios con los que intercambiamos mensajes”.

Por su parte, la especialista en forense digital Lorrie Cranor de la Universidad Carnegie Mellon, considera que la medida “podría ser razonable sólo si este acceso se presenta en casos verdaderamente excepcionales y se apega a un proceso legal”. La especialista agregó     que “los usuarios deben ser conscientes de que el acceso a sus comunicaciones cifradas es posible”.