lunes, 10 de junio de 2013

PRISM o el ciberespionaje : cronología, qué es y qué explicaciones han dado los implicados


Hace unos días saltaba la noticia: la NSA y el FBI de Estados Unidos podrían haber tenido acceso directo durante los últimos años a los servidores de compañías de servicios y fabricantes importantes, como Google, Facebook, Apple o Microsoft. Esto se desprendía de una serie de diapositivas que ofrecían detalles sobre el programa PRISM que publicaban varios medios y que, posteriormente, corrieron como la pólvora por Internet.

Tal fue el revuelo generado que pronto las compañías implicadas no tardaron en ofrecer declaraciones oficiales negando su conocimiento sobre PRISM y su posible participación dentro del programa. Pero no fueron los únicos que tuvieron que salir a dar explicaciones: hasta el propio Barack Obama se refirió a esta polémica en la sección de preguntas de una de sus ruedas de prensa. Aunque aún faltan muchos detalles por concretar, os detallamos toda la información que se conoce hasta el momento a continuación.

Las diapositivas de la discordia



En total, el jueves 6 de junio The Washington Post y The Guardian publicaban cuatro diapositivas de un supuesto documento de 41 páginas en el que se detallaba el funcionamiento de PRISM. En la primera de ella, sobre estas líneas, pueden verse dos datos importante: el primero es que no es un programa en desuso, ya que data de abril de 2013, y el segundo es que se refieren a él como el más utilizado dentro de la NSA para la obtención de datos.


En la segunda página filtrada destacan la importancia de Estados Unidos como nodo de telecomunicaciones y se hace una breve descripción del funcionamiento de las mismas. “Muchas de las comunicaciones a nivel mundial atraviesan Estados Unidos”.


En esta tercera diapositiva se aprecia, por un lado, los proveedores participantes actualmente. A la derecha figuran los datos que estos ofrecen a las autoridades, junto a un misterioso “peticiones especiales” que no ofrece muchos más detalles.

2007: Microsoft
2008: Yahoo
2009: Google, Facebook, PalTalk
2010: YouTube
2011: Skype, AOL
2012: Apple

Otras, como Twitter o Dropbox, no aparecen en el documento pero son mencionadas por los distintos medios. En el caso de Twitter, son varios los que notan su ausencia aunque no dan explicaciones para ello. En el caso de Dropbox, si bien no aparece en el eje temporal de las diapositivas, los medios lo nombran como futuro servicio a agregar.


Ésta última diapositiva es quizás la más interesante de todas. A diferencia de las otras cuatro, ésta no se lanzó el jueves 6 de junio, sino que The Guardian la publicó el sábado 8 de junio tras las numerosas negativas por parte de los servicios mencionados y de las autoridades sobre un posible “acceso directo a servidores”. En esta diapositiva se hace mención precisamente al acceso directo que todos niegan y se combina con el acceso a información recogida de comunicaciones pinchadas o similares.
Los servicios acusados lo niegan todo
Apple (Steve Dowling, portavoz):


No hemos escuchado hablar de PRISM. No proporcionamos a ninguna agencia del gobierno acceso directo a nuestros servidores y cualquier agencia que quiera datos de un cliente debe poseer una orden judicial.

Facebook (Mark Zuckerberg, CEO):

Facebook no forma parte ni ha formado parte de ningún programa para dar a EEUU o cualquier otro gobierno acceso directo a nuestros servidores. Nunca hemos recibido una orden masiva o una orden judicial de ninguna agencia del gobierno pidiendo acceso a datos de forma masiva, como la que han recibido en Verizon. Y si lo hubiéramos hecho, hubiéramos luchado contra ella agresivamente. No habíamos escuchado hablar de PRISM hasta ayer

Google (Larry Page, CEO):

En primer lugar, no nos hemos unido a ningún programa que daría al Gobierno de EEUU (o a cualquier otro gobierno) acceso directo a nuestros servidores. El Gobierno de EEUU no tiene un acceso directo o puerta trasera para la información almacenada en nuestros datacenters. No habíamos escuchado hablar de PRISM hasta ayer. En segundo lugar, sólo ofrecemos datos a los gobiernos de acuerdo con la ley. Nuestro equipo legal revisa todas y cada una de las peticiones y frecuentemente rechaza aquellas que son demasiado genéricas o que no siguen el proceso correcto. Los informes que sugieren que Google está ofreciendo acceso abierto a los datos de nuestros usuarios son falsos, y punto”.


En total, todas las compañías que aparecen en los documentos filtrados (más Dropbox, a la que se hacía referencia como una futura participante) han negado ya bien en comunicados o directamente ante la prensa su colaboración con el programa PRISM, afirmando no conocerlo en absoluto. En TechCrunch tienen un resumen de las principales declaraciones.

Obama: “No se aplica a ciudadanos de EEUU”

No suele ser habitual que el mismo Presidente de Estados Unidos salga a ofrecer declaraciones por una polémica que le salpica directamente, pero con la filtración de PRISM Barack Obama se ha visto obligado a hacerlo cuando una periodista le preguntó por la situación al término de una de sus ruedas de prensa.

PRISM no es el único escándalo de “espionaje y privacidad” que la Administración Obama ha sufrido en los últimos días. También se supo (o más bien se confirmó) que la NSA recopila datos de todas las llamadas telefónicas que se hacen a diario con origen o destino dentro de su país. Respecto a esto, Obama reconoció esta monitorización aunque afirmó que sólo se recogían datos básicos, como el origen, el destino y la duración de la llamada.

Respecto a PRISM y la vigilancia electrónica, Obama afirma que el Congreso de su país está al tanto de estos programas y de hecho los aprobaron por mayoría, que existen diversos órganos que velan porque no se abusen de ellos y para evitar que cualquier autoridad pueda acceder a datos privados sin un motivo justificado, y, finalmente, que cumplen la Constitución.

Por último, Barack Obama fue un poco más allá a la hora de justificar y defender este tipo de iniciativas: “No puedes tener un 100% de seguridad y también un 100% de privacidad y 0 inconvenientes..
Las autoridades dan explicaciones

Además de Barack Obama, otras autoridades han salido ante las cámaras a ofrecer explicaciones sobre este polémico programa. James R. Clapper, Director de Inteligencia Nacional, emitió un comunicado aclaratorio sobre qué es PRISM y cómo funciona. Ofrecemos la traducción de los principales puntos a continuación:

PRISM no es un programa de recolección masiva de datos. Es un sistema informático interno del gobierno que permite la recolección autorizada de información extranjera de inteligencia a partir de proveedores de servicios de comunicaciones bajo supervisión judicial, tal y como está autorizado por la Sección 702 de la Foreign Intelligence Surveillance Act (FISA). Esta autoridad ha sido creada por el Congreso y se ha hablado públicamente de ella desde su nacimiento en 2008

Bajo la sección 702 de FISA, el Gobierno de EEUU no obtiene información unilateralmente de los servidores en EEUU de los proveedores de servicios de comunicación. Este tipo de información se obtiene con la aprobación judicial de FISA y con el conocimiento del proveedor basándose en una directiva escrita por el Fiscal General y el Director de Inteligencia Nacional.

El Gobierno no puede fijar a nadie como objetivo de este procedimiento de la Sección 702 a menos que exista un propósito apropiado, documentado, relacionado con la inteligencia extranjera y siempre que se crea que el objetivo extranjero está fuera de Estados Unidos. No podemos investigar a personas extranjeras incluso fuera del país sin una razón de inteligencia válida.

La Sección 702 no puede usarse para investigar ciudadanos estadounidenses ni otras personas que se encuentren en Estados Unidos. De la misma manera, la Sección 702 no puede utilizarse con una persona de fuera de Estados Unidos como objetivo si el propósito es adquirir información de una persona que esté dentro de Estados Unidos.

¿Acceso directo o facilidad para los procedimientos legales?

A raíz de todas las explicaciones facilitadas por las autoridades, algo parece claro: PRISM existe, aunque el funcionamiento de este programa se desconoce. Si bien todos los implicados niegan por activa y por pasiva un acceso masivo y no autorizado a los datos de los usuarios, en el documento filtrado sigue existiendo una mención clara a “acceso directo a los servidores” de los servicios allí nombrados.

Las autoridades, en cambio, dan a entender que el programa PRISM es otra cosa muy distinta. Tal y como recoge CNet haciendo referencia a una fuente interna, PRISM es parte de un proceso legal de recolección de datos, una herramienta más que facilita este proceso y que no es para nada secreta (ponen de ejemplo esta oferta pública de trabajo, donde se hace referencia a PRISM).

Según esta última teoría, PRISM se correspondería con el programa Planning Tool for Resources Integration, Synchronization and Management, que existe hace tiempo y que, como decimos, no es secreto. Por decirlo de alguna manera, PRISM sería una especie de sala online donde las autoridades piden información (con su correspondiente orden judicial) y los proveedores de servicios la entregan.

Sin embargo, las diapositivas filtradas (cuya autoría nadie ha puesto en duda a pesar de los numerosas negaciones) siguen insistiendo en un acceso directo a los servidores de las compañías, que tampoco han ido más allá en sus negativas de afirmar que no se produce dicho acceso directo. A pesar de todo, el artículo original de The Washington Post ha sido editado para eliminar alguna de las conclusiones obtenidas y que sugerían la existencia de un acuerdo para la recolección de datos masivos.

Toda esta situación nos deja muchas preguntas. ¿Estamos hablando entonces de una simple herramienta web que facilita el proceso legal por el cual un proveedor de servicios entrega los datos de un usuario cuando es un juez el que los pide? ¿Por qué no se aplica entonces a ciudadanos deEEUU? ¿Por qué aparecen estos servicios en concreto y no más, si todos deben atenerse a la misma ley? Seguramente iremos sabiendo más sobre este tema con el paso de los días, y es que la llama que ha encendido PRISM parece lejos de apagarse.

Cronología de un escándalo

6 de junio de 2013: The Washington Post y The Guardian publican las diapositivas que anuncian al mundo la existencia de PRISM.
6 de junio de 2013: Apple niega su participación en el programa PRISM.
7 de junio de 2013: Google niega su participación en PRISM a través de un post de Larry Page en el blog oficial.
7 de junio de 2013: Mark Zuckerberg, CEO de Facebook, responde “personalmente” a estas acusaciones y niega haber escuchado algo sobre PRISM con anterioridad a la información filtrada.
7 de junio de 2013: A lo largo del día, el resto de compañías mencionadas en las diapositivas van negando su participación en PRISM.
7 de junio de 2013: Barack Obama se refiere al asunto en una rueda de prensa.
8 de junio de 2013: James Clapper, Director de Inteligencia Nacional, niega el acceso indiscriminado a datos y da explicaciones.
8 de junio de 2013: The Guardian publica una quinta diapositiva que hace referencia a un “acceso directo a los servidores” de los proveedores.

Otros enlaces de interés

Interesante cronología que empieza con los ataques del 11 de septiembre de 2011 y lleva hasta la actualidad.

Explicación diapositiva a diapositiva de los detalles más interesantes que se pueden apreciar en el documento filtrado a los medios.

Fuente: Genbeta

No hay comentarios:

Publicar un comentario