Artículos

Lo que todavía no sabemos de #PRISM, el programa secreto de la NSA — preguntas y posibles respuestas

 

por Carlos Castillo para Manzana Mecanica

La ley FISA (Foreign Intelligence Surveillance Act) de EEUU es una ley de 1978 que establece los límites de los programas de espionaje que EEUU realiza en otros países. Ha sido enmendada en numerosas ocasiones, sobre todo a raíz de los ataques del 11/S contra las torres gemelas. Su ámbito cubre las acciones de varios organismos que recolectan inteligencia sobre actividades de extranjeros, incluyendo la NSA (National Security Agency) y el Departamento de Justicia (DOJ) estadounidense.

La FISA establece un tribunal secreto (el Tribunal Secreto FISA) que autoriza una serie de órdenes FISA, que son también secretas. Las personas y empresas que reciban una orden FISA no pueden informar a nadie sobre ella. Por ejemplo, si Google recibe una orden FISA de entregar los correos de una persona, no puede decirle ni a esa persona ni a nadie que ha recibido dicha orden. No puede ni siquiera decir cuántas órdenes recibe cada año.

Poco se sabe sobre el tipo de datos que se solicitan en las órdenes FISA. El DOJ ha dicho que no puede revelar la interpretación que ha hecho del tipo de órdenes que puede solicitar, porque el Tribunal Secreto FISA se lo ha prohibido. Pero esta semana el mismo tribunal ha dicho que ellos no han exigido al gobierno que no revele el tipo de órden que emite.

En este contexto de secretismo, obtener información sobre PRISM, el programa de la NSA denunciado por Edward Snowden, resulta extremadamente difícil. Es por ello que la EFF (Electronic Frontier Foundation) ha preparado este documento detallando realistamente el peor y el mejor escenario posible sobre PRISM, basado en lo que sabemos hasta ahora.


Lo que necesitamos saber acerca de PRISM

Todavía hay mucha incertidumbre sobre el número de usuarios afectados por el programa de vigilancia PRISM de la NSA, en qué medida participan empresas, y cómo la NSA maneja estos datos. ¿La NSA recoge y examina regularmente una fracción importante de las comunicaciones en la “nube” de los usuarios de Internet estadounidenses y extranjeros? ¿La agencia presenta pruebas y busca una revisión judicial cuidadosa, para obtener cantidades limitadas de datos de usuarios relacionados con investigaciones específicas? ¿O la respuesta está en algún punto intermedio, con consultas que pueden ser construidas de manera que un algoritmo analiza la mayoría o todas las cuentas, identificando un conjunto más pequeño de cuentas “de interés”, cuyos contenidos se envían a la NSA?

Este artículo intenta exponer algunas cuestiones fundamentales que tenemos que responder para tener suficiente claridad sobre la vigilancia que se está haciendo, para poder tener un debate democrático informado.1 También damos nuestras aproximaciones a escenarios de “mejor caso” y “peor caso”, teniendo en cuenta lo que ya sabemos sobre el programa, para poner de relieve la variedad de posibles realidades.

Por cada empresa involucrada ¿cuántas cuentas por empresa han sido examinadas por la NSA?

Mientras que las empresas han negado dar a la NSA “acceso directo” a sus servidores, sus comunicados han sido redactados cuidadosamente y han admitido que cumplen con lo que ellos consideran órdenes legalmente emitidas, especialmente órdenes 702 de FISA2, y que resisten las órdenes que son demasiado amplias. El New York Times informó que algunas de estas órdenes pueden ser “un barrido amplio de inteligencia, por ejemplo todos los registros asociados a determinados términos de búsqueda.” Por desgracia, sin mayor concreción de las compañías detallando el número aproximado de cuentas de usuarios cuyos datos son afectados por este tipo de órdenes, estamos a oscuras acerca de exactamente qué tan amplias son éstas órdenes.

¿Podría la NSA, por ejemplo, pedir todos los correos electrónicos de Gmail que contengan la frase “puente Golden Gate”, enviados o recibidos en las últimas 24 horas? ¿O pedir todos los mensajes privados de Facebook de cualquier usuario que se haya registrado a través de una dirección IP asociada a un determinado país durante un período de un mes? ¿Existen solicitudes de información que deban continuar siendo proporcionadas en forma permanente? ¿Es la información filtrada por las empresas, de forma que no haya información sobre actividades de estadounidenses dentro de ella? Para tener una mejor comprensión del alcance de este programa, hemos invitado repetidamente a las empresas a proporcionar información más detallada en sus informes de transparencia o a través de otros documentos.

Nos alegra ver las conversaciones de Google y Facebook con el gobierno para obtener mayor libertad a la hora de publicar esta información en los informes de transparencia. Estas solicitudes deben ser tomadas en serio, y también alentar a la NSA en sí misma a ser más franca con la información que se recoge.

Mejor caso: La NSA envía un número pequeños de órdenes FISA 702 sobre investigaciones muy específicas y que afectan a sólo un pequeño número de cuentas de usuario, idealmente del orden de cientos o quizás miles de cuentas cada año.

Peor caso: las empresas reciben muy amplias órdenes FISA 702 que se traducen en enormes bloques de datos de usuario enviados a la NSA en forma regular o permanente, como los mensajes de correo electrónico de todos los usuarios en un país determinado, o cualquier correo conteniendo una frase como “puente Golden Gate”.

¿Qué información sobre las actividades de los usuarios se ha recolectado sin la cooperación de las empresas?

Hay muchas cosas que no sabemos acerca de lo que la NSA puede recolectar sin la cooperación de las empresas. Mientras que entidades como la NSA están en condiciones de reunir algunas formas de metadatos sin la participación de una empresa, el cifrado que utilizan empresas como Google y Facebook en los últimos años hace que sea difícil para la NSA obtener contenidos relevantes sin la participación de las empresas. Sin embargo, una interpretación de PRISM es que la NSA está usando tácticas agresivas como por ejemplo robar claves de cifrado privadas de los servidores de una empresa para llevar a cabo espionaje sin el conocimiento de ésta. Alex Stamos ha descrito una taxonomía de las posibilidades, que puede resultar útil para que los usuarios con conocimientos técnicos puedan entender las varias posibilidades que existen.

Mejor caso: La NSA no está monitoreando los metadatos o datos de contenido de usuarios, excepto a través de solicitudes legales y específicas realizadas a las empresas.

Peor caso: La NSA está monitoreando ampliamente metadatos de usuario y datos de contenido sin la participación de ninguna empresa.

¿Qué controles internos tiene la NSA sobre cómo se solicitan y se (mal)usan los datos?

En este momento sabemos muy poco sobre cómo la NSA utiliza los datos. Sabemos que los usa para fines de “seguridad nacional”, como el espionaje, las investigaciones sobre seguridad nacional y el seguimiento de la proliferación nuclear. Es seguro asumir que las agencias de espionaje de Estados Unidos controlan e intervienen en las actividades de negocio de otros Estados (ejemplo), así como otros asuntos, incluyendo política interna (posible ejemplo). Pero no sabemos con qué frecuencia pueden ser elegidos tales objetivos, o cuáles son las normas de las agencias de inteligencia de EE.UU. que podrían aplicarse a dichas actividades.

Aparte de los propósitos, hay otras preguntas importantes acerca de controles y equilibrios. ¿Qué nivel de certeza es requerido para solicitar información a las empresas? Una vez que esta colección se produce, pero antes de que una persona analice los datos, ¿cuáles son los procedimientos de minimización que tienen lugar para asegurar que los analistas sólo examinan los datos específicos necesarios para su análisis? ¿Son algunos datos borrados, y si es así, por qué se eliminan? ¿Qué porcentaje de los datos se elimina? Los datos sobre los estadounidenses ¿siempre se borran una vez que se sabe que pertenecen a estadounidenses? Para las personas que trabajan en la NSA manipulando información muy privada, tales como el contenido de un correo electrónico personal, ¿qué controles existen para evitar que esa persona haga mal uso de la información?

Mejor caso: Los datos sólo se buscan sólo cuando existe evidencia sustancial de terrorismo u otras actividades que puedan afectar a la seguridad nacional. Sólo se almacenan los datos relacionados con una investigación en curso, y sólo en la medida en que sea necesario. Los datos que no son relevantes se eliminan inmediatamente. Todo acceso de los empleados a los datos privados se registra y revisa periódicamente para detectar y evitar usos inapropiados o cuestionables.

Peor caso: Los analistas pueden hacer “expediciones de pesca” sin ninguna evidencia de fechoría. Los datos se almacenan de forma indefinida. Los datos irrelevantes no son descartados, incluyendo los datos nacionales sobre los usuarios de Estados Unidos. Hay poco control sobre cómo los empleados con acceso a los datos pueden utilizar las herramientas a su disposición, y como resultado, poca responsabilidad por parte de ellos.

————

Estados Unidos ha luchado durante mucho tiempo para reconciliar los principios democráticos con los imperativos de inteligencia. Encontrar el justo equilibrio es difícil, si bien puede haber argumentos legítimos de confidencialidad con respecto a las fuentes específicas y las operaciones, las interpretaciones legales y prácticas secretas son claramente la antítesis de los valores americanos: el público, a través del Congreso, tiene que decidir cuál es el límite de lo permitido. Este proceso de gobernanza fundamental sólo es posible si existe transparencia. Afirmaciones inverosímiles y sin fundamento que ponen en peligro aún más la seguridad nacional, erosionan la confianza del público estadounidense en la comunidad de inteligencia. Esperamos que la NSA elija un camino mejor: desclasifique adecuadamente la información, trabaje con las empresas para conocer el alcance de sus programas de vigilancia, y gane la confianza de la opinión pública estadounidense. Instamos a que se unan a nosotros en hacer las preguntas difíciles.

1. Tenga en cuenta que las siguientes preguntas son acerca de las fuentes sobre la recogida de información y el alcance de esta colección, pero no se centran en “PRISM” en sí mismo. Así evitaremos los juegos de palabras que los funcionarios de agencias gubernamentales y de inteligencia han jugado para evitar dar respuestas sustantivas acerca de la vigilancia que realmente tiene lugar.

2. Órdenes FISA-702 son las referidas a 50 USC § 1881a.