¡¡Abre los ojos!!
En el momento de elaborar esta tribuna –mediados de mayo– y de cuando esta vea la luz, tal vez se sepa ya o tal vez no, cómo habrá terminado el mediático incidente del espionaje/vigilancia a políticos independentistas catalanes o al mismo presidente de gobierno Pedro Sánchez, y algunos de sus ministros, pero estoy casi seguro de que habrá dejado de ser una noticia pues la retentiva del gran público es cada día más breve. Sin embargo, debemos tratar el tema con algo más de calma si queremos entender qué está pasando con el espionaje/vigilancia en estos años de tecnología digital.
En 1997 Alejandro Amenábar sorprendió al público consiguiendo en su película “Abre los ojos” vaciar la Gran Vía de Madrid como sólo el pintor Antonio López1 lo ha conseguido en uno de sus cuadros hiperrealistas o el fotógrafo Ignacio Pereira2 en varias de sus inquietantes fotos. En esa película los planos oníricos y la realidad se entrecruzan al más puro estilo de “La vida es sueño” de Calderón de la Barca (1635).
En esa película, un joven burgués, mujeriego, vanidoso, niñato y mal criado sufre un intento de homicidio suicida por parte de una de sus “capturas” y queda desfigurado. A partir de ese momento, su vida cambia radicalmente y se convierte en una horrible pesadilla en la que termina comprendiendo que lo que cree vivir realmente no existe, y que su realidad es otra muy distinta que con mucho miedo y dolor tendría que descubrir.
Jorge Dávila Muro
Consultor independiente. Director.
Laboratorio de Criptografía. LSIIS.
Facultad de Informática. UPM.
jdavila@fi.upm.es
La realidad física y temporal existe independientemente de que haya observador para verla, sin embargo, nosotros los seres vivos, y muy especialmente los humanos, necesitamos conocer, entender esa realidad para poder sobrevivir en ella. Ese conocimiento queda circunscrito a lo que de ella podemos observar y comprender. Si eso es así para los individuos, aún lo es más para sus colectividades, sus sociedades, sus estirpes.
Un gobierno tiene como único objetivo gobernar a una colectividad, y si es posible elegir, prefiero los que lo hagan de forma democrática en la que ese gobierno sólo persigue el interés de la mayoría ciudadana y no la de sus propias oligarquías o incluso intereses extranjeros. Para gobernar es necesario tener la mayor cantidad posible de información y que ésta sea lo más exacta, precisa y detallada que los métodos de observación permitan en cada momento.
El espionaje o la obtención de Inteligencia es el acto de obtener información secreta o confidencial de fuentes no reveladas o divulgar esa información sin permiso de su titular a cambio de conseguir un beneficio por ello. Los que se dedican a conseguir esa información se llaman espías y pueden organizarse en grupos (“anillos”) para actuar al servicio de un gobierno, de una compañía mercantil o incluso una organización criminal. Esto del espionaje está muy extendido en las sociedades humanas de todos los tiempos.
Una práctica esencialmente clandestina
La práctica del espionaje es esencialmente clandestina y casi siempre, depende de para quién, es muy mal recibida. Sin embargo, en algunas circunstancias, el espionaje puede ser legal cuando se utiliza como medio para un fin superior, como en el caso de ser una herramienta para obligar/conseguir el cumplimiento de la Ley, pero en general es una actividad ilegal y punible por la Ley. El tratamiento del espionaje es uno de los mejores ejemplos de ambivalencia moral en la cual es bueno cuando espío yo y es malo cuando otros me espían.
De siempre, el método más efectivo de espiar es infiltrando uno o varios espías humanos dentro de la organización de la que se quiere extraer la información. Ese es el cometido esencial del espía y sus objetivos son de todo tipo, aunque casi siempre se centran en la identificación de activos, el robo de tecnología y el sabotaje en cualquiera de sus formas. Actualmente, la digitalización de la sociedad y sus activos, ha ofrecido la posibilidad de que los agentes que se infiltran sean artefactos lógicos (malware) y hagan las mismas funciones, pero dentro del medio digital en el que habitan.
La contrainteligencia es la práctica contraria, y mediante la cual uno se protege del espionaje de otros y de la divulgación de información propia fuera de los ámbitos que le son propios. Prácticamente todas las naciones tienen leyes muy severas que penan a los que las espían (traidores), pero, sin embargo, cuando son ellas las que espían a otros, los beneficios son tan grandes que ninguna nación, pueblo o gran compañía mercantil se resiste a no practicar el espionaje (héroes) con las capacidades que su PIB o patrimonio les permita.
El espionaje es consustancial a la sociedad humana, por poner un ejemplo dentro de nuestro poso cultural, la Biblia incluye la historia de Rahab (Josué 2:1- 24) en la que dos espías hebreos, con la colaboración de una prostituta local, recopilan información muy valiosa que posteriormente permitió a los israelitas (Josué 6:10-27) conquistar la ciudad de Jericó3, “la ciudad de las palmeras”, y quitársela a los palestinos que, por aquel entonces, se llamaban cananeos. Está claro, la cosa viene de lejos.
Cuando el amable lector llegue a estas líneas, no sé cómo habrá terminado el incidente de las escuchas/exfiltraciones a políticos independentistas catalanes o al Presidente de Gobierno Pedro Sánchez, a su Ministra de Defensa, al Ministro de Interior y al Ministro de Agricultura Pesca y Alimentación, pero estoy casi seguro de que ya habrá dejado de ser una noticia, pues la retentiva del gran público a cualquier cosa es cada día más breve y efímera. Sin embargo, creo que debemos tratar el tema con algo más de calma si queremos entender qué está pasando con el espionaje en estos años de tecnología digital y, sobre todo, qué podemos esperar para años venideros.
Lo que está claro es que en el contrato social que tenemos con el estado, los ciudadanos hemos renunciado individualmente a nuestra defensa armada y, en el caso español, también nos hemos dotado de un sistema semifederal de gobierno organizado sobre autonomías de ámbito territorial. La defensa del territorio y del estado en su totalidad depende en exclusiva del gobierno central, y éste tiene y debe dotarse de la mejor y más abundante información de todo tipo que requiera nuestra existencia y el bienestar de todos los ciudadanos que aquí vivimos.
El gobierno central debe contar con una Agencia de Inteligencia española moderna y eficiente a su servicio que se encargue 1) de las funciones de obtención de inteligencia (interior y exterior) y 2) de las necesarias protecciones de Contrainteligencia para mantener a raya, en lo posible, a otras agencias de espionaje y agentes hostiles en general.
Cómo se obtiene la información y qué se hace con ella es algo que el tiempo y la historia han ido puliendo y adaptando a un gobierno democrático (supervisión judicial y control parlamentario de los fondos reservados). No tiene sentido debilitar este esquema, ni tampoco se puede pretender que sea algo muy distinto al que ya es.
El funcionamiento de las agencias de inteligencia está perfectamente definido y de lo único que debemos preocuparnos es de su correcto funcionamiento, y su lealtad y obediencia al gobierno democrático por razón del cual existen. Las responsabilidades de todo tipo que vayan asociadas son las actividades de esas agencias de inteligencia son del ministro o ministra del que depende, en este caso, el Director del CNI y el mismo CNI como tal y, por elevación, del Presidente de Gobierno y del Consejo de Ministros como ente colegiado.
Un escándalo de aquí con tres frentes
El reciente escándalo que viene ocupando a periodistas y tertulianos universales de toda hechura, tiene al menos tres frentes: 1) la vigilancia de políticos catalanes por parte del CNI mediante orden judicial del Tribunal Supremo, 2) la vigilancia de políticos catalanes cuya autoría, por el momento, es desconocida y que ha sido puesta de manifiesto por un informe de un Laboratorio de Ciberseguridad canadiense, y 3) los espionajes perpetrados en los teléfonos móviles del Presidente de Gobierno, la Ministra de Defensa, el Ministro del Interior y el Ministro de Agricultura, Pesca y Alimentación, que se sepan, por el momento.
El primer caso cumple la legalidad vigente y no parece haberse cometido ningún error procedimental, por lo que habrá que dejarlo como está a menos que renunciemos al acuerdo social en el que se basa nuestra sociedad en todos sus aspectos.
El segundo caso, como todos los casos que no están claros, es alimento propicio de múltiples especulaciones: posibles “cloacas del estado”, espionaje partidista (p.ej., Caso Kitchen4), empresas desbocadas metidas a agentes políticos (p.ej., Villarejo, BBVA e Iberdrola5), espionaje internacional interesado en complicarle el día a día a este país y a la UE en la que estamos metidos (p.ej., la DGED6 marroquí y el SVR ruso), etc. Sin autoría clara y documentada, en este segundo caso solo tenemos un escenario en el que algunos puedan hacer ruido, mucho ruido, tanto ruido como la atención del gran público permita, pero nada más.
En el tercer caso, lo más verosímil es que se trate de un caso de espionaje extranjero y que por aquello de preguntarse a quién podría interesar y a quién podría beneficiar directamente, la hipótesis de que sea Marruecos el que esté detrás de todo es muy razonable. Sin embargo, con lo que disponemos ahora, sigue siendo una hipótesis, por lo que nada puede hacerse que no sea cambiar de teléfonos y mejorar mucho la seguridad operativa de nuestro Gobierno en particular, de nuestra Administración Central y Autonómica en general, y de nuestra Sociedad civil ya que estamos en ello.
El episodio de espionaje que ha causado todo este revuelo lleva el nombre del blanco caballo alado (Pegaso) hijo post mortem de una de las tres Gorgonas7 (Medusa8) y con su padre siendo el propio Poseidón. Pegaso fue el colaborador necesario del muy ambicioso liquidador de monstruos llamado Belerofonte9, en el asesinato de la Quimera10 y en su victoria sobre las Amazonas11, y al que posteriormente Zeus, como castigo, lo convierte en una constelación.
Belerofonte obligó a Pegaso a llevarlo al Olimpo para convertirse en un dios, pero eso no le gustó nada a Zeus, y éste envió un insignificante mosquito que pica el lomo de Pegaso y precipita al vacío a Belerofonte sin matarlo. De este modo quedó lisiado Belerofonte en su caída provocada y vagó toda su vida apartado del resto del mundo y con tiempo de sobra para recordar su gloria pasada. Quizás sea la actuación de ese pequeño insecto lo que realmente haya llevado a los creadores12 del spyware Pegasus13 a ponerle ese nombre a su producto, y no el hecho obvio de que Pegaso fuese un caballo alado que, como el malware, cabalga a lomos del viento nocturno.
La vigilancia digital actual
Para entender el panorama de la vigilancia digital actual es necesario tener en cuenta que el primer incidente relacionado con spyware digital no implicaba a una Agencia de Inteligencia, sino a una empresa juguetera. Desde los albores de este siglo XXI, por spyware se entiende cualquier software diseñado con el fin de espiar los sistemas en los que se ejecuta. Al final del año 2000, un padre que utilizaba el firewall personal ZoneAlarm descubre que un software educacional para niños pequeños conocido como “Reader Rabbit” (1983) de la empresa Mattel14, estaba mandando información privada de vuelta a la empresa madre sin decir nada a nadie, con lo que es el primer ejemplo documentado de vigilancia a través de un sistema digital. Más tarde se demostró que el propio cortafuegos ZoneAlarm estaba también espiando a sus clientes15. Se había abierto la Caja de Pandora.
Para los desmemoriados hay que recordarles que todo esto de las campañas de espionaje digital a políticos y empresarios ya había pasado antes. El 5 de julio de 2015, un desconocido consigue comprometer la cuenta de twitter de la compañía italiana Hacking Team16 que se dedicaba a la venta de capacidades ofensivas de intrusión y vigilancia digital. El suplantador anunció una brecha de seguridad en los ordenadores de esa compañía; en concreto el mensaje inicial decía, “Since we have nothing to hide, we’re publishing all our e-mails, files, and source code ...”, y lo acompañó con 400 gigabytes de datos de la compañía accesibles a través de Bittorrent y MEGA. En esa exfiltración se incluían todos los correos electrónicos internos, las facturas a sus clientes, y el código Fuente de su producto estrella RCS Galileo (Remote Control System).
El análisis del material exfiltrado ponía en claro que Hacking Team estaba relacionada con los ejércitos del Líbano y de Sudán y que sus herramientas de espionaje también se habían vendido a los gobiernos de Baréin y Kazajistán, con los que había negado públicamente haber hecho negocios ya que no cumplían el código ético de la compañía.
La responsabilidad de este ataque se atribuyó a un tal Phineas Fisher17 en twitter, que había atacado previamente a la firma Gamma International, y luego al sindicato de los Mossos D’Escuadra entre otros. En analogía con el caso de Hacking Team, Gamma International era una compañía que producía el malware conocido como FinFisher para la intercepción y vigilancia remota de objetivos y que la compañía realmente se lo vendía a gobiernos y empresas que pudieran pagarlo. En 2016 Phineas publicó en español e inglés detalles del ataque en la forma de un “how-to” y explicó las motivaciones del mismo18.
Entre los clientes de Hacking Team no solo había gobiernos de regímenes democráticos, sino que también corporaciones tales como Barclays y British Telecom (BT) del Reino Unido, así como el Deutsche Bank alemán. Como parte de la exfiltración se publica una lista completa de los setenta clientes19 de Hacking Team entre gobiernos, policías y gobiernos autonómicos. En aquella ocasión, entre sus clientes también estaba el Centro Nacional de Inteligencia20 español con un gasto total de 538.000 euros. En abril de 2019 el grupo italiano InTheCyber21 compra lo que quedaba de Hacking Team22 y crea Memento Labs23.
Si lo pensamos bien, lo único nuevo que hay en todo esto del espionaje es que hoy 1) existen los teléfonos móviles que van pegados al individuo que representan, 2) que son todos digitales (tecnología joven e inmadura), 3) que se construyen sobre hardware extremadamente reciente, 4) que corren software absolutamente inmaduro (iOS, Android, etc.) que se va corrigiendo según los malos tienen a bien informarnos de dónde han encontrado los fallos útiles (también hay fallos que todavía no son útiles para el espionaje y la tele vigilancia, pero que pueden acabar siéndolo), y 5) que 15 años de Redes Sociales han dinamitado los conceptos de intimidad, pudor, autocontrol, mesura, proporcionalidad, solidaridad y la percepción de un mismo destino colectivo del alma de todos nosotros, los ciudadanos.
El capitalismo de la vigilancia y del espionaje digital y automático
Todavía no somos suficientemente conscientes del capitalismo de la vigilancia24 y del espionaje digital y automático que desde 2006 hemos permitido crecer como un cáncer en las entrañas de la inocente, pero también primitiva, Internet de 1995. Tan atractiva y adictiva es su oferta digital, que las vetustas Agencias de Inteligencia, las Fuerzas Armadas, las Policías, etc., cada día dependen más de los artefactos digitales que como Pegasus, fabrican otros y nosotros los compramos, los usamos y los sufrimos. Al final, el dueño del spyware es el que realmente tiene el poder y puede conducir, ajustar, gobernar en nuestras sociedades. Más aún, ni siquiera el dueño del spyware es el que manda, sino los intereses económicos y geoestratégicos que hay siempre detrás de ellos.
Trabajar con inteligencia y secretos no es algo que se pueda hacer como quien vive normalmente la vida de un ciudadano o ciudadana confiada, que disfruta de los beneficios de una sociedad democrática, moderna e integradora y razonablemente segura en la que todos nos gusta vivir. Los secretos y la inteligencia precisan de medidas de seguridad tanto estructurales como operacionales, por lo que los líderes políticos, económicos, sociales, etc., deben aprender y resignarse a aplicar las medidas de seguridad operativa que los muchos años y mucha experiencia han demostrado que son las que funcionan.
No tiene ningún sentido que esos líderes, lleven encima y en todo momento sus propios teléfonos móviles (cencerros digitales) y luego se gasten significativos presupuestos en tener gabinetes y secretarios que les arreglan la agenda. Muchos jefes del narcotráfico (aunque no todos25) muestran más disciplina en su seguridad operativa de comunicaciones que algunos de los dirigentes de las naciones y compañías más potentes del planeta.
No entiendo cómo todos esos líderes pueden no entender que, si de Seguridad Nacional estamos hablando, NO podemos esperar estar/operar libremente en grupos de WhatsApp, Instagram, Telegram o Tinder. No podemos esperar poder utilizar mientras estamos en el cargo el móvil más “molón” y más avanzado que haya en el mercado internacional.
No podemos utilizar Redes Sociales y con el mismo dispositivo y procedimiento pretender 1) dar órdenes y conocer información del estado y 2) gestionar la fiesta de cumpleaños de alguno de nuestros retoños o de la pareja misma. Y que conste que esto no se circunscribe y reduce al líder en sí, también se debe verse afectado su entorno familiar y social más próximo (Gabinetes, Secretarios y demás gentes/funcionarios de confianza).
Igual que vemos normal que las personas en puestos importantes/críticos debe estar físicamente protegidas de complots y lobos solitarios (que se lo pregunten a Olof Palme o a JFK y otros magnicidios memorables26), también deben aceptar que el puesto de líder incluye ciertos sacrificios incómodos, pero siempre necesarios, en todos los aspectos de su vida.
Compartimentalizaciones físicas, informativas, mentales y existenciales
Deberemos ser conscientes de que el trabajo de líder requiere compartimentalizaciones físicas, informativas, mentales y existenciales que no deben saltarse. Un miembro de cualquier gobierno, a todos los niveles, no puede considerarse un ciudadano de a pie, por supuesto cuando está en el cargo, y quizás tampoco durante cierto tiempo después de abandonar el cargo (no a las puertas giratorias).
Que nos espíen no debería ser causa de ningún escándalo ni sorpresa por nuestra parte, pues es la obligación de todas las agencias de inteligencia que nos rodean hacerlo, y hacerlo bien. Lo que sí debería ser algo a preocuparnos es el balance de éxitos o fracasos que tenemos en este Gran juego que es la obtención de Inteligencia.
La enseñanza de la Historia es clara, en nuestro caso, el Centro Nacional de Inteligencia debe continuar con su labor de dotar de Inteligencia y Contrainteligencia al gobierno central de nuestro país y hacerlo cada vez mejor (calidad, versatilidad, tenacidad, modernidad, autonomía, proporcionalidad, compromiso y lealtad).
Los servicios de Inteligencia y contrainteligencia del ejército y de las distintas Policías de nuestro país, también deben hacerlo mejor; cada uno en su ámbito tiene retos muy importantes a los que atender (sabotaje, delincuencia, etc.), y todo ello bajo las limitaciones constitucionales y legales que ya están marcadas. Sus fallos o veleidades tan solo nos pueden traer desgracias a los que confiados les entregamos (reversiblemente) nuestro derecho a la defensa propia y a vivir una vida plena, feliz y completa.
Además de los anteriores, toda la ciudadanía, tanto como ciudadano como trabajador, deberíamos ponérselo difícil a los que nos espían. No pensemos en la CIA, SVR, MSS27, DGSE28, DGED y muchas otras, y recordemos que nuestros espías/acosadores particulares y habituales son Alphabet29, Google, Amazon, WhatsApp, Instagram, TikTok, Meta Platforms30, y un largo etcétera.
Pocos éxitos y muchos fracasos nos llevan a tener un gobierno ciego, un estado inoperante, una sociedad desorientada y empachada de fake news y al albur de quien tiene el dinero para pagarlas. La falta de Inteligencia (la de las agencias y la natural), nos alejaría sin saberlo de la realidad que todos vivimos, que nos afecta y nos determina aunque nos neguemos a verla. ¡Abre los ojos! ... y no perdamos más el tiempo.
1 Ver “Gran Vía 1974-81” y https://www.antoniolopezweboficial.com/exposicion-virtual
2 Ver https://www.ignaciopereira.com/fotografias.html y https://www.traveler.es/experiencias/articulos/fotosmadrid-sin-gente/10465
3 Ver https://en.wikipedia.org/wiki/Jericho
4 Ver https://www.lasexta.com/noticias/nacional/calvino-cumple-prometido-borra-foto-foro-que-era-unica-mujer_20220510627a647a75d99f00010cce1f.html
5 Ver https://www.elconfidencialdigital.com/articulo/dinero/espionajes-iberdrola-florentino-perez-tambien-fuevigilado/20191018160652132715.html
6 Ver https://en.wikipedia.org/wiki/Direction_générale_des_études_et_de_la_documentation
7 Ver https://en.wikipedia.org/wiki/Gorgon
8 Ver https://en.wikipedia.org/wiki/Medusa
9 Ver https://en.wikipedia.org/wiki/Bellerophon
10 Ver https://en.wikipedia.org/wiki/Chimera_(mythology)
11 Ver https://en.wikipedia.org/wiki/Amazons
12 Ver https://en.wikipedia.org/wiki/NSO_Group
13 Ver https://en.wikipedia.org/wiki/Pegasus_(spyware)
14 Ver https://web.archive.org/web/20131103060440/http://www.usnews.com/usnews/culture/articles/000703/archive_015408.htm
15 Ver https://web.archive.org/web/20100312100354/http://www.theinquirer.net/inquirer/news/1008265/isfirewall-spying
16 Ver https://en.wikipedia.org/wiki/Hacking_Team
17 Ver https://en.wikipedia.org/wiki/Phineas_Fisher
18 Ver https://arstechnica.com/information-technology/2016/04/how-hacking-team-got-hacked-phineas-phisher/
19 Ver https://en.wikipedia.org/wiki/Hacking_Team#Customer list
20 Ver https://es.wikipedia.org/wiki/Centro_Nacional_de_Inteligencia_(España)
21 Ver https://www.inthecybergroup.com/it/
22 Ver https://www.key4biz.it/cyber-intelligence-nasce-memento-labs-dalla-fusione-delle-attivita-di-inthecybergroup-e-la-storica-hacking-team/252368/
23 Ver https://www.mem3nt0.com/en/
24 Shoshana Zuboff : “La era del capitalismo de la vigilancia: La lucha por un futuro humano frente a las nuevas fronteras del poder” . Ediciones Paidós (29 septiembre 2020) ISBN-13: 978-8449336935
25 Ver https://www.laprensagrafica.com/elsalvador/TELEFONO-SATELITAL-PUSO-AL-DESCUBIERTO-AL-CHAPO- tiempo. GUZMAN-20140224-0092.html
26 Ver https://www.perfil.com/noticias/elobservador/la-historia-de-la-bomba-puesta-bajo-la-cama-del-jefe-depolicia.phtml y https://www.infobae.com/sociedad/2021/06/18/anita-la-joven-montonera-que-se-hizo-amigade-la-hija-del-jefe-de-policia-y-lo-mato-con-una-bomba-debajo-de-la-cama/
27 Ver https://en.wikipedia.org/wiki/Ministry_of_State_Security_(China)
28 Ver https://en.wikipedia.org/wiki/Directorate-General_for_External_Security
29 Ver https://en.wikipedia.org/wiki/Alphabet_Inc.
30 Ver https://en.wikipedia.org/wiki/Meta_Platforms
