Un hacker contra el espionaje masivo

Moxie Marlinspike durante la entrevista, en Zurich. Foto / Keka López.

Moxie Marlinspike durante la entrevista, en Zurich. Foto / Keka López.

2013 ha sido el año del espionaje masivo de la National Security Agency (NSA) norteamericana. Y el año en el que un informático de rango medio de esa agencia, Edward Snowden, puso patas arribas la diplomacia mundial tras revelar estas prácticas al periódico The Guardian. Refugiado en Moscú huyendo de la CIA, probó que no solo Estados Unidos espiaba nuestras comunicaciones (y las de nuestros gobernantes), sino que la gran mayoría de Gobiernos europeos colaboraban en ello. Pero también ha sido el año de la resistencia a este espionaje, encarnada por el joven hacker anarquista Moxie Marlinspike. En 2010, Moxie había apuntado en una conferencia; “¿Quién sabe más sobre los ciudadanos de su propio país, el líder de Corea del Norte o Google? ¿Por qué Google causa entonces menos temor?”. Ya había sido entonces la primera persona en la historia en burlar los protocolos de seguridad de Internet, pero en 2011 giró su enfoque y fue a Egipto a proporcionar programas de comunicaciones seguras a los activistas de la Plaza Tahir.

Convertido hoy en uno de los principales informáticos del planeta, la prestigiosa revista Foreign Policy lo acaba de elegir como uno de los 100 pensadores mundiales del año. Señala que “sus programas [Textsecure y Redphone] y su mensaje han recorrido un largo camino hasta desafiar a los Estados y las empresas que nos espían”. Pero es un hacker atípico: marinero, surfista, cineasta, rockero y empresario autodidacta, ha convertido en máxima el “hazlo tú mismo”. ATLÁNTICA XXII entrevistó a Moxie Marlinspike en octubre en Zurich (Suiza), semanas antes del estallido del escándalo que marcó la agenda mediática mundial durante los siguientes meses. Reproducimos a continuación la entrevista, publicada en el número de noviembre de esta revista.

Moxie Marlinspike: “Violar ciertas leyes es positivo”

Por Dani Ripa (Zurich). Viene de Tel Aviv y al día siguiente irá a Roma, antes de volar a San Francisco, donde reside. ATLÁNTICA XXII aprovecha una escala de Moxie Marlinspike en Zurich, donde le espera alguno de sus más estrechos colaboradores. Hasta el final su presencia es una incógnita, algo habitual en uno de los hackers y expertos en seguridad informática más prestigiosos del mundo. Se niega a decir su edad o lugar de nacimiento y afirma que Moxie es un nombre “real”. Pero no es un hacker al uso. Viaja de costa a costa de polizón en trenes de mercancías, tiene una banda de rock y ha dirigido un documental. De forma autodidacta aprendió no solo a programar, sino también a navegar, surfear, hacer fuegos artificiales o manejar globos aerostáticos. Hace cinco años, este hacker anarquista saltó a la fama al anunciar un fallo de seguridad que permitía interceptar las conexiones SSL -https-, el protocolo de seguridad de Internet que usamos para leer el correo o hacer transferencias bancarias, hasta entonces infranqueable. Después hackeó a Comodo, la agencia de Internet que atestigua que una web es verídica, y hasta la revista Forbes le dedicó un artículo. Paypal canceló su cuenta y el Gobierno de Estados Unidos le incluyó en una lista de seguimiento especial. Su situación mejoraría cuando Twitter le compró Whisper Systems por una cantidad indeterminada (y con muchos ceros). En realidad, era una excusa para que les desarrollara su nuevo sistema de seguridad. Un año después, dejaría la empresa californiana para volcarse en su obsesión actual: desarrollar un programa de telefonía y mensajes que no pueda ser interceptado por Gobiernos u operadores de telecomunicaciones y que ya aplicaron los activistas egipcios en las revueltas de 2011. Su trabajo está de actualidad después de que Edward Snowden, informático de la Agencia de Seguridad Nacional americana (NSA) exiliado en Moscú, denunciara un programa masivo de espionaje en Internet de su Gobierno.

¿Cómo entra en el mundo hacker?

En los ochenta, el cine americano de acción giraba en torno a la Guerra Fría. Rusia siempre eran los villanos. Mi película favorita era Rocky, un pobre hombre del gueto que lucha contra un ruso cuyo cuerpo parece producto de la ingeniería soviet. Es una metáfora de cómo Estados Unidos quería verse a sí misma. Después de 1991, sin la URSS, los cineastas representaron a ex generales soviéticos renegados, pero solo funcionó un tiempo. Aunque después del 11-S el tema recurrente sería el terrorismo, hubo un período entre 1995 y 2002 en el que las películas giraban sobre el poder (los Gobiernos) contra la gente (como en Enemigo Público o El caso Bourne). Y reflejaba cómo los americanos estaban viendo el mundo: el enemigo era ‘interno’. En esos años nació la escena hacker. Y me marcó.

La ley estadounidense consideró durante años la criptografía como “armamento” y su difusión por Internet “venta de armas”.

Esa gente arriesgaba sus vidas. Y tenían menos apoyo porque Internet no existía como ahora. El informático Phil Zimmermann, por ejemplo, fue perseguido por el Gobierno de EEUU por desarrollar el código criptográfico PGP en 1991. La ley federal consideraba ‘armamento’ cualquier código de más de 40 bits. Y para evitar ser condenado hizo una de las cosas más brillantes que se recuerdan. En 1995, editó ese código informático en un libro del MIT, de forma que al escanearlo se reconociera el texto. ¡Ese libro era un programa informático! Pero al estar impreso lo amparaba la libertad de expresión, y así lo envió a todo el planeta.

Revolucionó el DefCon en 2009 tras hackear por vez primera las conexiones SSL. ¿Puede explicar por qué fue importante?

Era el protocolo de seguridad más utilizado en Internet y la mayoría de aplicaciones lo usaban. Millones de personas estaban expuestas y esa exposición podía ser usada por quien está en la mejor posición para hacerlo, quien está en el poder, para obtener información de todas nuestras actividades.

Moxie Marlinspike es experto en seguridad informática. Foto / Keka López.

Moxie Marlinspike es experto en seguridad informática. Foto / Keka López.

Desarrolló una ‘llave maestra’ que permitía hackear cualquier comunicación segura del mundo y lo hizo público. ¿No le tentó usarlo en beneficio propio?

Cuando encuentras algo así, debes asumir que alguien lo ha hecho antes. Probablemente, mientras anuncias eso, hay una reunión en otro lugar donde gente con mucho poder está dolida porque ese mecanismo ya no sirve y dicen “joder, tenemos que inventar otra cosa”.

A raíz de eso le detuvieron varias veces en los aeropuertos…

Fue una época de dos años en la que estuve en una lista de seguimiento del Gobierno de EEUU. No podía imprimir las tarjetas de embarque y tenía que llamar a un teléfono llamado “Secure Flight” para que me autorizaran volar. Si volaba internacionalmente, al llegar a EEUU los oficiales de aduanas me esperaban en la puerta del avión. Me escoltaban a una sala y analizaban mis dispositivos electrónicos. Nunca me dijeron por qué.

¿Qué hace la NSA de Estados Unidos, para la que trabajaba Edward Snowden?

Sabemos por las filtraciones de Snowden que han llevado a cabo grandes programas de vigilancia masiva a nivel internacional afectando a todo tipo de gente, dentro y fuera de EEUU. Un intenso programa de espionaje. Pero no conocemos los detalles. Lo más probable es que si envías o te envían un email la NSA lo intercepte y guarde una copia. ¡Y nunca lo van a borrar!

Pero los Gobiernos siempre han intentado espiarnos…

Lo que cambia con las nuevas tecnologías es la escala. En el viejo mundo, si querías saber dónde estaba una persona en cada momento, tenías que asignar un agente para que la siguiera. Y solo tenías un número limitado de agentes.

Esto evoca a La vida de los otros, donde el agente de la Stasi interpretado por Ulrich Mühe va cada día a una oficina a hacer escuchas de una familia…

Sí, ya no necesitas hacer eso, puedes saber dónde está cada ciudadano en cada momento. Tu teléfono es un dispositivo de localización y Facebook permite construir gráficos sociales: quiénes son tus amigos, quién y sobre qué habla contigo. Esto ha generado el surgimiento de compañías especializadas en vigilar comunicaciones y detectar a personas clave en una movilización y así un Gobierno, al perseguirlas, puede desactivar las protestas. Y todos los Gobiernos lo hacen.

Un argumento que se usa es “no tengo nada que esconder, uso Internet con mis amigos o compañeros de trabajo”.

Recientemente varios Estados de EEUU han legalizado la marihuana y los matrimonios entre parejas del mismo sexo. Ese cambio ha sido posible porque hubo personas que rompieron la ley. ¿Cómo alguien iba a querer legalizar esos matrimonios si las leyes de sodomía hubieran evitado las relaciones homosexuales? Violar ciertas leyes es positivo y solo es posible si no se puede controlar su cumplimiento perfecto. ¡Pero es que ni siquiera el Gobierno estadounidense sabe el número de leyes que existen! Fíjate, es delito federal poseer un bogavante menor de cierto tamaño. Imagínate que alguien tuviera acceso a todos los mensajes y llamadas que has enviado en tu vida, los lugares en que has estado… sería muy sencillo encontrar algo que técnicamente viola la ley. Si una organización tiene acceso a toda la información, puede elegir a quién quiere perseguir, cuándo o por qué y castigar arbitrariamente a cualquier persona.

George Orwell alertaba en 1984 del riesgo totalitario de que un Gobierno posea esa clase de información. ¿Estamos en ello?

Nos estamos aproximando, aunque no lo percibamos así… Desde el momento en que das un poder así a alguien, en algún momento lo va a usar.

“Tú eres el producto”

¿Somos clientes de Google y Facebook o somos los productos que venden?

Tú eres el producto. Lo que venden a las empresas de publicidad es acceso a ti. Por ello analizan los contenidos de tus e-mails y quieren que muestres tanto de ti como sea posible. Pero mira: Google solo quiere adaptar sus anuncios a lo que buscas. El problema es que encaja perfectamente con lo que interesa a la gente que vigila Internet. Cualquier Gobierno puede ir a Google y recoger esa información directamente, requerírsela legalmente o incluso puede infiltrar agentes en esas empresas.

También podemos no usar teléfonos o redes sociales…

No creo que podamos elegir. La tecnología está relacionada con hacer planes o quedar con gente. Llevar o no un móvil implica algo más profundo: participar o no en la sociedad.

Hace meses denunció que contactó con usted el mayor operador de telecomunicaciones del Gobierno saudí, Mobily, para interceptar comunicaciones.

No sé por qué contactaron conmigo. Pero lo deprimente es que me hubiera resultado muy sencillo hacer lo que me pedían: interceptar todos los e-mails o mensajes de Facebook o WhatsApp enviados y recibidos en su país. Además, muchos Gobiernos ni siquiera son conscientes de que los equipamientos que usan, desarrollados en EEUU, permiten con solo apretar un botón ‘pinchar’ las telecomunicaciones. ¡La infraestructura de Internet es extremadamente jerárquica! En Egipto, tras las protestas, el Gobierno simplemente apagó Internet.

Ahora desarrolla programas para realizar comunicaciones seguras, como Text Secure. ¿Es accesible para todos públicos?

Es el problema que trato de resolver. Si sabes usar WhatsApp, puedes usar Text Secure. Buscamos que sea gratuito, más fácil de usar y mejor. Eso permitirá evitar este tipo de espionaje y continuar participando en la sociedad mientras preservas tu privacidad.

Moxie Marlinspike en una conferencia. Foto / Keka López.

Moxie Marlinspike en una conferencia. Foto / Keka López.

Hacker y marinero anarquista

Dice que navegar fue una conquista de la clase media y para animar a la gente rodó Hold Fast.

Empecé a navegar accidentalmente. Pensaba que los barcos costaban millones, pero encontré uno por 1.000 dólares: el Pestilence. Lo arreglé junto a unos amigos y aprendimos a navegar sobre la marcha. Grabamos el documental porque solo había jubilados con barcos fabulosos. Queríamos desmitificar el navegar y fomentar que hubiera más ‘navegantes punk’. Y funcionó. ¡Hasta hacemos un encuentro anual en Guatemala!

También compró un globo aerostático en la otra punta de Estados Unidos…

Mi compañera de piso era estudiante e iba al gimnasio de la Universidad. Y tras cuatro años la llaman y le dicen: “Te hemos cobrado la tarifa equivocada y te debemos 600 dólares”. Iba a meter el dinero en el banco, pero le convencimos de que hiciera algo loco con él. Encontramos un globo en Arkansas por 500 dólares. Viajamos allí y usamos los otros 100 dólares para enviarlo por correo a San Francisco. Después, fuimos a la biblioteca para aprender cómo diablos se manejaba. Es la filosofía hacker: enséñate a ti mismo. Ya sea volar en globo, navegar, hacer surf, programar ordenadores, el secreto es empezar.

Trabajó un año en Silicon Valley para Twitter dirigiendo su programa de seguridad.

Es un lugar donde te lo facilitan todo: comidas, transporte, lavandería. Los jóvenes que trabajan en compañías así no han tomado nunca ninguna decisión. ¡Ni siquiera lavarse la ropa!  De la escuela a la universidad y a esa empresa. Te preparan para que hagas ese camino y sigas esas decisiones fijadas. Muchos jóvenes me preguntan: “¿Cómo entro en la industria de la seguridad informática?”. Les digo: “No lo hagas, haz cualquier otra cosa”. Es valioso salirse del camino.

¿Eso hizo usted cuando cruzó Estados Unidos colándose en trenes de mercancías?

Sí [risas]. Durante bastante tiempo vivía con gente más interesada en desarrollar sus proyectos creativos que en trabajar. Aprendíamos a hacer las cosas mientras vivíamos sin dinero. Y una de las cosas que hacíamos era viajar en trenes de mercancías. Lo interesante es que hay toda una cultura y tradición en América de hacer eso.

Ahora coordina Whisper System. Y se llevó a nueve personas de su equipo a trabajar a Hawai.

Recibimos una beca, seleccionamos a jóvenes que colaboraban en el proyecto y fuimos a programar y hacer surf. Cuando yo era joven, ser “emprendedor” no era un cumplido. Y ahora se ha convertido en algo ‘cool’. Ha sido un cambio cultural, un esfuerzo deliberado apoyado por grandes empresas. Y al llevarlos a Hawai estás diciéndoles que hay alternativa a las prácticas en empresas o a ir a Silicon Valley.

PUBLICADO EN ATLÁNTICA XXII Nº 29, NOVIEMBRE DE 2013

Deja un comentario