Los padres fundadores de Internet posiblemente nunca imaginaron hasta dónde llegaría su invento, o quizás no tuvieron el tiempo y los recursos, pero el caso es que los protocolos que definen el funcionamiento de las herramientas que usamos cada día: web, correo, etc. en su origen no tuvieron en cuenta la protección de los datos transmitidos.
Al definir cómo se transmitía un mensaje de correo electrónico de un servidor a otro o cómo se visualizaba una página web, no se definieron medidas de protección, de tal forma que el contenido de nuestros mensajes o las páginas que visitábamos podía ser visto por cualquiera con acceso a los servidores de Internet por los que pasaban.
Tampoco ayudaba la tecnología disponible a primeros de los ’70, el momento del nacimiento de Internet. La solución era la criptografía, es decir, cifrar los datos con claves para que no pudieran ser leídos por quienes no tuvieran la clave. Pero el problema era: si tu canal de comunicación, Internet, es inseguro y quieres protegerlo usando claves, ¿cómo transmites de manera segura a la persona con la que te comunicas la clave que quieres usar si solo tenéis Internet para comunicaros?
En 1977 los matemáticos Rivest, Shamir y Adleman llegaron a una solución: la criptografía de clave pública. Con este sistema, cada persona tiene dos claves: una que ha de mantener en secreto y otra que puede hacer pública. Lo que cifra una clave, lo descifra la otra y solo la otra. Así quedaba resuelto el problema: se puede proporcionar sin peligro a las personas con las que comunicarse la clave pública para que cifren los mensajes que nos envíen, mensajes que solo se pueden descifrar con la clave privada.
A lo largo de los ’80 y al ir saliendo Internet del entorno académico y militar en el que nació para convertirse en una herramienta de consumo, se fue incorporando tecnología criptográfica a las redes, aunque el sistema de comunicación más usado entonces, el correo electrónico, seguía desprotegido. Y bien que interesaba que siguiera así a las autoridades para poder vigilar las comunicaciones con la excusa de prevenir delitos.
En 1991 el Congreso de Estados Unidos decidió dar el paso definitivo y comenzó a preparar legislación destinada a controlar el uso de criptografía en Internet, de tal manera que todos los fabricantes de sistemas de cifrado debían incluir una «puerta trasera», un sistema que permitiera pinchar las comunicaciones cifradas con ese sistema a voluntad de las autoridades.
Un programador llamado Philip Zimmermann decidió tomar cartas en el asunto y en pocas semanas escribió la primera versión de un software que nadie imaginaba en ese momento las repercusiones y los años de polémicas y campañas que causaría: PGP, Pretty Good Privacy.
PGP, en esta primera versión un sencillo pero potente programa para MS-DOS y sistemas Unix, utilizaba la tecnología de clave pública para poder cifrar cualquier documento, texto o archivo que se quisiera intercambiar por Internet. Así por ejemplo, si cogemos un texto como:
Hay que acabar con la industria de noticias
Y lo ciframos con la clave pública de nuestro estimado Grand Fromage, el resultado es este:
—–BEGIN PGP MESSAGE—–
hQQOA3fvdJFjCv1rEBAAnm/F2xouOhvYqhN7hnydNXEf56SskTBix/8ObNaZ0LJr
AICmkK1jJWNwIyubMCk8/7ZFycjHCD5so81kWprViPrZ9b1/4/GJ0PuX85feX97P
1Jl4Zj/1c9zsyzmiZ/9EbvZUpcby6UQYuLNi3USJhg++7QuL16pbe6jnpGaqEJc8
6O3JFd729Hy42h1hkHQKGSIVbBHwknTNnX0Pcoy+Vr13hVUkIL7x7xlhuc/jLM8j
Hk5Qlukg8HRiUMMA3s3VhjvChg3gytEs49QEJnu/49J0HNbHVNaR5gYck6fjy4cZ
VfiIWjV4vu/wIzLma2UGoijvncY/2PnDuyq/FZuYzgohv8E3uwSD6nSsyY8vZmKP
Ll8ZKvGUdjcHHOMKURwDE+dG6NqjsDAzj2vetnrc0K6p2u4s54bBb/h+QyDjR1Rh
gfGAe2vRiQuOEp1Z6zCkpXQWvh6lUGm9L3QZ0DCbrJyXqW6bUAzFWE8a33zgg+2S
LS5UPJByfUzeD1nXsB+qAXOSkZqZT6Qv4F8g0dxYE5cb9KcPXSrZQuP5qWzfbGB7
wr/0iFTG3Wbdvz57nbpP11mIiW4JLELrSsv6MqDH8vj10qG62TMWN3yYCUUyPNKP
rElVTELroOp68Mx1BHSyzVEsG7IXubIne312yRdiXQPdHVHIT0AxCGaFZAqTZDkQ
AKjFrpoE9eNPB5o3ZQm8tGGkGF+b72lBN2SS0RjqyXZJwAlSC53/Q+3srhp7/cQL
FFChrMghuaNZGoBVNkLn5+LTaI8FGA2A0jpxUurhtnLceowS9/vttX/QsRPjW+uw
vPKFlVzo6WX2pBA2S9cCc9I+VCmW2kS+YBjwIlbW+eAC5aNX/0NeP2weJ2Uw8/YB
INtRYZ25eB+cGORzOY+UxXwmPLELAg+mteuPhk0sk68ctGPYte6i74X+91JnYpkZ
m0szJw0GCHf/yoglFzl8MVTtGN5XIIFxqwAmCKawiwl97tGM3gGmu7DkETtlNq5U
yrV9lqejf86IOKD7j0Ls0jWEdrswaki9pWi7MUw1zdP1eGTeDHw0wCnBa0DJlTvV
/Rbr8xhhbnLxWJelMce3jRHiUM66APHFhmp00HDmo75DBxN+vdUMBZZEvE8WW4X5
tYYvp6fFLJ3zlS2wjRpgJY5PKZJciAGvXfrv9gZcyhZgCBJZXlTAnurbwYCrWH4c
T/cSwXStpINVgYZMeEAKoe36o3OgIpEv5KF/Gtn/MmpJyLC4I4nDmGcrgYMlyCte
YDGErGYP5af0Ck37qsdzYuzo8bfPXFQ5D2YBppJGCJljfhdnfWFHFqdfbFZQKzFQ
L8tkviQvKpF/IezBiEQfcMlPdebMc8U412ylqZDzS3MT0m8Bm/cGSnqwUWgV38qo
zUXLbWYwy3Np1Qkvjnw66SHBchQHdtnOcVyGsy9MCQg8S3BtOVoxMePIjb6Dw+u9
rtIjfM0gpBtVQNrl74RAD3k4snByrw6DJ5kQIamvAiTUClytISJBdaGcTgQ+EGlh
p+k=
=ZTkH
—–END PGP MESSAGE—–
Al recibirlo, el Tapirista en Jefe solo tiene que aplicar su clave privada al mensaje y recuperar así el texto original.
A pesar de las prisas con las que se hizo el programa, era sólido y sin fallos. Por primera vez la gente de a pie tenía a su disposición una tecnología que protegía totalmente su información y contra la que nadie, ni siquiera el todopoderoso Gobierno de Estados Unidos con todos sus recursos, podía hacer nada.
Zimmermann subió PGP a diversos servidores de Internet sin pedir dinero ni licencias a cambio. En pocas horas no solo se había diseminado por todo EE.UU. En breve cruzó las inexistentes fronteras de Internet y llegó a todo el mundo. Comenzaban serios problemas para Zimmermann ya que al salir de Estados Unidos PGP había quebrantado la ITAR, siglas en inglés de Normativa sobre Tráfico Internacional de Armas.
¿De armas? Efectivamente. La ITAR define un sistema de leyes y regulaciones que controla la exportación de tecnología militar en base a la USML, la Lista de Municiones de Estados Unidos. Y en 1991 en la USML se encontraba el siguiente apartado:
Sistemas criptográficos (incluida la gestión de claves), equipos, conjuntos, módulos, circuitos integrados, componentes o software con la capacidad de mantener el secreto o la confidencialidad de información o sistemas de información.
Zimmermann no había exportado PGP. Se había limitado a subirlo a servidores de Internet y la «magia» de Internet había hecho el resto. El Departamento de Estado no iba a tener esto en cuenta de todas formas y abrió un proceso contra Zimmermann.
La respuesta de Internet fue la esperada: siguiendo una antigua tradición de la red que ya existía entonces, y que a día de hoy estamos viviendo en Catalunya, el intento de prohibir la exportación de PGP provocó que apareciera en centenares de servidores por todo el mundo y que gente que nunca se había interesado por el asunto pasara a convertirlo en una de sus principales preocupaciones.
Y no solo eso: se creó un fondo para la defensa legal de Zimmermann y diversas organizaciones de defensa de derechos humanos de Estados Unidos, algunas tan veteranas como la ACLU y otras nacidas por y para la expansión de Internet como la EFF, se pusieron manos a la obra para organizar campañas.
En paralelo, organizaciones que habían surgido en Europa comenzaron también a hacer campaña para convencer a las autoridades de que la criptografía no era una herramienta criminal, sino una herramienta básica para la defensa del derecho a la privacidad.
La campaña tuvo momentos muy originales y absurdos, pero intencionadamente absurdos con la finalidad de mostrar el absurdo de las restricciones. Por ejemplo, alguien escribió en el lenguaje Perl un programa de cifrado en un formato que era fácilmente adaptable a carteles, imágenes para webs, pegatinas… Y camisetas. La camiseta decía que al llevar impreso ese programa, no podía ser exportada de Estados Unidos y ningún extranjero podía mirarla.
Anécdota personal: la primera compra que hice por Internet fue la camiseta de esa campaña, compra que requirió hacer una transferencia internacional en una oficina bancaria de Salamanca, en un terminal que tenían aparte para estos casos. Aquí podéis ver una:
(La leyenda dice que alguien llegó a tatuarse este programa, haciéndose «inexportable» a si mismo. Leyendas de Internet…)
Mientras avanzaba el proceso contra Zimmermann, Internet se organizó para evitar causarle más problemas. Él desarrollaba nuevas versiones de PGP en cuya documentación quedaba expresado que solo podía usarse en Estados Unidos, quedando eximido el autor de toda responsabilidad si el software salía de Estados Unidos.
La «magia» de Internet actuaba y la nueva versión de PGP llegaba al extranjero minutos después de publicarse en Estados Unidos. Diversos colaboradores europeos, neozelandeses y australianos de Zimmermann la modificaban para convertirla en una versión de uso internacional, totalmente compatible con la versión americana, pero con una «i» en el número de versión.
Así por ejemplo, si había una versión de PGP 2.6.3 para uso solo en Estados Unidos, había también una 2.6.3i para su uso en el resto del mundo. También se creó una web en la que centralizar toda la información y versiones disponibles, The International PGP Home Page, que aquí podéis contemplar en su esplendor en 1998 gracias a la Wayback Machine: https://web.archive.org/web/19981206035637/http://www.pgpi.org:80/
PGP escapaba a los controles del Gobierno de Estados Unidos. Finalmente, tras años de polémica y litigios y al no poder demostrar la implicación directa de Zimmermann en las continuas exportaciones ilegales del PGP, en 1996 el Gobierno abandonaba el caso.
Ahora llegaba el momento de dar otra vuelta de tuerca. Zimmermann había sido exonerado, pero lo cierto es que PGP estaba siendo exportado ilegalmente cada vez que aparecía una nueva versión. El plan ahora era conseguir una exportación legal. Y dado que el camino de hacer una petición formal siguiendo la ITAR iba a ser imposible, habría que recurrir a medidas extraordinarias.
La ITAR era muy clara con respecto a la exportación de un software, es decir, de un software listo para descargarse y usarse. Pero en ningún caso se decía nada del código fuente, el programa que escribe el programador en un lenguaje y que posteriormente, con un proceso llamado compilación, se transforma en el software.
Así nació PGP: Source code and internals, libro con ISBN 0-262-24039-4, en el que en centenares de páginas impresas con un tipo de letra apto para escáneres estaba todo lo necesario para construir el software de PGP.
El libro pudo ser exportado sin problemas y los colaboradores de Zimmermann procedieron durante semanas a escanearlo página a página para poder «recuperar» el código fuente, compilarlo y crear el primer software PGP legalmente exportado.
A partir de entonces, ese fue el procedimiento seguido para burlar las restricciones. Se publicaba el código fuente de PGP en un libro, se exportaba, se escaneaba y se obtenía la versión internacional. La derrota de las restricciones parecía estar cercana. Pero aún le quedaba una baza a Estados Unidos: el Acuerdo de Wassenaar.
Durante la Guerra Fría Estados Unidos y sus aliados crearon el CoCom (Comité de Coordinación de Controles de Exportación Multilaterales) con el fin de impedir la venta de tecnología militar al bloque soviético. Cómo no, entre las tecnologías controladas por este comité se encontraba la tecnología criptográfica. Terminada la Guerra Fría, el bloque occidental procedió a elaborar un acuerdo que reemplazara al comité, el Acuerdo de Wassenaar.
En el plenario del Acuerdo de Wassenaar de 1998, celebrado en varias sesiones, se planteó la cuestión de qué hacer con la tecnología criptográfica. Los países firmantes anunciaron que se levantarían restricciones, pero que solo se podría exportar libremente tecnología criptográfica que usara claves de 40 bits.
La seguridad de un sistema criptográfico depende entre otras muchas cosas de la longitud de la clave, es decir, de cuántos caracteres tiene, medidos en bits. 40 bits son un total de 5 caracteres y ya en 1998 eran claves demasiado débiles.
Un gobierno con un supercomputador potente podía «romper» una de estas claves a base de probar todas las posibles combinaciones en unas horas. Y ese era el objetivo: hacer ver que se dejaba de restringir la criptografía cuando lo que se permitía era un sistema demasiado débil para ofrecer una verdadera protección frente a un gobierno u organismo con suficientes recursos.
Las organizaciones se pusieron de nuevo en acción para presionar a las delegaciones de cada país e impedir el acuerdo. El que esto os cuenta consiguió, tras mucho buscar y preguntar, encontrar la oficina de la delegación española, en la Secretaría de Estado de Comercio y para su sorpresa, la delegación no solo accedió a hablar por teléfono con un joven completamente desconocido que decía estar en contra del Acuerdo, sino que además, decidió exhibir músculo. Cito literalmente:
La delegación española tuvo durante la última sesión plenaria el mérito de señalar al resto de delegaciones que se debía poner un especial énfasis en el control de Internet para poder impedir la exportación ilegal de tecnología criptográfica avanzada.
Tras presiones por todas partes, esta vez además de los fabricantes de software y empresas de Internet que veían peligrar un elemento necesario para un uso seguro de Internet como herramienta de negocios, los países del Acuerdo de Wassenaar dieron su brazo a torcer.
La propuesta de restricción fue desestimada y en 1999 se abandonaron totalmente los controles de exportación. Por fin, 25 años después de su nacimiento, se pudo construir una Internet con elementos que la hicieran más segura para todos.
Otras batallas y muchas otras amenazas vendrían después. Pero al menos por primera vez en la Historia había ya al alcance de todo el mundo una herramienta que protegiera la intimidad sin ninguna brecha, gracias a una Red a la que en 2017 algunos creen que aún pueden poner límites, aunque su mundo se desmoronó hace ya mucho tiempo.