9. Delincuencia en la red y hactivismo cívico

IX. Delincuencia en la red y hactivismo cívico

9.2 Moneda virtual y las nuevas vías del negocio delictivo global.

Atender a las fuentes del mercado delictivo global en nuestros días y su evolución sería un estudio que transcendería el ámbito del presente trabajo.  El énfasis de nuestro trabajo va especialmente enfocado a cómo la red a servido como plataforma de cambio en las formas de organización de diversos colectivos, entre el que el delictivo es uno de los más rápidamente adaptables. Así, negocios ilegales como el del tráfico de drogas, las formas de pago ocultas y el incremento de las ventas por la red, ha permitido que este tipo de negocios apunten hacia la red como forma de exponer sus productos. Como hemos señalado, el negocio delictivo se ajusta mejor que ningún otro al paradigma del modelo capitalista ideal. Con ello, la existencia de una demanda, al margen de aspectos legales, es rápidamente cubierta por un mercado que surge alrededor de ella. El auge de la red en todos los aspectos de nuestra vida cotidiana, supone, siguiendo esta misma lógica que tanto productos ilegales como delitos se adapten a las nuevas formas de comunicación. 

Por otro lado, la aparición de las denominadas criptomonedas, dinero generado en la red, reconocido por toda la comunidad de usuarios y por tanto convertible a moneda habitual y forma de pago extendida, ha supuesto otro punto de inflexión en el establecimiento de nuevos paradigmas. Todavía el impacto de la nueva situación que supone el uso de este tipo de monedas está asentándose y extendiéndose, aunque su cada vez mayor aceptación apunta hacia un futuro en el que el sistema monetario actual, fruto de los acuerdos que abandonarían el patrón oro a cambio de la flotabilidad de las monedas y el sistema actual de mercados financieros, donde el valor especulativo condiciona la economía real1

Las redes criminales tienen una influencia capital en la economía de ciertas naciones, y la adecuación de su forma de actuación al modelo de la red como lo hemos descrito en capítulos anteriores es un paso lógico por tanto.  La Mafia siciliana, Yakuzas japonenses, Cárteles colombianos y mejicanos, Triadas chinas y las redes criminales rusas, son todas ellas organizaciones asentadas con una ingente capacidad de movilización de capitales e influencia, dedicados desde hace décadas al tráfico de drogas, armas, trata de blanca, inmigración ilegal o blanqueo de dinero, entre sus actividades más destacadas. La adaptación del negocio a las nuevas formas y la estructura de redes era, por tanto un proceso previsible entre este tipo de organizaciones2.

La integración de nuevas formas de delincuencia en este tipo de redes y la inevitable persecución de quienes mantienen negocios en el mismo territorio son fuentes habituales del conflicto. Como ejemplo, el supuesto asesinato del spammer ruso Alexey Tolstokozhev responsable del 30% del correo basura, especialmente dedicado a la venta de viagra, en 2007, sería una señal de la forma en la que unas organizaciones delictivas en su fases maduras actúan contra agentes independientes en su medio3. Más allá de la certeza que tengamos acerca del caso, el interés está en las nuevas formas de organizarse del delito tecnológico y el proceso de maduración e integración en mafias preestablecidas en otros ámbitos. Un proceso por otro lado de esperar, en cuanto a que este tipo de organizaciones no toleran negocios paralelos ni competencia en sus “ámbitos de actuación”.

Podemos afirmar que el negocio delictivo global, ha sido uno de los que mejor han sabido integrarse en las nuevas formas de una economía que tiene en internet uno de sus pilares organizativos fundamentales. Con ello, veremos que la asunción de una moneda ubicada en la red y de difícil rastreo o el establecimiento de canales directos de venta y distribución a través de formas ocultas de difundir su mercancía convertirá a la red en el lugar ideal para abrir nuevos mercados. 

La criptomoneda como ejemplo de un nuevo paradigma

En una sociedad en la que el modelo especulativo de la banca de inversión y la búsqueda de beneficios no vinculados a una economía real está en pleno apogeo, incluso a pesar de sr consecuencia directa de la crisis iniciada en 2008, la aparición de las denominadas criptomonedas sería acogida de forma desigual. Mientras que ciertos sectores especulativos verían en ello un refugio estable ante fluctuaciones, la evolución de sus precios y varios procesos de inestabilidad llevarían a que monedas como el Bitcoin, la moneda virtual más conocida, hayan pasado por varias situaciones extremas aunque su valor general, desde sus inicios no haya dejado de incrementarse4.

Sobre la atribución del Bitcoin se sabe poco aunque se especulado largamente. El nombre de Satoshi Nakamoto, pseudónimo del creador o colectivo de creadores, ha sido la única referencia que se tiene con certeza. A lo largo de estos años y pesar de las muchas atribuciones, algunas relativamente documentadas, se desconoce la identidad de su creador. Los intercambios de comentarios en los foros de la P2P Fundación, tampoco aclararían el asunto salvo el desmentido de una de las últimas atribuciones.  De cualquier modo, la moneda, de código abierto (adaptando la licencia MIT), verá la luz en 2009 y pronto comenzará a ser adaptado por plataformas en red y como medio de pago en muchos servicios de la red5

La idea de las monedas virtuales, o criptomonedas, parte de un concepto totalmente vinculado al proceso matemático de la creación de archivos únicos, identificables y verificables por luna comunidad de poseedores de otras monedas. Su valor parte de un proceso de producción constante pero limitado en el que una progresiva disminución de la cantidad nueva de moneda generada cada año acompaña a una dificultad creciente en lo que respecta a su creación. De este modo, en 2009, era posible crear Bitcoins con un ordenador convencional haciendo uso de la GPU (procesador de la tarjeta gráfica). Apenas un año después tan solo mediante dispositivos especializados o servidores especialmente orientados a los motores gráficos se podía generar la moneda de forma rentable. En poco tiempo, la creación de esta monda escaparía a la posibilidad de cualquier usuario convencional. Así surgirían comunidades que compartían ancho de banda de sus conexiones para obtener crédito en la generación colectiva de la moneda. Estos grupos pasarían después al alquiler de infraestructuras de servidores dedicados por empresas ya dedicadas a tal fin, dado que el nivel de complejidad alcanzado a finales del 2012 dejaba atrás cualquier intento viable en cuanto a gasto eléctrico e inversión en hardware. La producción de esta moneda sigue un proceso decreciente en el que la confluencia de mineros y la frecuencia de generación de moneda seguirá un proceso invertido en el que se ira estabilizando en un modelo de cada vez menor producción. Con este parámetro, resultaría en principio más fácil conocer el número global de esta moneda existente y poder establecer su precio de conversión con la moneda convencional6.  

La masiva inversión en Bitcoin de los años 2013-2014 llevaría a unas cotizaciones que alcanzarán los 1000 dólares el Bitcoin. De esas cifras, se ha llegado a un 2015 en el que la moneda ha permanecido en torno a los 200 dólares. Mucha responsabilidad de este fenómeno lo ha tenido tanto la inversión masiva de especuladores como sucesivos casos de caídas de grandes empresas dedicadas al cambio y venta de esta moneda. En 2013, la empresa de capital riesgo Andreessen Horowitz, se haría con una cartera de 25 millones de dólares. Apenas un mes más tarde Blockchain, el mayor gestor de carteras de esta moneda, afirmaba contar con un millón de estas y Coinbase, otra gestora de carteras, con 650.000. Un año después se produce el primer gran desplome de la moneda, asociado al cierre de Silk Road, el denominado supermercado de la droga en Internet, que contaba en las carteras de sus gestores con una ingente cantidad de esta moneda, junto con la caída en bancarrota de MtGox, el principal cambista de la moneda que supondría la pérdida de 650.000 Bitcoins7. Este desplome, también ha supuesto un freno en la creación de servidores dedicados a la minería de esta moneda, que ahora deben reajustar sus criterios de rentabilidad a la nueva realidad de la moneda.  De cualquier modo, tras el auge especulador y la posterior caída, el precio general de la moneda sigue siendo muy superior al de partida y si marginamos este proceso, sigue en aumento. Las magnitudes de los últimos años llevarán a autoridades como la británica a establecer una serie de consejos de forma oficial sobre los riesgos de este tipo de monedas8

El futuro de este tipo de intercambios se prevé imparable a tenor de varios factores.  Una moneda que facilita los pagos inmediatos, multidisposivo (lo que en el móvil resulta destacado), segura, a pesar de los varios ataques a carteras famosas, que no revela la identidad del propietario y que no cobra comisiones, por ejemplo permitiendo envíos de dinero fuera de los establecimientos bancarios clásicos, es una moneda que apunta al futuro y que está aún en proceso de maduración9 a pesar de no ser reconocida por las autoridades monetarias en la actualidad.

Bitcoin no es la única criptomoneda en el mercado actualmente. En el último quinquenio se han creado más de un centenar de este tipo de monedas con diversas cualidades particulares. Una profusión de monedas que puede consultarse en sitios como Coinwarz, que recoge la cotización de casi un centenar de distintos modelos. Se estima que el proceso de confluencia irá en paralelo a la maduración de estas, sobre todo teniendo en cuenta que en su mayor parte se tratan de proyectos abiertos y distribuidos que parten de un código fuente consultable10. En torno a esta moneda se han creado una serie de negocios de cambio y cotización que resultan similares a los de la banca ordinaria y que permiten simplificar el uso y se prevé que la paulatina integración, cuando las legislaciones nacionales comiencen a reconocer su uso y expansión, será un hecho.  Recientes cambios como el implementado en la forma de crear Bitcoin con el llamado Bitcoin XT, una actualización de la moneda para poder acelerar su proceso de transacción y reconocimiento y que abre el debato a propósito de los límites de adaptación de una moneda de este tipo para acondicionarse a la evolución de su mercado11. Esta adaptación, es precisamente una de las capacidades que permite una moneda de código abierto, que no tiene propietario ni gestor único y que parte del ideario P2P.  

Bitcoin es vista por muchos como la oportunidad para cambiar el orden de la economía y las finanzas, fijado de manera tendenciosa por los poderes económicos. Una oportunidad de fijar una moneda que escapa completamente a mecanismos de control. La realidad nos dirá hasta qué punto una moneda puede pivotar en un cambio de paradigma económico y social sin ser sometida al control de los actores principales.

Las fuentes del negocio oculto y el mercado ilegal

Aunque la difusión de spam, (correos basura no deseados y de origen sospechoso) sería durante los primeros años de la expansión de la red uno de los pilares de la venta ilegal, con el establecimiento de las primeras BotNets (redes de ordenadores infestados para ser controlados por el spammer), el crecimiento de métodos restrictivos y el control de los tráficos han llegado a desincentivar esta vía de negocio. Hoy en día, la mayor parte del spam que pervive está más vinculado al uso no consentido de listas de usuarios por parte de campañas publicitarias y directamente a la estafa.

El siguiente estado de maduración del negocio de venta de productos ilegales será el de la ocultación de la identidad y el pago también oculto. Veremos cómo la unión de una criptomoneda en expansión junto con la entrada en una red oculta, hasta entonces territorio de activistas, expertos y aficionados a diversos géneros pornográficos, entre sus usuarios más habituales, dará una nueva dimensión al negocio de la venta ilegal12.  

Unas de las atribuciones más comunes a la Deep Web y la Dark Web es la de la existencia de sitios dedicados a cuestiones ilegales, pornografía infantil, venta de armas y drogas.  También suele ser un lugar común, hasta el hastío, la descripción de la Deepweb, la web profunda, como la parte sumergida de un gran iceberg, en el que los usuarios “normales ” apenas somos conscientes de la parte más superficial. La realidad de la red es algo diferente a todas estas ideas precocinadas. Si bien es cierto que existe una gran parte, mayoritaria, del tráfico del Internet más convencional que ocurre de forma no transparente para los usuarios, esto no significa ninguna ocultación de datos. Buena parte de los intercambios de información de la red se producen entre máquinas y servicios específicos, que circulan de forma cifrada, de redes privadas, sobre todo en entornos empresariales , o simplemente de correos electrónicos de los que tan solo tenemos acceso, por supuesto, a nuestras propias cuentas. Con esta idea, reconoceremos que al tratar de la web no debemos simplificar así como tampoco deberíamos buscar complejidades y zonas oscuras donde lo existen13.

Actualmente existe tres grandes redes ocultas, que permiten la navegación prácticamente anónima, siempre que el usuario las emplee correctamente, que son TOR (The Onion Router), que es la red más famosa14, I2P, una red privada que también cuenta con cierta extensión15 y FreeNet,  que se sostiene como una red P2P (entre pares)16. La primera es la más famosa y empleada actualmente de forma mayoritaria. En ciertos entornos de censura, la opción por la navegación siempre cifrada comienza a contemplarse como la única opción viable para la ciudadanía, como veremos en el capítulo siguiente. Con ello, la expansión de este tipo de redes es un proceso incremental que sigue en nuestros días.

Esta capacidad de ocultación atrae cada vez a sectores más amplios de la población y a servicios antes ubicados en la red convencional. Así el caso de The Pirate Bay, el mayor tracker (contenedor de enlaces) de torrents y enlaces magnet (la forma derivada y distribuida del torrent), mantiene su web en la red TOR mientras su página en la web convencional sigue una suerte de azares por los que suele cambiar de ubicación con frecuencia17. Asimismo, suministran una versión del navegador de TOR especialmente adaptado a la búsqueda de archivos torrents para la descarga, llamado The Pirate Browser18. Con ello, se cierra el círculo del acceso y la descarga en países donde esta es perseguida, tanto por operadoras como por gobiernos, dado que tanto la obtención de los enlaces como su posterior descarga, con clientes torrents capaces de ofuscar la conexión, puede ser ocultado al completo.   Algunos foros, especialmente de intercambio de archivos o especialmente preocupados por la privacidad de sus usuarios han migrado a estas redes. Legislaciones que penalizan los enlaces, han propiciado este movimiento. Otras páginas como Deep Dot Web, que se dedica a informar sobre la Deep Web mantiene replicada su web convencional con otra en la red de TOR. Como vemos, hay muchas motivaciones por las que servicios no directamente vinculados al entorno delictivo pueden querer migrar a servicios ocultos19. Las motivaciones adquieren cada vez un rango más variado.

El acceso a estos servicios de redes ocultas, que en lugar de las extensiones clásicas que nuestros navegadores aceptan tales como HTML, Asp o PHP entre las más comunes, suelen tener una extensión denominada .Onion.  Para tener acceso a estas hay que contar con un navegador capaz de interpretarlas y un acceso a estas redes. La tarea se ha simplificado mucho desde que se extendiera el uso de navegadores embebidos en los que todo el acceso está pre configurado, como el caso del famoso TorBumble, que no es más que un Firefox con las configuraciones de TOR precargadas, que está disponible en la web de la propia página de la fundación20.

De cualquier modo, la vinculación del elemento criminal y el tráfico de mercancías ilegales y la web ha sido un elemento recurrente a lo largo de prácticamente toda la extensión de internet. La posibilidad de establecer foros privados o ejemplos todavía más ocultos a través de redes de anonimato como la red TOR ha permitido que negocios de este tipo puedan funcionar. La combinación de estos servicios que otorgan anonimato junto con el cobro en criptomoneda ha permitido que unas nuevas formas de negocio delictivo puedan conformarse en la red21

La puerta de entrada a estos servicios, desde un navegador es algo diferente. En cierta medida se parece a la primera web en la que no todo estaba a golpe de buscador y había que acceder mediante portales o intermediarios a ciertas partes de la red o conocer la url (dirección) concreta. En TOR, lo usual es empezar desde The Hidden Wiki, una especie de portal que compendia enlaces catalogados según lo que busquemos22. El buscador de referencia en la web oculta es Torch, con 88.804 páginas tipo.Onion listadas en su base de datos23.  Más recientemente, el buscador Grams, una especie de Google de la red oculta, ha comenzado a rastrear y listar páginas, de forma análoga a como lo hacen los robots de google (maquinas que rastran la web para proporcionar resultados de búsquedas). La especialización de Grams son las tiendas de la red oculta. Así, ahora mismo es fácil poder encortar páginas y establecer cauces de confianza en las compras ilegales, dado que emplea criterios ya conocidos en la web transparente24

La clave en este tipo de mercados negros, al igual que mercados transparentes, como el ejemplo de eBay, reside en la confianza ente el pagador y los que hacen uso de sus servicios. La mayor parte de estas tiendas, en esencia portales de compraventa, mantienen un sistema de puntuación que permite al posible comprador saber la reputación de quien le ofrece su producto y así poder tomar su decisión de compra con la confianza de compras anteriores. 

Los recientes ataques por parte agencias policiales, a varias de las páginas como Silk Road antes a Black Market, tan solo han conseguido que otras puedan emerger o que réplicas de estas sean de nuevo puestas en marcha. El mercado negro de mercancías ilegales en la red, es uno de los negocios de este tipo que mayores beneficios reporta a sus propietarios con una inversión en tiempo, recursos e incluso riesgos que ningún otro negocio de este tipo en el mundo físico puede tener.  Las cifras de este mercado, que pueden mover unos 450.000 € al día, fundamentalmente en criptomoneda, nos da una idea del alcance del fenómeno. Estudios como el de Usenix (publicado en agosto de 2015), sobre los mercados negros en las redes anónimas, apuntan a que los productos que mayor demandan movilizan son los productos farmacéuticos tipo Viagra y OxyContin, seguidos de drogas como la Marihuana y el MDMA. La mayoría de los mercados de este tipo ven que sus mayores ventas se enfocan en este sector, a pesar de lo vistoso que nos resulta ver la venta de armas u otros elementos turbios. Las cifras del negocio, se estiman en torno a una horquilla de los 100-180 millones de dólares anuales y por tanto nos explican el porqué de que los cierres recurrentes no hagan más que aflorar nuevas páginas25

El siguiente paso, en una red en la que no hay garantías, es el establecimiento de confianza entre comprador y vendernos. Esto se realiza mediante dos prácticas bien definidas. En primer lugar el Escrow, que es la retención por parte del intermediario, en este caso el portal de ventas, del dinero hasta la confirmación de la transacción26. Con ello se ofrece una relativa garantía al comprador de que este vendedor cumple con su negocio, aparte del sistema de puntuación que estas mismas páginas tienen. Por otro lado, en caso de pretender que los Bitcoins en cuestión no puedan ser identificados individualmente, existen unos intermediarios que se dedican a la remezcla de estos. Así entidades dedicadas a la mezcla de criptomonedas, como BitMixer, aceptan el depósito del comprador y pagan al vendedor con otra moneda distinta de su depósito particular, asegurando así la imposibilidad de que la transacción pueda ser rastreada27

Por supuesto, que exista un negocio oculto no quiere decir que el acceso tenga que ser complejo. Para poder colocar adecuadamente productos ilegales como drogas, armas o vulnerabilidades de sistemas, hay que poder mantener unos servicios que no puedan ser rastrados pero por otra parte fácilmente accesibles. En este sentido, los mercados negros han evolucionado de forma rápida, desde las páginas convencionales hacia la migración de sus servicios a redes ocultas. Para facilitar la tarea, se mantiene puentes entre la web convencional y la oculta o se dispone de buscadores específicos para acceder a las partes más ocultas de la red. La publicidad de estos entre sectores interesados en la compra es una de las fuentes del spam actual, tal y como indicábamos. 

Delitos y cibercrimen en la era digital

Conocidos lo métodos de ocultación y la forma de pago, el panorama del delito en la red se cierra con las formas en las que los ciber delincuentes atacan y se hacen con datos ajenos. Actualmente, la cantidad de datos personales que circulan por la red y la cada vez mayor integración de nuestra vida corriente en el entorno digital hace que seamos más vulnerables al acceso o robo de datos. El mercado de hacking y sus formas ilícitas es algo que vive un momento de expansión en nuestros días. Como hemos ido viendo en capítulos anteriores, la ampliación de la base de usuarios con conocimientos avanzados sobre la red y su seguridad, junto con un momento en el que la crisis económica ha cerrado muchas vías de empleo y precarizado sectores enteros, ha podido propiciar que un mercado negro de los servicios delictivos en la red se vea incentivado por tales circunstancias28. En ese sentido, el caso ruso ha sido uno de los ejemplos paradigmáticos pero, como veremos, tanto China como América latina, son otras fuentes en las que se expande este tipo de negocios.

Las formas de explotación de vulnerabilidades de sistemas y la capacidad de intrusión en estas es algo de lo que se viene documentando desde los años noventa del pasado siglo. La actitud de los hackers de aquellos momentos distaba algo de lo que podemos ver hoy en día. En los primeros tiempos el desafía o una forma de activismo hacker era la vía común de ataques, junto con el crack de programas comerciales y videojuegos (romper la protección anti copia y bloqueos en general). En España, sería la protesta frente a telefónica de grupos como Hispahack, sobre la posición abusiva de la compañía y las limitaciones que el práctico monopolio del momento imponía, terminaría en juicio y posterior absolución, por falta de pruebas en 1999.  Los llamados defacement (cambio de la página de sitios por otras con lemas de protesta) sería una de las practicas que también serían perseguidas.  Hasta 2010, el hacking no sería delito según el código penal español, momento en el que la profesionalización del medio y la distinción entre White Hat y Black Hat (sombreros blancos o negros según orientaran su labor a la seguridad o al delito) comenzará a conformar la realidad actual29

La capacidad de conocer a través de herramientas OSINT (Open Source Inteligence), cada vez mayor número de datos personales, muchos de ellos cedidos voluntariamente por parte de los usuarios de redes sociales, nos permite ser cada vez más certeros en la búsqueda de información para un posterior ataque30. El propio navegador Google, contiene herramientas avanzadas, denominadas dorks que nos permiten establecer rastreos de servicios a personas y empresas para determinar ciertos elementos de sus redes por las que poder probar vulnerabilidades. Todo ello unido a otras herramientas más avanzadas como Shodan, conocida como el buscador de los Hacker y otras como Maltego o FOCA, nos pueden permitir, sin una gran inversión en conocimientos, aproximarnos a una recolección de datos muy grande31. En muchos casos, a esta fase de recolección de datos sigue otra de acceso a las maquinas encontradas y la búsquedas de vulnerabilidades. Hoy en día sigue siendo muy común encontrar maquinas, tanto personales como en entornos profesionales, no actualizadas convenientemente32. La publicación diaria de bases de datos tipo CVE (de fallos de sistema que pueden ser explotados) junto con métodos cada vez más estandarizados de utilización de estas fallas en los sistemas, como el caso del reconocido Metasploit (un entorno de trabajo para la gestión de vulnerabilidades en equipos), han permitido que el ataque a infraestructuras se convierta en un proceso de escasa complicación para hackers de conocimientos medios33. Las posibilidades de intrusión en sistemas que pueden ser secuestrados, espiados o puestos en uso de forma externa nos dan un abanico extenso de opciones delictivas.

Ejemplos como el Carding, la venta de tarjetas de crédito clonadas o sustraídas por diversos métodos a través de la red oculta, es una práctica muy corriente y su posterior venta en mercados negros, como los que hemos descrito más arriba, se mantiene de forma permanente34. Otros casos muy comunes en nuestros días son los APT, ataques persistentes dirigidos contra una sola víctima, en las que se deduce un interés especial por acceso a sistemas y que correctamente enfocados solo sistemas bien fortalecidos pueden evitar en la actualidad. El avance de este tipo de ataques viene acompañado de otro tipo de intervenciones de equipos todavía más claramente enfocada a la extorsión. El Ransonware (traducido del inglés como software de secuestro), es un tipo de intrusión en sistemas que cifra todos los datos personales del usuario y le emplaza a que pague, en carteras de criptomoneda, para recibir la llave de descifrado de estos35. Si unimos la falta de políticas de seguridad, junto con la escasa conciencia en lo que respecta a las copias de seguridad de datos críticos, el asalto a ciertos profesionales y empresas puede provocar enormes perjuicios. Incluso pagando, no hay garantías de la restauración de los archivos.

Otros casos como los ya mencionados ataques DDoS, la suplantación de identidad o la redirección de páginas web no protegidas hacia réplicas que instalan malware (cualquier tipo de software con fines maliciosos) son muy comunes y extendidas36

El aumento de las ciberamenazas y su extensión hacia todo tipo de usuarios de la red son ya un hecho generalizado. Las diversas conferencias de ciberseguridad que salpican el calendario son esperadas por los entornos de seguridad para conocer las nuevas explotaciones de vulnerabilidades más destacables que diferentes investigadores encuentran. Las DefCom de Las Vegas, que se llevan celebrando todos los veranos desde 1992, es una de las citas más esperadas37. Por poner un ejemplo, el acceso a Chips NFC o la capacidad de intervenir la señal de vehículos eléctricos, junto con la publicación de fallos de seguridad en dispositivos Android e iOs son novedades de su edición de 2015. En España Rootedcom es el evento más reconocido al respecto, que agrupa a profesionales de la seguridad y el hacking ético en la presentación de novedades e investigaciones del sector38.

En lo que respecta a la organización de criminales, Rusia tiene un papel destacado en cuanto a las formas más sofisticadas de empleo del hacking delictivo39. Informes como el de Trend Micro, titulado Russian Underground, hace mención a como desde foros en la web convencional, diversos ciberdelincuentes ofrecen servicios de lo más variopinto. El caso de ruso es considerado por entidades de seguridad estatales como uno de los lugares de origen de los mayores ciberdelincuentes de nuestro tiempo40.  La confluencia de un nivel educativo elevado y unos niveles de vida muy limitados hacen que la explotación tecnológica de recursos ajenos sea atractiva.  Foros como antichat.ru, xeka.ru y cardingcc.com, apuntan a todo un mercado negro del hacking ilícito, en la mayor parte de los casos ofrecido al mejor postor.  Dicho informe, actualizado desde 2004 anualmente, hace un análisis especial sobre el caso de los hackers de este país al ser, junto con China y EEUU una de las naciones que mayor tradición al respecto tienes. El matiz que lo hace especial, es la capacidad de ofrecer la gama más completa de servicios actualmente en conocimiento en lo que respecta a la seguridad. La maduración en las prácticas antiforense de estos colectivos delictivos vuelve a apuntar a los profundos conocimientos de la red y sus medios. 

Otros mercados de los servicios más oscuros de la red son América Latina y China. En ambos casos, se pone a disposición del adquirente servicios de hackeo de cuentas de redes sociales, números de tarjetas de crédito, instalación del malware con diversos objetivos. Así se integran toda la variedad delictiva de la falsificación, adaptada al medio tecnológico junto a nuevas formas de spam telefónico y mensajes orientados a la instalación de malware. En algunos aspectos, las operadoras todavía no han aclarado su posición respecto a la venta de servicios de mensajería Premium, que siguen aprovechando este tipo de cibercriminales para suscribir a usuarios sin su consentimiento41. En este aspecto, hackers chinos llevan años haciendo amplio uso de este vacío. Por otra parte, la instalación de malware dedicado a la obtención de credenciales bancarias es otra de las fuentes principales de este tipo de difusión de archivos orientados a la delincuencia42. El interés sobre la ciberdelincuencia y la relevancia que está alcanzando recientemente, nos permite conocer mucha documentación acerca de la forma de proceder de estos ataques, especialmente por parte de las empresas de seguridad, muy interesadas en exponer el caso43 44

Según informa la UNODC, (Oficina de Naciones Unidas para las Drogas y el Crimen), la falta de armonización de las legislaciones nacionales así como la facilidad de operar desde la red por parte de los cibercriminales posibilitaría que este tipo de delitos sigan en aumento. Así en su informa acusa de fragmentación global de la legislación en torno al delito en la red. El avance de las cuestiones dedicadas a la inteligencia y el espionaje no ha ido a la par de una serie de regulaciones en torno a los criterios de seguridad y la forma de actuar frente a la delincuencia en la red45. Posteriores informaciones podrían darnos una explicación parcial del asunto, al constatar que los procedimientos de control revelados no distaban de los empleados por la ciberdelincuencia. La lectura es bien clara en este entorno. Si internet ha comenzado a ser empleado como arma contra estados y empresas, delincuentes, ya sean organizados a o a título individual pueden igualmente emplear este tipo de herramientas para establecer procedimientos similares pero que redunden en beneficio propio. En este marco, la capacidad de ocultarse y la falta de colaboración entre estados es la fuente más conveniente para este tipo de actuaciones.  Como vimos en los aspectos dedicados a la ciberguerra, la elaboración de esquemas nacionales de seguridad, como el que elabora el Centro Criptológico Nacional, son uno de los pilares básico para organizar una respuesta también al avance de la delincuencia46

Otros casos de hackers, como el conocido Hacking Team, nos muestran hasta donde pueden llegar la confluencia de la delincuencia informática y la venta de vulnerabilidades y sistemas de espionaje a gobiernos. Como vimos, finalmente el grupo italiano de HackingTeam también fue infiltrado en sus recursos y la fuga de información respecto a sus contratos y mecanismos pondría en evidencia tanto sus métodos, de ciberdelincuencia, como la ética de sus clientes47. En esencia, el caso es el de un grupo de ciberdelincuentes que vende sus herramientas a gobiernos dispuestos a no cuestionar las formas de proceder que eso supone y su colaboración activa con dictaduras que mediante sus herramientas ponían en peligro las vidas de inocentes.

Como hemos podido comprobar en esta rápida perspectiva sobre las formas del negocio delictivo de la red, tan adaptado a los patrones que analizáramos respecto a la nueva economía, la explotación de defectos en los servicios y sistemas de la red son una fuente constante de negocio para la delincuencia orientada a esta. Como afirma Víctor Cerf, uno de los creadores de la red, Internet fue creado para que funcionase, incluso en condiciones muy limitadas, no para que fuera seguro48. El incremento de servicios, dispositivos y medios de conexión acompañado de la masiva adopción tecnológica de buena parte de la población mundial ha focalizado en la red a todos los elementos que componen nuestra sociedad. Si bancos, servicios de inteligencia, o medios de comunicación se han adaptado a la nueva plataforma, era de esperar que delincuentes, especialmente con conocimientos avanzados y escasos recursos personales, se enfoquen con dedicación a una red cada vez imbricada en todos los procesos socioeconómicos. Por otro lado, en lo que respecta a la seguridad, criminales espías o terroristas, actúan de formas parecidas en su esquema de ataques a sistemas y por tanto, las defensas que deben preverse tienen que abarcar todos estos aspectos, con independencia de la fuente. 

9.3 Lucha por la privacidad. Periodismo y hactivismo cívico.

Defender la soberanía individual y la capacidad de ejercer nuestros derechos sobre los datos que generamos en nuestro contacto con la red ha pasado a ser un debate de primer orden en entornos dedicados al Software, la seguridad y la prensa. Que cada vez un número mayor de colectivos y la propia especificidad de cada uno de estos empiece a tratar sobre la privacidad como un elemento prioritario comienza a tener un efecto en la transmisión de contenidos al respecto. Redes sociales, software, aplicaciones, servicios domésticos conectados, cada vez disponen de una mayor cantidad de datos personales sobre los que tan solo se ejerce una limitada capacidad de acceso y modificación. En este aspecto, leyes como las de la protección de datos o la nueva aplicación del reglamento en torno a las Cookies, aunque apunten a la recolección de datos no consentida, no han pasado en la práctica de un banner, una nota en la cabecera o al pie de las páginas que prestan servicio en España. La realidad de la captación de datos personales es amplia y compleja y afecta a múltiples sectores49.

Hasta ahora hemos podido describir cómo, estados, empresas y delincuentes convergen en la compulsiva adquisición de datos personales de la mayor parte de los que hacen usos de la red. Curiosamente, la contraparte, es decir la trasparencia en la adquisición y empleo de medios tecnológicos es una de las fuentes más opacas de nuestro tiempo, provenga de fuentes gubernamentales o empresariales. También al respecto hemos visto como no toda la actividad podía reconocerse abiertamente dado que buena parte de esta podría ser declarada ilegal o afectar a la credibilidad del que la emplee.  

 En general la censura y el espionaje han sido procesos paralelos en la fase más reciente de Internet. El caso de la vigilancia generalizada de la ciudadanía ha sido especialmente notorio entre las democracias occidentales, que han podido conocer cómo mediante diversos métodos y en nombre de una progresiva fundamentalización del concepto de seguridad, la privacidad que era esperable en las comunicaciones no existía como tal. Como hemos podido observar a lo largo del trabajo, el momento clave de todo este proceso sería el conocimiento con toda certeza surgido de la cascada de revelaciones que comenzaran con WikiLeaks y terminaran, hasta el momento, con las filtraciones de Edward Snowden50

La importancia de la privacidad de nuestras comunicaciones ha llevado, como hemos visto, a bloqueos masivos y diversos intentos de filtrar y conocer el tráfico de red de los ciudadanos. El caso Chino, además del Gran Cortafuegos que limita los servicios extranjeros visibles y utilizables en el país, también existen prohibiciones expresas para el empleo de ciertas herramientas51. Tal es el caso de TOR, que comenzaría a bloquearse desde 2009, tal y como aseguran desde el propio proyecto, donde afirmaban que prácticamente el 80% de los repetidores públicos eran bloqueados en ese momento por el sistema de filtrado52.  

La extensión de formas de censura y auditoria no solo se circunscribe a estados totalitarios. Hemos visto cómo casos como el británico o el francés, por citar ejemplos muy cercanos, con la excusa de la contención de usos de archivos con derechos de autor, han dispuesto de formas de auditoria de tráfico que vulneran la privacidad de sus ciudadanos.  Así la supuesta defensa de un derecho frente al uso de tecnologías P2P ha hecho que en la práctica existan legislaciones con diversos con grados de intensidad en la vigilancia ciudadana también en lugares como Bélgica, Alemania, Italia, Suecia, Finlandia o Dinamarca53.  En general en Europa existen regulaciones activas en lo que respecta a la pornografía infantil y la defensa del copyright. Asimismo, el largo debate sobre la protección de datos y la privacidad vuelve a salir a flote mediante iniciativas recurrentes de diversos estados. Francia, de nuevo con la bandera de la seguridad, acaba de incorporar una “ley de programación Militar” que permite la vigilancia ciudadana sin orden judicial54. De nuevo nos reencontramos con iniciativas que amparan usos muy diferentes a los de sus exposiciones de motivos y que terminan vulnerando derechos ciudadanos largamente asentados.   

La comisión sobre derechos civiles de la UE, denominado LIBE, ha planteado debates al respecto a propuesta de grupos de la eurocámara en lo que respecta a las directivas como la de protección de datos. A finales de 2015 se tiene previsto una nueva puesta en debate de toda la directiva55. El reconocimiento de la cantidad de datos que las compañías obtiene voluntariamente e infieren a través de servicios y elaboraciones propias junto el conocimiento de sistemas de recopilación de datos como el llevado a cabo por la NSA, con la necesaria colaboración reconocida de gobiernos como el británico o el alemán, hacen que la posición frente a un eventual cambio favorable a una adquisición y retención de datos por parte de empresas sea visto con gran recelo. Así, se espera un movimiento de contestación a las propuestas que se van conociendo por parte de grupos muy identificados con los intereses empresariales. Campañas como las de Reclaim Your Data, en la que convergen varios grupos y organizaciones cívicas, hace especial mención en la forma en la que la actual captación y elaboración de perfiles es capaz de burlar esta legislación europea o quedar fuera de su jurisdicción56

Empresas, estados, aplicaciones

Todas las fuentes del espionaje terminan por tener como víctima a la ciudadanía. Una de los mayores problemas de la falta de una conciencia del alcance de la disposición de nuestros datos, especialmente significativa en este último periodo de expansión de la conexión a la red. El aumento de la base de usuarios con cuentas en redes sociales, no ha dejado de incrementar la forma en la que estos alimentan la infraestructura del Big Data. Las formas nada claras en las que los apartados dedicados a la restricción de perfiles, la retención de datos o las cláusulas de privacidad, son ubicados en lugares poco usuales en las disposiciones de las páginas y aplicaciones de las redes sociales nos muestran el interés en que siga siendo así57

 Una de las críticas que intelectuales como Laurence Lessing hace a la sociedad actual es cómo a cambio de la comodidad (la “usabilidad”) hemos cedido buena parte de nuestra privacidad. La cuestión más preocupante de ello es que no ha uy consciencia de la importancia del asunto. El tecnocentrismo y la ilusión de la libre elección individual, ha constituido un proceso de sustitución de mitos y de remodelación de la realidad hacia la banalización. El denominado Efecto Disney, es conocido entre sociólogos como el proceso en el que la imagen sustituye a la realidad y la ciudadanía asume su interacción con el nuevo medio entre lo lúdico y pasivo. Convertir a la ciudadanía en espectadora- consumidora que vea su papel social como un elemento trivial resulta el escenario deseable para poder hacer uso del instrumental desplegado para la gestión comercial. De nuevo Lessing, acusa a esta sociedad en remodelación como los “Eloi” de H.G. Wells. Un conjunto de individuos sin sentido de responsabilidad, inmersos en la lógica del exceso, la obsolescencia programada y la cultura dirigida58. En todo ello subyace una concepción doctrinal que trata de asociar la revolución tecnológica como un proceso inherente a una forma única de organización social asociado a la ley del mercado y a la globalización. Quizás por ello y por el propio origen muy ligado a la contracultura (especialmente al movimiento literario del ciberpunk) del mundo del hacking, la contraposición y defensa de modelos informáticos alternativos haya tratado de vincularse interesadamente a movimientos antisistema. Sin duda, la mayor parte de organizaciones de carácter alternativo (en general) suscriben el ideario de defensa de libertades que organizaciones como la Free Software Fundación, EDRI o EFF, entre otras defienden. A pesar de ello el peso del análisis tendría que recaer en cómo empresas y legisladores comparte una doctrina no siempre declarada y como ciertos procesos se sustraen al debate en lugar de acusar a organizaciones defensoras de derechos. Esta tensión entre extremos es lo que en nuestros días da origen a legislaciones contrapuestas, no del todo claras y a ambigüedades calculadas. Mientras tanto, condiciones de uso redactadas en lenguaje legal calculadamente arcano y asumibles a golpe de ratón, abren la puerta de la privacidad59

 La expansión tecnológica no ha ido acompañada de la necesaria educación sobre el uso del medio. La simplificación del empleo ha conseguido por contra que la mayor parte de la ciudadanía tenga hoy en día acceso a la red, aunque no sea consciente de los riesgos y los límites de la cesión de datos que supone. Los términos de uso de la mayor parte de aplicaciones y servicios suelen ser una parrafada que nadie se preocupa el leer. El proceso habitual de siguiente, siguiente, siguiente, coloca a los usuarios en una aceptación de servicios que desconocen. La incapacidad de ejercer un control real, muy a pesar de lo descrito por leyes como la española de protección de datos, deviene en el contexto actual de recolección de datos. 

La sospecha del espionaje y la cada vez mayor necesidad de recolectar datos por parte de las empresas no paran de concurrir mecanismos de espionaje o minería de datos personales, de los que paulatinamente vamos conociendo sus usos por diversas fuentes.  Uno de los más recientes será que de nuevo Lenovo, El gran fabricante chino de portátiles que adquirió la división de esta tecnología de IBM, estaría volviendo a ubicar en sus equipos un software que no se puede eliminar.  A principios de 2015 saltaría la primera información a propósito de Superfish, un software que la empresa preinstalaba en todos sus portátiles, destinado a recopilar datos de usuario y modificar los certificados instalados en la máquina. Una de las funciones principales encontradas en esta aplicación era la de insertar contenidos publicitarios dirigidos directamente en la navegación.  Es decir, que estaban colocando en sus terminales software tipo Adware convenientemente oculto en los procesos del sistema para no ser detectado60.  

Sin embargo la compañía, tras este escándalo, no accedería a revelar que mantenía más tipos de software instalados de forma no reconocida. Así, de nuevo en agosto de 2015, la noticia de la inserción de más BloatWare (software Basura) volvería a salpicar a la empresa China, de la mano de usuarios del foro de Ars Technica que detectarían la presencia de conexiones no deseadas en sus equipos. Uno de estos, concretamente se conectaba a los servidores de la empresa cuando detectaba una instalación del sistema operativo Windows, en palabras del comunicado de prensa posterior, para “entender cómo usan los clientes nuestros productos”61

El caso de Lenovo es tan solo uno de los ejemplos más recientes y visiblemente oscuros de una práctica generalizada. Como ya hablamos cuando tratamos del sistema operativo Android. La inclusión de software de empresas como Google, son la puerta de entrada a su correspondiente ecosistema. Por su parte, vimos como Apple hacía lo propio con su cercado jardín de aplicaciones y servicios. En todos los casos, la permanencia del usuario dentro de su conjunto de productos se convierte en cifras de negocio y alimento para sus diferentes formas de monetarizar el recorrido cotidiano del usuario en la red. Como añadido, muchos fabricantes, han tratado de abrir frentes en los sistemas de Google, Apple o Facebook, insertando dentro de sus dispositivos aplicaciones y servicios propios para tratar de desviar el consumo de sus compradores. Así, empresas como Samsung, son conocidas por la cantidad de BloatWare que insertan en el sistema operativo de sus terminales móviles. Aplicaciones no deseadas que como mal menor consumen espacio y recursos, en muchos casos no pueden ser eliminadas sin conocimientos avanzados y que pueden llegar a proceder como software espía62

Sin tratar de detallar todos los elementos por los que el software comercial busca sacar partido de sus usuarios, otra de las fuentes clásicas de instalación de productos de seguimiento han sido las plataformas de instalación de software de navegador, las famosas barras y otros productos inoperantes. En este caso, muchos de estos productos se han ganado la valoración como Adware (añadidos no deseados) y han caído en la lista de software malicioso de antivirus y software de protección en general. Junto con ello, la profusión de anuncios en plataformas web ha terminado por saturar algunos sitios para convertirlos en lugares poco apetecibles. El modelo de negocio de muchas páginas comerciales y blogs se sustenta en la inclusión publicitaria. Sin embargo, el saber valorar la cantidad asumible por el usuario ha sido una de las fuentes de debate en el medio.

Todo esto nos lleva a la escalada actual de bloqueadores publicitarios. En principio, el empleo de este tipo de herramientas, muy marginal, apenas afectaría a las empresas de publicidad. Sin embargo el aumento de su base de usuarios llevará a situaciones y alianzas extrañas. Así AdblockPlus, la aplicación pionera en el bloqueo de publicidad, cambiará la forma en la que gestiona sus listas negras y blancas, con un nuevo criterio de “publicidad aceptable”63. En realidad, se pudo saber que la inclusión de ciertas compañías como Google o Amazon en sus listas blancas era parte de un acuerdo comercial. Este movimiento, hará que surjan alternativas a ese bloqueo con origen libre. En móviles Android, Adaway, de la que ya hemos tratado, será una de los Aplicaciones más extendidas, hasta el extremo que Google la retiraría de su tienda de aplicaciones y hoy en día hay que acudir a su web o a tiendas alternativas como FDroid para su descarga.  En los navegadores convencionales, alternativas como Ublock origin serán mucho más eficaces y permitirán poder extraer temporalmente partes de la web bloqueada si así lo necesitamos. El crecimiento de este tipo de bloqueos ha comenzado a preocupar al entorno comercial. Pagefair, uno de los líderes de la inserción publicitaria, señalaría en su informe sobre el avance del bloqueo publicitario para 2015. En este, se apunta a que existen cerca de 200 millones de usuarios de diversos sistemas de bloque publicitario en el mundo. Una cifra que no ha parado de crecer como consecuencia de la expansión y el abuso del empleo de añadidos en las páginas webs. Las cifras de crecimiento llegarían al 82% en el mes de junio de 2015, algo que preocupa a estas empresas que se autodefinen como defensoras de la web de acceso gratuito64

Al respecto de los elementos de seguimiento de navegación, que ya no solo lo componen las cookies sino que se han desarrollado mecanismos mucho más avanzados, no todos ellos hechos públicos. Organizaciones como EFF han desarrollado aplicaciones propias como Privacy Badger, un añadido al navegador que se emplee (con versiones para los más extendidos) que impide y bloquea el seguimiento, alertando asimismo de qué tipo de rastreo y que destino tiene en cada caso65.Desde 2011, herramientas de búsqueda y bloqueo como Disconnect66, o AnonymoX67 han prosperado entre un público menos especializado pero saturado por la publicidad. En muchos casos, el exceso de los medios ha sido el detonante para que la toma de consciencia sobre la realidad del entorno de internet se abra paso.  De nuevo será la tecnología asociada a los dispositivos móviles la que más avance al respecto. Los modelos de aplicaciones Fremium, gratuitas con publicidad y con compras integradas para poder mejorar la experiencia de uso, se han extendido en los mercados de cada ecosistema68

 Entre los casos más curiosos en lo que respecta a la interpretación de las libertades del usuario, destacaríamos el de Google que por un lado colaborarían con el espionaje de la NSA pero luego se muestran inflexibles contra estados como China. Eric Smidt, presidente de Google, acusa a China de ser la potencia que mayor grado de espionaje industrial mantiene, con cifras alrededor del 80%. Para ello no duda en ofrecer la alternativa de un tráfico de Internet completamente cifrado como solución a la privacidad69. La reacción por parte de Google se explica por su abandono del país al no poder atender las peticiones de acceso que el gobierno Chino pretendía a su buscador y sus servicios. Finalmente China, elevaría el llamado Gran Firewall Chino, un servicio de restricción de contenidos externos que mantiene parte del Internet chino al margen del resto del mundo, y potenciaría Baidu como el gran servicio sustituto de los que hasta entonces ofrecía la gran G70.

Google Now, Cortana, Siri o el reciente Facebook M, son nombres de sistemas de asistencia al usuario por medio de interfaces sencillas, creados respectivamente por grandes de la red como Google, Microsoft, Apple y Facebook. Todos ellos parten de la base que para reconocer las pautas del usuario deben ser capaces de alimentar primero un Big Data con capacidad como para saber reaccionar a ubicaciones, momentos concretos y búsquedas. Esto significa, que la recolección de datos de carácter personal que el usuario debe ceder a estos sistemas, integrados en bases de datos ubicadas en la radicación de cada centro de datos de estas empresas, debe ser muy grande. Con ello, a cambio de la comodidad de tener respuestas que buscamos y que incluso la máquina llegue a adelantarse a nuestros deseos de consulta en la red, hemos nutrido una base de datos que recolecta buena parte den nuestro discurrir no solo en la propia red sino nuestras posiciones, mediante usos de tecnologías de posicionamiento como la del GPS, y nuestro entorno, por ejemplo con las interacciones con otros usuarios, amigos, compañeros de trabajo y el etiquetado y ubicación  de nuestras fotografías. Así, vemos como de forma voluntaria y casi inconsciente se alimenta una maquinaria frente a la que no tenemos derecho de retracto. Incluso si no hemos cedido nuestros datos, las bases de datos en función a quien lo haga en nuestro entorno pueden ser capaces de elaborar un perfil personal bastante preciso. El fin de todos estos servicios, ofrecidos de forma gratuita, persigue una clara función comercial.

Nuestros datos personales son parte del negocio mediante el que nos ofrecen productos que encajen en nuestro perfil, privilegien ciertos servicios, que les conviene y nos sugieran ciertas pautas en beneficio propio. Así, automatizar buena parte de nuestras vidas ha convertido a las máquinas de Google, Microsoft, Apple o Facebook, en auténticos orquestadores de la vida privada de cada vez más usuarios, de forma desatendida e imperceptible. De nuevo la comodidad frente a la privacidad abre una brecha en la que el entorno comercial gana71.  

Como último apunte, hemos visto como las empresas con sede en EEUU ceden en mayor o menor medida datos de sus usuarios a peticiones judiciales o policiales en función a las diversas legislaciones de retención de datos que se han ido sucediendo en dicho país. El debate surgía cuando se entendía que las redes sociales y grandes aplicaciones y servicios de la red se encontraban radicadas en dicha nación. Por tanto, era un hecho que los datos de sus usuarios, sin importar la procedencia, se encontraban finalmente expuestos al cuerpo legislativo estadounidense. A esto se unía la presión que agencias como la NSA había llevado a cabo y la colaboración, más o menos voluntaria que estas compañías ofrecían. El informe de la EFF sobre el comportamiento de las principales empresas de la red es esclarecedor del grado de cesión de datos que finalmente estas ofrecen al gobierno norteamericano y sus organizaciones72. La escasa confianza que la mayor parte de estas compañías, sobre todo tras confirmarse la existencia de “puertas traseras” dentro de sus plataformas para el acceso a datos, incluso cifrados, inspiran a los redactores del informe está debidamente justificada. Como vimos en su momento la reacción pública de buena parte de estas se consolidaría en una propuesta de regulación estatal, suficientemente difusa como para que se interpretara entre miembros del medio tecnológico como una operación de maquillaje publicitario. La certeza de que Google, Facebook, YouTube, Microsoft, Yahoo!, Skype, AOL y Apple han colaborado con el programa de espionaje de la NSA denominado PRISM adquiere un peso especial ante la mencionada intención de modificar la directiva europea de protección de datos y las consecuencias sobre el resto de legislaciones de los países miembros73. En este caso la exposición de datos ciudadanos podría verse incrementada, sobre todo si se plantean los tribunales arbitrales que también están negociándose en el TPP (del que ya tratamos en el capítulo titulado Intentos reglamentadores de la sociedad de la información).  En este contexto vemos cómo se vuelve a producir una carrera entre la imposición de intereses lobistas y las libertades y derechos civiles, en los que la clave vuelve a ser la capacidad de filtración de negociaciones a puerta cerrada.

Mientras tanto, campañas ciudadanas como Naked Citizens74 o Reclaim Your Data75, quieren fortalecer la legislación de protección de datos y descartar la posibilidad de ampliación de capacidades de retención y tratamiento de estos por parte de las empresas, la aceleración de estas negociaciones apunta a un interés por consolidar posiciones contrarias.  Tal carrera ha llegado a extremos de que la plataforma de filtraciones WikiLeaks ha llegado a ofrecer 100.000 dólares a quien les suministre documentación sobre estas negociaciones opacas76. Hasta el momento, se conoce cierta correspondencia ya filtrada en la que se apunta a que las legislaciones estatales deben plegarse al interés empresarial transnacional en cuanto a sectores estratégicos y servicios públicos, basándose en “el interés comercial” en el que se amparan dichos acuerdos77.   

  En España, una de las últimas cuestiones de la que se ha suministrado escasa información es la elaboración de un proyecto denominado PNR, Sistema de Registro de Nombres de Pasajeros (Passenger Name Record). En la UE, La LIBE (Comisión de Libertades Civiles, Justicia y Asuntos de Interior) rechazaría una propuesta similar de ámbito europeo, paralizando el posterior debate al respecto78. Sin embargo, el gobierno español, decidiría mantener la idea y desarrollarla en el entorno de sus fronteras. La supuesta idea de establecer un control de viajeros en las fronteras del estado oculta la elaboración de una serie de perfiles personales, elaborados a lo largo de las publicaciones en redes sociales, que significaría la posesión de un fichero con perfiles ideológicos por ejemplo . La agencia de protección de datos recoge la idea en un comunicado en el que cita a las autoridades europeas de protección de datos, cuando afirmaban que la elaboración de ficheros previstos en el PNR puede “debilitar seriamente los derechos a la protección de la vida privada y de los datos personales de todos los viajeros, derechos estos reconocidos por los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea”79. Sin embargo, el ministerio de interior llevaría adelante el proceso de publicación del pliego y el presupuesto, valorado en 1,6 millones de euros y la adjudicación, en agosto de 2015, para un sistema que se pretendía tener funcionando, según informa el propio pliego, antes de finalizar el año80

  Hackers, periodistas y activismo por los derechos y libertades

La brecha actual entre los derechos individuales expresados por los enunciados democráticos que definen a la mayor parte de los estados de corte occidental y la realidad en la que la red se está conformando supone la concreción más evidente del periodo de relativización y disolución de los principios democráticos que fundamentaron a estas democracias. La cantidad de situaciones en las que el ejercicio de derechos básicos o el propio periodismo de investigación o comprometido puede exponer a quien lo lleve a cabo crece con la propia extensión de la red81. Como hemos señalado a través de todo nuestro trabajo, en esta constante pugna de intereses en la red la principal perjudicada ha sido siempre la ciudadanía que ha visto como empresas, estados y delincuentes, pugnan por acceder de un modo u otro a sus datos personales y disponer de ellos con una impunidad de diversos alcances. La opción que le queda, al margen de permanecer como un usuario-consumidor al arbitrio de tales circunstancias, es la de tomar opción activa por la defensa de sus derechos y hacer uso de las herramientas que se pueden emplear para el caso82. El cifrado, el control de la privacidad y el rechazo a una cultura dirigida y al fundamentalismo de la seguridad que se ha terminado de imponer a lo largo del presente siglo, son parte de esa actitud. Resulta complejo, una vez desplegados todos los elementos que componen esta realidad de la red de nuestros días, no tener conformada una opinión y apuntada la opción. Tampoco existen muchas alternativas más allá de la pasividad y la complacencia, que son la postura generalizada. La cultura del activismo cívico, juega en este escenario un papel central como único elemento capaz de ofrecer una alternativa al tejido de una realidad que quiere ofrecerse como única opción posible. El siguiente paso para reivindicar el papel de soberanía ciudadana es el de la autodefensa en Internet83.

 La libertad de prensa es uno de los frentes en los que la maduración de las formas de empleo de las herramientas seguras de comunicación en la red más avanza84. La persistencia del control y la censura en diversos países, junto con el conocimiento actual de las más evolucionadas formas de auditoría por parte de servicios de espionaje vinculados de un modo u otro a los gobiernos, han impulsado un proceso en los medios periodísticos más comprometidos en el que el cifrado y la ocultación de usos de la red comienzan a ser prácticas habituales de una nueva gestión del sentido común en las redes. La especial situación de la prensa en este sentido ha favorecido la labor la extensión de los métodos de salvaguarda y contraespionaje. La implicación de nuevos agentes en el frente contra la vigilancia ha posibilitado una ampliación en el rango de alcance y credibilidad de todas las cuestiones relativas a la defensa de la privacidad85

La ventaja del conocimiento de los últimos tiempos ha sido la de saber con certeza los métodos y limitaciones que los diversos sistemas de auditoria y recolección de datos personales tienen. Así, por parte de la propia NSA hemos podido saber que cifrados para las comunicaciones como el PGP es una de las piezas más complejas de intervenir86. Por ello, el papel central del cifrado en todo este proceso es fundamental. Como veremos, también por ello, es uno de los frentes legislativos en los que diversas autoridades quieren intervenir.  Junto con ello, el establecimiento de canales seguiros de comunicación, la evasión de formas de intervención de las comunicaciones, el uso de redes privadas virtuales, conocidas como VPN para canalizar los datos y el cambio de las DNS, los servidores que interpretan nuestras peticiones de acceso a la red, hacia servidores que garanticen la privacidad son pasos esenciales en el “bastionado” de nuestro acceso87

Como hemos podido ver buena parte de las campañas que diversos grupos de activistas de los estados democráticos de corte occidental han mantenido han hecho especial mención al derecho a la privacidad. En lugares donde no se aplican los derechos fundamentales esto tiene especial importancia dado que la capacidad de mantener sistemas privados de comunicarse puede marcar una diferencia en la que la propia seguridad personal puede encontrarse en peligro88. Aun así, las fuentes coinciden en que la importancia de la defensa de estos derechos radica en la imposibilidad de ejercer otros derechos básicos si cuestiones tan radicalmente sustanciales de cualquier democracia son cuestionadas bajo cualquier pretexto. Hasta el momento, debería ser la investigación judicial, con su permiso correspondiente, la única forma de permitir una intervención en la intimidad de las personas, como bien apuntan fuentes de la propia judicatura89. La divisoria entre los derechos cívicos y la investigación debería quedar justificadamente circunscrita. En otros casos, todas las fuentes del activismo cívico apuntan a que la protección del derecho debería primar sobre cualquier interés empresarial90.  

Otra de las fuentes de lucha de las organizaciones ha sido el de la defensa de la neutralidad de la red y el derecho a que el software no pueda ser restringido, como se pretendía con las patentes de software.

También hemos podido ver como la disonancia entre los usos y formas de una ciudadanía habituada a una cultura de acceso y las viejas formas orientadas a restringir los derechos de autoría y tratar de sacar rentas constantes de ello, incluso forzando la forma en la que la red existe, ha constituido otra de las constantes. El DRM, ha significado el último intento de restringir las maneras en las que se puede disfrutar de contenido digitales. Su fracaso, es la evidencia de cómo una correcta defensa de los derechos de los creadores no tiene por qué entrar en conflicto con sus usuarios ni pasar por una criminalización preventiva global de sus usos. El poder plegarse a las necesidades que ya expresan y se organizan por medios alternativos es una posición más inteligente que nuevos medios como los que se dedican al streaming musical y posteriormente al consumo audiovisual han abierto91.

Como ya hemos visto a lo largo de nuestro trabajo, la fuerte construcción y elevación de legislaciones que recurrentemente tratan de poner el ejercicio de patentes y derechos de autor como parte privilegiada del empuje de los gobiernos son una de las formas más evidentes de rastrear el poder de la empresa sobre los estados.  El ejemplo recurrente de Mickey Mouse, que nos explica Laurence Leesing para detallar cómo la legislación sobre el copyright americano (la DMA) se ha modificado cada vez que los derechos de autor del conocido personaje de animación se aproximaba al dominio público, es uno de los que con más claridad no explica la manera y los ritmos a los que obedece el marco legislativo de naciones como EEUU, que cada vez se hace más extendido al resto de estados92.  

La contrapartida de todo este proceso es que la realidad del hactivismo, como hemos venido a definir al activismo más orientado al empleo de tecnologías para la consecución de sus objetivos, todavía se encuentra en proceso de formación de estructuras formales. Su situación es la clásica en todos los procesos sociales de nuestro tiempo, la fragmentación. La gran ventaja de este activismo adaptado al empleo de internet es su capacidad de difusión por el nuevo medio y el conocimiento de los instrumentos para desmontar procesos ocultos93. La maduración de estos movimientos a lo largo de la segunda década del siglo, ha venido acompañada de un conocimiento más profundo de la capacidad de estados y empresas de modificar contextos sociales. La denuncia y la revelación son por ello dos de los instrumentos principales de este tipo de organizaciones enfocadas en una posición defensiva ante el empuje de quienes controlan el negocio en la red94.

La guerra del cifrado

Como hemos visto, en el cifrado está la clave futura de una red capaz de garantizar las libertades ciudadanas. A lo largo de todo nuestro trabajo hemos apuntado los elementos de riesgo a las libertades, las formas de control y el empleo de los datos de la ciudadanía. Conocido todo esto, el hactivismo comprometido tiene en el cifrado la esperanza de que puede ser el instrumento decisivo en toda esta pugna. Hasta tal punto el cifrado de datos ha tomado una posición central en esta guerra de posiciones en la red que muchas de sus fuentes son en nuestro días el nuevo escenario de confrontación95

Como afirma Amy Goodman, de la ONG Democracy Now, criticando el informe “Going Dark: Criptografía, tecnología y el equilibrio entre seguridad pública y privacidad” un documento debatido en comisión del senado estadounidense en donde, sumariamente, se exigía la eventualidad de permitir una puerta trasera para burlar la seguridad del cifrado de las tecnologías más recientes, el mantenimiento de la privacidad de las comunicaciones es esencial en cualquier democracia. Miembros de las diversas agencias de inteligencia y del FBI estadounidense, pretenden que se legisle al respecto para mantener esa vía abierta de forma obligatoria para empresas de dicho país96. Efectivamente, el gobierno estadounidense y británico, ya se han planteado poder legislar al respecto, dado que hasta ahora el juego se había desarrollado mediante medidas de presión y o mediante un asalto a las formas precedentes de comunicación. Por otra parte, en las actuaciones contra las filtraciones periodísticas de Snowden, realizadas a través del diario británico The Guardian, se confirmaría accidentalmente una documentación secreta del GCHQ acerca de cómo proceder con los dispositivos que contengan información considerada peligrosa. Efectivamente, en Julio de 2013, agentes de la inteligencia británica irrumpieron en la redacción del periódico y procedieron a la destrucción de los dispositivos del periodista Glen Greenwald, alegando un supuesto código de seguridad nacional desconocido97. Los agentes emplearon un protocolo bien determinado que incorporaba herramientas tan sofisticadas como un “degausser”, que es un dispositivo que provoca el borrado de dispositivos magnéticos. Este hecho corroboraba la filtración de WikiLeaks sobre documentos de 2001 del ministerio de defensa británico que obligaba a la destrucción de información para protegerse de “grupos extremistas, periodistas de investigación y terroristas”98.

Diversos casos nos han mostrado la importancia que el cifrado de datos tiene en la red. Uno de los ejemplos que más revuelo causara en el medio sería el del cierre brusco de la empresa Lavabit. La compañía, contaba con un producto estrella, un servicio de correo cifrado y seguro. Precisamente sería E. Snowden quien lo popularizaría al comentar que era el servicio de correo que empleaba habitualmente ya que mantenía una forma segura de comunicación cifrada. La presión del gobierno estadounidense, que irrumpiría en la empresa y obligaría a sus creadores primero a insertar dispositivos de control de tráfico y luego que les revelaran las claves privadas para acceder a todos los datos de usuarios terminaría por hace que estos optaran por cerrar un servicio que surgiera en 2004 como alternativa al correo de Google, Gmail, que escanea los contenidos de los correos de sus usuarios. Esta decisión haría que Ladar Levison, el propietario, tenga que enfrentarse a un proceso judicial por no responder como se le solicitaba a la llamada “carta de seguridad nacional”99.

Bruce Schneier, otra de las voces más señaladas en lo que respecta al cifrado y la defensa de la privacidad en las comunicaciones explica en su libro “Data y Goliat: Las batallas ocultas para recopilar tus datos y controlar tu mundo”, como la progresión hacia la intervención de todos los medios tecnológicos puede hacer que muchas de las empresas realmente preocupadas por la seguridad emigren de EEUU, ante la presión del gobierno y sus agencias100. Tal ha sido el caso de Phil Zimmermann, creador del cifrado PGP (Pretty Good Privacy), del que ya hemos tratado, que decidiría a primeros de 2015 abandonar EEUU y ubicar su empresa en Suiza, donde las leyes sobre la privacidad son más protectoras101. La compañía Silenc Circle, fundada por este en 2012, se dedica especialmente a las conexiones seguras y tiene como productos estrella un dispositivo telefónico, denominado Blackphone , con un derivado de Android y aplicaciones de comunicación  cifradas y seguras, como Silent text, que son de las aplicaciones más confiables según contrastara la  EFF102.  

 De todos los casos de herramientas polémicas respecto a la seguridad y el cifrado, TrueCrypt ha sido la más destacada. De creadores desconocidos, la aplicación capaz de funcionar en buena parte de los sistemas operativos, era capaz de cifrar discos duros enteros, crear unidades ocultas o cifrar datos concretos. Todo ello con una interfaz sencilla de emplear que la había convertido en la aplicación favorita de buena parte de los usuarios más comprometidos. El repentino cierre de la aplicación y las extrañas aseveraciones de su equipo de desarrolladores, que recomendaban el empleo de la herramienta de cifrado Bitlocker de Microsoft, algo muy llamativo, pondrían sobre aviso a usuarios sobre la inconveniencia de instalarse la versión 7.2.103. Mientras tanto, la herramienta estaba siendo sujeta a un proceso de auditoría de seguridad para comprobar la robustez del sistema de cifrado.  En el entorno hacker, esto sugería de inmediato un warrant canary, una forma de revelar sutilmente que la herramienta está siendo investigada104. Esta será una de las interpretaciones más difundidas en foros dedicados a la seguridad. Las pistas sobre que pudiera estar siendo investigado por agentes del gobierno suele darse mediante errores en las publicaciones, como fechas de actualización anunciadas que no se cumplen, o como en este caso citar a  BitLocker, expresamente rechazado por los desarrolladores con anterioridad, lo que conforma por sí mismo una pista clara de tales hechos. La herramienta en cuestión estaba pasando, como hemos señalado, por una auditoria de seguridad105. La iniciativa Open Crypto Audit Project, financiada con una campaña en internet, publicará sus conclusiones en abril de 2015. En estas aunque se encontrarían ciertos errores en el software para Windows, que podría debilitar la fortaleza del cifrado, según el que se elija, pero no se encontró puertas traseras ni cadenas de código sospechoso106. Con ello, buena parte de la comunidad de usuarios de la herramienta pudo seguir empleando la versión 7.1 con cierta confianza, abandonando completamente la versión 7.2, publicada junto con la advertencia antes descrita. Pronto aparecería una página con datos del proyecto y dos grupos de investigación para ofrecer desarrollos derivados de la herramienta principal.

Asociaciones como Pure Privacy, localizadas en suiza, tratan de establecer una serie de aplicaciones similares con garantías de privacidad. Para ello, testean y mantienen relaciones con desarrolladores de código abierto en la búsqueda de una lista de proyectos debidamente auditados para ser acreditadas como protectoras de la privacidad. Su foco principal es la sustitución de la TrueCrypt por una herramienta más sofisticada y segura. Actualmente hay dos proyectos derivados de este para ofrecer una sustitución conveniente: VeraCrypt y CipherShed107.

El cifrado y la posesión de nuestra privacidad de ha convertido en los últimos tiempos en todo un signo de higiene democrática. Dado que la confianza que pueda tenerse en las formas más transparentes de navegación y comunicación en la red no existe, ante la quiebra creada desde la puesta en conocimiento de los métodos de espionaje cada vez más extendidos y a la inseguridad creciente en torno a las comunicaciones en la red, el cifrado y la ocultación de rastro van camino a convertirse en una práctica generalizada.  EL informe de la Comisión de Derecho Humanos de las Naciones Unidas, redactado en mayo de 2015, confirma que el derecho al cifrado debe ser considerado como parte del derecho a la intimidad y la libre expresión108. Con ello, se apunta en sentido contrario a las intenciones legislativas arriba descritas y sitúa el debate de nuevo en la confrontación de derechos.  Tratando de mediar entre ambas posiciones, la ONG Acess Now, que muchos identifican con el interés de la gran empresa norteamericana que defiende libertades ajenas, ha preparado un primer encuentro llamado Crypto Summit 2015, para iniciar un debate sobre el empleo del cifrado109. Sin embargo, conocer a los patrocinadores del evento nos coloca adelante la visión que tendrán sus eventos.  

 Mientras todo este proceso continúa, las filtraciones se han convertido en la fuente principal de información acerca de cómo actúa la parte más oculta de los gobiernos. Así el diario alemán Der Spiegel, podría hacerse en diciembre del 2014 con un conjunto de documentos sobre la NSA que publicaría en un reportaje sobre la clasificación interna de los niveles de dificultad de diversos servicios y aplicaciones. Por ejemplo, PGP todavía sigue sin ser descifrable Los analistas de la NSA todavía no han podido romperlo y por tanto es uno de los métodos más seguros de envió de texto110. En los documentos, existen guías de criptoanálisis, de comunicaciones de Voz por IP o de cómo intervenir comunicaciones de Skype. El nivel de detalle del informe lo convierte en una de las fuentes más documentadas que se tienen respecto a los métodos de espionaje de la NSA y su nivel real de conocimientos. Por poner algunos ejemplos de los datos encontrados, los analistas de la agencia catalogan como “trivial” el rastreo de un documento en la red o la intervención de comunicaciones del chat de Facebook. Acceder a una cuenta del servicio de correos electrónicos ruso mail.ru se cataloga como de dificultad moderada. Sin embargo, el cifrado de TOR, todavía les causa dificultades, así como la mensajería de “Off-The- Record” o las llamadas mediante Repone. TrueCrypt también aparece como una de las amenazas a su capacidad de intrusión111. Otras vías de las que ya tratamos como el uso de VPN o HTTPS, no garantizan la seguridad respecto al espionaje. Junto a esto, el manteamiento de contraseñas por defecto en la mayor parte de infraestructuras y hardware con conexión a la red, abren una puerta a su posible intervención. Junto con todo el despliegue tecnológico y la recopilación de conocimientos también ciertas prácticas cotidianas podrían mantener mayores niveles de privacidad. El proceso de maduración y la capacidad de una educación en la seguridad de nuestros medios podría residir una de las claves en la vuelta a un estado de la cuestión en el que no se viva en un atropello contante. 

La puesta en conocimiento de todas estas cuestiones ha comenzado a movilizar a la ciudadanía en pos de su seguridad. Uno de los más recientes movientes ha sido el de la inutilización del chip de identificación de los nuevos documentos de identidad alemanes. Uno de los documentos de la NSA, hacía mención a la capacidad de una lectura de un rango más amplio que el declarado112. Esto significaría una capacidad de control del que no han sido advertidos los ciudadanos alemanes. Mientras muchos optaran por el sistema de la Jaula de Faraday (aislando el chipo dentro de un cuerpo metálico), otros procederían a potenciar una campaña para quemar estos Chips introduciendo los carnet en el horno microondas.  De hecho una de las más recientes informaciones que se tienen respecto a uno de los sistemas de recopilación de datos personales de la NSA, llamado XKeyscore, confirma que la BFV (agencia de inteligencia alemana) intercambiaba datos de sus ciudadanos a cambio de acceso a datos de dicho programa113

 Las formas de espionaje y las nuevas técnicas de evasión han evolucionado en los últimos tiempos, mientras la red crecía y se extendía a lo largo de cada vez más elementos de la vida cotidiana. Como hemos visto, diversas organizaciones han elevado la voz de alarma sobre el proceder de redes sociales y empresas que prestan servicios de Internet114. De forma paralela, sobre todo gracias a grupos de creadores comprometidos con el software libre, se han creado nuevas herramientas comprometidas con la privacidad, con un éxito desigual pero que cada vez se conforman más como alternativas.  La dicotomía descrita entre de la comodidad o la privacidad es una cuestión que afecta al conjunto de una humanidad cada vez más conectada115

 Una sociedad incapaz de elevar el ejercicio de sus derechos permite con su inacción el avance de las medidas de quienes diseñan su estrategia conociendo perfectamente este hecho. El conflicto permanente entre una legislación con una tendencia hacia la desproporción vigilante y sancionadora y la defensa de las libertades cívicas es la fuente principal de todo este proceso. 

Mantener a la ciudadanía en un estado de vigilancia permanente por la eventualidad de un comportamiento terrorista no es solo un atropello a las libertades sino una auténtica declaración de intenciones de quien tan solo lo sugiera. Las fuentes de los problemas de la sociedad actual no se resuelven mediante el espionaje ciudadano. El estado de madurez por venir puede significar retomar la soberanía individual y colectiva sobre nuestras vidas o una cesión al modelado social completo.

1 . Piketty, T. La crisis del capital en el siglo XXI. Crónicas de los años en que el capitalismo se volvió loco. Siglo veintiuno editores. Buenos Aires. 2014

2 . Castells, M. La era de la información: economía, sociedad y cultura (Vol. 3): .Fin del milenio. Alianza editorial. Madrid. 2008 

3 Aunque la web spannhaus, dedicada al bloqueo de sitios y cuentas que se dedican al envío de correo basura nunca confirmaría estos datos y hay sombras sobre la veracidad del caso, sí que hubo otros casos menos vistosos de asesinato de hackers rusos que apuntan en la dirección expuesta:  http://www.spamhaus.org/ 

4 La fundación P2P, contiene la mayor parte de los hilos de la creación y puesta en marcha del Bitcoin dentro de sus foros: http://p2pfoundation.net/ 

5 Después de la creación de la fundación Bitcoin los foros dedicados a la moneda virtual están principalmente en: https://bitcointalk.org/

6 Para conocer más sobre la moneda, la propia web de la fundación suministra información sobre cómo se organiza y los medios de compra, generación y gestión de carteras: https://bitcoin.org/es/

7 Sobre el cierre de Silk Road redactaría un artículo en su momento para eldiario.es titulado “El cierre de Silk Road: el gran supermercado de las drogas de internet”: http://www.eldiario.es/turing/Silk-Road-supermercado-drogas-internet_0_183731705.html Una de las conclusiones mas evidentes del asunto es que con su cierre, mas allá de la crisis desatada en la criptomoneda, apenas se conseguría distorsionar el mercado negro virtual. La porpia forma de organizarse este y las maneras adoptadas lo hacen difícil, mas allá de cierres puntuales.

8 En marzo de 2015, el gobierno británico publicaría un informe sobre los riesgos de inversión en este tipo de monedas  “Digital currencies: response to the call for information”: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/414040/digital_currencies_response_to_call_for_information_final_changes.pdf  

9 Coinbase es uno de los servicios de cartera e intercambio más estables y empleados en nuestros días: https://www.coinbase.com/

10 Sobre el mercado de Bitcoin y criptomoneda en cuestión puede consultarse la web de información financiera dedicada específicamente a los mercados de criptimonedas y sus precios, Coinwarz: http://www.coinwarz.com/cryptocurrency/?cal=1

11 Uno de los más recientes cambios en la moneda ha sido la implementación de Bitcoin XT, una adecuación de esta moneda que le permite ptimizar los procesos en torno a su generación, adquisición y transacción: http://www.ticbeat.com/economia/como-afecta-bitcoin-xt-al-futuro-de-la-criptomoneda/  

12 VVAA. 2010 Circumvention Tool Usage Report (Berkman Center for Internet & Society) 

13 .  Sobre la nueva realidad de la red surgida en la era post Snowden, compondría un artículo al respecto titulado: El fin de la inocencia en la red, disponible en: http://www.eldiario.es/turing/inocencia-red-internet_0_146635468.html y en http://www.rebelion.org/noticia.php?id=170310

14 El proyecto TOR,  es la web donde se suministran las herramientas para acceder a la red oculta más famosa de nuestros tiempos: https://www.torproject.org/index.html.en

15 I2P, es otra de las redes que proporcionan privacidad en las conexiones: https://geti2p.net/es/

16 .Freenet es la tercera red anónima más utilizada. Especialmente enfocada a foros y comunicaciones entre activistas: https://freenetproject.org/?language=es

17 Por supuesto, sitios como The Pirate Bay, mantienen una réplica en TOR, como forma definitiva de eludir la censura y el bloqueo: http://uj3wazyk5u4hnvtk.onion/  

18 Pirate Bay también cuenta con su propio navegador, integrado por el cliente TOR, un Firefox portable y un proxy incrustado: https://piratebrowser.com/

19 Paginas como Deep Dot Web también mantienen réplicas de sus webs en la red TOR: http://deepdot35wvmeyd5.onion/ y en la web transparente en : https://www.deepdotweb.com

20 Casi tres años después de su publicación, en 2013, la Guía  para empezar a usar Tor, sigue siendo unas fuente de tráfico, y relevancia en la web debido al interés suscitado por el tema: http://www.eldiario.es/turing/Primeros-pasos-navegacion-segura-Tor_0_126337372.html

21 VVAA. 2010 Circumvention Tool Usage Report (Berkman Center for Internet & Society) 

22  The Hidden Wiki, es el portal de acceso desde la web convencional que nos suministra una serie de enlaces a la red oculta. Es conocida como la puerta de entrada más famosa a los servicios ocultos http://thehiddenwiki.org/ . Su versión oculta y sin censura está disponible en: http://zqktlwi4fecvo6ri.onion/ 

23 Torch, ha sido hasta tiempos muy recientes el buscador de referencia en la web oculta: http://xmh57jrzrnw6insl.onion/

24 Grams, es uno de los buscadores más recientes y que mejores resultados ofrecen en la búsqueda de mercados ilegales en la web oculta. Su funcionamiento, muy parecido al de Google en la web convencional, lo hace sencillo y fácilmente reconocible en todos sus servicios: http://grams7enufi7jmdl.onion/ . La web Deep Dot Web, hace un análisis bastante convincente de cómo funciona este buscador: https://www.deepdotweb.com/grams-search-darknet-marketplaces/

25 Informe de Usenix sobre la evolución de los mercados negros en la web anónima titulada, Measuring the Longitudinal Evolution of the Online Anonymous Marketplace Ecosystem: https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-soska.pdf

26 Recopilación de sitios en la web oculta que tiene mercados negros que garantizan la compra mediante Escrow: https://www.deepdotweb.com/marketplace-directory/categories/marketplaces

27 Con Bit Mixer puedes mezclar las cantidades de Bitcoins pagadas a cierto servicio que no quiera ser reconocido. La entidad mezcla con un depósito propio esas cantidades y realiza los pagos con otros Bitcoins de diversos orígenes. De este modo, no solo se hace el pago con una moneda de difícil rastreo sino que este pago queda enturbiado mediante el proceso de mezcla de orígenes: https://bitmixer.io/how.html 

28 Mitnick, K.D. El Arte de la Intrusión. Ra-Ma. Madrid. 2006

29 Molist, M. Hackstory.es. La historia nunca contada del underground hacker en la península ibérica. 2014. Disponible en formato electrónico en: http://hackstory.es/

30 Guía de pasos para la OSINT (tareas de Inteligencia a nivel navegador) para realizar una investigación desde la propia red con los datos que pueden extraerse de esta sobre individuos y organizaciones. http://onstrat.com/osint/ 

31 Peña, R. Cuadernos de consultor. Curso de hacking ético. UDIMA. Madrid. 2015

32 VVAA. Pentesting con Kali. 0xwolrd. Madrid. 2014

33 González, P. Metasploit para Pentesters. 0xwolrd. Madrid. 2014

34 El carding, la publicación de datos de tarjetas de crédito para su uso por delincuentes, es una fuente común del negocio del delito en la red: https://www.deepdotweb.com/2015/08/17/cybercrime-the-study-of-carding/

35 Documento informativo a cargo del FBI sobre los ataques y la ciberdelincuencia: http://www.ic3.gov/media/annualreport/2009_ic3report.pdf

36 VVAA. Informe de Amenazas CCN-CERT IA-09/15 Ciberamenazas 2014 y Tendencias 2015. Centro Criptológico Nacional. Madrid. 2015

37 La DefCom las vegas es la conferencia de hacking más reconocida a nivel mundial: https://defcon.org/

38 . En España, Rootedcom es el evento principal de ciberseguridad y hacking: https://www.rootedcon.com/,  e pueden consultar los vídeos de las conferencias más destacadas de la edición de 2015 en su canal de YouTube:

https://www.youtube.com/channel/UCeqrsQm33UBFHb50zorReHQ

39 . Ponencia sobre Cibercrimen en Rusia: cómo y por qué actúan los ciberdelincuentes en el I Qurtuba Security Congress: https://www.youtube.com/watch?v=A0rySsa15nc

40 El informe Russian Underground elaborado por TrendMicro en 2012 es uno de los más detallados análisis de cómo se organiza el cibercrimen en el país:

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf. La actualización del informe a Julio de 2015 pone en contraste la rápida evolución del mercado del hacking hacia actividades más específicas como el ataque tipo APT y el Ransonware y la actualización de precios.

41 El informe sobre el caso de China tiene sus particulares formas de gestionar el malware con una gran orientación hacia el SMS y el mercado telefonico: http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/brazilian-underground-market-for-cybercriminal-wannabes

42 Según TrendMicro, américa latina y especialmente Brasil, comienza a despuntar como un nuevo núcleo de origen de cibercriminales. Así, en su informe sobre la zona, apunta a las formas de adquisición de datos bancarios como una de sus principales focos delinctivos.: http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/brazilian-underground-market-for-cybercriminal-wannabes  

43 El cuadro completo de informes relativos a los precios y especializaciones del mercado negro y la criminalidad en la red puede consultarse en: http://www.trendmicro.com/vinfo/us/security/special-report/cybercriminal-underground-economy-series/global-black-market-for-stolen-data/

44 Informe anual de la empresa de seguridad Symantec sobre las amenazas para la seguridad en Internet, 2015: http://www.symantec.com/es/es/security_response/publications/threatreport.jsp  

45 Estudio sobre el cibercrimen por la UNODC, oficina de naciones unidas para las drogas y el crimen: http://issuu.com/spandataartadata/docs/cybercrime_study_210213

46 CNN- CERT (Centro Criptológico nacional- Gobierno de España): Guías del esquema Nacional de Seguridad: https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html  

47 Sobre Hacking Team aparte de lo explicado en el caso de España, la  EFF también se pronunciará al respecto, apuntando a estos como unos delincuentes al servicio de los estados: https://www.eff.org/es/deeplinks/2015/07/raiz-de-la-filtracion-de-hacking-team-eff-y-grupos-de-sociedad-civil-en

48 Assange, J. Cypherpunks. La libertad y el futuro de Internet. Deusto. Madrid. 2014

49 . El portal de la Agencia Española de Protección de Datos contiene toda la información detallada sobre la legislación en torno a las cookies: http://www.agpd.es/portalwebAGPD/canaldocumentacion/cookies/index-ides-idphp.php, también se creó un portal al detalle para implantarla en: http://politicadecookies.com/index.php

50 VV.AA. Sociedad Mediatizada. Gedisa. Barcelona.2007

51 La información de TOR Project acerca de los primeros bloqueos chinos pude ser consultada en su blog: https://blog.torproject.org/blog/tor-partially-blocked-china

52 . Informe de la UNESCO sobre la censura de internet. Freedom of Connection, Freedom of Expression, disponible en: http://unesdoc.unesco.org/images/0019/001915/191594e.pdf

53  Mapas e informes de la ONG Open Net Iniciative sobre la censura y los medios de vigilancia en Internet. En este apartado destacaremos el informe dedicado a Europa, donde se hacen mención a los mecanismos de vigilancia ilegales tanto por estados como por empresas. http://map.opennet.net/filtering-pol.html  Los casos concretos de europa se encuetran disponibles en: https://opennet.net/research/regions/europe 

54 La cuadrature du net; junto con Statewacht, son dos de las organizaciones que hacen un seguimiento más estrecho a las legislaciones de la UE. En este caso en lo relativo a la privacidad podemos ver todos sus informes en: http://www.laquadrature.net/en/Privacy . En cuanto a la nueva legislación francesa, más información sobre el estado actual en: http://www.laquadrature.net/en/huge-threats-to-fundamental-freedoms-and-rights-consolidated-in-the-french-parliament

55 La directiva de protección de datos que data de 1995, disponible en: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML se encuentra en debate y se espera que la modificación sustancial de ciertos contenidos favorecerá los intereses de las empresas

56 Reclaim Your Data es una campaña de diversos grupos y organizaciones para que la ciudadanía siga manteniendo la capacidad de controlar sus datos personales: http://www.reclaimyourdata.eu/

57  Echeverría, J. Los señores del aire. Telépolis y tercer entorno. Destino. Barcelona. 1998

58 . Lessig.L. Por una Cultura libre. Cómo los grandes medios usan la tecnología y las leyes para encerrar la cultura y controlar la creatividad. LOM. Santiago, 2005. Su edición electrónica se encuetra disponible en: http://www.traficantes.net/libros/por-una-cultura-libre

59 VVAA. Internet y Lucha política: Los movimientos sociales en la red. Capital Intelectual, Buenos Aires, 2006

60 El comunicado de Lenovo al respecto tampoco clarificaba debidamente, la necesidad de las funciones que parecía argüir para justificar su inclusión no declarada. En teoría argumentan que Superfish, un software de una empresa radicada en Palo Alto (California) “mejoraría la experiencia en las compras del usuario”: http://news.lenovo.com/article_display.cfm?article_id=1929 

61 Los foros de usuarios de Ars Technica, volverían a revelar los extraños procesos iniciados en los ordenadores de la firma. Esta vez desde la propia BIOS UEFI, que accedía a los servidores de la empresa para proceder a la instalación de software de las empresas con objetivos no declarados ni consentimiento previo del usuario: http://arstechnica.com/civis/viewtopic.php?p=29497693&sid=ddf3e32512932172454de515091db014#p29497693

62 Gillmor, D. Nosotros el medio. 2004. Libro disponible con licencia Creative Commons en: http://www.hypergene.net/wemedia/espanol.php

63 AdblockPlus, se defendería estableciendo unos criterios de publicidad aceptable: https://adblockplus.org/es/acceptable-ads

64  Page Fair, empresa vinculada a la publicidad en la red., ha elaborado un informe sobre el crecimiento del bloqueo publicitario de los usuarios de internet hasta 2015,  titulado ” The 2015 Ad Blockig Report” disponible en: http://blog.pagefair.com/2015/ad-blocking-report/

65 . Privacy Badger, es uno de los gestores de privacidad en las conexiones web más famoso y confiable, creado por la EFF: https://www.eff.org/privacybadger

66 Disconnect, un bloqueador y buscador alternativo que garantiza la privacidad: https://disconnect.me/

67 AnonymoX, ofrece incluso el cambio de IPs de sus usuarios para dificultar su rastreo:  http://www.anonymox.net/en

68 . VVAA. The Practice and Policy of Global Internet Filtering. MA: MIT Press Cambridge, 2008. Recurso disponible también en formato electrónico en: http://www.opennet.net/accessdenied/

69 .Como ya señalamos en el capítulo correspondiente a la ciberguerra, la llamativa posición del CEO de Google respecto a los ataques chinos, debemos verla en perspectiva, en primer lugar por la propia salida de Google y sus servicios de China y del papel competidor que juegan plataformas locales como Baidu desde entonces, así como el desarrollo de aplicaciones similares a las que desarrolla la propia compañía. Todo ello, podemos consultarlo en su última publicación:  http://www.newdigitalage.com/

70 Assange, J. Cuando Google encontró a WikiLeaks. LMD-Clave Intelectual. Madrid. 2014

71 Lessig.L. El código 2.0. Traficantes de sueños (licencia Creative Commons), Madrid. 2009.

72 El informe de la EFF, llamado “Who Has Your Back? 2015: Protecting Your Data From Government Requests report”   detalla las posiciones de las empresas estadunidenses y su práctica respecto a la cesión de datos de sus ususarios: https://www.eff.org/who-has-your-back-government-data-requests-2015 

73 La web PRISM Break, suministra herramientas para poder escampar de la vigilancia de sistemas como PRISM: https://prism-break.org/en/

74 La campaña Naked Citizens (ciudadanos desnudos), Llevada adelante por buena parte de las asociaciones de derecho europeas apuntan a la necesidad de retomar el control de nuestros datos.    https://www.nakedcitizens.eu/ 

75 Reclaim Your Data es una campaña de diversos grupos y organizaciones para que la ciudadanía siga manteniendo la capacidad de controlar los datos personales: http://www.reclaimyourdata.eu/

76 . En el portal de WikiLeaks podemos ver la campaña que han lanzado para adquirir información sobre el TPP antes de que comiencen los acuerdos: https://wikileaks.org/pledge/#rd-6 y también en https://wikileaks.org/WikiLeaks-goes-after-hyper-secret.html 

77 Algunas filtraciones ya publicadas por WikiLeaks apuntan a la intencionalidad no manifiesta del TPP: https://wikileaks.org/tpp-soe-minister/

78 La LIBE, Comisión de Libertades Civiles, Justicia y Asuntos de Interior, rechazaría en 2013 la propuesta de control de pasajeros., quedando desde entonces paralizado el debate http://www.europarl.europa.eu/committees/en/libe/reports.html

79 La Agencia española de protección de datos tan solo emitirá un comunicado de prensa al respecto: http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_02_06-ides-idphp.php  

80 En el pliego de condiciones, publicado en febrero de 2015 para el que se puede consultar a través de la cache de google, se hace mención a un importe de 1,6 millones de euros para la elaboración del proyecto: http://webcache.googleusercontent.com/search?q=cache:pwtE8zJhlYUJ:https://contrataciondelestado.es/wps/wcm/connect/d5ac30f5-4ed4-4bba-8f9b-055a247de6b0/DOC_PIN2015-016021.pdf%3FMOD%3DAJPERES+&cd=5&hl=es&ct=clnk&gl=de 

81 Informe de Reporteros Sin Fronteras. “Enemigos de Internet 2014: organismos en el epicentro de la censura y la vigilancia“: http://www.rsf-es.org/news/rsf-publica-el-informe-enemigos-de-internet-2014/

82 Privacy Internacional y Amnistía internacional han publicado un informe sobre el estado de la cuestión de las revelaciones de Edward Snowden titulado “Two Years after Snowden. Protecting Human Rights in an age of mass surveillance”. Disponible en: https://www.privacyinternational.org/?q=node/591

83 Periano, M. El pequeño libro rojo del activista en la red. eldiario.es libros. Madrid. 2015

84 LA IPI (International Press Institute) ha elaborado un documento sobre el cifrado y el anonimato en la red, titulado “Special report: Encryption, anonymity as safeguards for press freedom” explicado en: https://www.ifex.org/international/2015/08/21/encryption_anonymity/?i=1 y disponible en http://ontheline.freemedia.at/special-report-encryption-and-anonymity/ 

85 Actualmente se han diseñado multitud de guías sobre la protección de datos, formas de anonimato en la red pero las más destacadas son:  https://info.securityinabox.org/es  y la guía de autodefensa contra la vigilancia de la EFF: https://ssd.eff.org/es  Al final del presente capítulo sintetizamos algunas de las más destacadas para empezar a orientarse en una red segura.

86 Para conocer el cifrado PGP y cómo emplearlo, existen múltiples guías en la red como la suministrada por la campaña de autodefensa del correo electrónico, llevada adelante por la FSF: https://emailselfdefense.fsf.org/en/

87 Barandiaran, X. Activismo digital y telemático. Poder y contrapoder en el ciberespacio. 2003. Recurso disponible en http://www.sindominio.net/~xabier/textos/adt/adt.html

88 Himanen, P. La ética del hacker y el espíritu de la era de la información. Destino. Barcelona. 2004

89  El Juez Eloy Velasco, en Aspectos procesales de la investigación y de la defensa en los delitosinformáticos”, publicado en Cybex., defiende el necesario equilibrio entre los derechos personales y la necesidad de investigación criminal. Al respecto, afirmaba que una intervención superior a un mes debía de ser suficientemente justificada por parte de los investigadores para que en su caso les ampliara el permiso.

90 Padilla, M. El kit de la lucha en internet. Traficantes de sueños ed. Madrid. 2012

91 Kleim, N. No logo. El poder de las marcas. Booket. Madrid. 2011 

92 Leesing, L .El código 2.0. Traficantes de sueños (licencia Creative Commons), Madrid. 2009.

93 ¿Quién vigila al vigilante?. Un Informe de Privacy internacional disponible en: https://www.privacyinternational.org/?q=node/351

94 La EFF publicaría un estudio sobre qué datos personales recopila y cómo los maneja cada una de estas empresas. Así como la forma de proceder respecto a la protección de estos o la cesión a peticiones de gobiernos y jueces: https://www.eff.org/who-has-your-back-government-data-requests-2015 

95 Assange, J. Cypherpunks. La libertad y el futuro de internet. Deusto. Madrid. 2014

96 Amy Goodman en su artículo  “Ciberseguridad, criptografía y los años dorados de la vigilancia” afirma que las agencias de seguridad estadounidenses están reclamando la radica obligación legal de que las empresas estadounidenses deban permitir la existencia de “puertas traseras” para ellas: http://www.democracynow.org/es/blog/2015/7/10/ciberseguridad_criptografia_y_los_anos_dorados otra copia se encuetra disponible en: 

http://www.lamarea.com/2015/07/13/ciberseguridad-criptografia-y-los-anos-dorados-de-la-vigilancia/ El documento “Going Dark” está disponible en la página del FBI: https://www.fbi.gov/news/testimony/going-dark-encryption-technology-and-the-balances-between-public-safety-and-privacy

97 Sobre cómo el GCHQ británico procede con datos sensibles: https://firstlook.org/theintercept/2015/08/26/way-gchq-obliterated-guardians-laptops-revealed-intended/

98 El documento filtrado por WikiLeaks sobre la destrucción de equipos electrónicos se encuentra disponible en: https://wikileaks.org/wiki/UK_MoD_Manual_of_Security_Volumes_1,_2_and_3_Issue_2,_JSP-440,_RESTRICTED,_2389_pages,_2001

99 El caso de Lavabit y el comunicado final de su creador dispararía todas las dudas sobre la intervención de la NSA. En su web todavía se puede ver el comunicado de éste a sus usuarios: http://lavabit.com/ 

100 Schneier, B. Data and Goliath .The Hidden Battles to Collect Your Data and Control Your World. W. W. Norton & Company. 2015. Ed electrónica en: http://www.amazon.com/Data-Goliath-Battles-Capture-Control-ebook/dp/B00L3KQ1LI/

101 Sobre el comunicado de Zimmermann de su intención de marcharse de EEUU: http://www.theguardian.com/technology/2015/may/25/philip-zimmermann-king-encryption-reveals-fears-privacy  

102 Listado de aplicaciones de cifrado de comunicaciones elaborado por la EFF con su catalogación respecto a diversos apartados, como la salvaguarda de la identidad, o el cifrado de mensajes: https://www.eff.org/secure-messaging-scorecard

103 El extraño mensaje de los creadores de truecrypt lo podemos ver en http://truecrypt.sourceforge.net/, también mantenemos copia en: http://www.evernote.com/l/ACveegiWHfBFTKUZxzKOptAsKxJyIiUChXw/

104 La actividad en torna al soporte de la última versión fiable de TrueCrypt y la búsqueda de alternativas con bases sólidas están siendo llevadas a cabo por https://truecrypt.ch/about-us/

105 El proyecto Open Crypto Audit Project: https://opencryptoaudit.org/

106 Las conclusiones, publicadas en abril de 2015, se pueden consultar en: 

http://istruecryptauditedyet.com/ y las finales en http://blog.cryptographyengineering.com/2015/04/truecrypt-report.html  y en https://opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf 

107 . La asociación Pure privacy, con sede en suiza, se ha encargado de patrocinar los proyectos de cifrado de datos que sustituyan a TrueCrypt: https://pure-privacy.org/, los proyectos derivados en:  https://pure-privacy.org/projects/

108 . Informe de NNUU (comisión de Derecho humanos) del 22 de mayo de 2015 sobre el derecho al cifrado: http://www.ohchr.org/EN/Issues/FreedomOpinion/Pages/CallForSubmission.aspx  El documento se encuentra en: www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session29/Documents/A.HRC.29.32_AEV

109 El Crypto Summit 2015, pretende ser un debate abierto sobre el uso del cifrado. Sin embargo, animo a los lectores a que busquen los patrocinadores del evento para poder saber qué línea será el pivote de los debates: https://www.accessnow.org/page/content/crypto-summit/ 

110 La guerra del cifrado se hace global”. Artículo de la EFF en el que explica la ofensiva contra el cifrado de datos de diversos gobiernos: https://www.eff.org/deeplinks/2015/07/crypto-wars-have-gone-global

111 Reportaje de Der spieguel sobre la NSA (ingles) la clasificación de archivos y su nivel de dificultad titulado “Prying Eyes: Inside the NSA’s War on Internet Security“. En este, se contiene una serie de guías de la NSA sobre los métodos para romper diversos tipos de cifrado: http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

112 . El “cocinado” de tarjetas de identidad como forma de salvaguardar la privacidad frente al escaneo: https://www.washingtonpost.com/news/worldviews/wp/2015/08/14/germans-are-so-scared-of-surveillance-they-microwave-their-id-cards/ en el siguiente vídeo podemos ver el procedimiento de quemado del chip: https://www.youtube.com/watch?v=mQbfuU-6Kmg

113 . Sobre la colaboración e intercambio de datos de ciudadanos alemanes con la NSA en el programa XKeyscore se ha corroborado con posterioridad que tal tráfico se produjo: http://www.zeit.de/digital/datenschutz/2015-08/xkeyscore-nsa-domestic-intelligence-agency  

114 Stallman, R. Software Libre para una sociedad libre. Traficantes de sueños Ed. Madrid. 2013. Edición electrónica: http://www.traficantes.net/libros/software-libre-para-una-sociedad-libre

115 68. Kleim, N. La doctrina del Shock. El auge del capitalismo del desastre. Booket. Madrid. 2012