Si obres la porta d'una xarxa a la policia, potser al darrere hi entra un lladre

BarcelonaUn ciberatac d'origen xinès a diverses empreses nord-americanes de telecomunicacions ha posat en relleu el risc que suposa l'existència de les anomenades "portes del darrere" en els sistemes de comunicació. Aquests mecanismes, que existeixen per complir amb les ordres judicials d'intercepció de comunicacions, han permès als ciberintrusos accedir a informació confidencial, incloent-hi fins i tot possibles sol·licituds de permisos per a escoltes telefòniques.

La intrusió, que s’atribueix al grup Salt Typhoon, ha afectat empreses com Verizon, AT&T i Lumen Technologies. Els investigadors creuen que els pirates podrien haver tingut accés a la infraestructura de xarxa durant mesos, la qual cosa els hauria permès observar i possiblement exfiltrar dades de trànsit d'internet, així com informació sobre les sol·licituds d'intercepció de comunicacions per part de les autoritats, que indicarien als intrusos quines són les persones d’interès per al govern dels EUA.

Salt Typhoon, un grup de hackers al servei de l'estat xinès, és conegut per la seva sofisticació i persistència en la infiltració de xarxes. Actius des de 2020, se centren en l'espionatge i el robatori de dades, especialment en la captura de trànsit de xarxa. Microsoft, que ha investigat l'atac, assenyala que la majoria dels objectius de Salt Typhoon es troben a Amèrica del Nord o al sud-est asiàtic. Altres empreses de ciberseguretat identifiquen aquest grup amb els noms de GhostEmperor i FamousSparrow. ESET, per exemple, assegura que FamousSparrow ha penetrat anteriorment en organismes oficials i diversos hotels de tot el món.

L’incident torna a posar de manifest el delicat equilibri entre la seguretat nacional i la privadesa dels ciutadans. Les "portes del darrere" són instruments potents per combatre la delinqüència i el terrorisme, però alhora representen un punt feble que pot ser explotat per actors maliciosos.

En aquest cas, l'atac s'ha produït aprofitant les vulnerabilitats dels sistemes que les operadores han de posar a disposició de les autoritats per complir amb les lleis d'intercepció de comunicacions. En els estats democràtics per accedir cal tenir una ordre judicial, però en altres que ho són menys, els mateixos governs n’abusen: totes les operadores de Rússia han de canalitzar el seu trànsit pels sistemes estatals; la Xina exerceix amb el gran tallafocs un control estricte del que circula per les seves xarxes; i les organitzacions de drets humans acusen el govern pakistanès de rastrejar digitalment els dissidents i altres ciutadans molestos.

Els experts en ciberseguretat han expressat la seva preocupació per la magnitud de l'atac i les seves implicacions. Brandon Wales, exdirector executiu de l'Agència de Ciberseguretat i Infraestructura (CISA), ha qualificat l'incident com "la més significativa d'una llarga sèrie de trucades d'atenció que mostren com la Xina ha intensificat el seu joc cibernètic". Wales adverteix que tant empreses com governs s’han de prendre seriosament aquesta amenaça.

Privadesa i cossos policials

El debat sobre l'ús de "portes del darrere" no és nou ni exclusiu dels EUA. A Europa el Parlament Europeu va intentar introduir l'any 2023 una legislació que obligava les plataformes de missatgeria a escanejar els xats per detectar contingut pedòfil (CSAM). Aquesta proposta, coneguda com a ChatControl 1.0, va ser rebutjada pel Tribunal Europeu de Drets Humans (TEDH) per considerar-la una violació del dret a la privadesa.

Tot i la sentència del TEDH, el Consell de la Unió Europea va tornar a plantejar la qüestió aquest any amb una proposta més limitada (ChatControl 2.0), que preveia l'escaneig de missatges només en casos de risc i amb l'aprovació prèvia de l'usuari. La votació prevista per a juny va ser suspesa a causa de la falta de consens entre els estats membres, especialment per l'oposició de països com Alemanya, Àustria, Polònia, els Països Baixos i la República Txeca. No obstant això, Espanya s'ha mostrat com un dels principals defensors d'aquesta iniciativa, argumentant la necessitat d'accedir a les dades per combatre la pornografia infantil.

Actualment, les negociacions s'han reprès al Parlament Europeu per tal de trobar una solució que satisfaci les necessitats de seguretat sense comprometre la privacitat dels usuaris. Precisament la infiltració de Salt Typhoon dona un argument de pes als que s’oposen al fet que les autoritats puguin espiar les converses digitals, per molt bones que siguin les intencions inicials.

L’actual proposta revisada del ChatControl europeu, que s’està negociant aquests dies a Estrasburg, pretén superar les reticències dels ciutadans assegurant que l’escaneig forçós de trànsit per part de les operadores es limitaria als fitxers d’imatge i de vídeo, sense examinar els missatges de text. El sistema vindria a ser una variant del que Apple va proposar fa anys, en què una IA local del telèfon detectaria mitjançant patrons el contingut audiovisual sospitós de pedofília abans que sortís de l’aparell.

Precisament Apple és un exemple de relació complicada entre la privadesa i les demandes dels cossos policials. L'any 2016 Apple es va negar a ajudar l'FBI a desxifrar l'iPhone de l'autor de la massacre de San Bernardino, al·legant que la creació d'una "porta del darrere" posaria en risc la seguretat de tots els seus usuaris. Aquest conflicte va evidenciar la tensió existent entre la col·laboració amb les autoritats i la protecció de la privacitat. No obstant això, en els últims anys Apple ha intensificat la seva col·laboració amb els cossos de seguretat, organitzant fins i tot un congrés anual (Global Police Summit) per ensenyar-los com aprofitar els dispositius de la marca en la feina policial. En aquest congrés agents de policia de diversos països aprenen a utilitzar productes d'Apple com l'iPhone, el visor Vision Pro i CarPlay per a tasques de vigilància i policia. Aquesta col·laboració estreta contrasta amb la posició que Apple va mantenir durant el cas de San Bernardino i ha generat crítiques per part d'organitzacions de defensa de la privadesa.

L'atac a les empreses de telecomunicacions nord-americanes serveix com a recordatori que les "portes del darrere" poden ser una arma de doble tall. Els governs han de trobar un equilibri entre la necessitat de perseguir el crim i la protecció dels drets fonamentals dels ciutadans. La seguretat i la privacitat no han de ser conceptes excloents, sinó complementaris en una societat democràtica. I els ciutadans ens hem de reservar l’última paraula: per una banda, hem de ser molt restrictius amb les dades personals que facilitem a governs, empreses i plataformes –que poden ser vulnerades–; i per l’altra, fer servir el xifratge d'extrem a extrem dels nostres xats personals, tenint ben present que els pedòfils i els traficants també ho estan fent.