Los programas de la Agencia de Seguridad Nacional revelados ayer (sept. 5) en tres informes de los medios fueron quizás las revelaciones más importantes hasta el momento este verano, y tienen profundas implicaciones para todos los que usan Internet.

Los informes dejan claro que la NSA y su contraparte británica Government Communications Headquarters (GCHQ) han estado socavando metódicamente la vasta tecnología basada en cifrado "red de confianza"que hace posible transacciones financieras, comunicaciones y otras transmisiones sensibles en línea seguras.

Las actividades de las agencias de espionaje se han prolongado durante más de una década. Como un cáncer silencioso pero omnipresente, han penetrado y debilitado todos los rincones de Internet.

"No solo lo peor posible hipotético... parece ser cierto ", escribió el criptógrafo de Johns Hopkins Matthew Green en su blog anoche, "pero es cierto en una escala que ni siquiera podría imaginar".

"Las empresas que construyen y administran nuestra infraestructura de Internet, las empresas que crean y nos venden hardware y software, o las empresas que alojan nuestros datos: ya no podemos confiar en ellos ", escribió American encryption experto

Bruce Schneier en el sitio web del periódico británico The Guardian.

MÁS: 7 formas de bloquear su privacidad en línea

Subterfugio por cualquier medio necesario

Los programas de vigilancia, llamados "Manassas", "Bullrun" y "Edgehill" después de las batallas en las guerras civiles estadounidense e inglesa, no solo construyeron poderosas computadoras para descifrar protocolos de cifrado.

También obligaron a las empresas de tecnología a entregar claves de cifrado, infiltraron personal de la NSA y GCHQ en empresas personal, irrumpió en los servidores informáticos de empresas que no cooperaban para robar información y se aseguró de que algunas empresas construyeran "puertas traseras"en su tecnología para que las agencias de espionaje siempre tengan acceso.

Quizás lo más atroz de todo es que la NSA y GCHQ envenenaron deliberadamente los estándares de cifrado distribuidos públicamente, por cientos de millones de personas en todo el mundo todos los días, por lo que los estándares serían secreta, pero fatalmente, defectuoso.

"La buena voluntad (realmente sustancial) que la NSA acumuló en la comunidad pública de criptografía durante las últimas dos décadas fue eliminada hoy", tuiteó el experto en criptografía de la Universidad de Pensilvania. Matt Blaze.

Las implicaciones son que, si quisieran, las agencias de espionaje podrían acceder a casi todos los servicios basados ​​en Internet. compra, transferencia de dinero, correo electrónico, llamada telefónica por Internet, mensajería instantánea o transferencia de archivos realizada por cualquier persona, en cualquier sitio.

Primeros indicios de manipulación secreta

Los programas fueron revelados por documentos proporcionados en junio a El guardián por el excontratista de la NSA Edward Snowden, que desde entonces se ha refugiado en Rusia.

The Guardian, que ha estado bajo presión de GCHQ para dejar de publicar material de Snowden, compartió los documentos con Los New York Times y el medio de comunicación estadounidense sin fines de lucro Pro Publica.

Las tres publicaciones publicaron simultáneamente historias en sus sitios web ayer por la tarde.

Los medios de comunicación, recelosos de socavar la seguridad nacional en ambos países, no especificaron qué protocolos de cifrado se han visto comprometidos. (Las agencias de espionaje habían pedido que las historias no se publicaran en absoluto).

Pero al menos uno ya ha sido identificado: Generador de bits aleatorios deterministas de curva elíptica dual, o Dual_EC_DRBG, un número aleatorio generador desarrollado por la NSA y respaldado por el Instituto Nacional de Estándares y Tecnología (NIST) del gobierno federal de EE. UU. 2007. (Los generadores de números aleatorios son esenciales para el funcionamiento de muchos protocolos de cifrado).

Ese mismo año, Schneier notó que Dual_EC_DRBG tenía un defecto sutil que permitía al titular de una clave secreta - una constante numérica desconocida - para socavar completamente los protocolos de cifrado basados ​​en eso.

"No solo es [Dual_EC_DRBG] un bocado para decir, también es tres órdenes de magnitud más lento que sus pares. Está en el estándar solo porque ha sido defendido por la NSA ", escribió Schneier en un artículo de noviembre de 2007 por cable. "No tenemos forma de saber si un empleado de la NSA que trabaja por su cuenta inventó las constantes y tiene los números secretos".

Schneier, una fuente de algunos artículos de Tom's Guide, reveló ayer que ha estado ayudando a The Guardian a analizar el Snowden, y para ello incluso se había comprado una nueva computadora que "nunca ha estado conectada a Internet".

"Lo que me llevé de leer los documentos de Snowden fue que si la NSA quiere ingresar a su computadora, lo hace. Período," Schneier escribió en un artículo de opinión publicado ayer en el sitio web de The Guardian.

MÁS: 'Cryptopocalypse' Now: La inminente crisis de seguridad podría paralizar Internet

Cómo protegerse, tal vez

En el sitio de The Guardian, Schneier ofreció consejos a los lectores que buscan mantener la privacidad de sus datos: Use el servicio de Internet anonimizado Colina, cifre correos electrónicos y otras comunicaciones y utilice software de cifrado de código abierto en lugar de productos comerciales de cifrado.

"Mi conjetura es que la mayoría de los productos de cifrado de las grandes empresas estadounidenses tienen puertas traseras compatibles con la NSA", escribió Schneier, "y es probable que muchos extranjeros también lo hagan".

Sin embargo, incluso las recomendaciones informadas de Schneier pueden ser solo conjeturas esperanzadoras. Debido a que los documentos de Snowden no nombraron todos los protocolos de encriptación, piezas de software y empresas de tecnología comprometidas por la NSA y GCHQ, pocas personas saben qué es seguro y qué no.

Tor solo ofrece seguridad parcial, y la historia del Times implicaba que el Capa de enchufes seguros (SSL), el estándar de seguridad de código abierto, que subyace en casi todas las transacciones web seguras, se vio comprometido.

Del mismo modo, el estándar de cifrado de código abierto Pretty Good Privacy (PGP), que también recomendó Schneier, es tan antiguo que ampliamente utilizado y una vez fue tan irritante para el gobierno de los EE. UU. que sería el primero en una lista de cosas para que la NSA grieta.

Sin embargo, el hecho de que la NSA y el GCHQ puedan estar observándote, no significa que lo estén haciendo.

"Suponga que, si bien su computadora puede verse comprometida, la NSA requeriría trabajo y riesgo, así que probablemente no lo sea", escribió Schneier.

Si todos lo ven, nadie puede mentir

Es probable que se trate de algunas de las tecnologías de código abierto más nuevas, como el estándar de seguridad web Transport Layer Security (TLS) 1.2 (destinado a reemplazar SSL pero que aún no se ha adoptado ampliamente), o el RedPhone y las aplicaciones de Android Secure Text, no están comprometidas. Su código está disponible abiertamente para revisión y revisión de expertos.

También es probable que la tecnología de código cerrado desarrollada por las principales corporaciones estadounidenses o británicas se haya visto comprometida. Las peroratas paranoicas que se remontan a la década de 1990 sobre las puertas traseras de la NSA en el software de Microsoft o los chips Intel de repente tienen sentido.

Incluso la historia publicada el mes pasado por la revista alemana Die Zeit, que sospechaba que los chips de Trusted Computing de Microsoft eran puertas traseras secretas de la NSA, y que nosotros descartado como exagerado, ya no parece irrazonable.

"Ya no soy un loco", escribió Green en su blog ayer, refiriéndose a sus propias especulaciones sobre las actividades de la NSA. "Ni siquiera estaba lo suficientemente irritable".

MÁS: Vence al FBI: Cómo enviar correos electrónicos anónimos sin que te descubran

Socavando tu seguridad para mantenerte seguro

La NSA y GCHQ argumentarán que socavar todo posible cifrado y seguridad es necesario para un bien mayor. de mantener a Estados Unidos y Gran Bretaña libres del terrorismo, y que sus adversarios en Rusia y China están tratando de hacer lo mismo cosa. (Algunos expertos en inteligencia creen que Snowden ha sido un agente ruso desde el principio).

"A lo largo de la historia, las naciones han utilizado el cifrado para proteger sus secretos y, en la actualidad, los terroristas, los ciberdelincuentes, los traficantes de personas y otros también usan código para ocultar sus actividades ", dijo hoy la Oficina del Director de Inteligencia Nacional, James Clapper, en un comunicado. (Sept. 6) y publicado en el sitio web de Pro Publica. "Nuestra comunidad de inteligencia no estaría haciendo su trabajo si no intentáramos contrarrestar eso. … El hecho de que la misión de la NSA incluya descifrar las comunicaciones cifradas no es un secreto y no es una noticia ".

"Las historias publicadas ayer, sin embargo, revelan detalles específicos y clasificados sobre cómo llevamos a cabo esta actividad de inteligencia crítica", dijo el comunicado. "Todo lo que las divulgaciones de ayer agreguen al debate público en curso se ve superado por la hoja de ruta que brindan a nuestros adversarios sobre las técnicas específicas que estamos utilizando para intentar interceptar sus comunicaciones en nuestros intentos de mantener seguros a Estados Unidos y a nuestros aliados y brindarles a nuestros líderes la información que necesitan para hacer difícil y crítica la seguridad nacional decisiones ".

Pero el daño colateral de estos programas puede ser peor que un ataque terrorista. A partir de ahora, se levantarán sospechas sobre todos los productos de las principales empresas de tecnología de EE. UU., Los actores clave en un sector industrial en el que EE. UU. Está tratando de mantener el dominio.

¿Por qué los consumidores, las empresas o los gobiernos extranjeros deberían confiar en el software de Microsoft o McAfee, el hardware de Intel o Cisco o cualquier cosa de Apple? ¿Por qué comprar productos estadounidenses cuando los productos chinos más baratos no son menos seguros?

Una declaración hecha hace un mes por Ladar Levison, fundador del pequeño proveedor de correo electrónico seguro Lavabit, que cerró en respuesta a la presión del gobierno, tiene aún más resonancia hoy.

"Recomendaría encarecidamente que nadie confíe sus datos privados a una empresa con vínculos físicos con Estados Unidos", dijo Levison. dijo en una nota explicando el cierre de Lavabit.

Síguenos @tomsguide, en Facebook y en Google+.

  • 13 consejos de seguridad y privacidad para los verdaderamente paranoicos
  • 9 consejos de seguridad en línea de un ex detective de Scotland Yard
  • Los 10 mejores productos de software de cifrado de correo electrónico