El Nym Dispatch: La detención de Durov reconsiderada

El sábado 24 de Agosto del 2024, Pavel Durov, CEO de la aplicación de mensajería Telegram, fue detenido por las autoridades francesas cuando su avión privado aterrizó a las afueras de París.

La lista de cargos imputa a Durov “complicidad” en una amplia gama de actividades ilegales: posesión y distribución de pornografía infantil y estupefacientes, fraude organizado, blanqueo de dinero y “prestación de servicios” y “herramientas” de criptografía sin “declaración previa” y “certificada”.

Tras la condena este año del cofundador de Tornado Cash, hay naturalmente muchas grandes preguntas en el aire. ¿Están las tecnologías de la privacidad bajo nuevas amenazas legales? ¿Deben responsabilizarse los desarrolladores tecnológicos y los ejecutivos de las empresas de lo que los usuarios hacen o dicen en sus plataformas?

Y hay otras cuestiones, cada vez menos consideradas, detrás de estos nuevos objetivos policiales: ¿qué debería hacerse para abordar realmente las causas subyacentes de la explotación infantil, por ejemplo, o la creciente epidemia de drogadicción, impurezas de estupefacientes y sobredosis? ¿Comprometer la privacidad digital de millones de personas es realmente la respuesta?

La detención de Durov encierra una lección inmediata a la que los defensores de la privacidad y las tecnologías privadas deberían prestar atención: datos = vulnerabilidad, no importa de qué datos se trate, tanto para la gente corriente como para las empresas.

Al contrario de lo que mucha gente ha creído por el revuelo mediático en torno a la detención de Durov, Telegram no es una aplicación de mensajería privada. No está cifrada de extremo a extremo por defecto, que es el estándar de oro para las comunicaciones seguras hoy en día. Telegram es muchas cosas, pero no es privada.

No obstante, lo que las detenciones de Durov y otros están reforzando malintencionadamente es la idea de que el uso de criptomonedas en línea tiene que ver con la delincuencia y no con la seguridad. Es contra esta asociación contra la que tenemos que organizarnos colectivamente para garantizar una Internet privada para el futuro.

Los cargos contra Durov

Para ser claros, no se acusa a Durov de distribuir pornografía infantil o estupefacientes, sino de “complicidad” en estas actividades llevadas a cabo por usuarios de Telegram. Como CEO de una popular app de telecomunicaciones, ¿qué significa esto exactamente?

Según la legislación francesa, como en muchos otros países, una parte puede ser acusada de complicidad en un delito si puede demostrarse que tenía “conocimiento” de la actividad delictiva pero no hizo nada -o no lo suficiente- para detenerla, mitigar o “moderarla” (un término que, como ha informado anteriormente el Nym Dispatch, es en realidad un eufemismo para referirse a la vigilancia por la puerta de atrás).

El núcleo de este caso es el “conocimiento”, o qué datos conocía Telegram de forma significativa. Hay que tener en cuenta que una plataforma de comunicación no necesita, más allá de fines operativos, tener acceso a ningún dato de los usuarios. Esto es, en última instancia, una decisión de la empresa.

El problema de Telegram

Ninguna red social o plataforma de comunicación es sencilla. Además de ser una aplicación de mensajería y chat utilizada por 900 millones de usuarios, se ha criticado la “relajada política de moderación” de Telegram con respecto a todo el contenido de la plataforma. Esto incluye inevitablemente no solo chats privados entre particulares, sino también conversaciones sobre temas que van desde el tráfico de drogas al terrorismo.

Sin embargo, el atractivo de Telegram nunca ha sido la privacidad real. Los usuarios acuden a él por algo más: una esfera aparentemente abierta para comunicarse con otros sobre cualquier tema, quizá bajo la ilusión del anonimato y la seguridad, y toda la complicada dinámica social que ello conlleva. Por desgracia, esto ocurre en Telegram en gran medida sin las normas de privacidad que deberían esperarse para garantizar una auténtica libertad de expresión.

“Telegram funciona más como una plataforma de redes sociales desordenada a través de chats de grupo que como una aplicación de mensajería”, señala Jaya Klara Brekke, directora de estrategia de Nym. “Esto la hace propicia para ser explotada por actores maliciosos, estafadores y bots. Es un problema que afecta a muchas plataformas hoy en día. La verdadera privacidad requiere no solo cifrado de extremo a extremo, sino también protección contra el ruido de la red para permitir la libertad de expresión real y no solo una cloaca de contenidos provocativos diseñados para aumentar las cifras de participación.”

El destino de Durov

En última instancia, será tarea de los fiscales demostrar que Durov no sólo tenía conocimiento de estas actividades ilegales, sino que la empresa no intervino de forma significativa. El caso se basa en una combinación de actividad delictiva conocida, una actitud de laissez-faire hacia ella y una “negativa a comunicarse” con las autoridades a la hora de “llevar a cabo y operar las interceptaciones”. Esto equivaldría a permitir una actividad delictiva en un sentido jurídico relativamente nuevo.

No está claro si la fiscalía francesa conseguirá demostrarlo. Si lo consigue, podría contribuir a sentar un nuevo precedente en lo que respecta a la vigilancia de las tecnologías de la privacidad y otras plataformas Web3 (pero hablaremos de esto más adelante). Y el misterio sigue siendo si la decisión de Durov de aterrizar en París forma parte de un juego geopolítico y jurídico más profundo al que aún no estamos al tanto.

Pero hay algo que debe quedar claro para la comunidad de la privacidad: Telegram está lejos de ser una aplicación de comunicaciones privadas. Además, los actuales juicios y tribulaciones de Durov son consecuencia directa de no haber hecho de Telegram una plataforma en la que los usuarios tengan privacidad real por defecto, o de haberse negado a ello. Sí Telegram lo fuera, Durov probablemente no estaría detenido.

La privacidad no es el juego de Telegram

Como aplicación de mensajería y chat, Telegram tiene sus puntos fuertes: una interfaz extremadamente fácil de usar y “canales” en los que la gente puede comunicarse “libremente” por todo el mundo y compartir información en directo. Tal vez ayude a la gente sobre el terreno a comunicar información sobre una guerra constantemente inundada de desinformación, o tal vez sea una máquina de propaganda a favor de la guerra, o ambas cosas a la vez. Las herramientas son ambivalentes por naturaleza y, en última instancia, dependen de cómo se utilicen.

Pero a pesar de que lleva mucho tiempo afirmando que es un “mensajero seguro”, Telegram no es realmente una aplicación de mensajería privada. Por una sencilla razón: no utiliza cifrado de end-to-end (e2e) por defecto.

Si no está encriptado e2e, no es privado

La mayoría de las aplicaciones y servicios web utilizan algún tipo de cifrado, pero a menos que una conexión entre dos clientes esté cifrada e2e, no es realmente privada.

El cifrado e2e garantiza que solo tú y el destinatario previsto dispongan de las claves para descifrar el contenido de lo que decís, hacéis o compartís juntos. Cualquier otra cosa puede permitir a terceros, como los propios operadores de las aplicaciones, acceder a tus comunicaciones o compartirlas con otros, incluidas las autoridades solicitantes por muchos motivos políticos o legales.

No hay que olvidar que el cumplimiento de ciertas peticiones de vigilancia digital, en el caso de regímenes autoritarios o de extralimitaciones gubernamentales, puede muy bien equivaler a una violación injustificada de los derechos civiles de las personas. Por este motivo, debe defenderse el cifrado e2e como requisito por defecto para todas las comunicaciones seguras y privadas.

En su defensa, Telegram sí ofrece un modo de cifrado e2e, al que llaman crípticamente “chat secreto”. Sin embargo, no es una característica por defecto de todas las comunicaciones a través de la plataforma. Debe activarse manualmente para cada chat, lo que significa que el resto de comunicaciones utilizan una forma independiente e “inusual” de cifrado difícil de diseccionar en términos de seguridad.

Un contraste clave con Telegram es Signal, que garantiza el cifrado e2e para todas las comunicaciones en su plataforma. Otras aplicaciones más comerciales, como WhatsApp (que utiliza el protocolo Signal) y Facebook Messenger, han seguido su ejemplo con el cifrado e2e, ayudando a establecer un nuevo estándar en las comunicaciones digitales privadas.

Pero Telegram aún no está en esta lista, y deberíamos preguntarnos por qué antes de elevar a Durov al pedestal de defensor de las comunicaciones privadas.

e2e ya es la norma reguladora

La criptografía no es un delito. Al contrario, el cifrado e2e es ahora la base de las comunicaciones privadas en línea.

El uso de un cifrado e2e potente está en plena consonancia con el Reglamento General de Protección de Datos (RGPD), del que Francia es miembro cumplidor. En Europa, el GDPR ha defendido con razón la importancia social del cifrado como “la mejor manera de proteger los datos durante su transferencia y una forma de asegurar los datos personales almacenados”. La Directiva NIS 2 también refuerza aún más la necesidad del cifrado e2e:

“Para salvaguardar la seguridad de las redes y los servicios de comunicaciones electrónicas, debe fomentarse el uso del cifrado y, en particular, del cifrado de extremo a extremo y, cuando sea necesario, debe ser obligatorio para los proveedores.”

Además de asegurar que las conversaciones personales de los usuarios estén a salvo de interferencias y vigilancia externas, el cifrado e2e garantiza que los desarrolladores de aplicaciones no tengan conocimiento ni acceso al contenido de las comunicaciones de sus usuarios.

El cifrado e2e ofrece así una neutralidad necesaria para desarrolladores y operadores de aplicaciones. Con ello ganan la tecnología de la privacidad y los usuarios. Como demuestra la detención de Durov, conocer y conservar los datos de los usuarios hace que una empresa sea vulnerable a la persecución judicial al mismo tiempo que hace que todos los usuarios sean menos privados.

No se trata de proteger a los multimillonarios de la persecución penal. Lo que se hace es normalizar nuestras interacciones digitales, de modo que cuando una persona normal hable con otra a través de una aplicación de mensajería, pueda hacerlo sabiendo que cientos de empresas, organismos y gobiernos no la están escuchando.

¿Durov en el punto de mira?

Telegram no sólo no ha seguido el estándar de la industria para el cifrado e2e: también ha expuesto al propio Durov, como jefe de la compañía, a un posible procesamiento. Esto sigue ahora la estela de procesamientos similares en el espacio Web3, con Tornado Cash y otros. En términos pragmáticos, cualquier conocimiento del contenido de las comunicaciones en las plataformas significa una posible complicidad, esté o no justificada jurídicamente.

La encriptación e2e para tecnologías de privacidad es una solución sencilla y totalmente conforme a la normativa para proteger los datos. Al igual que la tecnología mixnet para proteger los metadatos. Estas tecnologías permiten minimizar los datos en la práctica. Cuantos más datos insista una empresa en recopilar con fines comerciales y políticos, más vulnerable se hace a sí misma y peor hace la privacidad de sus usuarios.

Durov es ahora un ejemplo: defensor de la libertad de expresión tal vez, pero no un paladín de la privacidad digital. Dejemos de buscar mártires y caballeros de brillante armadura e invirtamos en tecnología de conocimiento cero y minimización de datos que haga de la privacidad un valor tecnológico por defecto, no una promesa o un truco de marketing.

Los metadatos son el verdadero objetivo

El cifrado e2e fuerte debería ser un hecho para todas las comunicaciones en línea, protegiendo a las personas vulnerables de la elaboración de perfiles y la selección de objetivos. Telegram no protegió a sus usuarios, ni a sí misma como proveedor de servicios digitales, en este punto básico. Pero como Nym ha destacado en otro lugar, incluso el cifrado e2e no es suficiente para proteger las comunicaciones de las personas hoy en día.

Los metadatos siguen siendo el principal objetivo de la vigilancia de datos. En manos de sistemas de recopilación masiva de datos y de análisis de inteligencia artificial, pueden revelar mucho más sobre nosotros que el contenido de cualquier conjunto de mensajes. Y, a diferencia de los contenidos cifrados, los metadatos apenas cuentan con protección legal ni regulaciones.

Incluso las apps de comunicación privada como Signal o WhatsApp son vulnerables al rastreo de metadatos.

“El problema -señaló Harry Halpin, CEO de Nym Technologies- es que todas estas aplicaciones de chat filtran metadatos, quién habla con quién, a nivel de red, que es precisamente el problema que intenta resolver Nym mixnet.”

En resumen, datos y metadatos desprotegidos = vulnerabilidad, tanto para los usuarios normales de aplicaciones como para los desarrolladores.

Pero Telegram quizás deja a sus cientos de millones de usuarios en todo el mundo en una situación aún más precaria. A diferencia de Signal, que no tiene ingresos comerciales, Telegram obtiene importantes ingresos de la publicidad comercial. Como sabemos, la recopilación, análisis y uso compartido de los metadatos de los clientes es un medio fundamental para la publicidad dirigida. Hasta qué punto Telegram recopila, centraliza y utiliza los metadatos de los clientes debería ser una pregunta que nos hagamos a nosotros mismos y a ellos.

Protección de la intimidad: Lo que está por venir

Tendremos que esperar a ver cómo se desarrolla el caso Durov. Es muy probable que sienta un peligroso precedente en lo que se refiere a la vigilancia de las tecnologías de la privacidad real bajo los auspicios de la lucha contra la delincuencia. La condena en 2024 en los Países Bajos de Alexey Pertsev, cofundador de Tornado Cash, la herramienta de anonimización de criptomonedas, es un vector de esta tendencia. Y cabe esperar que le sigan otros.

A medida que se desarrolla esta nueva estrategia legal y policial en relación con la tecnología Web3, como ciudadanos de la red debemos estar alerta para cuestionar y rechazar esta falsa elección: privacidad o un mundo de delincuencia. La privacidad puede y debe defenderse contra la coacción y el alarmismo en nombre del crecimiento del estado de vigilancia.

Pero los problemas de Telegram no pueden reducirse a sus disposiciones sobre privacidad, que son lamentablemente deficientes. Los verdaderos frentes de batalla en la defensa de la privacidad están en otra parte.

Las aplicaciones de comunicaciones privadas como Signal y las VPN, e incluso Telegram, están cada vez más bloqueadas en países como Rusia, China y Venezuela. La creación de tecnología resistente a la censura será crucial para garantizar que las personas de todo el mundo puedan acceder a la información y a los compañeros que necesitan para luchar contra los regímenes opresivos, o simplemente para vivir.

Así pues, en lugar de enfrentar a los reguladores con los desarrolladores, mientras los verdaderos delincuentes campan a sus anchas, el objetivo debería ser prevenir la vulnerabilidad digital en primer lugar. Esto requiere un cambio de enfoque tanto por parte de los reguladores como de los presidentes de las empresas tecnológicas para empezar a dar prioridad a la privacidad y la seguridad por diseño y por defecto.

Telegram, por desgracia, llega un día tarde.