De rabiosa actualidad

12 de noviembre de 2025

Phil Zimmermann, el creador de PGP, tiene una página web que yo creo que es de gran interés y no solo por cuestiones técnicas.

No todas las publicaciones están traducidas al español, así que he estado traduciendo una de ellas, «Por qué escribí PGP», que forma parte de la guía de usuario de PGP original. Es un poco largo, pero realmente es interesante.

Todo lo que hagas será insignificante, pero es muy importante que lo hagas. Mahatma Ghandi

Es algo personal. Es privado. Y no le incumbe a nadie más que a ti. Quizás estés planeando una campaña política, hablando de tus impuestos o teniendo una relación extramarital. O tal vez te estés comunicando con un disidente político en un país represivo. Sea lo que sea, no quieres que nadie más lea tu correo electrónico privado ni tus documentos confidenciales. No hay nada de malo en defender tu privacidad. La privacidad es un derecho fundamental.

El derecho a la privacidad está implícito en la Declaración de Derechos. Sin embargo, al redactar la Constitución de los Estados Unidos, los Padres Fundadores no vieron la necesidad de explicitar el derecho a la privacidad en las conversaciones. Habría sido absurdo. Hace doscientos años, todas las conversaciones eran privadas. Si alguien estaba cerca, uno podía simplemente salir al granero y conversar allí. Nadie podía escuchar sin que uno lo supiera. El derecho a la privacidad en las conversaciones era un derecho natural, no solo en un sentido filosófico, sino también desde el punto de vista de las leyes de la física, dada la tecnología de la época.

Aquí es donde empieza a mencionarse el tema principal: la privacidad, para ello menciona parte de la historia de los Estados Unidos. Los Padres Fundadores fueron los que firmaron la Declaración de Independencia y establecieron la Constitución.

Pero con la llegada de la era de la información, comenzando con la invención del teléfono, todo cambió. Ahora, la mayoría de nuestras conversaciones se realizan electrónicamente. Esto permite que nuestras conversaciones más íntimas queden expuestas sin nuestro conocimiento. Cualquiera con una radio puede interceptar las llamadas de telefonía móvil. El correo electrónico, enviado a través de internet, no es más seguro que las llamadas de telefonía móvil. El correo electrónico está reemplazando rápidamente al correo postal, convirtiéndose en la norma para todos, no en la novedad que fue en el pasado.

Hay que tener en cuenta que cuando Zimmermann escribió esto, 1991 e incluso cuando lo actualizó en 1996, no existían los teléfonos tipo smartphone, el correo electrónico se usaba solo desde ordenadores.

Hasta hace poco, si el gobierno quería vulnerar la privacidad de los ciudadanos, tenía que invertir una cantidad considerable de recursos y mano de obra para interceptar, abrir y leer el correo postal. O bien, tenía que escuchar y, posiblemente, transcribir las conversaciones telefónicas, al menos antes de que existiera la tecnología de reconocimiento de voz automático. Este tipo de vigilancia, que requería mucha mano de obra, no era práctica a gran escala. Solo se realizaba en casos importantes, cuando parecía justificado. Es como pescar un pez a la vez, con anzuelo y sedal. Hoy en día, el correo electrónico se puede analizar de forma rutinaria y automática en busca de palabras clave interesantes, a gran escala, sin ser detectado. Es como pescar con redes de deriva. Y el crecimiento exponencial de la potencia informática está haciendo posible lo mismo con el tráfico de voz.

Muchos años después, cuando Edward Snowden tiró de la manta, declaró que el espionaje era realmente masivo, porque técnicamente se podía hacer.

Tal vez pienses que tu correo electrónico es lo suficientemente legítimo como para que el cifrado sea innecesario. Si de verdad eres un ciudadano respetuoso de la ley que no tiene nada que ocultar, ¿por qué no envías siempre tu correo postal en tarjetas postales? ¿Por qué no te sometes a pruebas de detección de drogas cuando te lo solicitan? ¿Por qué necesitas una orden judicial para que la policía registre tu casa? ¿Acaso intentas ocultar algo? Si escondes tu correo en sobres, ¿significa eso que eres un subversivo, un narcotraficante o quizás un paranoico? ¿De verdad los ciudadanos respetuosos de la ley necesitan cifrar su correo electrónico?

Ya antes del año 2000 funcionaba el argumento ese de «si no tienes nada que ocultar..., déjanos mirar todo.»

¿Qué pasaría si todos creyeran que los ciudadanos respetuosos de la ley deberían usar postales para su correo? Si alguien que no se ajusta a las normas intentara proteger su privacidad usando un sobre, levantaría sospechas. Quizás las autoridades abrirían su correo para ver qué oculta. Por suerte, no vivimos en un mundo así, porque casi todos protegemos nuestra correspondencia con sobres. Así que nadie levanta sospechas al proteger su privacidad con un sobre. La unión hace la fuerza. De forma similar, sería bueno que todos usaran habitualmente el cifrado para todos sus correos electrónicos, sean inocentes o no, para que nadie levantara sospechas al proteger su privacidad con cifrado. Piénsenlo como una forma de solidaridad.

Aquí se plantea la posibilidad de llamar la atención si haces algo no habitual para la mayoría (por desconocimiento), aunque estés ejerciendo tus derechos. Esto puede ser arriesgado en ciertos contextos, como en regímenes represivos.

El Proyecto de Ley del Senado 266, una ley integral contra el crimen de 1991, contenía una inquietante medida oculta. Si esta resolución no vinculante se hubiera convertido en ley, habría obligado a los fabricantes de equipos de comunicaciones seguras a insertar “puertas traseras” especiales en sus productos, permitiendo así que el gobierno leyera los mensajes cifrados de cualquier persona. El texto decía: “El Congreso considera que los proveedores de servicios de comunicaciones electrónicas y los fabricantes de equipos para dichos servicios deben garantizar que los sistemas de comunicaciones permitan al gobierno obtener el contenido en texto plano de las comunicaciones de voz, datos y otras comunicaciones cuando la ley lo autorice debidamente”. Fue este proyecto de ley el que me impulsó a publicar PGP electrónicamente y de forma gratuita ese mismo año, poco antes de que la medida fuera rechazada tras una enérgica protesta de defensores de las libertades civiles y grupos industriales.

La ley 266 planteaba la inclusión de puertas traseras para utilizarlas cuando se autorice debidamente, la cuestión es que una vez que hay puerta trasera, pues ahí está para abrir a discreción. Era parecido a la propuesta en Europa del Chatcontrol, con la diferencia de que aquí se propone el mismo escaneo pero incondicional. Allí hubieran llegado a lo mismo, pero ahora, aquí, es el punto de partida.

La Ley de Asistencia para las Comunicaciones en la Aplicación de la Ley (CALEA) de 1994 obligó a las compañías telefónicas a instalar puertos de escucha remota en sus centrales digitales, creando una nueva infraestructura tecnológica para la escucha telefónica mediante un simple clic. De esta manera, los agentes federales ya no tienen que desplazarse y conectar pinzas de cocodrilo a las líneas telefónicas. Ahora pueden escuchar las llamadas telefónicas desde sus oficinas centrales en Washington. Por supuesto, la ley aún exige una orden judicial para realizar una escucha. Pero si bien las infraestructuras tecnológicas pueden perdurar durante generaciones, las leyes y las políticas pueden cambiar de la noche a la mañana. Una vez que una infraestructura de comunicaciones optimizada para la vigilancia se consolida, un cambio en las condiciones políticas puede dar lugar al abuso de este nuevo poder. Las condiciones políticas pueden cambiar con la elección de un nuevo gobierno, o quizás de forma más abrupta tras el atentado con bomba contra un edificio federal.

CALEA son las siglas de Communications Assistance for Law Enforcement Act que es el nombre en inglés de dicha ley. Este párrafo forma parte de la actualización del original y ya avisa de sistemas que pueden ser utilizados bajo cierto control legal, también se pueden usar de forma discrecional e indiscriminadamente.

Un año después de la aprobación de la CALEA, el FBI reveló planes para exigir a las compañías telefónicas que incorporaran a su infraestructura la capacidad de intervenir simultáneamente el 1% de todas las llamadas telefónicas en las principales ciudades de Estados Unidos. Esto representaría un aumento de más de mil veces con respecto a los niveles anteriores en la cantidad de teléfonos que podían ser intervenidos. En años anteriores, solo se realizaban alrededor de mil intervenciones telefónicas ordenadas por un tribunal al año en Estados Unidos, sumando los niveles federal, estatal y local. Es difícil imaginar cómo el gobierno podría siquiera contratar suficientes jueces para firmar las órdenes de intervención necesarias para intervenir el 1% de todas nuestras llamadas telefónicas, y mucho menos contratar suficientes agentes federales para escuchar todo ese tráfico en tiempo real. La única forma plausible de procesar tal cantidad de tráfico sería una aplicación masiva, al estilo orwelliano, de tecnología de reconocimiento de voz automatizado para analizarlo todo, buscando palabras clave interesantes o la voz de un hablante en particular. Si el gobierno no encuentra al objetivo en la primera muestra del 1%, las escuchas telefónicas pueden trasladarse a otro 1% hasta dar con el objetivo o hasta que se hayan revisado todas las líneas telefónicas en busca de tráfico subversivo. El FBI afirmó que necesita esta capacidad para planificar el futuro. Este plan provocó tal indignación que fue rechazado en el Congreso. Pero el mero hecho de que el FBI solicitara estos amplios poderes revela sus verdaderas intenciones.

Fue tan escandaloso lo que pedía el FBI que incluso el congreso lo rechazó, ahora (finales de 2025) estamos en una situación un poco más avanzada: algo todavía peor, sin porcentajes, no lo pide un organismo policial, sino el propio Consejo Europeo.

Los avances tecnológicos no permitirán mantener el statu quo en lo que respecta a la privacidad. El statu quo es inestable. Si no hacemos nada, las nuevas tecnologías otorgarán al gobierno capacidades de vigilancia automática inimaginables para Stalin. La única manera de proteger la privacidad en la era de la información es mediante una criptografía robusta.

No es necesario desconfiar del gobierno para querer usar criptografía. Su empresa puede ser objeto de escuchas telefónicas por parte de competidores, el crimen organizado o gobiernos extranjeros. Varios gobiernos extranjeros, por ejemplo, admiten usar su inteligencia de señales contra empresas de otros países para dar a sus propias corporaciones una ventaja competitiva. Irónicamente, las restricciones impuestas por el gobierno de Estados Unidos a la criptografía en la década de 1990 han debilitado las defensas de las empresas estadounidenses contra la inteligencia extranjera y el crimen organizado.

Ya expliqué como, interceptando correos sin cifrar, se habían producido robos por el medio de modificar dichos correos para que contuvieran datos de cuentas bancarias ajenas a los interlocutores.

El gobierno es consciente del papel fundamental que la criptografía está destinada a desempeñar en la relación de poder con la ciudadanía. En abril de 1993, la administración Clinton presentó una ambiciosa iniciativa de cifrado, que la Agencia de Seguridad Nacional (NSA) había estado desarrollando desde el inicio de la administración Bush. La pieza central de esta iniciativa era un dispositivo de cifrado gubernamental, el chip Clipper, que contenía un nuevo algoritmo de cifrado clasificado de la NSA. El gobierno intentó incentivar a la industria privada a integrarlo en todos sus productos de comunicación segura, como teléfonos y faxes seguros. AT&T incorporó el Clipper a sus productos de voz segura. El inconveniente: al fabricarse, cada chip Clipper se carga con su propia clave única, y el gobierno conserva una copia en depósito. Sin embargo, no hay de qué preocuparse: el gobierno promete que solo utilizará estas claves para leer el tráfico de datos «cuando esté debidamente autorizado por ley». Por supuesto, para que el Clipper sea completamente efectivo, el siguiente paso lógico sería prohibir otras formas de criptografía.

EL gobierno USA estaba fabricando chips, el Consejo de Europa quiere que el escaneo de mensajes lo lleven a cabo las plataformas, externalizar que se dice. Y lo de prohibir el cifrado, pues eso es lo que le gustaría a nuestro actual gobierno.

Inicialmente, el gobierno afirmó que el uso de Clipper sería voluntario y que nadie estaría obligado a usarlo en lugar de otros tipos de criptografía. Sin embargo, la reacción pública contra el chip Clipper fue contundente, más de lo previsto. La industria informática manifestó unánimemente su oposición al uso de Clipper. En una rueda de prensa en 1994, el director del FBI, Louis Freeh, respondió a una pregunta afirmando que si Clipper no lograba el apoyo público y las escuchas telefónicas del FBI se veían obstaculizadas por la criptografía no controlada por el gobierno, su oficina no tendría más remedio que solicitar medidas legislativas. Posteriormente, tras la tragedia de Oklahoma City, Freeh testificó ante el Comité Judicial del Senado que el gobierno debía restringir la disponibilidad pública de criptografía robusta (aunque nadie había sugerido que los terroristas hubieran utilizado criptografía).

Aprovechando que el Pisuerga pasa por Valladolid, pues tratan de aplicar medidas que de otra manera sería difícil de justificar. Esto fue en 1995, pero actualmente también se hace y no solo en Estados Unidos.

El historial del gobierno no inspira confianza en que jamás abusará de nuestras libertades civiles. El programa COINTELPRO del FBI tuvo como objetivo a grupos que se oponían a las políticas gubernamentales. Espiaron el movimiento contra la guerra y el movimiento por los derechos civiles. Intervinieron el teléfono de Martin Luther King. Nixon tenía su lista de enemigos. Luego vino el escándalo Watergate. Más recientemente, el Congreso ha intentado, o incluso logrado, aprobar leyes que restringen nuestras libertades civiles en internet. Algunos miembros de la Casa Blanca de Clinton recopilaron archivos confidenciales del FBI sobre funcionarios republicanos, posiblemente con fines de explotación política. Y algunos fiscales demasiado celosos han demostrado estar dispuestos a llegar hasta el fin del mundo con tal de exponer las indiscreciones sexuales de sus adversarios políticos. En ningún otro momento del último siglo la desconfianza pública hacia el gobierno había estado tan extendida por todo el espectro político como lo está hoy.

Durante la década de 1990, pensé que si queríamos resistir esta inquietante tendencia del gobierno a prohibir la criptografía, una medida que podíamos aplicar era usarla tanto como fuera posible mientras aún fuera legal. Cuando el uso de criptografía robusta se populariza, al gobierno le resulta más difícil criminalizarla. Por lo tanto, usar PGP es beneficioso para preservar la democracia. Si se prohíbe la privacidad, solo los delincuentes tendrán privacidad.

Yo creo que actualmente tenemos que hacer lo mismo: aprender que es, como se hace, comprenderlo, en correo electrónico, en mensajería, enseñarlo y sobre todo usarlo, ejercer nuestros derechos.

Parece que la implementación de PGP, junto con años de constante protesta pública y presión de la industria para flexibilizar los controles de exportación, dio resultado. A finales de 1999, la administración Clinton anunció un cambio radical en la política de exportación de criptografía. Básicamente, eliminaron todo el régimen de control de exportaciones. Ahora, por fin podemos exportar criptografía robusta, sin límites de seguridad. Ha sido una larga lucha, pero finalmente hemos ganado, al menos en lo que respecta al control de exportaciones en Estados Unidos. Ahora debemos continuar nuestros esfuerzos para implementar criptografía robusta y contrarrestar los efectos del creciente espionaje en internet por parte de diversos gobiernos. Y aún necesitamos consolidar nuestro derecho a usarla en nuestro país, a pesar de las objeciones del FBI.

PGP empodera a las personas para que tomen el control de su privacidad. Ha habido una creciente necesidad social de ello. Por eso lo escribí.

Actualmente disponemos de más herramientas tecnológicas para esto, tomar el control de nuestra privacidad, además del PGP/OpenPGP. También existen otras herramientas con las que hay que tener cuidado porque sus patrocinadores prometen que con ellas también tomas el control de tu privacidad pero realmente son una trampa.

Philip R. Zimmermann Boulder, Colorado Junio de 1991 (actualizado en 1999)