La ley FISA (Foreign Intelligence Surveillance Act)
de EEUU es una ley de 1978 que establece los límites de los programas
de espionaje que EEUU realiza en otros países. Ha sido enmendada en
numerosas ocasiones, sobre todo a raíz de los ataques del 11/S contra
las torres gemelas. Su ámbito cubre las acciones de varios organismos
que recolectan inteligencia sobre actividades de extranjeros, incluyendo
la NSA (National Security Agency) y el Departamento de Justicia (DOJ) estadounidense.
La FISA establece un tribunal secreto (el Tribunal Secreto FISA) que autoriza una serie de órdenes FISA, que son también secretas. Las personas y empresas que reciban una orden FISA no pueden informar a nadie sobre ella. Por ejemplo, si Google recibe una orden FISA de entregar los correos de una persona, no puede decirle ni a esa persona ni a nadie que ha recibido dicha orden. No puede ni siquiera decir cuántas órdenes recibe cada año.
La FISA establece un tribunal secreto (el Tribunal Secreto FISA) que autoriza una serie de órdenes FISA, que son también secretas. Las personas y empresas que reciban una orden FISA no pueden informar a nadie sobre ella. Por ejemplo, si Google recibe una orden FISA de entregar los correos de una persona, no puede decirle ni a esa persona ni a nadie que ha recibido dicha orden. No puede ni siquiera decir cuántas órdenes recibe cada año.
Poco se sabe sobre el tipo de datos que se solicitan en las órdenes FISA. El DOJ ha dicho que no puede revelar la interpretación que ha hecho del tipo de órdenes que puede solicitar, porque el Tribunal Secreto FISA se lo ha prohibido. Pero esta semana el mismo tribunal ha dicho que ellos no han exigido al gobierno que no revele el tipo de órden que emite.
En este contexto de secretismo, obtener información sobre PRISM, el programa de la NSA denunciado por Edward Snowden, resulta extremadamente difícil. Es por ello que la EFF (Electronic Frontier Foundation) ha preparado este documento detallando realistamente el peor y el mejor escenario posible sobre PRISM, basado en lo que sabemos hasta ahora.
Lo que necesitamos saber acerca de PRISM
Todavía
hay mucha incertidumbre sobre el número de usuarios afectados por el
programa de vigilancia PRISM de la NSA, en qué medida participan
empresas, y cómo la NSA maneja estos datos. ¿La NSA recoge y examina
regularmente una fracción importante de las comunicaciones en la "nube"
de los usuarios de Internet estadounidenses y extranjeros? ¿La agencia
presenta pruebas y busca una revisión judicial cuidadosa, para obtener
cantidades limitadas de datos de usuarios relacionados con
investigaciones específicas? ¿O la respuesta está en algún punto
intermedio, con consultas que pueden ser construidas de manera que un
algoritmo analiza la mayoría o todas las cuentas, identificando un
conjunto más pequeño de cuentas "de interés", cuyos contenidos se envían
a la NSA?
Este artículo intenta exponer algunas cuestiones fundamentales que
tenemos que responder para tener suficiente claridad sobre la vigilancia
que se está haciendo, para poder tener un debate democrático informado
[1].
También damos nuestras aproximaciones a escenarios de "mejor caso" y "peor caso", teniendo en cuenta lo que ya sabemos sobre el programa, para poner de relieve la variedad de posibles realidades.
También damos nuestras aproximaciones a escenarios de "mejor caso" y "peor caso", teniendo en cuenta lo que ya sabemos sobre el programa, para poner de relieve la variedad de posibles realidades.
Por cada empresa involucrada ¿cuántas cuentas por empresa han sido examinadas por la NSA?
Mientras que las empresas han negado dar a la NSA "acceso directo" a
sus servidores, sus comunicados han sido redactados cuidadosamente y han
admitido que cumplen con lo que ellos consideran órdenes legalmente
emitidas, especialmente órdenes 702 de FISA [2], y que resisten las
órdenes que son demasiado amplias. El New York Times informó que
algunas de estas órdenes pueden ser "un barrido amplio de inteligencia,
por ejemplo todos los registros asociados a determinados términos de
búsqueda." Por desgracia, sin mayor concreción de las compañías
detallando el número aproximado de cuentas de usuarios cuyos datos son
afectados por este tipo de órdenes, estamos a oscuras acerca de
exactamente qué tan amplias son éstas órdenes.
¿Podría la NSA, por ejemplo, pedir todos los correos electrónicos de Gmail que contengan la frase "puente Golden Gate", enviados o recibidos en las últimas 24 horas? ¿O pedir todos los mensajes privados de Facebook de cualquier usuario que se haya registrado a través de una dirección IP asociada a un determinado país durante un período de un mes? ¿Existen solicitudes de información que deban continuar siendo proporcionadas en forma permanente? ¿Es la información filtrada por las empresas, de forma que no haya información sobre actividades de estadounidenses dentro de ella? Para tener una mejor comprensión del alcance de este programa, hemos invitado repetidamente a las empresas a proporcionar información más detallada en sus informes de transparencia o a través de otros documentos.
Nos alegra ver las conversaciones de Google y Facebook con el gobierno para obtener mayor libertad a la hora de publicar esta información en los informes de transparencia. Estas solicitudes deben ser tomadas en serio, y también alentar a la NSA en sí misma a ser más franca con la información que se recoge.
Mejor caso: La NSA envía un número pequeños de órdenes FISA 702 sobre investigaciones muy específicas y que afectan a sólo un pequeño número de cuentas de usuario, idealmente del orden de cientos o quizás miles de cuentas cada año.
Peor caso: las empresas reciben muy amplias órdenes FISA 702 que se traducen en enormes bloques de datos de usuario enviados a la NSA en forma regular o permanente, como los mensajes de correo electrónico de todos los usuarios en un país determinado, o cualquier correo conteniendo una frase como "puente Golden Gate".
¿Podría la NSA, por ejemplo, pedir todos los correos electrónicos de Gmail que contengan la frase "puente Golden Gate", enviados o recibidos en las últimas 24 horas? ¿O pedir todos los mensajes privados de Facebook de cualquier usuario que se haya registrado a través de una dirección IP asociada a un determinado país durante un período de un mes? ¿Existen solicitudes de información que deban continuar siendo proporcionadas en forma permanente? ¿Es la información filtrada por las empresas, de forma que no haya información sobre actividades de estadounidenses dentro de ella? Para tener una mejor comprensión del alcance de este programa, hemos invitado repetidamente a las empresas a proporcionar información más detallada en sus informes de transparencia o a través de otros documentos.
Nos alegra ver las conversaciones de Google y Facebook con el gobierno para obtener mayor libertad a la hora de publicar esta información en los informes de transparencia. Estas solicitudes deben ser tomadas en serio, y también alentar a la NSA en sí misma a ser más franca con la información que se recoge.
Mejor caso: La NSA envía un número pequeños de órdenes FISA 702 sobre investigaciones muy específicas y que afectan a sólo un pequeño número de cuentas de usuario, idealmente del orden de cientos o quizás miles de cuentas cada año.
Peor caso: las empresas reciben muy amplias órdenes FISA 702 que se traducen en enormes bloques de datos de usuario enviados a la NSA en forma regular o permanente, como los mensajes de correo electrónico de todos los usuarios en un país determinado, o cualquier correo conteniendo una frase como "puente Golden Gate".
¿Qué información sobre las actividades de los usuarios se ha recolectado sin la cooperación de las empresas?
Hay muchas cosas que no sabemos acerca de lo que la NSA puede
recolectar sin la cooperación de las empresas. Mientras que entidades
como la NSA están en condiciones de reunir algunas formas de metadatos
sin la participación de una empresa, el cifrado que utilizan empresas
como Google y Facebook en los últimos años hace que sea difícil para la
NSA obtener contenidos relevantes sin la participación de las empresas.
Sin embargo, una interpretación de PRISM es que la NSA está usando
tácticas agresivas como por ejemplo robar claves de cifrado privadas de
los servidores de una empresa para llevar a cabo espionaje sin el
conocimiento de ésta. Alex Stamos ha descrito una taxonomía de las
posibilidades, que puede resultar útil para que los usuarios con
conocimientos técnicos puedan entender las varias posibilidades que
existen.
Mejor caso: La NSA no está monitoreando los metadatos o datos de contenido de usuarios, excepto a través de solicitudes legales y específicas realizadas a las empresas.
Peor caso: La NSA está monitoreando ampliamente metadatos de usuario y datos de contenido sin la participación de ninguna empresa.
Mejor caso: La NSA no está monitoreando los metadatos o datos de contenido de usuarios, excepto a través de solicitudes legales y específicas realizadas a las empresas.
Peor caso: La NSA está monitoreando ampliamente metadatos de usuario y datos de contenido sin la participación de ninguna empresa.
¿Qué controles internos tiene la NSA sobre cómo se solicitan y se (mal)usan los datos?
En este momento sabemos muy poco sobre cómo la NSA utiliza los datos.
Sabemos que los usa para fines de "seguridad nacional", como el
espionaje, las investigaciones sobre seguridad nacional y el seguimiento
de la proliferación nuclear. Es seguro asumir que las agencias de
espionaje de Estados Unidos controlan e intervienen en las actividades
de negocio de otros Estados (ejemplo), así como otros asuntos, incluyendo política interna (posible ejemplo).
Pero no sabemos con qué frecuencia pueden ser elegidos tales
objetivos, o cuáles son las normas de las agencias de inteligencia de
EE.UU. que podrían aplicarse a dichas actividades.
Aparte de los propósitos, hay otras preguntas importantes acerca de controles y equilibrios. ¿Qué nivel de certeza es requerido para solicitar información a las empresas? Una vez que esta colección se produce, pero antes de que una persona analice los datos, ¿cuáles son los procedimientos de minimización que tienen lugar para asegurar que los analistas sólo examinan los datos específicos necesarios para su análisis? ¿Son algunos datos borrados, y si es así, por qué se eliminan? ¿Qué porcentaje de los datos se elimina? Los datos sobre los estadounidenses ¿siempre se borran una vez que se sabe que pertenecen a estadounidenses? Para las personas que trabajan en la NSA manipulando información muy privada, tales como el contenido de un correo electrónico personal, ¿qué controles existen para evitar que esa persona haga mal uso de la información?
Mejor caso: Los datos sólo se buscan sólo cuando existe evidencia sustancial de terrorismo u otras actividades que puedan afectar a la seguridad nacional. Sólo se almacenan los datos relacionados con una investigación en curso, y sólo en la medida en que sea necesario. Los datos que no son relevantes se eliminan inmediatamente. Todo acceso de los empleados a los datos privados se registra y revisa periódicamente para detectar y evitar usos inapropiados o cuestionables.
Peor caso: Los analistas pueden hacer "expediciones de pesca" sin ninguna evidencia de fechoría. Los datos se almacenan de forma indefinida. Los datos irrelevantes no son descartados, incluyendo los datos nacionales sobre los usuarios de Estados Unidos. Hay poco control sobre cómo los empleados con acceso a los datos pueden utilizar las herramientas a su disposición, y como resultado, poca responsabilidad por parte de ellos.
Estados Unidos ha luchado durante mucho tiempo para reconciliar los principios democráticos con los imperativos de inteligencia. Encontrar el justo equilibrio es difícil, si bien puede haber argumentos legítimos de confidencialidad con respecto a las fuentes específicas y las operaciones, las interpretaciones legales y prácticas secretas son claramente la antítesis de los valores americanos: el público, a través del Congreso, tiene que decidir cuál es el límite de lo permitido. Este proceso de gobernanza fundamental sólo es posible si existe transparencia. Afirmaciones inverosímiles y sin fundamento que ponen en peligro aún más la seguridad nacional, erosionan la confianza del público estadounidense en la comunidad de inteligencia. Esperamos que la NSA elija un camino mejor: desclasifique adecuadamente la información, trabaje con las empresas para conocer el alcance de sus programas de vigilancia, y gane la confianza de la opinión pública estadounidense. Instamos a que se unan a nosotros en hacer las preguntas difíciles.
[1]. Tenga en cuenta que las siguientes preguntas son acerca de las fuentes sobre la recogida de información y el alcance de esta colección, pero no se centran en "PRISM" en sí mismo. Así evitaremos los juegos de palabras que los funcionarios de agencias gubernamentales y de inteligencia han jugado para evitar dar respuestas sustantivas acerca de la vigilancia que realmente tiene lugar.
[2]. Órdenes FISA-702 son las referidas a 50 USC § 1881a.
Fuente: Manzana Mecánica
Aparte de los propósitos, hay otras preguntas importantes acerca de controles y equilibrios. ¿Qué nivel de certeza es requerido para solicitar información a las empresas? Una vez que esta colección se produce, pero antes de que una persona analice los datos, ¿cuáles son los procedimientos de minimización que tienen lugar para asegurar que los analistas sólo examinan los datos específicos necesarios para su análisis? ¿Son algunos datos borrados, y si es así, por qué se eliminan? ¿Qué porcentaje de los datos se elimina? Los datos sobre los estadounidenses ¿siempre se borran una vez que se sabe que pertenecen a estadounidenses? Para las personas que trabajan en la NSA manipulando información muy privada, tales como el contenido de un correo electrónico personal, ¿qué controles existen para evitar que esa persona haga mal uso de la información?
Mejor caso: Los datos sólo se buscan sólo cuando existe evidencia sustancial de terrorismo u otras actividades que puedan afectar a la seguridad nacional. Sólo se almacenan los datos relacionados con una investigación en curso, y sólo en la medida en que sea necesario. Los datos que no son relevantes se eliminan inmediatamente. Todo acceso de los empleados a los datos privados se registra y revisa periódicamente para detectar y evitar usos inapropiados o cuestionables.
Peor caso: Los analistas pueden hacer "expediciones de pesca" sin ninguna evidencia de fechoría. Los datos se almacenan de forma indefinida. Los datos irrelevantes no son descartados, incluyendo los datos nacionales sobre los usuarios de Estados Unidos. Hay poco control sobre cómo los empleados con acceso a los datos pueden utilizar las herramientas a su disposición, y como resultado, poca responsabilidad por parte de ellos.
Estados Unidos ha luchado durante mucho tiempo para reconciliar los principios democráticos con los imperativos de inteligencia. Encontrar el justo equilibrio es difícil, si bien puede haber argumentos legítimos de confidencialidad con respecto a las fuentes específicas y las operaciones, las interpretaciones legales y prácticas secretas son claramente la antítesis de los valores americanos: el público, a través del Congreso, tiene que decidir cuál es el límite de lo permitido. Este proceso de gobernanza fundamental sólo es posible si existe transparencia. Afirmaciones inverosímiles y sin fundamento que ponen en peligro aún más la seguridad nacional, erosionan la confianza del público estadounidense en la comunidad de inteligencia. Esperamos que la NSA elija un camino mejor: desclasifique adecuadamente la información, trabaje con las empresas para conocer el alcance de sus programas de vigilancia, y gane la confianza de la opinión pública estadounidense. Instamos a que se unan a nosotros en hacer las preguntas difíciles.
[1]. Tenga en cuenta que las siguientes preguntas son acerca de las fuentes sobre la recogida de información y el alcance de esta colección, pero no se centran en "PRISM" en sí mismo. Así evitaremos los juegos de palabras que los funcionarios de agencias gubernamentales y de inteligencia han jugado para evitar dar respuestas sustantivas acerca de la vigilancia que realmente tiene lugar.
[2]. Órdenes FISA-702 son las referidas a 50 USC § 1881a.
Fuente: Manzana Mecánica
0 comentarios:
Publicar un comentario