- Global Voices en Español - https://es.globalvoices.org -

Victoria para la Transparencia: Microsoft reporta pedidos del gobierno de datos de usuarios

Categorías: Estados Unidos, Activismo digital, Derecho, Medios ciudadanos, Tecnología, GV Advox

La versión original de este articulo apareció en la página web de la Electronic Frontier Foundation [1] [en].

Todos los días, cuando una persona envía un tuit, publica una foto en Flickr o actualiza su página de Facebook, está tomando decisiones sobre a qué empresas confiar sus pensamientos, fotos, contactos, identidad y datos de localización.

Con el fin de tomar decisiones informadas, los usuarios, especialmente aquellos en riesgo de represión gubernamental, necesitan saber si los gobiernos están pidiendo a las empresas información sobre sus actividades en línea y qué tipo de información están las empresas entregando en respuesta a estas solicitudes.

A principios de este año, el investigador de seguridad libanés Nadim Kobeissi [2] [en] lideró una coalición de defensores de derechos digitales, incluyendo GVA, para pedir a Microsoft que informe sobre solicitudes gubernamentales de datos de usuarios de Skype (Microsoft es la empresa matriz de Skype). En una carta abierta [3] [en] a la empresa, la coalición señalo que con 600 millones de usuarios en todo el mundo, Skype es efectivamente uno de los principales proveedores de servicios de comunicación del mundo.

Infographic of recent Google transparency report data, created by EFF and SHARE Defense. (CC BY 3.0)

Infografía del reciente Informe de Transparencia de Google creado por EFF y SHARE Defense. (CC BY 3.0)

Muchos usuarios confían en Skype para comunicaciones seguras y privadas y para algunos-ya sean activistas que trabajan en ambientes represivos o periodistas que se comunican con fuentes sensibles- los riesgos son altos.

Como comunidad, estamos encantados de que Microsoft no sólo haya respondido a esa carta en nombre de Skype, si no que lo haya hecho en nombre de toda la compañia. La semana pasada, Microsoft dio a conocer su primer informe de transparencia [4] [en], que abarca todas las solicitudes de datos de usuarios de las autoridades policiales y judiciales recibidas en 2012. El informe abarca la totalidad de sus servicios en línea y en la nube, incluyendo Hotmail/Outlook.com, SkyDrive, Microsoft Account y Messenger. Los datos de Skype tienen su propio informe separado este año, porque se aplican diferentes leyes. Como señala la compañia, Microsoft tiene su sede en los Estados Unidos, pero Skype es una «división de propiedad total pero independiente de Microsoft con sede y regido por la ley de Luxemburgo [y los EE.UU.] .”

El reporte incluye información sobre solicitudes que la empresa respondió tanto para Skype como para sus otros productos. Para los productos no-Skype, también informa sobre el número de solicitudes que dieron lugar a la divulgación de los datos del usuario. Este es un gran paso adelante, ya que da más información sobre que información del usuario está siendo buscada y la frecuencia con que es entregada.

Australia, Brasil, Francia, Alemania, Hong Kong, Italia, México, España, Taiwán, Turquía, el Reino Unido y los EE.UU. hicieron la mayoría de solicitudes de datos de usuario a Microsoft en 2012 (incluido Skype y otros productos/servicios enumerados más arriba). ¿Cómo determina Microsoft la lista de países a los que aceptará solicitudes gubernamentales de datos de usuarios?

La compañia escribe [5] [en]:

Microsoft mantiene operaciones y presencia física en más de 100 países de todo el mundo, lo que hace más fácil para las autoridades policiales y/o cortes contactar las oficinas locales de Microsoft con solicitudes de datos del cliente. Sin embargo, sólo revelamos datos en 46 países en los que tenemos la capacidad de validar la legalidad de la solicitud.

Incluso cuando está restringido a 46 países, la cantidad de peticiones es sorprendente. En 2012, Microsoft y Skype recibieron un total de 75.378 solicitudes de los organismos encargados de hacer cumplir la ley, impactando potencialmente 137.424 cuentas. En comparación, en el mismo período Google recibio 42.327 solicitudes. Una posible explicación es que, especialmente cuando se combina con Skype, Microsoft atiende un número significativamente mayor de usuarios que Google. Más cuentas de usuario se puede traducir en más solicitudes de datos de usuario. Microsoft también ha tenido presencia internacional durante mucho más tiempo que Google.

Otros puntos destacados incluyen información generalizada sobre el número de cartas de Seguridad Nacional (NSL) que Microsoft ha recibido, lo que se remonta a 2009, así como la información generalizada sobre el número total de cuentas que pueden haber sido afectadas por esas peticiones . Estas cartas -que se expiden a los proveedores de servicios de comunicaciones tales como las compañias telefónicas y proveedores de Internet y están autorizadas por ley de EE.UU (18 U.S.C. 2709) — permiten al FBI exigir en secreto datos sobre comunicaciones privadas y actividad de Internet de ciudadanos estadounidenses comunes sin ningún tipo de revisión judicial previa. Para empeorar las cosas, los destinatarios de NSL están sujetos a órdenes de mordaza que les prohíben revelar alguna vez la existencia de las cartas a cualquiera. EFF argumentó recientemente con éxito que las ordenes de mordaza NSL son inconstitucionales, pero esa orden judicial esta en espera pendiente de un recurso [6] [en] presentado por el gobierno.

Hasta hace poco [7] [en], ninguna de las empresas que emiten reportes de transparencia incluía estadísticas sobre NSL. Pero hace unas semanas, Google publicó estas cifras por primera vez como parte de su informe de transparencia, dando un poco de luz sobre las formas en que el gobierno de EE.UU. utiliza estas demandas secretas de datos de los usuarios. Estamos contentos de ver a Microsoft seguir el ejemplo. Debido a que los números son tan generalizados (Microsoft recibió 1,000-1,999 NSLs en 2011, afectando a 3,000-3,999 cuentas), es difícil hacer comparaciones con Google, pero hablando en términos generales, Microsoft parece recibir más NSL que Google.

Lo que es aún más interesante es la afirmación con respecto a Skype, que de 4,713 solicitudes de datos de usuarios que potencialmente afectan a 15.409 cuentas, el número de solicitudes resultando en divulgación del contenido del usuario es cero. El informe Skype no especifica la frecuencia con que la empresa cumplió con las peticiones gubernamentales de datos transaccionales, (esto puede incluir el nombre del usuario, dirección de facturación, o el historial IP, pero no el contenido de sus comunicaciones), señalando que Skype no mantiene esta información para el año 2012. Esperamos que esto sea aclarado en próximos informes. Pero para los usuarios que expresaron su preocupación de que Microsoft podría estar entregando sus conversaciones y mensajes de Skype en respuesta a una orden judical, estas cifras pueden parecer tranquilizadoras.

El informe Skype va un paso más allá y ofrece la siguiente aclaración con respecto a sus obligaciones en virtud de la Ley de Asistencia de Comunicaciones para la Aplicación de la ley (CALEA [8] [en]), una ley de EE.UU que obliga a los servicios de Internet de banda ancha y voz sobre protocolo de Internet interconectados (VoIP) a convertirse en facilitadores de escuchas telefonicas:

La ley de EE.UU., Asistencia de Comunicaciones para Aplicación de la ley, no se aplica a ninguno de los servicios de Microsoft, incluyendo Skype, ya que Microsoft no es una empresa de telecomunicaciones. Skype es una división independiente con sede y operando bajo la legislación luxemburguesa.

¿Significa esto que Skype es seguro para los usuarios que están preocupados por la posibilidad de una vigilancia gubernamental? No necesariamente. Microsoft ofrece esta advertencia importante:

Aunque pueda que no recibamos solicitudes policiales de algunos países, o no respondamos solicitudes que no cumplan con nuestros principios y políticas, sin embargo entendemos que algunos usuarios de nuestros servicos pueden estar sujetos a la supervisión del gobierno o de la supresión de las ideas y discurso. Ofrecemos el cifrado SSL para servicios de Microsoft y las llamadas Skype-Skype en nuestros clientes completos (para equipos de toda función) son cifradas en una base peer-to-peer, sin embargo, ningún método de comunicación es 100% seguro. Por ejemplo las llamadas Skype Out/In se enrutan a través de la red existente de telecomunicaciones para parte de la llamada, y los usuarios de cliente básico de Skype (usado en smartphones, tabletas y otros dispositivos manuales) enrutan las comunicaciones a través de la red de un proveedor de servicios inalámbricos o móviles. Además, los puntos finales de la comunicación son vulnerables al acceso de terceros, como criminales o gobiernos.

La filtración y censura de TOMSkype [9] [eng] en China es un ejemplo del tipo de monitoreo y supresión del tráfico de Skype al que Microsoft alude en su informe.

La auditoría de seguridad externa [10] [en] de Skype del 2005 indica que los «certificados digitales [11] creados por la autoridad de certificación [de Skype central] son la base de la identidad en Skype», y que, si se falsifican, estos certificados podría permitir la interceptación de las comunicaciones de los usuarios de Skype (ver sección 3.4.1). La división Skype de Microsoft todavía controla y opera esta autoridad. Una cuestión preocupante acerca de la definición del informe de «Divulgación de Contenido» es si los certificados falsificados o la divulgación de los secretos de cifrado, lo cual quizás no es visto propiamente como contenido del usuario, pero pueden ser utilizados directamente por un tercero para interceptarlo, cuenta como «Revelación de contenido » o no. Observadores como el experto en seguridad Chris Soghoian [12] [en] se preocupaban por que «la fuga de claves criptográficas no…sería considerado liberación de contenido» en el informe, a pesar de que resulta en contenido siendo interceptado. Es importante para Microsoft aclarar este punto para que la información reportada sobre Skype sea significativa.

Nada de esto debería quitar el gran credito que Microsoft se merece por la publicación de este informe, en primer lugar, o por incluir tanta información como lo hizo. Al unirse a las filas de las empresas que emiten informes de transparencia, Microsoft ha aclarado algo de la confusión acerca de los riesgos que toman los usuarios cuando utilizan productos de Microsoft, y han contribuido a nuestro cuerpo de conocimientos sobre el alcance de la vigilancia gubernamental. Esperamos que 2013 sea el año en que los informes de transparencia sean convertidos en la nueva norma. Ahora que Microsoft lo ha hecho, tal vez será menos y menos aceptable para empresas como Facebook y Yahoo! dejar a sus usuarios en la oscuridad acerca de las peticiones del gobierno sobre sus datos.