A fines de julio, los proveedores de redes móviles de Kazajistán empezaron a enviar mensajes de texto a sus clientes para que instalaran un “certificado de seguridad nacional” en todos los dispositivos digitales personales con acceso a internet. Estos mensajes afirmaban que el certificado protegería a los ciudadanos de los ciberataques. También aseguraron que los usuarios que no instalaran la aplicación encontrarían problemas para acceder a algunos sitios web (sobre todo lo que usan encriptación HTTPS).
Esta noticia llegó un mes y medio después de que el Gobierno de Kazajistán bloqueara el acceso a internet y servicios de transmisión en vivo el 9 de junio, cuando el país tuvo elecciones presidenciales. La victoria de Kassym-Zhomart Tokayev, sucesor destinado de Elbasy (“Líder de la Nación” en kazajo) Nursultan Nazarbayev, llegó en medio de protestas masivas que pedían elecciones justas. Por su parte, un bloqueo de internet impidió que los manifestantes coordinaran sus acciones, lo que ayudó a la policía a arrestarlos.
Estas acciones llevaron a algunos observadores a temer el incio de una mayor represión contra los derechos digitales en Kazajistán. Así que aunque Tokayev canceló la introducción de los controvertidos “certificados de seguridad nacional” el 6 de agosto, hay razones para dudar que este será el último intento del Gobierno de meterse en el ciberespacio.
Temor y suspicacia en medios sociales
“En los primeros días [luego de recibir los mensajes de texto], enfrentamos mucho pánico. La gente temía que se les privaría de acceso a algunos sitios web si no tenía el certificado de seguridad instalado”, dijo a Global Voices la abogada Gulmira Birzhanova, del Centro de Medios Legales del norte de Kazajistán, ONG con sede en la capital kazaja, Nur-Sultan.
Sin embargo, pocos usuarios hicieron caso a los mensajes de texto: “No instalé [la aplicación]. No sé si la instaló algún conocido”, agregó Birzhanova.
No obstante, los pedidos para instalar una herramienta de seguridad desconocida causó gran desconfianza e indignación en medios sociales. Yelena Shvetsova, activista cívica y directora ejecutiva de Erkindik Kanaty (ONG cuyo nomber se traduce como “Alas de libertad»), describió la medida como un intento del Gobierno de acceder a la información personal. “Estoy segura de que seguirá la interceptación de nuestra correspondencia y total acceso a nuestros teléfonos. ¡Y luego los arrestos y los juicios!”, escribió en Facebook.
Irina Sevostyanova, periodista de Nur-Sultan, llamó «gran hermano” al certificado de seguridad nacional, y se preguntó si limitaría el acceso a redes virtuales privadas, herramientas que permiten a los usuarios eludir la censura y navegar por la web de manera privada. Daniil Vartanov, experto en tecnologías de la información del vecino Kirguistán, fue uno de los primeros en reaccionar al lanzamiento del certificado y confirmó las suspicacias de los usuarios.
“Ahora que pueden leer y reemplazar todo lo que ves en línea […] cualquiera en los servicios de seguridad puede acceder a tu información personal, en el Ministerio de Asuntos Internos, o hasta el sobrino de algún destacado funcionario al que han contratado ilícitamente. No es una exageración; es así de malo”, escribió Vartanov en Facebook.
El intermediario
El 1 de agosto, el fiscal general de Kazajstán emitió una declaración en la que aseguraba a los ciudadanos que el certificado de seguridad nacional estaba destinado a proteger a los usuarios de internet de contenidos ilícitos y ciberataques, y subrayaba que el Estado garantizaba el derecho a la intimidad.
Los expertos en tecnologías de la información demostraron lo contrario. Censored Planet, proyecto de la Universidad de Michigan que da seguimiento a la interferencia de la red en más de 170 países, advirtió que las autoridades kazajas habían comenzado a intentar interceptar el tráfico encriptado utilizando ataques «de intermediarios» el 17 de julio. Al menos 37 dominios fueron afectados, incluidas las redes sociales.
El intermediario (“Man in the middle”) o ataques de interceptación HTTPS son intentos de reemplazar los certificados de seguridad en líea con otros falsos.
«Normalmente, un certificado de seguridad ayuda a un navegador o aplicación (por ejemplo, Instagram o Snapchat) a garantizar que se conecta al servidor real. Si un estado, proveedor [de internet] o intruso ilegal intenta interceptar el tráfico, la aplicación dejará de funcionar y el navegador mostrará un error de certificado. Las autoridades kazajas presionan a los ciudadanos para que instalen este certificado para que el navegador y la aplicación sigan funcionando después de que se detecte la interceptación», explicó Vartanov en una entrevista a GV a principios de agosto.
La historia se repite
Este fue el tercer intento de las autoridades de aplicar el uso de un certificado de seguridad nacional. El primero tuvo lugar a finales de noviembre de 2015, justo después de que se introdujeran enmiendas relacionadas con los certificados en la ley de comunicaciones de Kazajistán. La ley obliga a los operadores de telecomunicaciones a aplicar un certificado de seguridad nacional a todo el tráfico cifrado, excepto en los casos en que el cifrado se origine en Kazajistán.
«La ley no obliga a los usuarios a instalar el certificado; los proveedores [de servicios de internet] son los responsables. Si no lo instala, se le puede imponer una multa de aproximadamente 250 000 tenge [unos 645 dólares]», explicó Birzhanova.
También en noviembre de 2015, los proveedores de servicios anunciaron que un certificado de seguridad nacional entraría en vigor en enero de 2016. El anuncio se retiró pronto y la cuestión quedó olvidada durante tres años. El segundo intento se produjo en marzo de 2019, y apenas fue percibido por el público hasta julio, cuando comenzaron a recibir los mensajes de texto antes mencionados.
Tras dos semanas de agitación en medios sociales, Tokayev retiró el certificado el 6 de agosto.
КНБ по моему поручению провёл тестирование сертификата безопасности в рамках программы Киберщит. Доказана защищенность информационного пространства РК и возможность использования сертификата только в случаях вторжения извне. Неудобств пользователям интернета нет. Благодарю КНБ.
— Qasym-Jomart Toqayev (@TokayevKZ) August 6, 2019
Por órdenes mías, KNB [servicio de seguridad del Estado] realizó una prueba del certificado de seguridad como parte del programa “Ciberescudo”. Demostró la seguridad del espacio de información de la República de Kazajistán y la posiblidad de usar el certificado solamente en [contra] casos de intrusión. No presenta inconveniencias a los usuarios de internet. Gracias a KNB.
Nada personal, solamente negocios
¿Por qué Tokayev suspendió la medida iniciativa?
Dmitry Doroshenko, experto con más de 15 años dew experiencia en el sector de telecomunicaciones de Asia Central, cree que la preocupación sobre seguridad de transacciones en línea jugó un rol importante.
«En el caso de un hombre en el ataque, un intruso ilegal o un Estado puede usar cualquier dato desencriptado a su propia discreción. Esto compromete a todos los participantes en cualquier intercambio de información. La mayoría de los actores en los mercados en línea no podrían garantizar la privacidad ni la seguridad de los datos», dijo Doroshenko. «Es obvio que ni los gigantes de internet, ni los bancos, ni los sistemas de pago internacionales están dispuestos a aceptar este golpe a su reputación. Si se filtrara información, los usuarios les pedirían cuentas, no al Estado, que no podría llevar a cabo ninguna investigación objetiva», dijo el especialista de tecnologías de la información a Global Voices.
También vale la pena recordar que un escándalo relativo a la filtración de datos ha hecho que la cuestión de la privacidad sea especialmente delicado en Kazajistán en los últimos meses. Durante las elecciones presidenciales de junio, los datos personales de 11 millones de ciudadanos kazajos se hicieron públicos. El 9 de agosto, una investigación encontró que empleados del comité electoral central responsables del accidente.
Los ciudadanos de Kazajstán también apelaron a los gigantes de la tecnología para que intervinieran e impidieran que el Gobierno sentara un peligroso precedente. El 21 de agosto, Mozilla, Google y Apple acordaron bloquear el certificado de cifrado del Gobierno kazajo. En su declaración, Mozilla señaló que las autoridades del país ya habían intentado incluir un certificado en el confiable programa para tiendas raíz de Mozilla en 2015. «Después de que se descubriera que tenían la intención de utilizar el certificado para interceptar los datos de los usuarios, Mozilla denegó la solicitud», explicó la empresa.
Las declaraciones separadas de las empresas incluían promesas de elaborar soluciones técnicas únicas que permiten a cada navegador a proteger mejor la privacidad de los usuarios.
¿Qué sigue?
«Nadie ha intentado nunca lo que Kazajistán está tratando de lograr a nivel nacional. El único ejemplo, a menor escala, sería la instalación de software espía de las autoridades chinas en los teléfonos móviles de los turistas que viajan a Xinjiang», comentó un experto ruso en tecnologías de la información que pidió permanecer en el anonimato.
Ciertamente, Kazajistán no es el único país donde el derecho a la privacidad digital está amenazado. El Gobierno británico quiere crear una puerta trasera para acceder a las comunicaciones cifradas, al igual que sus socios en Estados Unidos. El Kremlin quiere que las empresas de medios sociales almacenen datos en servidores situados en Rusia.
Algunos periodistas y expertos comparan el certificado de seguridad nacional de Kazajistán con el “Gran Cortafuegos” de la vecina China.
Vartanov descartó esta comparación, dijo que Kazajistán simplemente no tiene los recursos para lanzar la «soberanía de internet» al estilo chino. «El mercado chino de internet tiene suficiente capacidad para tener sus propios clones de Facebook o Twitter, el de Kazajistán no», explicó. Otra diferencia importante es que Kazajistán está intentando responsabilizar a los propios usuarios de internet de renunciar a la protección contra la intrusión gubernamental.
Muchas preguntas siguen sin respuesta desde el anuncio de Tokayev sobre el certificado. ¿Cuántas personas lo han instalado? Una vez instalado, ¿lograron eliminarlo? ¿Se modificará la ley de comunicación para que los proveedores de servicios se liberen de la responsabilidad de hacer que los usuarios la instalen? ¿Por qué Tokayev llamó «prueba» al certificado de seguridad nacional?
“No entiendo por qué el Gobierno no dijo que era una prueba desde el comienzo. Creo que decidieron esperar un momento mejor para lanzar el certificado, o que están resolviendo problemas técnicos que surgieron durante la prueba”, concluyó Birzhanova, que tiene la certeza de que las autoridades de Kazajistán lo volverán a intentar.