La ley de acceso remoto a internet de 30 años que ha vuelto a causar problemas.

Se ha divulgado recientemente que hackers respaldados por China han comprometido los sistemas de intercepción de varios proveedores de telecomunicaciones e internet en Estados Unidos, aparentemente con el objetivo de recopilar inteligencia sobre los ciudadanos estadounidenses. Estos sistemas de intercepción, establecidos bajo una ley federal de EE.UU. de hace 30 años, son extremadamente sensibles y generalmente permiten a un reducido número de empleados acceder prácticamente sin restricciones a la información de sus clientes, incluidas sus actividades en línea y historiales de navegación. Para quienes han advertido durante años sobre los riesgos de seguridad asociados a estas "puertas traseras" legales, estos recientes compromisos representan un lamentable "se los dije" que esperaban no vivenciar.

Matt Blaze, profesor de derecho en Georgetown y experto en sistemas seguros, comenta que la intrusión era inevitable. El Wall Street Journal informó que un grupo de hackers del gobierno chino, conocido como Salt Typhoon, logró infiltrarse en tres de los principales proveedores de internet en EE.UU., como AT&T, Lumen (anteriormente CenturyLink) y Verizon, accediendo a sistemas destinados a facilitar datos de clientes a las autoridades y gobiernos. Se estima que estos ataques han resultado en una amplia recopilación de tráfico de internet de estas grandes empresas.

Los objetivos exactos de esta campaña de hackers aún no están claros, pero fuentes de seguridad nacional ya están considerando la violación como "potencialmente catastrófica". Salt Typhoon es una de varias unidades de hackers respaldadas por el gobierno chino que se sospecha están preparando el terreno para ataques cibernéticos destructivos, presuntamente en el contexto de un posible conflicto futuro con EE.UU., particularmente en relación con Taiwán.

Blaze menciona que las intrusiones en los sistemas de intercepción de EE.UU. son un ejemplo del uso malicioso de una puerta trasera que debería ser utilizada únicamente con fines legales. La comunidad de seguridad ha abogado contra estas puertas traseras durante mucho tiempo, argumentando que es tecnológicamente imposible contar con una “puerta trasera segura” que no pueda ser explotada por actores maliciosos. Riana Pfefferkorn, académica de Stanford y experta en políticas de encriptación, señala que este hack expone la mentira de que el gobierno de EE.UU. necesita acceder a cada mensaje y llamada por razones de seguridad, afirmando que este sistema pone en riesgo a los ciudadanos.

La ley que permitió el abuso de estas puertas traseras es la Communications Assistance for Law Enforcement Act (CALEA), que se implementó en 1994, en un momento en que los teléfonos móviles eran poco comunes y el internet apenas comenzaba a desarrollarse. CALEA exige que cualquier proveedor de telecomunicaciones asista al gobierno para acceder a la información de un cliente cuando se presenta una orden legal. Tras los ataques del 11 de septiembre de 2001, las leyes de vigilancia se expandieron significativamente, lo que impulsó el crecimiento de una industria de empresas que ayudaban a las telecomunicaciones a cumplir con estos requerimientos.

El escándalo de vigilancia de Edward Snowden en 2013 reveló cómo el gobierno de EE.UU. y sus aliados más cercanos recogían datos secretos sobre amenazas externas, lo que generó una fuerte oposición en Silicon Valley. Desde entonces, las empresas tecnológicas comenzaron a encriptar tanto como fuera posible los datos de sus clientes, reconociendo que no podían ser obligadas a entregar información que no podían acceder. Sin embargo, las empresas de telecomunicaciones han hecho poco para proteger el tráfico de internet de sus usuarios, lo que deja que gran parte de este tráfico siga siendo accesible a través de intercepciones bajo CALEA.

No solo es un problema de EE.UU., sino que a nivel global, hay esfuerzos constantes por parte de los gobiernos para implementar legislaciones que comprometan la encriptación. En la Unión Europea, algunos países están buscando legalmente requerir que las aplicaciones de mensajería escaneen las comunicaciones privadas de sus ciudadanos en busca de material sospechoso. Los expertos en seguridad advierten que ninguna tecnología puede cumplir con estas exigencias sin correr el riesgo de abusos.

Signal, una de las aplicaciones de mensajería encriptada más reconocidas, ha criticado fuertemente las propuestas de puertas traseras y ha señalado que el reciente hackeo en EE.UU. refuerza que estas legislaciones son una seria amenaza cibernética.

Se concluye que la experiencia con CALEA debería ser vista como una advertencia sobre los peligros asociados con las puertas traseras en lugar de ser interpretada como un modelo de éxito.