Un estudiante de economía londinense se va a Menorca con cinco amigos para celebrar el final de los exámenes. Antes de entrar al avión, manda al grupo privado de Snapchat una foto suya que dice: “Voy a detonar el avión (Soy miembro de los Talibanes)”. Cuando el avión está sobrevolando Francia, los servicios de inteligencia británicos transmiten la supuesta amenaza a sus homólogos españoles, que envían dos aviones militares para escoltar el vuelo hasta la isla. Una vez allí, el avión estaciona en una zona alejada de la terminal y los viajeros son desembarcados uno a uno, identificados y sometidos a un rastreo de equipaje con perros y artificieros.
El estudiante es arrestado y duerme dos días en una celda, antes de salir bajo fianza. Un año y medio después declara en la Audiencia Nacional, donde se enfrenta a cargos por un delito de desórdenes públicos. La fiscalía pide una multa de 22.500 euros y una indemnización de responsabilidad civil de 94.782 euros, la factura de los F-18. Este no es un caso de terrorismo, pero tampoco sobre los límites del humor. Es un ejemplo de lo que pasa cuando el exceso de vigilancia se suma a los sistemas automáticos racistas en un contexto de seguridad internacional.
Los riesgos de la wifi pública del aeropuerto
La fiscalía pide que se aplique el artículo 561 del Código Penal. Castiga a cualquiera que provoque la movilización de los servicios de policía, asistencia o salvamento con una falsa alarma de siniestro o amenaza. Pero Aditya Verma, como se llama el joven, no publicó la foto en Twitter o en su cuenta de Instagram. La envió a su grupo privado de Snapchat, y ninguno de sus amigos lo compartió. Ninguno de los receptores se creyó que Verma llevaba una bomba porque todos subieron con él en el avión. Dice que lo hizo porque sus amigos bromean habitualmente a costa de su origen indio y su piel oscura.
Los peritos de la Guardia Civil que han revisado sus dispositivos encontraron conversaciones anecdóticas de WhatsApp sobre el conflicto entre Pakistán e India y las posibilidades de un atentado de Estado Islámico en esa zona, pero “no se observó ningún vínculo con el radicalismo ni con la intencionalidad de poner una bomba, ni orquestarlo”. El hecho de que la inteligencia británica accediera a su chiste privado hace que el fiscal lo interprete como una comunicación pública. Y el servicio de seguridad británico no dice cómo lo consiguió.
El fiscal da por hecho que la captura se hizo a través de la red wifi del aeropuerto y que se realizó de manera legal. Las dos premisas son interdependientes. Toda wifi aeroportuaria, incluyendo “Gatwick Airport Wi-Fi”, requiere un login donde se aceptan los términos y condiciones del servicio. Por ejemplo, que todas las comunicaciones serán abiertas y estarán sujetas a vigilancia por parte de agencias y autoridades por razones de seguridad. Los aeropuertos se consideran infraestructuras críticas y la monitorización de sus servicios públicos es una parte legítima de su estrategia de seguridad. Pero parece improbable que un universitario que usa Snapchat necesite la wifi del aeropuerto de su propia ciudad y es imposible que se conecte automáticamente sin querer. Incluso si lo hiciera, Snapchat tiene su propio protocolo de seguridad.
Antes de Snowden, las comunicaciones de la red estaban desprotegidas, lo que facilitaba mucho la captura masiva de datos del Cuartel General de Comunicaciones del Gobierno Británico y la Agencia de Seguridad Nacional de EE UU. Hoy la mayor parte del tráfico está cifrado, gracias al protocolo llamado Transport Layer Security (TSL) y muchos servicios de mensajería, como Signal o WhatsApp, están cifrados de extremo a extremo. Quiere decir que el mensaje sale cifrado del teléfono que lo manda y es descifrado en el teléfono final, quedando protegido incluso en la wifi insegura o vigilada de un aeropuerto. Snapchat dice que “los Snaps (fotos) y los chats, incluidos los de voz y vídeo, entre tú y tus amigos, son privados: no escaneamos su contenido para crear perfiles o mostrarte anuncios. Esto significa que normalmente no sabemos lo que dices o publicas a menos que nos lo pidas”. Es posible que el Reino Unido sea ahora una excepción.
La privacidad pos-Brexit
Leer mensajes cifrados es posible, pero no lo puede hacer cualquiera. Hace falta hardware específico para interceptar las señales wifi y software especializado para capturar los paquetes de datos que se transmiten a través de la red. Eso sería incompatible con “la publicidad necesaria” que requiere la aplicación del artículo 561 del Código Penal. En la legislación estadounidense, se diría que Verma compartió su chiste con una “expectativa razonable de privacidad”. En Europa esa expectativa no haría falta, porque tenemos Reglamento General de Protección de Datos y derechos civiles. Pero la Inglaterra pos-Brexit no tiene los mismos estándares de protección del ciudadano. La Audiencia Nacional podría está juzgando a una persona en España con la normativa de Reino Unido.
El pasado octubre, en Inglaterra entró en vigor la Online Safety Act, que obliga a las empresas a escanear los mensajes de los usuarios para asegurarse de que no estén transmitiendo material ilegal, muy especialmente contenido terrorista o material de abuso sexual infantil. La ley no dice cómo hacerlo, pero no hacerlo podría tener responsabilidades penales para la aplicación. La única solución sin romper el cifrado es escanear los dispositivos de los usuarios para examinar los mensajes antes de ser enviados.
Esa tecnología se llama client-side scanning, también conocido como Chat Control. Es posible que las autoridades leyeran el chiste de Verma y sobreactuaran. Es más probable que lo hiciera un algoritmo automático de la propia Snapchat, y se activara un nivel de alarma que justificara el despliegue sin que nadie pudiera explicar o constatar la razón. La Unión Europea está a punto de iniciar un trílogo sobre el Reglamento de la Comisión de la UE contra el Abuso Sexual Infantil, que propone adoptar esa misma tecnología. Este caso es solo un pequeño ejemplo de lo distópica que puede ser su implementación.
El racismo de un algoritmo británico
Esta es mi teoría: un sistema de client-side scanning detectó palabras clave —detonar avión, talibán— en un contexto sensible —aeropuerto— y, como el emisor era un indio de 18 años, disparó la alarma a un nivel que los servicios de inteligencia recibieron como alerta terrorista, sin tiempo de contextualizar. Siguiendo protocolo, transmitieron la alerta al Ministerio de Defensa de España que, con el avión en pleno vuelo y sin acceso ni tiempo para los detalles, decide lógicamente extremar las precauciones y acompañar el vuelo hasta su destino. Una vez desmentida la amenaza, buscan al responsable que pague la cuenta.
Técnicamente, el aviso falso de la colocación de un artefacto explosivo la hizo el sistema, después de interceptar conversaciones privadas de un ciudadano británico en suelo británico y decidir que un estudiante sin antecedentes penales y pasión por el ajedrez es una amenaza yihadista creíble, por el color de su piel. Irónicamente, es el mismo estereotipo que provocó el chiste en primer lugar. Hasta Defensa ha dicho que la multa debería pagarla el servicio británico, y no Aditya Verma.
En lugar de reconocer el sesgo de un sistema que debería ser corregido, teniendo en cuenta los casi dos millones de ciudadanos de la misma etnia que viven en Reino Unido, han preferido perseguir a la primera víctima del atropello: un adolescente que tiene tan asimilado el racismo de su entorno que se hace los chistes de terrorista antes de que se los hagan los demás.
Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.
Suscríbete para seguir leyendo
Lee sin límites
_