Podría pasarle a cualquiera: madrugas para una tonificante sesión de pilates, antes de preparar tu habitual desayuno de antioxidantes cuidadosamente seleccionados, mientras tus dedos vuelan en busca de la última reseña de la prensa: un resorte inconsciente estira repentinamente tus sutiles líneas de expresión, todavía húmedas del contorno de ojos. Ahí estás tú, en las páginas centrales. Desnuda. En aquella pose navideña inspirada en un juguetón elfo erótico que coloca despreocupado los regalos en el árbol. ¿Podría ocurrirte a ti?
Tendrías que ser la actriz Jennifer Lawrence, la cantante Avril Lavigne o la modelo Kate Upton para que te pasara algo así. Lo confirma el reciente "caso Celebgate", en el que alrededor de 60 mujeres diez han vivido en sus carnes la exposición pública de fotografías íntimas robadas de sus cuentas de iCloud. Probablemente no buscarían tus fotos porque no compartes ni su físico ni su proyección pública. Pero lo que sí tienes en común con todas ellas es la nube. Compartes ese espacio repartido en servidores donde los usuarios de Apple pueden hacer una copia de seguridad de todo lo que pasa por sus dispositivos: fotos, documentos, aplicaciones, conversaciones de WhatsApp, sesiones de Facebook... Todo.
"Sabiendo que borramos esas fotos hace mucho tiempo, puedo imaginarme el esfuerzo malicioso que hizo para conseguirlas", se desahogó en Twitter la modelo Mary Elizabeth Winstead, una de las protagonistas del enésimo caso de fotos robadas a celebridades norteamericanas. Borradas, sí, de su teléfono. Pero no de la nube. No es tan fácil borrar el rastro de datos que dejamos con el uso de los modernos instrumentos electrónicos; es demasiado profundo. Este reguero llega a la nube y a los dispositivos que empleamos para consultar nuestra cuenta bancaria, discurre a través de los faraónicos ordenadores de las compañías operadoras de telefonía, atraviesa el contrato que la compañía de la luz nos presenta en sus flamantes tablets, se ramifica hacia los cómodos terminales de venta de los supermercados... Y tú no lo sabes.
La identidad en la mar de datos
De todos los datos que impulsan la procelosa marea electrónica, las contraseñas figuran en el podio de los más importantes. Estas claves, con sus respectivos usuarios, son la manera que tiene el común de los mortales de identificarse en internet. Pero no es la mejor. "La única forma equiparable a identificar a una persona de manera presencial es a través de un DNI electrónico o un certificado digital equiparable", explica el director general de la empresa de seguridad legal Logalty, José Manuel Oliva.
El documento incorpora dos chips certificados: uno de ellos acredita la identidad del usuario y el segundo le permite firmar en operaciones electrónicas. La tarjeta también contiene información como las huellas dactilares del titular. El porcentaje de españoles con DNI electrónico creció hasta el 82% el año pasado. Pero de los más de 367 millones de trámites electrónicos que se realizaron con la Administración General del Estado, se utilizó en poco más de 70.000, según el informe eEspaña 2014, publicado por la Fundación Orange.
Para los trámites de banca electrónica suele emplearse el sistema de verificación en dos pasos. La idea es combinar la clave que el banco da a su cliente tras una identificación presencial con una información a la que solo él tenga acceso: por ejemplo, un código de operación que envía a su móvil para terminar la operación. El banco tiene registrado ese número de teléfono y cada tarjeta SIM está asociada por ley a una persona, así que el ordenador confía en que tras la pantalla está el auténtico titular. Si las actrices del Celebgate hubieran habilitado esta función en iCloud, los ladrones lo habrían tenido más difícil.
"Es el mismo sistema que utilizan las terceras partes de confianza para firmar los contratos", comenta Oliva, cuya empresa es una de estas partes de confianza. "Cuando firmas un contrato en papel hay unos originales y una copia para cada uno", recuerda, "pero en el ámbito electrónico, todos son originales". Y están en manos de las empresas, no de los clientes.
"Estoy grabando la conversación", informa el abogado José Maria Anguiano. "Entonces puedo borrar la versión de mi grabadora", bromeo. Sé que en una hipotética partida de pruebas llevo todas las de perder. No porque Anguiano sea socio del famoso despacho de abogados Garrigues, sino porque grabar nuestra conversación con su "criatura" –Burovoz, como él la llama– le da cierta ventaja. Esta aplicación guarda la conversación en un servidor de Logalty, de la que es vicepresidente. En un juicio, Anguiano aportaría un fichero generado y custodiado por un tercero imparcial. Yo no.
Anguiano dejó claro lo diabólicas que las pruebas electrónicas pueden llegar a ser en la última edición del Foro de las Evidencias Electrónicas, un encuentro que coordina desde 2004. En esta cita anual se analizan y se debaten innumerables problemas. Su intervención fue demoledoramente gráfica. El letrado abrió un correo electrónico depositado en su buzón, a prueba de cualquier pesquisa técnica, y leyó el contenido ante el asombro de la audiencia más crédula.
Lo que dijo a viva voz demostraba que el magistrado del Tribunal Supremo Manuel Maza, víctima de la codicia, había aceptado un soborno desde su cuenta de correo. Se trataba de un correo tan incriminatorio como falso. Los expertos coinciden en que difícilmente se puede saber si un correo electrónico ha sido manipulado si no ha sido firmado digitalmente. La firma digital deja una marca electrónica única que incluye un certificado de la identidad del remitente expedido por una entidad certificadora y una clave pública, que el destinatario emplea para comprobar quién es el remitente. Según la Ley de Retención de Datos de Tráfico, las operadoras tienen la obligación de guardar durante un año los metadatos de la comunicaciones de sus abonados –quién es el abonado llamante, el llamado, la hora exacta del comienzo y del final de la comunicación, la localización y el tipo de mensajes (sms, llamada, WhatsApp...).
Pero nadie les obliga a guardar el contenido. Sin una firma digital, un correo auténtico puede conservar toda la información original mientras se manipula el contenido. Y de ese modo, puede parecer auténtico.
"Ahora te están haciendo firmar en una tablet muchas cosas con firma digitalizada, ¿qué pasa si tú dices que el TAE no era ese, que en el contrato que leíste en la pantalla era otro?", se pregunta Anguiano. Si la empresa tiene un tercero de confianza, este habrá custodiado el contrato original. Una simple confrontación con el documento puesto en duda verificará o no su autenticidad. Si lo que se pone en duda es la propia firma, la cosa cambia. En caso de juicio, un perito caligráfico se encarga de analizar la autenticidad de la firma. En otros casos, se puede comparar la firma con otra almacenada previamente en un registro. Es una opción muy fiable.
La firma digitalizada contiene información sobre la presión, la dirección y la aceleración del trazo en cada punto de la rúbrica, además de la imagen de la firma. Esta información se cifra en el dispositivo de captura y se incluye en el documento como metadato. Un buen algoritmo puede identificarla en alrededor del 98 por ciento de los casos, una efectividad alrededor del 15 por ciento superior a la de la clásica rúbrica en papel, calcula la investigadora del Grupo de Tecnologías de la Identificación de la Universidad Carlos III Judith Liu-Jiménez.
Estas características son un tipo de información conocida como biométrica. "La biometría se basa en cosas que somos, no en cosas que tenemos que recordar; la huella dactilar, por ejemplo, la llevas siempre contigo", explica Liu-Jiménez.
Los rasgos biométricos más precisos son los inherentes a la persona; es decir, la huella dactilar, el reconocimiento facial y el reconocimiento del iris. Los nuevos modelos de teléfono de Apple y Samsung ya distinguen a sus dueños mediante huellas dactilares. Y en los mentideros tecnológicos se comenta que estudian cómo incorporar sistemas de identificación por el iris. "Preveo que acabaremos usando la huella para pagar en los comercios, o quizá el reconocimiento facial", reconoce Liu-Jiménez.
Usar tu huella dactilar, si ha sido previamente empleada para perpetrar un crimen, tiene difícil remedio. "Lo importante es que se asegure la biometría desde el principio, que si tú pones la huella, casi desde el sensor se encripte, para que si la coge un troyano no pueda descifrarla, o que lleve añadidos que no permitan reutilizarla", ahonda la ingeniera de Telecomunicaciones.
En alguna parte, entre infinitos unos y ceros, hay testimonios de cada tecla pulsada en un ordenador, de quién creó o modificó un documento, de qué modelo de tablet hizo cierta fotografía.
El GPS del teléfono móvil memoriza la ubicación de cada instantánea que hacemos en un archivo denominado EXIF, nuestros contactos en las redes sociales indican con qué personas nos relacionamos. Y desde luego, el uso de una tarjeta de crédito nos sitúa en un lugar concreto en un momento determinado.
El joven Pedro Bravo, quien recientemente ha sido condenado por asesinato en Florida (Estados Unidos), es un ejemplo del importante papel que estos datos tienen en la investigación criminalística. Su teléfono móvil fue uno de los testigos importantes del caso. Los investigadores han podido saber que estuvo en un supermercado con su amigo fallecido por la información de localización de ambos teléfonos, que queda registrada gracias a su función GPS. Además, el celular del reo registró que había usado nueve veces la función de linterna en el momento que hipotéticamente estaba enterrando el cadáver en una zona boscosa.
Los chips de memoria de un móvil guardan pistas que criminales, empresas y particulares pueden querer ocultar. El informático Karl-Johan Karlsson presentó un sistema que enseña a mentir al sistema operativo Android, de tal manera que, por ejemplo, una llamada a un ladrón de bancos aparezca como hecha a una amante. Así, para atrapar al Al Capone del futuro harán falta más informáticos que leyes contra la evasión de impuestos.