Querida #NETMundial, la Gobernanza es genial y todo, pero necesitamos EXIGIR el IPv6 ¡AHORA!

Texto original en inglés por Dmytri Kleiner

Muchos de mis amigos y colegas estuvieron en Sao Paulo la semana pasada por el NETMundial, la reunión multi-stakeholder para el futuro de la gobernanza de Internet. Dilma Rousseff, presidenta de Brasil, convocó esta iniciativa para “enfocarse en los principios de gobernanza de Internet y la propuesta para una hoja de ruta para el desarrollo futuro de este ecosistema”.

NETMundial fue motivado originalmente por las revelaciones de Edward Snowden acerca de la vigilancia masiva conducida por los gobiernos de EE.UU. y Reino Unido, incluyendo el espionaje sobre la propia presidenta Rouseff. Estas revelaciones impulsaron a que la Sra. Rousseff declare “En ausencia del derecho a la privacidad, no puede existir una verdadera libertad de expresión y opinión y, por tanto, no puede existir una democracia efectiva” en su discurso frente a la 68a Asamblea General de las Naciones Unidas.

Sin embargo, por muy importante que resulte la gobernanza de Internet para nuestro futuro, y sin importar cuan valioso resulta este esfuerzo, es muy poco probable que se logre mucho, o algo, sobre el derecho a la privacidad en línea ¿Por qué? Porque la vigilancia no es un tema de la gobernanza de Internet, sino de la forma en que la Internet es financiada. La gran cantidad de datos de consumidor acumulada por empresas privadas como Google, Facebook y Verizon no es el resultado de la política del IANA1 o de la ICANN2, sino de los modelos de negocio de estas empresas que buscan generar ingresos por medio de estos datos. Es inconcebible que estas empresas puedan reunir tal cantidad de datos de consumidor, usarlos para propósitos comerciales, venderlos y compartir el acceso a los mismos con otras compañías, y aún así, de alguna manera lo mantengan fuera de las manos de la NSA y de otras agencias de inteligencia similares. De modo similar, los extraordinarios hacks,3 modificaciones y exploits4 que la NSA has ejecutado, como lo ha revelado Snowden, no se verían frustrados por cualquier regulación de la IANA. La agresión perpetrada por los EE.UU. No es un problema de Internet, y la gobernanza de Internet no puede lidiar con él más efectivamente que con los ataques de drones o los proyectos de cambio de régimen.

No obstante, los gobiernos pueden hacer mucho para asegurar el derecho a la privacidad, y pueden hacerlo hoy, incluso sin ningún cambio en la gobernanza global de Internet.

Los gobiernos tienen la facultad de regular la forma en que las compañías de Internet y telecomunicaciones operan dentro de sus países, de hecho, los gobiernos están familiarizados con la creación de regulaciones. Las regulaciones gubernamentales aseguran que los edificios se construyan correctamente, estructuralmente sólida, que sigan el código de incendios, etc. Los gobiernos crear reglamentos que aseguran que los avenidas, caminos y veredas sean usadas de forma segura. Los gobiernos aprueban leyes para prevenir que los consumidores sean defraudados, crean garantías legales, normas laborales, regulan los medios de difusión, etc. Los gobiernos pueden aprobar reglamentos para proteger el derecho a la intimidad. La idea de que los gobiernos como los de Brasil, Alemania y demás participantes de NETMundial necesiten reformar la IANA y similares antes de que puedan hace algo para garantizar el derecho a la privacidad de sus propios ciudadanos es absurdo.

Para garantizar el derecho a la privacidad, los sistemas de comunicaciones deben implementar el principio de punto a punto, que establece que la funcionalidad debe residir en los hosts5 finales de una red en lugar de en los nodos intermedios. El término del principio “punto a punto” fue acuñado en 1981 en un artículo escrito por J.H. Saltzer, D.P. Reed y D.D. Clark en el laboratorio para ciencias de la computación del Instituto Tecnológico de Massachusets (MIT), “Argumentos punto a punto en el diseño de sistemas”,6 en el cual los autores abordan específicamente el tema de la privacidad.

En la sección titulada “Transmisión de datos segura”, los autores argumentan que para asegurar “que un usuario con mala conducta, programa o aplicación no transmita deliberadamente información que no debe ser expuesta”, el “cifrado automático de todos los datos conforme ingresan a la red […] es un requisito diferente a la autenticación de los derechos de acceso de un usuario del sistema a partes específicas de los datos”. Esto significa que para proteger el derecho a la privacidad de los usuarios, no es suficiente cifrar a la red en sí misma, o incluso la plataforma, ya que esto no protege contra los operadores de la red, u otros usuarios que tengan acceso a la plataforma. Lo que se necesita, argumentan los autores, es el “uso de cifrado para la autenticación y protección a nivel de aplicación”, lo que quiere decir que sólo el software ejecutado por el usuario en el nodo final (punto), en su propia computadora personal, debe poder cifrar y descifrar información para la transmisión, en lugar de los nodos intermediarios, y sólo con las credenciales de acceso del propio usuario.

El principio de punto a punto es un concepto clave en el diseño mismo de Internet, el “protocolo de control de transmisión” subyacente, uno de los protocolos principales de la familia de protocolos de Internet (TCP/IP), ejemplifica el principio de punto a punto, y permite que las aplicaciones ejecutándose en nodos remotos usen el Internet para la comunicación segura de datos arbitrarios a través de la red, sin necesidad de que cualquiera de los nodos intermedios sepa o entienda el propósito de los datos que están siendo transmitidos.

En consecuencia, no existe absolutamente nada técnico previniendo que alguien use comunicaciones privadas en Internet. ¿Cómo es entonces que terminamos en este enredo en el que nos encontramos ahora? ¿Por qué Internet, que integra el principio de punto a punto en el núcleo de su arquitectura, se convirtió en el anfitrión de la vigilancia masiva de mayor escala en la historia?

Dos razones: Capitalismo e IPv4. Empecemos con el IPv4.

El Protocolo de Internet Versión 4 (IPv4) fue creado en 1981, el mismo año en que Saltzer, Reed, y Clark publicaron su artículo. El IPv4 provee aproximádamente 4300 millones de direcciones, que parecen bastantes, hasta que te das cuenta que cada dispositivo que se conecta a Internet necesita de al menos una. Que se agoten no parecía ser un problema en esa época, ya que esta versión fue originalmente pensada como una prueba a los conceptos de creación de redes de DARPA7, y no como el esquema de direccionamiento final del Internet global. En 1981, 4300 millones de direcciones parecían una cantidad desproporcionadamente enorme, pero cuando la Internet pública empezó a despegar en los noventas, se volvió claro que esto no sería suficiente. En 1998 se lanzó RFC 2460, este documento es la especificación para el IPv6, un esquema de direccionamiento que permite un número casi ilimitado de direcciones, billones y billones para cada persona en la Tierra. Sin embargo, mientras la NETMundial se desarrollaba en Brasil, casi 16 años después de que el protocolo fuera inventado, Google reportó que cerca del 3% de visitas a sus servicios usa IPv6. El sitio “World IPv6 Launch”, que promueve la adopción del IPv6, estima que más de la mitad de usuarios de Internet en todo el mundo tendrán el IPv6 disponible en 2018. En otras palabras, 20 años después del diseño del protocolo, cerca de la mitad de todos los usuarios de Internet no tendrán acceso a él. Es importante notar que no es la adopción del hardware lo que está deteniendo esto, es altamente dudoso que muchos de los dispositivos fabricados en los últimos diez años no sean compatibles con IPv6, es más bien que los propietarios de las redes no configuran sus redes para soportarlo.

Como todos saben, 20 años son efectivamente infinito en años de Internet. Con el IPv6 como una utopía lejana, y las direcciones IPv4 siendo la divisa del servicio de Internet, se desarrolló NAT. A la gran mayoría de dispositivos disponibles a los usuarios no se les asignó una de las IP públicas, sino sólo de las privadas, separadas de la Internet pública mediante la “Traducción de Dirección de Red” (NAT por sus siglas en inglés), un sistema que permitió la compartición de direcciones IP públicas por muchos nodos finales o puntos, esta fue una solución efectiva al agotamiento de las direcciones IPv4, pero introdujo un problema mayor, la red ya no era simétrica, el software que se ejecuta en las computadoras de los usuarios puede acceder a recursos centrales de Internet, pero no puede acceder a otros usuarios, que también se encuentran en el espacio de las direcciones privadas, sin un servicio intermediario que provea el acceso.

Esto implica que mientras los usuarios se encuentran en el espacio de direcciones privadas, todo sistema de comunicación que usen requiere de recursos centralizados para unir las conexiones entre usuarios, y lo que es más importante, la escala de estos recursos centralizados debe crecer en proporción al número de usuarios que tiene. Para que se pueda respetar el principio de punto a punto, estos proveedores de servicios intermediarios deben apoyarlo.

Y aquí es donde llegamos a la parte del Capitalismo: Para construir, mantener y escalar estos recursos se requiere dinero. En el caso de las plataformas de “escala web”, muchísimo dinero.

Por mucho, este dinero proviene del capital de riesgo. Dado que los capitalistas deben capturar ganancias o perder su capital, estas plataformas requieren de modelos de negocio, y mientras muchos modelos de negocio son posibles, el más popular hoy en día, que presume de ser el más lucrativo según los inversionistas, es el big data.8 Entonces, en lugar de respetar el principio de punto a punto y realizar una ingeniería de funcionalidad en los hosts finales de una red, los capitalistas sólo invierten en aplicaciones en las que la funcionalidad principal se asienta en los nodos intermedios, que pueden capturar datos del usuario y controlar su interacción , porque así es como ganan dinero.

Las plataformas capitalistas crecen y recogen datos en torno a estos nodos intermedios en la misma forma en que el moho crece alrededor de las tuberías con fugas. Con el fin de dar a las plataformas alternativas que respetan el derecho a la privacidad una oportunidad de luchar y liberar a la Internet del molde de plataformas centralizadas de recopilación de datos, tenemos que arreglar las tuberías, tenemos que eliminar la asimetría en la red.

No podemos permitir que la iniciativa privada por sí sola impulse la adopción del IPv6, y esperar quién sabe cuántos años o décadas necesarios para conseguirlo. Si los gobiernos quieren promover el derecho a la privacidad de sus ciudadanos, necesitan ordenar la adopción del IPv6, para asegurar que sus ciudadanos sean capaces de utilizar el software que respeta el principio de punto a punto.

Aquí está una carta de derechos que todos los gobiernos pueden ofrecer a sus propios ciudadanos en este momento para promover el derecho a la privacidad:

  • Conectividad IPv6 con espacio de direcciones públicas adecuadas para todos.
  • Al menos un nombre de dominio DNS para cada ciudadano.
  • Por lo menos un certificado SSL firmado por el gobierno para cada ciudadano.

Si todos los ciudadanos tuvieran un espacio de dirección público, un nombre de dominio y un certificado firmado, las fugas en las tuberías de Internet podrían ser arregladas, el molde de vigilancia se disiparía, y las nuevas aplicaciones respetuosas con la privacidad podrían florecer.

¡EXIJAMOS EL IPv6 AHORA!

Notas al pie

1 Internet Assigned Numbers Authority (cuyo acrónimo es IANA) es la entidad que supervisa la asignación global de direcciones IP, sistemas autónomos, servidores raíz de nombres de dominio DNS y otros recursos relativos a los protocolos de Internet. Actualmente es un departamento operado por ICANN.

2 La Corporación de Internet para la Asignación de Nombres y Números (ICANN por sus siglas en inglés) es una organización que opera a nivel multinacional/internacional y es la responsable de asignar las direcciones del protocolo IP, de los identificadores de protocolo, de las funciones de gestión del sistema de dominio y de la administración del sistema de servidores raíz.

3 Un hack es una re-configuración o re-programación de un sistema de una forma no prevista originalmente por el propietario, el administrador o el diseñador.

4 Exploit es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizado con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo.

5 El término host (“anfitrión”, en español) es usado en informática para referirse a las computadoras conectadas a una red, que proveen y utilizan servicios de ella.

6 J. H. Saltzer, D. P. Reed, and D. D. Clark. 1984. End-to-end arguments in system design. ACM Trans. Comput. Syst. 2, 4 (November 1984), 277-288. DOI=10.1145/357401.357402 http://doi.acm.org/10.1145/357401.357402

7 La Agencia de Proyectos de Investigación Avanzados de Defensa (DARPA por sus siglas en inglés) es una agencia del Departamento de Defensa de Estados Unidos responsable del desarrollo de nuevas tecnologías para uso militar. Fue creada en 1958 como consecuencia tecnológica de la llamada Guerra Fría, y del que surgieron, década después, los fundamentos de ARPANET, red que dio origen a Internet.

8 Big Data (“grandes datos” en español) es en el sector de tecnologías de la información y la comunicación una referencia a los sistemas que manipulan grandes conjuntos de datos (o data sets).

Cómo citar este artículo

Kleiner, D. (2014, julio 30). Querida #NETMundial, la Gobernanza es genial y todo, pero necesitamos EXIGIR el IPv6 ¡AHORA! (J. A. Delgado, Trad.) Obtenido de: http://www.aperturaradical.org/ (publicación original 2014, abril 28).