Google, Apple y Mozilla no ceden ante el plan de Kazajistán para espiar a sus ciudadanos

En mayor o menor medida, todos los gobiernos sienten el instinto “orwelliano” de intentar forzar al máximo la cuerda de la privacidad para, escudados en un pretexto de seguridad, controlar la opinión de sus ciudadanos.

Google y Mozilla intensificaron sus esfuerzos para impedir que el gobierno de Kazajistán intercepte todo el tráfico web generado por su ciudadanos. Apple se acaba de sumar a su cruzada contra el espionaje institucional.

El caso de Kazajstán va más allá de todo planteamiento legal o ético. Durante el mes de julio, los ciudadanos de Kazajistán recibieron notificaciones de sus compañías de Internet indicándoles que, por orden del gobierno, estaban obligados a instalar un “certificado de seguridad” en todos los navegadores de sus dispositivos si no querían que se les interrumpiese su conexión web.

Este certificado de seguridad se encargaba de capturar todo el tráfico dirigido a los 37 principales dominios y redes sociales del mundo, entre los que se encuentran Facebook, Instagram, YouTube, Hangouts de Google o VK en Rusia.

Una vez instalado, el certificado del navegador se usaba para validar la identidad de un sitio web, permitiendo llevar a cabo ataques del tipo Man in the Middle (MITM) desde conexiones HTTPS del navegador.

Este ataque consiste en que un atacante recibe la solicitud de conexión de un usuario hacia un determinado servicio, pero en lugar de identificarse directamente en el servicio, es el atacante quien se identifica suplantando al usuario, permaneciendo indetectable entre el usuario y el servicio, lo cual le permite espiar todas las comunicaciones que ese usuario realice, incluyendo textos, contraseñas, etc.

Si bien Kazajistán dijo inicialmente que el plan era monitorizar las amenazas cibernéticas, el gobierno hizo un cambio a principios de este mes, afirmando que el lanzamiento inicial era simplemente una prueba.

Google, Mozilla y Apple, como propietarios de Chrome, Firefox y Safari, principales navegadores que el gobierno de Kazajistán pretende utilizar como arma de espionaje, han unido fuerzas para implementar medidas tecnológicas que permitan bloquear este certificado consiguiendo que los usuarios puedan seguir conectados de forma privada.

Una de las medidas más drásticas que se plantean implementar es la revocación de los permisos para el certificado, por lo que, a pesar de su larga vigencia (hasta 2046), al menos se neutralizaría en esos tres navegadores.

Sin embargo, esta medida dejaría sin acceso a los principales servicios de Internet a la mayoría de la población, salvo si se usa un navegador Tor o una VPN, que se convertiría en la única forma de escapar del control del gobierno.