L'Andrés només pregunta pel temps
L'Andrés és veneçolà. Treballa en una fruiteria del barri des de fa anys. Un dia li vaig preguntar com estava la seva família allà, en els pitjors moments del règim.
"Al meu país sempre fa bon temps", em va dir.
No ho vaig entendre. Vaig insistir. I llavors m'ho va explicar: "Jo només puc parlar amb la meva família per WhatsApp, perquè les trucades no funcionen bé. Però cal tenir molta cura amb el que escrius. No sabem si algú pot llegir les converses. El que sí sabem és que en qualsevol moment poden detenir qualsevol persona i el primer que fan és obrir-li el telèfon. Si no dones el PIN, són bufetades i una cel·la fins que el donis. I si troben alguna cosa que no els agradi a WhatsApp, amb sort és una pallissa i uns dies de calabós. Amb mala sort, aquesta persona desapareix."
"Per això, quan parlo amb ells, bàsicament els pregunto què tal fa el temps. Si em contesten, almenys sé que estan vius."
L'Andrés no és un criminal. No té res a amagar. Però viu en un món on una frase escrita en un xat pot destruir la vida d'algú que estima.
No cal ser un criminal per necessitar privadesa
Pensa en un advocat que parla amb el seu client sobre una estratègia de defensa. La conversa és legítima i legal, però conté informació que, treta de context, podria ser devastadora. Aquest advocat té l'obligació professional i legal de mantenir aquesta conversa confidencial.
Pensa en una parella jove. Ella viu amb els seus pares. Mantenen converses íntimes, completament legítimes, però que pertanyen a la seva esfera més privada. Tenen dret a que aquestes paraules no existeixin en cap servidor que pugui ser hackejat, venut o requerit judicialment.
Pensa en un autònom que parla amb el seu gestor sobre com optimitzar els seus impostos. Pot estar a un costat o a l'altre de la ratlla — això és assumpte seu. Si poguessin estar asseguts en un despatx, ningú escoltaria aquesta conversa. Per què hauria de ser diferent si parlen a distància?
O pensa en un periodista a l'Iran, mentre cauen míssils al seu voltant, intentant comunicar-se amb la seva redacció a París. O un immigrant a Madrid parlant amb els seus pares que es van quedar allà.
Totes aquestes persones necessiten privadesa. Cap d'elles és un criminal.
La trampa del xifratge perfecte
El 2018, l'FBI va crear una empresa que venia telèfons mòbils xifrats. La marca es deia Anom. Es venia com l'alternativa més segura del mercat. Durant tres anys, més de 12.000 dispositius es van distribuir en més de 100 països. Els usuaris parlaven amb total confiança.
El que no sabien és que cada missatge arribava també als servidors de l'FBI. Cada paraula. Cada foto. Cada pla.
El juny de 2021, l'Operació Trojan Shield es va fer pública. Més de 800 detinguts en 16 països. Va ser l'operació policial coordinada més gran de la història.
No va ser un error tècnic. El xifratge era real. La tecnologia funcionava. El problema era qui hi havia al darrere i què en guanyava.
No és un cas aïllat. Durant més de 50 anys, l'empresa suïssa Crypto AG va vendre màquines de xifratge a més de 120 governs. El que ningú va saber fins al 2020 és que Crypto AG era propietat secreta de la CIA i el servei d'intel·ligència alemany. Les màquines funcionaven, però amb una debilitat deliberada que permetia als seus veritables amos llegir-ho tot.
Iran, l'Índia, el Pakistan, el Vaticà, juntes militars llatinoamericanes. Tots hi van confiar. Ningú es va preguntar per què algú tenia tant interès a vendre'ls xifratge barat.
La pregunta que t'hauries de fer sempre
Si algú t'ofereix alguna cosa i no entens què en guanya a canvi, desconfia. No perquè tothom tingui males intencions — sinó perquè entendre el model de negoci és la forma més bàsica d'avaluar si pots confiar en un servei.
Quan fas servir WhatsApp, saps què guanya Meta: les teves dades, els teus hàbits, la teva atenció per vendre publicitat. Hi pots estar d'acord o no, però almenys entens l'intercanvi.
Però quan algú t'ofereix un servei de comunicació xifrada, completament gratis, sense publicitat, sense subscripció i sense un model de negoci visible — la pregunta no és si el xifratge és bo. La pregunta és: qui finança això i per què?
El que realment importa
Hi ha senyals que ajuden a avaluar una eina de privadesa. Codi obert, auditories de seguretat, jurisdicció europea. Totes són positives. Però cap és una garantia absoluta.
El codi obert significa que algú pot revisar què fa l'aplicació. Però siguem honestos: el 99,9% dels usuaris mai llegirà una línia de codi. I la història està plena de vulnerabilitats gravíssimes que van viure durant anys en projectes open source revisats per milers de persones sense que ningú les detectés.
Les auditories de seguretat són valuoses. Però les auditories es paguen amb diners, i els diners són el mitjà més simple de comprar voluntats. Una auditoria diu que el codi estava net el dia que es va revisar. No diu res sobre el que es va canviar després.
Pots tenir el millor codi del món, auditat i obert, però si les teves dades passen per un servidor — encara que sigui un segon, encara que estiguin xifrades — algú té accés físic a aquest servidor. I aquest algú pot estar en un país on un jutge, un govern o un bitllet gran poden obrir qualsevol porta.
El que realment et protegeix no és una promesa que "no llegim les teves dades". El que et protegeix és una arquitectura on les teves dades mai surten de les teves mans. On no hi ha servidor per comprometre, no hi ha còpia de seguretat per filtrar, no hi ha porta del darrere per obrir.
La confiança no es regala
Els usuaris d'Anom hi van confiar perquè el producte funcionava. Els clients de Crypto AG hi van confiar perquè la marca era respectable. L'Andrés no confia en WhatsApp però no té alternativa.
La confiança en una eina de privadesa no pot basar-se en el fet que "funciona bé". S'ha de basar en el fet que entens qui hi ha al darrere, què hi guanya, i què passa amb les teves dades si demà aquesta empresa tanca, canvia d'amo, o rep una ordre judicial d'un país que no és el teu.
La propera vegada que algú et recomani una aplicació de missatgeria segura, no miris primer les funcions ni el disseny. Mira qui la paga. Si la resposta no et convenç, busca'n una altra.