Andrés só pregunta polo tempo
Andrés é venezolano. Traballa nunha frutaría do barrio desde hai anos. Un día preguntéille como estaba a súa familia alá, nos peores momentos do réxime.
"O meu país sempre fai bo tempo," díxome.
Non entendín. Insistín. E entón explicoumo: "Eu só podo falar coa miña familia por WhatsApp, porque as chamadas non funcionan ben. Pero hai que ter moito coidado co que escribes. Non sabemos se alguén pode ler as conversas. O que si sabemos é que en calquera momento poden deter a calquera e o primeiro que fan é abrirlle o teléfono. Se non das o PIN, son bofetadas e unha cela ata que o deas. E se encontran algo que non lles guste en WhatsApp, con sorte é unha malleira e uns días de calabozo. Con mala sorte, esa persoa desaparece."
"Por iso, con falo con eles, basicamente pregúntolles que tal está o tempo. Se me contestan, polo menos sei que están vivos."
Andrés non é un criminal. Non ten nada que ocultar. Pero vive nun mundo onde unha frase escrita nun chat pode destruír a vida de alguén que quere.
Non fai falta ser un criminal para precisar privacidade
Pensa nun avogado que fala co seu cliente sobre unha estratexia de defensa. A conversa é lexítima e legal, pero contén información que, sacada de contexto, podería ser devastadora. Ese avogado ten a obrigación profesional e legal de manter esa conversa confidencial.
Pensa nunha parella nova. Ela vive cos seus pais. Manteñen conversas íntimas, completamente lexítimas, pero que pertencen á súa esfera máis privada. Teñen dereito a que esas palabras non existan en ningún servidor que poida ser hackeado, vendido ou requirido xudicialmente.
Pensa nun autónomo que fala co seu xestor sobre como optimizar os seus impostos. Pode estar a un lado ou ao outro da raia — iso é asunto seu. Se puideran estar sentados nun despacho, ninguén escoitaría esa conversa. Por que debería ser diferente se falan a distancia?
Ou pensa nun xornalista en Irán, mentres caen mísiles ao seu arredor, intentando comunicarse coa súa redacción en París. Ou un inmigrante en Madrid falando cos seus pais que quedaron alá.
Todas estas persoas precisan privacidade. Ningunha delas é un criminal.
A trampa do cifrado perfecto
En 2018, o FBI creou unha empresa que vendía teléfonos móbiles cifrados. A marca chamábase Anom. Vendíase como a alternativa máis segura do mercado. Durante tres anos, máis de 12.000 dispositivos distribuíronse en máis de 100 países. Os usuarios falaban con total confianza.
O que non sabían é que cada mensaxe chegaba tamén aos servidores do FBI. Cada palabra. Cada foto. Cada plan.
En xuño de 2021, a Operación Trojan Shield fíxose pública. Máis de 800 detidos en 16 países. Foi a maior operación policial coordinada da historia.
Non foi un fallo técnico. O cifrado era real. A tecnoloxía funcionaba. O problema era quen estaba detrás e que gañaba con iso.
Non é un caso illado. Durante máis de 50 anos, a empresa suíza Crypto AG vendeu máquinas de cifrado a máis de 120 gobernos. O que ninguén soubo ata 2020 é que Crypto AG era propiedade secreta da CIA e do servizo de intelixencia alemán. As máquinas funcionaban, pero cunha debilidade deliberada que permitía aos seus verdadeiros donos ler todo.
Irán, India, Paquistán, o Vaticano, xuntas militares latinoamericanas. Todos confiaron. Ningún se preguntou por que alguén tiña tanto interese en venderlles cifrado barato.
A pregunta que deberías facer sempre
Se alguén te ofrece algo e non entendes que gaña a cambio, desconfía. Non porque todo o mundo teña malas intencións — senón porque entender o modelo de negocio é a forma máis básica de avaliar se podes confiar nun servizo.
Cando usas WhatsApp, sabes que gaña Meta: os teus datos, os teus hábitos, a túa atención para vender publicidade. Podes estar de acordo ou non, pero polo menos entendes o intercambio.
Pero cando alguén te ofrece un servizo de comunicación cifrada, completamente gratis, sen publicidade, sen subscrición e sen un modelo de negocio visible — a pregunta non é se o cifrado é bo. A pregunta é: quen financia isto e por que?
O que realmente importa
Hai sinais que axudan a avaliar unha ferramenta de privacidade. Código aberto, auditorías de seguridade, xurisdición europea. Todas son positivas. Pero ningunha é unha garantía absoluta.
O código aberto significa que alguén pode revisar o que fai a aplicación. Pero sexamos honestos: o 99,9% os usuarios nunca vai ler unha liña de código. E a historia está chea de vulnerabilidades gravísimas que viviron durante anos en proxectos open source revisados por miles de persoas sen que ninguén as detectase.
As auditorías de seguridade son valiosas. Pero as auditorías páganse con diñeiro, e o diñeiro é o medio máis simple de comprar vontades. Unha auditoría di que o código estaba limpo o día que se revisou. Non di nada sobre o que se cambiou despois.
Podes ter o mellor código do mundo, auditado e aberto, pero se os teus datos pasan por un servidor — aínda que sexa un segundo, aínda que estean cifrados — alguén ten acceso físico a ese servidor. E ese alguén pode estar nun país onde un xuíz, un goberno ou un billete grande poden abrir calquera porta.
O que realmente te protexe non é unha promesa de que "non lemos os teus datos." O que te protexe é unha arquitectura onde os teus datos nunca saen das túas mans. Onde non hai servidor que comprometer, non hai backup que filtrar, non hai porta traseira que abrir.
A confianza non se regala
Os usuarios de Anom confiaron porque o produto funcionaba. Os clientes de Crypto AG confiaron porque a marca era respectable. Andrés non confía en WhatsApp pero non ten alternativa.
A confianza nunha ferramenta de privacidade non pode basearse en que "funciona ben." Ten que basearse en que entendes quen está detrás, que gaña, e que pasa cos teus datos se mañá esa empresa pecha, cambia de dono, ou recibe unha orde xudicial dun país que non é o teu.
A próxima vez que alguén te recomende unha aplicación de mensaxería segura, non mires primeiro as funcións nin o deseño. Mira quen a paga. Se a resposta non te convence, busca outra.