A pesar de carecer de seguridad criptográfica, el usuario de un teléfono fijo podía tener la seguridad de que la interceptación de su llamada no sería tarea fácil. Un atacante tendría que acceder físicamente, bien al cable telefónico, bien a una estación conmutadora.
La situación cambió por completo con el advenimiento de la telefonía móvil. Al contrario que la telefonía fija tradicional, en la que los teléfonos están físicamente anclados a la red de comunicación, ahora el terminal puede moverse libremente. El secreto radica en una red de estaciones de telefonía, que son las encargadas de enviar y recibir las llamadas a los terminales móviles. Podemos verlo como una combinación de teléfono tradicional y walkie-talkie, o como un teléfono inalámbrico de gran alcance.
La telefonía móvil comenzó a ser comercializada a gran escala en los países nórdicos en 1981. En España, tras dos intentos más o menos exitosos en 1976 y 1982, la compañía Telefónica lanzó en 1990 el sistema Moviline, que utilizaba señales de radio en la banda de frecuencia de 900 MHz[3]. Durante los años noventa, esta telefonía móvil de primera generación dominó el mercado en España. Se trataba de un sistema analógico, lo que implica un nivel de seguridad bajo, ya que el tramo aéreo entre el teléfono y la antena más cercana carecía de cualquier protección de cifrado.
El 26 de abril de 1991 saltó a la prensa un escándalo político que ilustró, entre otras cosas, la vulnerabilidad de los nuevos teléfonos móviles analógicos. Ese día, la cadena SER desveló dos conversación telefónicas del dirigente socialista José Marí (“Txiqui”) Benegas. Realizadas el día 18, el contenido de las conversaciones revelaba las tensiones internas en el seno del PSOE. Benegas, que por aquél entonces era Secretario de Organización y hombre fuerte del partido, estaba enzarzado en una polémica con el ministro de Economía y Hacienda, Carlos Solchaga, acerca de un plan de financiación de viviendas[4]. En la conversación, un enfadado Benegas llamaba enano a Solchaga, y el propio presidente del gobierno, Felipe González, recibía apelativos chulescos como Dios y el One[5].
El desconocimiento sobre los detalles técnicos de la telefonía analógica hizo creer incluso a algunos funcionarios de alto nivel que su funcionamiento era similar al de un sistema de walkie-talkies. La Secretaria General de Comunicaciones, Elena Salgado, se aventuró a conjeturar que la grabación “pudo haberse producido desde otro coche cercano”[6]. El propio Benegas afirmó, según el diario ABC, que en el momento de la interceptación viajaba a 200 km/h, “razón por la cual difícilmente pudo hacerlo un radioaficionado”[7], declaraciones que fueron posteriormente matizadas por el ministro del Interior: “Benegas nunca declaró ante el juez que fuera a 200 kilómetros por hora. Exactamente dijo: “En virtud de la velocidad a la que iba era muy difícil que se pudiera efectuar la grabación de manera casual” [8.
Aunque la actividad de la SER pudo haber constituido un delito de revelación de secretos, la cadena de radio se escudó en la libertad de prensa[9]. No dieron detalles técnicos, pero el director de la cadena afirmó que “no se necesitan informes de expertos. La SER no realizó las grabaciones, ni las encargó. La persona que las captó no realizó ningún pinchazo. Las obtuvo de una manera casual e inocente”[10]. Posteriormente, los periodistas señalaron a un radioaficionado, cuyo nombre no revelaron, como origen de la grabación, que calificaron de fortuita[11]. El juez encargado del caso declaró en junio que, en su opinión, la difusión de las conversaciones no era constitutiva de delito porque en ese caso el derecho a la libertad de expresión tenía prioridad sobre el derecho a la intimidad de una figura pública, y en octubre archivó las diligencias de la denuncia interpuesta por Benegas[12].
Un segundo caso, menos conocido, enfrentó de nuevo a la prensa con la justicia. Joaquín Abad, director del diario La Crónica del Sur, interceptó y publicó conversaciones llevadas a cabo el 23 de abril de 1990 por el empresario cinematográfico Juan Asensio con el exjefe de la Policía Local de Roquetas de Mar Rafael Montoya y con el periodista de Ideal Miguel Ángel Blanco. La defensa pedía su absolución, entre otros factores, porque “las emisiones captadas eran de carácter público al ser por aire”[13], y en su opinión el artículo del Código Penal que castigaba las interceptaciones solamente se refería a las comunicaciones por cable, no las inalámbricas. El tribunal no estuvo de acuerdo, y condenó a Abad en febrero de 1992. Entre otras cosas, el tribunal consideró demostrado que el propio Abad había realizado las escuchas (al contrario que en el caso Benegas). Los recursos posteriores que elevó el periodista confirmaron la sentencia, incluida una sentencia del Tribunal Constitucional en marzo de 1994.
Las escuchas telefónicas fueron mucho más allá de los casos de investigación periodística. A comienzos de los años noventa, saltaron a la prensa diversos escándalos sobre pinchazos telefónicos a altos cargos políticos en España, en una complicada red que involucraba al gobierno, las fuerzas policiales y el servicio de inteligencia del Estado (CESID). La complejidad y extensión de las escuchas hace prácticamente imposible determinar qué parte fue realizada sobre el tramo radio de la telefonía analógica, pero es indudable que representó una fuente de información fácil de obtener. Si cualquier periodista podía usar un escáner en su propio despacho para interceptar llamadas telefónicas, ¿qué posibilidad de protección tendrá el ciudadano de a pie?
La red Moviline tenía una gran cobertura a nivel nacional, lo que permitió la popularización de la telefonía móvil. El número de usuarios, que apenas pasaban de los 50 000 en 1990, superó los 400 000 en 1994. Por primera vez, la telefonía móvil resultaba algo accesible al ciudadano medio tanto en precio como en prestaciones. Sin embargo, la transmisión de señales analógicas era problemática, se prestaba a interferencias y era incapaz de dar cobijo a la creciente demanda de servicios de telefonía. Lo cierto era que la falta de seguridad era el menor de sus problemas.
A la luz de estas y otras limitaciones, las principales redes europeas comenzaron a desplegar las redes de lo que ahora llamamos segunda generación de telefonía móvil, de tipo digital. Con ello se acabaría la época en la que las voces se transformaban en señales eléctricas analógicas. Ahora, la digitalización de la voz permitiría aplicar muchas técnicas de mejora, desde la compresión de datos a la corrección de errores; pasando, por supuesto, por la criptografía.
La primera red de telefonía móvil digital fue lanzada por Telefónica en julio de 1995, con el nombre de MoviStar. El consorcio Airtel (hoy Vodafone) comenzó a operar en octubre del mismo año, y en 1999 se autorizó una tercera red, llamada entonces Amena (hoy Orange). A pesar de su menor superficie de cobertura, la telefonía GSM tuvo un gran éxito en España. Los cuatrocientos mil clientes de telefonía móvil de 1994 pasaron a más de treinta millones en 2001[3b]. La implantación de los sistemas de telefonía digital de segunda generación (GSM) supusieron una fuerte competencia para el sistema Moviline, que finalmente echó el cierre en 2003[14].
Es en este punto donde los aficionados a la criptografía debemos prestar atención. Ahora ya no cabe excusa para enviar comunicaciones en el aire sin protección. Las operadoras eran muy conscientes de ello, y los protocolos de la nueva telefonía incorporaron mecanismos criptográficos de autenticación y cifrado. Y, al igual que otras grandes empresas, el proceso de desarrollo tuvo cuatro partes. Primera: se crean los algoritmos según el principio de “seguridad mediante oscuridad”. Segunda: los algoritmos son atacados por los criptólogos. Tercera: las operadoras niegan los fallos. Cuarta: se crean nuevos sistemas, más seguros.
Pero antes de examinar la situación de la telefonía habitual en España, vamos a dar un salto y examinaremos las desventuras del primo americano. En los Estados Unidos, la encargada de proporcionar estándares comunes para la telefonía móvil digital fue la Asociación de Industrias de Telecomunicación (TIA, Telecommunication Industry Association). El resultado, en lo que respecta a protección criptográfica, fue un conjunto de algoritmos. Los más relevantes son:
—Un sistema basado en sumas XOR para proteger la confidencialidad de los datos de voz.
—ORYX, para servicios de datos inalámbricos
—CAVE (Cellular Authentication, Voice privacy and Encryption), para autenticar el equipo móvil y generar claves criptográficas.
—CMEA (Cellular Message Encryption Algorithm), para proteger los datos de control, como el número de teléfono al que se ha llamado, o números PIN para identificación frente al banco por vía telefónica.
La elección hecha por la TIA no fue muy afortunada. En el primer caso, la suma XOR (⊕) se lleva a cabo con un paquete de datos (llamado “máscara”) que se va repitiendo con el tiempo. Eso lo hace vulnerable. En efecto, supongamos que tenemos dos textos A, B que han sido sumados con el mismo segmento de clave, al que llamaremos K. El observador tiene solamente acceso a los paquetes cifrados (A⊕K), (B⊕K). Ahora bien, si sumamos ambos paquetes obtenemos:
(A⊕K) ⊕ (B⊕K) = A⊕B
con lo que recuperamos una suma de dos segmentos de datos en texto llano. El lector interesado tiene más información sobre la suma XOR en el capítulo “Los códigos de Dan Brown”.
El segundo algoritmo, ORYX, no es mucho mejor. Se trata de un sistema que proporciona un flujo de datos pseudoaleatorios a partir de un sistema LFSR (Lineal Feedback Shift Register). En este caso, se utilizan tres LFSRs de 32 bits cada uno, lo que constituye en teoría un sistema de cifrado con clave de 96 bits. Algo impresionante si funcionase bien, lo que no es el caso. En 1998, un artículo firmado por David Wagner, Leone Simpson, Ed Dawson, John Kelsey, William Millan y Bruce Schneier detallaba un fuerte ataque criptoanalítico[15]. Conociendo tan sólo unos 25 bytes del texto llano, se podían recuperar los 96 bits de la clave, y por tanto tener acceso a todo el contenido del texto cifrado, con una complejidad de 2^16. Es decir, es como si estuviésemos utilizando una clave de tan sólo 16 bits. Es posible asimismo realizar un ataque conociendo tan sólo el texto cifrado y algunas características del lenguaje utilizado, para de nuevo obtener la clave. A todos los efectos, ORYX estaba desarbolado y hundido.
En cuanto al tercer algoritmo, CAVE, también le llegó su turno. Se trataba básicamente de una función hash con valores de salida de 128 bits. En 2004, William Millan y Praveen Gauravaram demostraron que es un algoritmo inseguro para funciones de autenticación e integridad de datos[16].
Finalmente le llegó al turno a CMEA, que fue atacado en 1997 por David Wagner, Bruce Schneier y John Kelsey. CMEA es un algoritmo de cifrado en bloque, con una clave de 64 bits generada por CAVE, y bloques de longitud variable. El ataque reveló que conocer del orden de 40-80 textos llanos conocidos permite rebajar la seguridad de CMEA al de un sistema con clave de 24-32 bits[17]. La conclusión de los autores es aplicable a otros casos similares, y no nos coge de sorpresa: “nuestro criptoanálisis de CMEA subraya la necesidad de un proceso de revisión criptográfica abierto. Apostar por algoritmos nuevos es siempre peligroso, y los estándares propietarios y cerrados no llevan a buen puerto”.
Las reacciones al ataque a CMEA no se hicieron esperar. La Asociación de Industrias de Telecomunicación Móvil (CTIA) se defendió minimizando los efectos del descubrimiento, afirmando que requería equipo muy sofisticado y declarando que el impacto real sería prácticamente nulo[18]. Los autores del artículo replicaron que la TIA podía haberlo hecho mucho mejor, y que en su lugar escogieron algoritmos patéticamente fáciles de romper[19].
Las respuestas de algunas telecos fueron recogidas por Bruce Schneier bajo el epígrafe de “miren cómo corren las ratas”. Qualcomm, sin reconocer ni negar la veracidad del ataque, se ratificó en la necesidad de aumentar la seguridad para sus clientes[20]. Pacific Bell Mobile Services se quedó ancha tras limitarse a afirmar tajantemente que las escuchas telefónicas son actividades ilegales[21]; si bien tanto ellos como Omnipoint[22] y Powertel[23] afirmaron ser inmunes a este ataque. El motivo es que no usaban CMEA sino una tecnología de origen europeo conocida como GSM. "Nuestra tecnología pone una sólida barrera contra intentos de intrusión electrónica," llegó a afirmar Omnipoint.
El tiempo mostraría a esas empresas que confiar en GSM tampoco era la panacea, pero en aquellos momentos parecía la mejor apuesta. Los principales algoritmos de protección creados por la industria de telecomunicaciones norteamericana se limitaban a sistemas con claves bastante grandes (64 a 96 bits) que, con un poco de ingenio, se convierten en algoritmos de juguete. Se desarrolló una versión mejorada de CMEA, llamado CMEA-I, pero su seguridad no resultó ser mucho mejor, ya que los investigadores franceses Thomas Chardin y Raphaël Marinier utilizaron en 2008 un ataque similar al de Wagner, Schneier y Kelsey para demostrar que el nuevo algoritmo no era mucho mejor que el antiguo. En sus propias palabras, “esto demuestra que las mejoras hechas a CMEA son inadecuadas para evitar estos ataques, y confirman que la seguridad de CMEA y sus variantes deber ser reconsiderada desde el principio”[24].