PGP: Privacidad Bastante Buena

Cuando en 1991 el gobierno de los EE.UU. intentó aprobar una ley que, entre otras cosas, obligaba a los fabricantes de equipos destinados a las telecomunicaciones colocar una “puerta trasera” que les permitiese acceder a toda la información que fuese gestionada por ellos, un licenciado en informática llamado Philip Zimmermann desarrolló un programa de cifrado prácticamente inexpugnable: PGP (Pretty Good Privacy), distribuido bajo la modalidad de “código abierto”. Luego de ser perseguido por el gobierno de su país, Zimmermann logró “exportar” PGP al resto del mundo, y hoy es ampliamente utilizado para proteger datos sensibles. Pero, ¿cuál es su futuro?

Como parte de “su histórica y persistente lucha contra todos los males del mundo”, en abril de 1991 el gobierno de los Estados Unidos envió al congreso un paquete de medidas que entre, otras cosas, intentaba obligar a todos los fabricantes de equipos de telecomunicaciones a instalar “puertas traseras”, mecanismos que permitiesen al gobierno husmear los datos que estos equipos gestionasen. Concretamente, había un párrafo que puso los pelos de punta a todos los defensores de la intimidad: “Es opinión del Congreso que los proveedores de servicios de comunicación electrónica y fabricantes de equipos para servicios de comunicaciones electrónicas se aseguren de que sus productos permitan al gobierno obtener los contenidos en texto no cifrado de voz, datos y otras comunicaciones cuando esté apropiadamente autorizado por la ley”. Afortunadamente, la ley nunca fue aprobada. Sin embargo, el revuelo que se produjo sirvió para que la comunidad advirtiese el peligro que suponía este tipo de iniciativa, muchas personas comenzaron a buscar la manera de poner a punto un sistema de cifrado simple, libre y efectivo.

Philip Zimmermann, un licenciado en ciencias de la computación, fue finalmente quien logró ese cometido. Este programador se basó en el sistema de clave pública RSA, que tenía en ese entonces unos 15 años de antigüedad, al que “reforzó” con un algoritmo de clave simétrica inventado por él mismo, llamado “Bass-O-Matic” (un nombre inspirado en un pasaje del programa Saturday Night Live). El resultado fue Pretty Good Privacy (PGP, o Privacidad Bastante Buena), una aplicación gratuita cuyo código fuente fue publicado en 1991. En un mundo ideal, esto hubiese sido el final de la historia: no importaría que el gobierno dispusiese de una ley que obligase a todo el mundo a acceder a sus datos, si estos podían ser codificados por los usuarios de forma que fuese imposible comprenderlos. Sin embargo, vivimos en un mundo bastante diferente al ideal, y algunas otras leyes impidieron en un principio que esto fuese posible. Zimmerman, sabiendo que en su país existía legislación diseñadas especialmente para impedir que se “exportase” tecnologías sensibles -sistemas de cifrado incluidos- a países del bloque del Este, especificó claramente que PGP no podía salir de las fronteras de EE.UU. Hace 20 años Internet no tenía la penetración que posee hoy, pero la comunidad informática y académica internacional estaba interconectada o al menos accedía a los BBS, por lo que PGP pronto se distribuyó por todo el planeta. Esto fue usado como prueba para acusar a Zimmerman de violar las leyes, y fue sometido a una investigación federal. Su caso pretendía ser una especie de aviso para todos aquellos que estaban trabajando en productos similares.

No fue este el único problema que tuvo que enfrentar el creador de PGP. Los autores del algoritmo RSA -Rivest, Shamir y Adleman- trabajaban en el MIT (Instituto de Tecnología de Massachusetts) y esta institución tenía una patente sobre el producto. Esta había sido licenciada a una empresa llamada RSA Security Inc., la que acusó a Zimmermann de violar sus patentes a través de un grupo denominado Public Key Partners (PKP) del que formaba parte. Luego de algunas idas y vueltas, y gracias a la presión ejercida por el MIT, las partes llegaron a un acuerdo y el algoritmo RSA, con algunas limitaciones (sobre todo de retrocompatibilidad y velocidad) pudo ser parte de PGP. La acusación del gobierno, por otra parte, duró unos tres años y, a principios de 1996, fue retirada y el caso se archivó sin cargos. Corregidos algunos errores de implementación la versión 2.5 de PGP estaba lista para ser usada. Dentro de los EE.UU, claro.

Dicha restricción era prácticamente inaplicable, y gracias a las redes de datos la versión 2.5 estuvo rápidamente disponible en todo el mundo. Sin embargo, el problema de fondo persistía y las empresas se resistían a utilizar un producto ilegal para proteger sus datos. Pero como cada ley tiene alguna fisura, PGP finalmente logró ser legal en todo el mundo. ¿Cómo ocurrió esto? Un noruego llamado Stale Schumacher aprovechó el derecho a la libertad de prensa y de expresión que en los EE.UU. (aquello de la Primera Enmienda) es prácticamente “palabra santa” y que entre otras cosas garantiza que todo el mundo puede imprimir lo que se le ocurra, para imprimir el código fuente de PGP, meterlo en una maleta y salir tranquilamente del país. Mientras que los federales se comían los codos de bronca por haber sido burlados, Schumacher sometía los varios volúmenes impresos a un proceso de escaneo y en pocos días tenía en sus manos una versión completamente legal e internacional de PGP. Acababa de nacer la "versión internacional de PGP 2.6.3i”.

Las versiones siguientes fueron agregando funcionalidades, y su código siguió siendo libre. Sin embargo, en 1997, PGP Inc. -la empresa fundada por Zimmermann- fue adquirida por Network Associates, propiedad de John McAfee, autor del famoso antivirus “McAfee”. PGP seguía siendo gratis, Zimmermann había sido empleado por la empresa que compró PGP,  pero su desarrollo estaba bajo el dominio de una compañía que -obviamente- tenía como objetivo generar ingresos. El futuro del producto parecía bastante negro, pero a pesar de los pronósticos más agoreros,  Network Associates siempre publicó el código fuente de las nuevas versiones y le añadió muchas funciones útiles. En 2001, luego de algunos problemas, Zimmerman abandonó la empresa dueña de PGP y pocos meses después, PGP se vendió en 14 millones de dólares a una nueva empresa: PGP Corporation. Finalmente, el 29 de abril de este año Symantec, la empresa responsable de productos como Norton Antivirus y pcAnywhere, anunció la compra de PGP Corporation por 300 millones de dólares. Es muy pronto para afirmarlo, pero muy probablemente esto signifique que “PGP” desaparecerá como tal. Será integrado en los paquetes de seguridad de Symantec, y funcionará desde las sombras. No habrá nuevas versiones gratuitas o código fuente disponible. Por supuesto, podremos seguir usando las versiones actuales de PGP sin problemas, pero no se asegura que las futuras versiones serán compatibles hacia atrás o -al no disponer de su código- podrían contener errores o “puertas traseras”. Si este pronóstico es acertado, el futuro de PGP será muy diferente a su pasado. ¿No crees?