¿Nos espían los Chinos? No, nos espían todos. El que más, EEUU

Historia y consecuencias de los gag orders en la era de la hipervigilancia

¿Qué es un gag order?

Un gag order (orden de silencio) es una prohibición legal que impide al destinatario de una solicitud gubernamental revelar que ha recibido esa solicitud. En Estados Unidos se utilizan principalmente junto con las National Security Letters (NSL), que son citaciones administrativas expedidas por el FBI para exigir a empresas de telecomunicaciones o servicios financieros que entreguen datos de sus usuarios.

La Electronic Communications Privacy Act de 1986 autorizó al FBI a emitir NSL para obtener nombre, dirección, tiempo de servicio y registros de facturación de clientes sin supervisión judicial; esa ley incluía una cláusula de orden de silencio que impedía al receptor informar a nadie, y no establecía mecanismos para impugnar la prohibición.

Cronología de la aprobación de las NSL y de los gag orders

1978 – Right to Financial Privacy Act (RFPA). El RFPA permitió a los bancos revelar información de clientes a las autoridades de inteligencia, inaugurando la figura que luego se convertiría en las NSL. Exigía que la divulgación fuera voluntaria; no otorgaba al FBI facultad para obligar a entregar datos.

1986 – Electronic Communications Privacy Act (ECPA) Concedió al FBI poder para emitir NSL a compañías telefónicas y proveedores de comunicaciones. La NSL podía emitirse sin orden judicial y exigía que un alto cargo del FBI certificara que existían “hechos específicos y articulables” que relacionaban a la persona con una potencia extranjera. La ley incluía una cláusula de silencio absoluta que prohibía al receptor revelar que el FBI había solicitado información. Responsable: Director del FBI o Subdirector Adjunto.

1986 – Enmienda al RFPA y enmiendas de 1994–1995. Se amplió la definición de “institución financiera” para que el FBI pudiera exigir registros de bancos, joyerías, inmobiliarias y casinos; posteriormente se extendió a agencias de crédito y de viajes. Todas las enmiendas contenían cláusulas de silencio. FBI; no existían mecanismos de revisión judicial.

1994 – Enmienda a la Fair Credit Reporting Act (FCRA) Tras los atentados de Oklahoma City, se permitió al FBI emitir NSL para obtener información de agencias de crédito sin supervisión judicial. La norma incluía inmunidad para las agencias que cumplieran la orden. FBI con posibilidad de ejecución judicial.

2001 – USA PATRIOT Act (Sec. 505)Tras el 11‑S, el Congreso aprobó la USA PATRIOT Act, que amplió y descentralizó la emisión de NSL. La Sección 505 permitió que los agentes especiales a cargo (Special Agent in Charge) de las oficinas de campo del FBI emitieran NSL sin necesidad de aprobación del director. La norma amplió el ámbito de datos a cualquier registro “relevante para una investigación autorizada” y eliminó el requisito de “hechos específicos y articulables”. También añadió una quinta autoridad que permite a cualquier agencia obtener registros financieros de agencias de crédito. FBI (descentralizado); los destinatarios no podían revelar la existencia de la orden.

2006 – USA PATRIOT Act Additional Reauthorization Amendments ActEn respuesta a las demandas Doe v. Ashcroft, el Congreso introdujo procedimientos de revisión judicial. Para imponer una orden de silencio, un alto cargo del FBI debía certificar que la revelación podría dañar la seguridad nacional, interferir en investigaciones o poner en riesgo vidas. La ley permitió a los destinatarios solicitar a un juez que levantara la orden si no existía riesgo de seguridad. Sin embargo, una certificación del Fiscal General se considera concluyente salvo mala fé y se establecieron penas de hasta cinco años de prisión por incumplir la orden. FBI (con revisión judicial limitada).

2015 – USA FREEDOM Act La ley modificó las NSL tras los fallos de inconstitucionalidad. La EFF señala que ahora el FBI debe revisar periódicamente si la orden de silencio sigue siendo necesaria y debe levantarla cuando ya no exista peligro. FBI con supervisión del Departamento de Justicia y tribunales de FISA.

Quién autoriza y supervisa

Las NSL son emitidas por el FBI para investigaciones de contrainteligencia o contraterrorismo. Según las leyes actuales, un alto cargo del FBI o el agente especial de una oficina local puede firmar la orden. La supervisión judicial es limitada: los tribunales de vigilancia de inteligencia (FISA) revisan programas de recopilación masiva, y desde 2006 un juez puede evaluar la necesidad de la orden de silencio. Sin embargo, el Fiscal General y el Director del FBI pueden certificar que la divulgación perjudica la seguridad nacional, lo que hace casi imposible la impugnación. Las agencias de inteligencia como la NSA o la CIA no emiten NSL, pero utilizan los datos obtenidos mediante estas órdenes dentro de programas más amplios de vigilancia.

Programas de hipervigilancia antes del 11‑S

Antes de los atentados del 11 de septiembre de 2001 ya existían programas de interceptación masiva, aunque desde esa fecha, prácticamente el espionaje es global a todos, mediante todos los elementos y medios electrónicos:

• Echelon: una red global operada por la alianza Five Eyes (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda). Una investigación del Parlamento Europeo de 2001 concluyó que la existencia de la red “ya no estaba en duda” y que interceptaba grandes volúmenes de comunicaciones por satélite, radio y cables submarinos. El sistema utiliza ordenadores para analizar el tráfico en busca de palabras clave, lo que plantea “graves preocupaciones sobre las libertades civiles”.

• Carnivore/DCS1000: el FBI desplegó a finales de los noventa un sistema de “sniffing” que se instalaba en los proveedores de Internet para capturar todo el tráfico de correo electrónico de los clientes. El PC almacenaba temporalmente todo el tráfico y buscaba las comunicaciones de un objetivo concreto, pero en la práctica podía recoger la totalidad del flujo de datos. Tras críticas por invasión de privacidad, el programa fue rebautizado como DCS1000 en 2001 y dejado de usar en 2005.

• Echelon doméstico/otros: además de Echelon, se denunciaron redes de escucha internas administradas por la NSA en colaboración con operadores de telecomunicaciones. Por ejemplo, el técnico de AT&T Mark Klein reveló que la compañía instaló divisores ópticos que copiaban todo el tráfico de Internet y lo enviaban a una sala secreta controlada por la NSA (sala 641A), permitiendo la vigilancia masiva del tráfico en EEUU.

Programas de vigilancia después del 11‑S

La respuesta legislativa y administrativa al 11‑S intensificó la vigilancia:

• Stellar Wind: pocos días después de los atentados, el presidente George W. Bush autorizó un programa secreto de vigilancia masiva conocido como Stellar Wind sin notificar a los tribunales de FISA. El programa permitía a la NSA interceptar comunicaciones telefónicas y de Internet dentro y fuera de Estados Unidos sin orden judicial. Más tarde, la FISA Amendments Act de 2008 hizo que el programa fuera “nominalmente legal”. Evaluaciones posteriores concluyeron que Stellar Wind no evitó ningún atentado.

• Sección 215 del PATRIOT Act (programa de metadatos telefónicos): permitió a la NSA recopilar masivamente registros telefónicos de todos los estadounidenses. Dos tribunales federales determinaron que era probablemente ilegal, y el programa expiró en 2020.

• PRISM y la Sección 702 de la FISA: la Ley de Enmiendas de la FISA de 2008 creó la Sección 702, que autoriza la vigilancia de personas extranjeras fuera de EEUU con la cooperación obligatoria de proveedores de servicios electrónicos. La sección 702 permite que la NSA recopile comunicaciones directamente de servidores de empresas como Microsoft, Google o Facebook; un informe del Washington Post indica que la recolección está gobernada por órdenes de la FISA y no implica acceso irrestricto a servidores, según las empresas involucradas. La propia documentación de la FISA aclara que la Sección 702 solo permite apuntar a personas no estadounidenses en el extranjero, no es un programa de recolección en masa y cada decisión debe ser individualizada. No obstante, la Electronic Frontier Foundation denuncia que la redacción de la ley permite barrer de manera “inherente e intencionada” comunicaciones de estadounidenses y que la reautorización de 2018 (S. 139) legalizó búsquedas sin orden judicial en bases de datos con datos de ciudadanos y reinstauró la controvertida recolección “about”.

• Sección 215 y programas derivados: la Cato Institute señala que, tras 9/11, el FBI obtuvo “amplios poderes de vigilancia doméstica” para abrir investigaciones sin necesidad de indicios de delito. El mismo artículo explica que ni Stellar Wind ni el programa de metadatos telefónicos evitaron ataques.

Ingenieros obligados a instalar puertas traseras

Uno de los aspectos más polémicos de los gag orders es que impiden que las empresas comuniquen que el gobierno les exige colaboraciones técnicas. Ello deja a los ingenieros y desarrolladores en una situación delicada.

• Cifrado de discos de Windows: Peter Biddle, exingeniero de Microsoft y desarrollador de BitLocker, relató que agentes del FBI solicitaron en repetidas ocasiones que agregara una puerta trasera al sistema de cifrado. Biddle aseguró que él y su compañero se negaron a implementar esa puerta trasera y, en lugar de ello, explicaron cómo podían recuperarse las claves de copia de seguridad.

• Alegaciones sobre Telegram: el fundador de Telegram, Pavel Durov, aseguró en 2017 en Twitter que agencias estadounidenses intentaron sobornar a ingenieros de la aplicación durante una visita al país. Medios como Wired y Business Insider señalaron que esas afirmaciones no están respaldadas por pruebas; el reportaje de Wired recalca que se trata de alegaciones sin corroboración, mientras que Business Insider advierte que Durov tiene antecedentes de realizar afirmaciones no verificadas.

• Intervención en hardware y firmware: la existencia de componentes cerrados dentro de los procesadores facilita la inclusión de puertas traseras. La Intel Management Engine (IME), un microcontrolador integrado en los chips de Intel, cuenta con acceso completo a la memoria y red de la máquina. Una auditoría de Intel descubrió vulnerabilidades que permitían a un atacante obtener acceso no autorizado, suplantar a la ME o ejecutar código arbitrario fuera de la vista del usuario. De modo similar, el Platform Security Processor (PSP) de AMD es un microcontrolador ARM que gestiona funciones de seguridad y posee acceso a la memoria del sistema; un análisis de Hackaday señala que su naturaleza cerrada se asemeja a una “puerta trasera potencial” y que se han encontrado fallos que permiten a usuarios con pocos privilegios leer memoria no inicializada y posiblemente filtrar claves de cifrado.

• Programas de recolección con colaboración forzada: el programa PRISM, bajo la Sección 702, obliga a empresas de tecnología a proporcionar datos cuando reciben órdenes de la FISA. Debido a la cláusula de silencio, ingenieros y directivos no pueden revelar públicamente esas órdenes, lo que alimenta la sospecha de que se obligue a incluir vulnerabilidades o puertas traseras en los productos. Sin embargo, las empresas han declarado que solo entregan datos específicos bajo órdenes individualizadas.

Vulnerabilidades en sistemas operativos y virtualización

Además de las puertas traseras deliberadas, las tecnologías modernas presentan vulnerabilidades de día cero (zero‑day) que pueden ser explotadas por gobiernos o adversarios:

• Hyper‑V de Microsoft: en enero de 2025, Microsoft parcheó tres vulnerabilidades de día cero en Hyper‑V (CVE‑2025‑21333, CVE‑2025‑21334 y CVE‑2025‑21335). Esos fallos en el componente del kernel que gestiona la comunicación entre máquinas virtuales y el sistema anfitrión permitían que un atacante con pocos privilegios dentro de una máquina virtual obtuviera privilegios SYSTEM en el host. La firma Rapid7 explicó que las vulnerabilidades afectaban al servicio Virtualization Service Provider (VSP), la base de cómo Hyper‑V presenta dispositivos sintéticos a las máquinas huésped. El informe reconoció que Microsoft estaba al tanto de la explotación activa en la naturaleza.

• Vulnerabilidad crítica CVE‑2024‑49117: en diciembre de 2024 se descubrió que un usuario autenticado en una máquina virtual podía enviar solicitudes especialmente diseñadas a los recursos de hardware y ejecutar código en el sistema anfitrión; la explotación permitía realizar ataques entre máquinas virtuales (cross‑VM). Un análisis de la plataforma Qualys describió que la falla permitía que un atacante en una VM comprometida comprometiera otras máquinas virtuales en el mismo servidor.

• Otros zero‑days en Hyper‑V: en julio de 2024, Microsoft advirtió que atacantes estaban explotando la vulnerabilidad CVE‑2024‑38080 en Hyper‑V, la cual permitía elevar privilegios a SYSTEM. Reportes de Rapid7 también destacan una larga lista de vulnerabilidades de elevación de privilegios en Windows Installer y otros componentes que requieren parches frecuentes.

Estas fallas demuestran que la separación entre máquinas virtuales no es un límite de seguridad infalible: un error en el hipervisor puede permitir que una máquina huésped controle el host y otras máquinas, un vector especialmente atractivo para actores estatales.

Reflexiones finales

¿Espían los Chinos?. Seguro que sí, pero espían todos. Principalmente, en occidente espía Estados Unidos a través de la dominancia tecnológica. Por eso los recursos Open Source con verificación de código, es la mayor herramienta para una tecnología totalmente soberana.

La evolución de los gag orders y las National Security Letters muestra un patrón de expansión de poderes de vigilancia con escasa supervisión. Desde la ECPA de 1986, que permitió citaciones secretas a proveedores de comunicaciones, hasta la descentralización y ampliación de la autoridad tras el 11‑S, las órdenes de silencio han permitido al FBI y a otras agencias recopilar datos sin transparencia. Las reformas posteriores han introducido revisiones judiciales y requisitos de justificación, pero sigue siendo difícil para empresas y ciudadanos impugnar estas órdenes.

Estos poderes se combinan con programas de vigilancia masiva como Echelon, Stellar Wind y PRISM, que han permitido a la NSA y otras agencias interceptar comunicaciones globales y domésticas. Muchos de estos programas no han demostrado eficacia contra el terrorismo, pero han acumulado enormes cantidades de información privada, sin que podamos como usuarios hacer nada. Recordamos que un Zero-day es una vulnerabilidad crítica que puede explotar cualquiera, principalmente los enemigos de lo ajeno. Sin soberanía del software solo seremos siervos.

La preocupación principal es la posibilidad de que los gobiernos obliguen a introducir puertas traseras en hardware o software. Testimonios de ingenieros muestran que estas solicitudes ocurren y son habituales en las multinacionales americanas, desde Google a OpenAI. La falta de transparencia, unida a vulnerabilidades de día cero en sistemas operativos y virtualización, crea un panorama en el que la privacidad depende tanto de las decisiones políticas como de la seguridad técnica. Redes Sociales americanas (Youtube, X, Facebook, Instagram), Sistemas operativos americanos (WindowsXX, Google-Android, iOS), Sistemas de Correo y pltaformas de productividad (Gmail, Microsoft Office 365, Yahoo Mail, etc) permiten que agencias como la NSA, CIA y FBI, tengan puertas traseras y herramientas para espiar casi a quien quieran. Recordemos el espionaje a Angela Merkel, a Francois Hollande, se supone que «aliados» de EEUU, pero a la postre, son solo «siervos» del Tío Sam. Conseguir la soberanía tecnológica es posible, saliéndose de toda esa basura espía.

Linkedin: Aquilino García