La ilusión de que la "privacidad suiza" es lo mejor

tl;dr: No caiga en el bombo de la privacidad suiza. Con acuerdos de intercambio de datos similares a los de la UE, Suiza no puede protegerle si autoridades extranjeras solicitan sus datos.

Nuestro mundo se ha vuelto totalmente interconectado a través de vastas marañas de cables, servidores zumbantes y comunicaciones inalámbricas. Tras las consecuencias de las revelaciones de Snowden, han surgido varios rumores en Internet y en debates sociales más amplios sobre lugares del mundo que operan más allá de la mirada vigilante de la NSA, los Cinco Ojos y el aparato de inteligencia de los Catorce Ojos. Pero, ¿hasta qué punto son ciertas estas afirmaciones?

¿Existe algún paraíso de datos en el mundo que realmente ofrezca una protección superior frente a los Estados nación u otros actores de amenazas persistentes avanzadas?

Rusia parece ser el lugar elegido por los grupos criminales de ransomware que tratan de eludir la jurisdicción legal estadounidense, las micronaciones han insinuado la posibilidad de soluciones de almacenamiento y alojamiento de datos en el extranjero, pero ¿qué hay de Suiza y la privacidad suiza?

Esta pequeña nación montañosa ha sido aclamada durante mucho tiempo como un bastión de la libertad para la privacidad, sobre todo en la banca y las finanzas, ya que Suiza ha ofrecido servicios para ayudar a los individuos ricos a evadir sus leyes fiscales locales.

Pero, ¿pueden hacer esta misma afirmación cuando se trata de proteger los datos en línea y es realmente posible que cualquier lugar del planeta escape al leviatán de la vigilancia digital?

El modelo de seguridad suizo es como su queso. Lleno de agujeros.

Muchas empresas orientadas a la privacidad con sede en Suiza intentan promocionarse basándose en la premisa de que, de alguna manera, este pequeño país existe en una burbuja protectora fuera del alcance de los servicios de inteligencia internacionales o de las fuerzas del orden. Más allá del hecho de que esto es fácilmente desacreditado y que la privacidad suiza no es mejor que, por ejemplo, la privacidad alemana, hay múltiples ejemplos del gobierno suizo trabajando activamente con las agencias de aplicación de la ley de EE.UU., esta extraña suposición de protecciones especiales persiste. Esto nos lleva a preguntarnos, frente a pruebas fáciles de encontrar que demuestran lo contrario, ¿por qué la gente asume que Suiza es un paraíso de datos?

La respuesta es triple: Suiza no está en la UE, ha mantenido una larga historia de neutralidad y se ha ganado la reputación de paraíso seguro para almacenar riqueza y evadir impuestos a través de la tristemente célebre "cuenta en un banco suizo".

Examinémoslos para determinar si realmente apoyan o no la conclusión de que sus datos están realmente más seguros si los servidores están ubicados en Suiza y, por tanto, protegidos con la "privacidad suiza".

1. Suiza no está en la UE

¿Qué papel desempeña el hecho de que un país sea miembro de la UE en su cooperación con agencias de inteligencia mundiales como las de Estados Unidos? En primer lugar, la existencia más allá de la frontera estadounidense añade un elemento de seguridad en el sentido de que las autoridades estadounidenses no pueden llegar inmediatamente a su lugar de residencia y tirar la puerta abajo. Sin embargo, existen múltiples acuerdos bilaterales de intercambio de información entre la UE y Estados Unidos. Algunos países tienen sus propios acuerdos específicos con las agencias de inteligencia de los Cinco Ojos.

Podría pensarse que Suiza no es miembro de la UE y que, por tanto, no participa en este tipo de intercambio de datos, pero no es así. El "Club de Berna " es un grupo voluntario de intercambio de inteligencia entre los 27 países de la UE, Noruega y, lo han adivinado, Suiza. Fundado en 1971, el grupo comparte activamente los datos que recopila para vigilar las amenazas. Tras los atentados terroristas del 11 de septiembre de 2001, este grupo también creó un programa derivado llamado Grupo de Lucha contra el Terrorismo, cuyo objetivo es compartir inteligencia para prevenir futuros atentados terroristas en todo el mundo. Los análisis de inteligencia recogidos por estos grupos se incorporan al Centro de Inteligencia y Situación de la Unión Europea, que colabora con el Reino Unido, miembro de los Cinco Ojos.

Suiza también es miembro de Interpol y trabaja en cooperación activa con Europol, lo que también incluye el intercambio de inteligencia criminal con otras naciones de la UE y de Schengen. El país también trabaja en el Centro Europeo de Ciberdelincuencia para combatir la actividad delictiva en línea. Otro miembro de este grupo que no pertenece a la UE es Estados Unidos. A pesar de ir en contra de la narrativa en línea, esto no debería sorprender porque así es precisamente como funciona una oficina de inteligencia.

A pesar de sus repetidas afirmaciones de que existir fuera de la UE ofrece de algún modo una mayor protección de los datos, esto dista mucho de ser cierto. El Gobierno suizo recopila y comparte datos con los Estados miembros de la UE, así como con el Reino Unido y Estados Unidos, por lo que los datos almacenados dentro de sus fronteras no están más seguros que los almacenados en Francia o Alemania. La idea de que la frontera nacional suiza proporciona una forma especial de privacidad es una ilusión.

2. Suiza mantiene la neutralidad política

Tras las consecuencias de un importante incidente de robo de datos en el NDB (Servicio Federal de Inteligencia) suizo, un informe de Reuters mostró que Suiza ha estado trabajando directamente con agencias de inteligencia estadounidenses y británicas. Esto no es ninguna sorpresa, ya que el Gobierno suizo declaró hace años haber recibido 9.000 datos únicos y haber compartido 4.500 datos con más de 100 agencias de inteligencia extranjeras. Esto contradice la afirmación vacía que a menudo se hace de que, de alguna manera, Suiza se las arregla para operar en aislamiento político.

La neutralidad tampoco significa que la inteligencia suiza opere dentro de su propio país. El programa Onyx, galardonado con el "Premio Gran Hermano", que intercepta datos telefónicos, de Internet y de fax, está estacionado en las bellas localidades de montaña de Leuk, Zimmerwald y Heimanschwand. El sistema Onyx recoge este tráfico basándose en determinadas palabras clave solicitadas por las agencias de inteligencia tras la aprobación de terceros independientes. El BND afirma que no recopila tráfico interno, pero cualquier tráfico cuyo destino se encuentre más allá de la frontera suiza es lícito, incluso si lo envía un ciudadano suizo. Esta práctica no es única y la NDB suiza opera de forma similar a otras agencias de inteligencia nacionales.

Estación de recogida de datos del programa Onyx

Esta recopilación de tráfico transfronterizo significa que si usted se conecta a un servicio con sede en Suiza desde fuera del país, sus datos se están recopilando y compartiendo activamente con otras agencias de inteligencia de todo el mundo.

Hasta aquí el valor de la "privacidad suiza".

3. Los bancos suizos ayudan activamente a los ciudadanos extranjeros a ocultar dinero

Las primeras leyes que protegían a las instituciones financieras suizas de compartir los datos de sus clientes se instituyeron en 1713 en Ginebra. Estas leyes permitieron a personas y empresas adineradas de toda Europa esconder dinero fuera de sus países de origen, evitando así el pago de impuestos. Esto se convirtió en una práctica aceptada y, combinado con la neutralidad política de Suiza, el país se convirtió en un destino bancario de referencia para el blanqueo de dinero y la evasión fiscal.

Esta cortina de secretismo cayó en 2018 cuando Suiza se convirtió en un participante activo en el Estándar Común de Información (CRS) que requiere que las naciones miembros compartan información de cuentas financieras pertenecientes a clientes extranjeros. Esto significa que cada temporada de impuestos, los bancos y las instituciones financieras deben entregar información relacionada con los clientes no nativos que deben pagar impuestos en otro país. En la actualidad, 38 países participan en el CRS: Estados Unidos, toda la Unión Europea, Noruega, Reino Unido, Canadá, Australia, Nueva Zelanda, Japón, Corea del Sur e Israel. Algunos de estos países son miembros de los programas de inteligencia Cinco Ojos y Catorce Ojos.

Estación de vigilancia de Leuk

Con toda esta información canalizada a los países que operan el mayor y más completo aparato de inteligencia del mundo, el simple hecho de tener un banco situado en Suiza no significa nada. En la era digital, las fronteras físicas de las naciones soberanas tienen poco o ningún poder de disuasión cuando se trata de proteger datos.

Cifrado frente a ubicación

Con todos estos acuerdos globales de intercambio de inteligencia, nos encontramos viviendo en un mundo en el que no existe un único lugar en el que sea seguro simplemente "esconder" tus datos. Así que no caiga en la promesa de privacidad suiza.

No importa dónde almacene sus datos, si se vuelve lo suficientemente interesante es probable que su información pueda caer en manos de las fuerzas del orden o de los servicios de inteligencia, ya sea por vigilancia directa o por presiones legales para compartir los datos disponibles. Incluso las instalaciones seguras con redes blindadas son vulnerables a estas amenazas persistentes avanzadas, como demostraron los (supuestos) ciberataques estadounidenses e israelíes a la instalación nuclear iraní con Stuxnet.

¿Es Suiza un buen país para la privacidad?

En general, se considera que Suiza es buena para la privacidad debido a sus sólidas leyes de protección de datos y a su reputación de salvaguardar las cuentas bancarias de las personas, en las que se basa en gran medida la buena reputación del país en términos de protección de los derechos de privacidad. Al igual que Alemania, Suiza, pequeño país de los Alpes, cuenta con una amplia normativa que regula la recogida, el tratamiento y el almacenamiento de datos personales, lo que proporciona una sólida base jurídica para la protección de la privacidad. Pero hay que tener en cuenta que Suiza tiene leyes de retención de datos, mientras que Alemania no las tiene. Aunque no es perfecta en cuanto al derecho a la intimidad, Suiza tiene un marco jurídico sólido para la protección de la intimidad en su conjunto.

Las leyes deprotección de datos del país son muy similares a las alemanas en sus estrictos requisitos de seguridad de datos establecidos en la Ley Federal Suiza de Protección de Datos (Schweizer Bundesgesetz über den Datenschutz, DSG). La independencia jurídica de Suiza con respecto a la Unión Europea, su estatus político neutral y su historial de protección de los derechos de privacidad la convierten en una opción atractiva para las empresas que buscan un entorno operativo seguro y respetuoso con la privacidad. Sin embargo, el marco jurídico no difiere mucho del de la Unión Europea o Alemania, concretamente el Reglamento General de Protección de Datos (RGPD) de la UE es una de las mejores legislaciones en materia de protección de datos y es válido en la UE y Alemania, pero no en Suiza.

Suiza frente a EE.UU.

Suiza y Estados Unidos difieren significativamente en su legislación sobre privacidad, especialmente en lo que respecta a las actividades de las agencias de inteligencia y las leyes de vigilancia. Suiza -al igual que Alemania- cuenta con leyes exhaustivas de protección de datos que dan prioridad a los derechos de privacidad individual e históricamente se opone a la vigilancia masiva, imponiendo límites legales más estrictos a sus agencias de inteligencia, la NDB suiza y la BND alemana. Por el contrario, Estados Unidos, a través de leyes como la Foreign Intelligence Surveillance Act (FISA) y la USA PATRIOT Act, concede poderes de vigilancia más amplios a agencias como la NSA y el FBI. La FISA es especialmente preocupante en términos de protección de la privacidad de las personas, ya que permite la vigilancia de ciudadanos no estadounidenses, incluyendo potencialmente la comunicación con ciudadanos estadounidenses, lo que plantea preocupaciones sobre la privacidad y la extralimitación.

Por ejemplo, el FBI ha abusado de la FISA 702 millones de veces mediante registros "por la puerta de atrás" sin orden judicial de llamadas, mensajes de texto y correos electrónicos de estadounidenses. Con la reciente reautorización de la FISA 702 hasta 2025, esta vigilancia ilegal masiva de las comunicaciones de los estadounidenses continuará.

En resumen, Suiza -al igual que Alemania- se considera en general un lugar favorable para la privacidad, tanto por su marco jurídico como por el compromiso histórico con la protección de los derechos individuales a la privacidad.

La ubicación no significa que sus datos estén seguros. Sólo una encriptación sólida puede proporcionar esa tranquilidad.

En lugar de buscar santuarios de almacenamiento especiales, la mejor opción es cifrar todos tus datos con un cifrado seguro de extremo a extremo. Si los datos caen en manos de un agente de amenazas, el contenido real permanecerá seguro, ya que sólo podrán ver una mezcla confusa de sinsentidos. Una seguridad operativa adecuada y un cifrado potente deberían ser la norma a la hora de proteger tu vida digital. Además de elegir servicios que protejan tus datos con encriptación, deberías optar por los que actualmente persiguen nuevos modelos de encriptación que incluyen el secreto perfecto hacia adelante y la encriptación post-cuántica. Esto te permitirá tener la seguridad de que tus datos no son víctimas de la estrategia "recoger ahora, descifrar después".

Conclusión: Las leyes de privacidad suizas son buenas y son muy similares a las leyes GDPR vigentes en Alemania. Sin embargo, estas leyes no le protegen de los programas de vigilancia nacionales o internacionales. En su lugar, el cifrado de extremo a extremo es la mejor herramienta para proteger sus datos.

Mantente alerta y a salvo. ¡Feliz encriptación!