El Gobierno Declaró Su Código “Arma de Guerra”
Hilo sobre el estudiante de 24 años que escribió un algoritmo de cifrado, el gobierno lo declaró "arma de guerra", y terminó demandando a Estados Unidos. En 1999, un tribunal dictaminó que el código fuente es discurso l…
Lo Que No Te Cuentan: El estudiante que escribió un algoritmo de cifrado, el gobierno lo declaró “armamento de guerra” —y cuatro años después un tribunal dijo que el código es discurso libre
En 1990, Daniel J. Bernstein, estudiante de doctorado en Berkeley, escribió “Snuffle”: un sistema criptográfico experimental basado en funciones hash y cifrado simétrico. En 1992, preguntó al Departamento de Estado si necesitaba licencia para publicarlo. Le respondieron que era “munitions” bajo las regulaciones ITAR. Que debía registrarse como traficante de armas. Que necesitaba permiso del gobierno para cada persona extranjera que quisiera ver su código. En 1995, con 24 años y la ayuda de la EFF, demandó al gobierno de Estados Unidos. En 1999, el Noveno Circuito de Apelaciones dictaminó que el código fuente es discurso protegido por la Primera Enmienda. Bernstein no solo liberó su algoritmo. Liberó el cifrado para todo el mundo. Y ahora, en 2026, sigue demandando al gobierno por sabotear la criptografía poscuántica.
Daniel J. Bernstein tenía 21 años cuando escribió Snuffle.
Era 1990. Estudiante de doctorado en matemáticas en la Universidad de California, Berkeley. Trabajaba en criptografía, esa rama de las matemáticas aplicadas que busca hacer confidenciales las comunicaciones electrónicas.
Snuffle no era un arma. Era una idea expresada en dos formas: un artículo académico en inglés titulado The Snuffle Encryption System y código fuente en lenguaje C que detallaba el sistema de cifrado y descifrado.
En 1992, Bernstein hizo algo que la mayoría de sus colegas no hacía: en lugar de publicar y esperar, preguntó al gobierno. Envió una solicitud de jurisdicción de producto al Departamento de Estado para determinar si Snuffle estaba controlado por el International Traffic in Arms Regulations (ITAR).
La respuesta llegó: Snuffle 5.0 era un “artículo de defensa” en la lista de municiones de Estados Unidos. Categoría XIII del ITAR.
Para publicar su código, Bernstein necesitaba:
Registrarse como traficante de armas.
Solicitar una licencia de exportación para cada persona extranjera que quisiera ver su código.
Someter cada actualización a revisión gubernamental.
Arriesgar penas civiles y criminales “severas” si fallaba en cualquier paso.
El gobierno no estaba preocupado por el contenido de Snuffle. Estaba preocupado por su forma. Porque el código fuente, una vez compilado en código objeto —esa serie de 0 y 1 que las computadoras entienden— podía cifrar comunicaciones.
Y en 1992, el gobierno de Estados Unidos consideraba que cualquier sistema criptográfico era un arma. Porque podía permitir que terroristas, traficantes de drogas y espías extranjeros ocultaran información de la NSA.
El estudiante que demandó al superpoder
En febrero de 1995, Bernstein —con 24 años— presentó una demanda contra el Departamento de Estado, el Departamento de Justicia y funcionarios individuales.
La Electronic Frontier Foundation (EFF) lo representó. La misma organización que años después defendería a los creadores de DeCSS, Napster y múltiples tecnologías que el gobierno intentaba controlar como si fueran contrabando.
La demanda no era técnica. Era constitucional.
Bernstein argumentaba que el ITAR violaba su Primera Enmienda. Que el código fuente no era solo una herramienta funcional. Que era una forma de expresión. Que los criptógrafos usaban el código fuente para comunicarse entre sí “de la misma manera que los matemáticos usan ecuaciones o los economistas usan gráficos”.
El gobierno respondió con la lógica de la Guerra Fría: la proliferación de software de cifrado haría más fácil que servicios de inteligencia extranjeros ocultaran información vital de seguridad nacional. Que Snuffle, aunque no diseñado para esos usos, podría tener esas aplicaciones.
La jueza del Distrito Norte de California, Marilyn Hall Patel, no se convenció.
En diciembre de 1996, dictaminó que el esquema de licencias del ITAR constituía una “restricción previa inadmisible” sobre el discurso. Que el código fuente, “cuando está adecuadamente preparado, puede ser fácilmente compilado en código objeto por un usuario”, pero que ignorar la distinción entre fuente y objeto “oscurece el hecho importante de que el código fuente no está destinado únicamente para la computadora, sino que está escrito en un lenguaje destinado también al análisis y comprensión humana”.
Traducción: el código es discurso. Y el discurso no necesita licencia de exportación.
El gobierno que cambió las reglas para no perder
El gobierno no se rindió.
En 1996, el presidente Clinton emitió una orden ejecutiva que transfería la jurisdicción sobre productos de cifrado no militares del Departamento de Estado al Departamento de Comercio, bajo las Export Administration Regulations (EAR).
La estrategia era clara: si el ITAR era inconstitucional, cambiemos las siglas y mantengamos el control.
Bernstein enmendó su demanda. Ahora desafiaba al Departamento de Comercio.
En agosto de 1997, la jueza Patel emitió otro fallo, idéntico al primero: las nuevas regulaciones también violaban la Primera Enmienda. Que el código fuente era expresión protegida. Que el esquema de licencias daba a los funcionarios gubernamentales “discreción ilimitada” sobre asuntos de cifrado.
El gobierno apeló. En mayo de 1999, un panel de tres jueces del Noveno Circuito de Apelaciones votó 2-1 para confirmar la decisión de Patel.
Los jueces declararon que el código fuente puede ser usado por individuos para expresar sus pensamientos con fines protegidos por la Primera Enmienda. Analogizaron el código fuente con las ecuaciones y fórmulas utilizadas por matemáticos.
Un juez disintió. Argumentó que el código fuente, en su mayoría, no es discurso expresivo, sino una herramienta funcional. Que la exportación de código de cifrado no es una conducta comúnmente asociada a la expresión.
Pero la mayoría prevaleció.
El código fuente era discurso. El cifrado era libre. Y Daniel J. Bernstein, el estudiante de 24 años que el gobierno había intentado silenciar como traficante de armas, había cambiado la ley de Estados Unidos.
El hombre que no se detuvo
Bernstein no desapareció después de ganar.
En 2004, enseñó un curso titulado “UNIX Security Holes”. Dieciséis estudiantes descubrieron 91 nuevas vulnerabilidades de seguridad. Bernstein, defensor de la divulgación completa, anunció públicamente 44 de ellas con código de exploit de muestra.
Su objetivo declarado: “producir sistemas informáticos invulnerables”. Planeaba lograrlo poniendo la mayoría del software en un “sandbox extremo” que solo permitiera transformar entrada en salida, y escribiendo reemplazos libres de errores para los componentes restantes.
Concluyó:
“No estaré satisfecho hasta que haya puesto a toda la industria de seguridad fuera de trabajo”.
Creó qmail, djbdns y daemontools. Software que ofrecía con garantía de seguridad: si encontrabas una vulnerabilidad, te pagaba.
En 2005, definió Curve25519, una curva elíptica que se convirtió en estándar para intercambio de claves.
En 2008, creó ChaCha20 y Poly1305, sistemas de cifrado que ahora se usan en TLS como alternativa más rápida a AES.
También desarrolló Ed25519 para firmas digitales, hoy integrado en OpenSSH.
En 2015, publicó un análisis de cómo la NSA podría haber comprometido las curvas elípticas definidas por NIST.
Y en 2022, presentó su segunda demanda contra el gobierno de Estados Unidos.
La segunda batalla: la criptografía poscuántica
La segunda demanda de Bernstein no era sobre exportación. Era sobre transparencia.
Después de que NIST seleccionara algoritmos de criptografía poscuántica —resistente a computadoras cuánticas—, Bernstein solicitó documentos bajo la Freedom of Information Act (FOIA) para entender la relación entre la NSA y NIST en el proceso de estandarización.
El gobierno no respondió adecuadamente.
Bernstein demandó otra vez.
La motivación era histórica: en los años 90, NIST había propuesto DSA como estándar criptográfico sin revelar completamente el nivel de participación de la NSA en su diseño. Bernstein y otros críticos sospechaban que el proceso podía facilitar debilidades explotables.
Ahora temía que la historia se repitiera.
Que la agencia que una vez intentó silenciarlo como traficante de armas pudiera estar influyendo otra vez en los estándares que protegerán las comunicaciones del futuro.
Google y Cloudflare, conscientes de estos riesgos, adoptaron una estrategia híbrida: usar algoritmos clásicos y poscuánticos simultáneamente, para que incluso si el sistema poscuántico fallaba, el clásico mantuviera la seguridad.
Bernstein quería saber.
Y el gobierno no quería contarlo.
El giro polémico
Aquí está el truco que nadie menciona.
Daniel J. Bernstein no ganó su caso porque el gobierno de Estados Unidos creyera en la libertad de expresión.
Ganó porque el gobierno no pudo permitirse perder ante la Corte Suprema.
En 1999, cuando el Noveno Circuito confirmó la decisión de Patel, el gobierno solicitó una revisión en banc —por un panel más grande de jueces— que nunca llegó a producirse.
Luego, cuando nuevas regulaciones proporcionaron una salida, pidió al tribunal declarar el caso “moot” (“sin objeto”) porque las nuevas reglas hacían innecesaria la decisión.
La estrategia era brillante y cobarde.
Si el caso llegaba a la Corte Suprema, y esta confirmaba que el código fuente es discurso protegido, la decisión sería vinculante para todo el país.
Peor aún: sería prácticamente irreversible.
El gobierno prefirió cambiar las regulaciones, declarar el caso “sin objeto” y evitar un precedente nacional.
La ironía definitiva:
El mismo gobierno que en 1992 declaró que un algoritmo escrito por un estudiante de 21 años era “munitions” comparable a misiles y rifles de asalto, en 1999 prefirió reescribir toda su política de exportación antes que admitir ante la Corte Suprema que el código es discurso.
Pero hay algo más incómodo.
Bernstein ganó, pero el principio que estableció —que el código fuente es discurso protegido— nunca fue confirmado por la Corte Suprema.
El Noveno Circuito decidió 2-1.
Un juez disintió.
El gobierno evitó la apelación.
Y desde entonces, cada vez que un Estado intenta regular el código —desde la DMCA hasta las propuestas de puertas traseras en cifrado de extremo a extremo— la sombra del caso Bernstein reaparece, pero sin la fuerza de un precedente definitivo.
Traducción:
Bernstein liberó el cifrado, pero no liberó la ley.
El gobierno simplemente cambió de estrategia.
De “el código es arma” pasó a “el código es comercio”.
De ITAR a EAR.
De “necesitas licencia” a “necesitas cumplir controles de exportación”.
La forma cambió.
El control persistió.
Y ahora, en 2026, Bernstein sigue demandando al mismo gobierno por no responder solicitudes de información sobre cómo la NSA interactúa con NIST en los estándares que protegerán tus comunicaciones del futuro.
El estudiante de 24 años que venció al Departamento de Estado ahora tiene 55.
Y sigue peleando la misma guerra con armas diferentes.
La pregunta que no te dejará dormir
Si mañana escribieras un algoritmo de cifrado —una idea matemática expresada en código— y tu gobierno te dijera que necesitas registrarte como traficante de armas para publicarlo, que cada extranjero que quiera leerlo requiere permiso individual, y que divulgarlo sin autorización te expondría a penas de prisión, ¿publicarías igual?
¿O preferirías admitir que la única diferencia entre un matemático y un terrorista, en la lógica de un Estado, es que el segundo no necesita permiso para ocultar sus comunicaciones, mientras el primero necesita licencia para explicar cómo funciona la matemática?