Chris Anderson: We had Edward Snowden here a couple days ago, and this is response time. And several of you have written to me with questions to ask our guest here from the NSA. So Richard Ledgett is the 15th deputy director of the National Security Agency, and he's a senior civilian officer there, acts as its chief operating officer, guiding strategies, setting internal policies, and serving as the principal advisor to the director. And all being well, welcome, Rick Ledgett, to TED. (Applause)
Chris Anderson: Tuvimos aquí a Edward Snowden hace un par de días, y es el momento de la respuesta. Varios de Uds. me han escrito con preguntas para hacerle a nuestro invitado de la NSA. Richard Ledgett es el 15° subdirector de la Agencia de Seguridad Nacional (NSA), allí es funcionario civil de alto nivel, se desempeña como director de operaciones, orienta estrategias, establece políticas internas, y es el principal asesor del director. Y, si todo va bien, bienvenido, Rick Ledgett, a TED. (Aplausos)
Richard Ledgett: I'm really thankful for the opportunity to talk to folks here. I look forward to the conversation, so thanks for arranging for that.
Richard Ledgett: Estoy muy agradecido de poder hablar aquí con la gente. Espero con interés la conversación, así que gracias por organizar eso.
CA: Thank you, Rick. We appreciate you joining us. It's certainly quite a strong statement that the NSA is willing to reach out and show a more open face here. You saw, I think, the talk and interview that Edward Snowden gave here a couple days ago. What did you make of it? RL: So I think it was interesting. We didn't realize that he was going to show up there, so kudos to you guys for arranging a nice surprise like that. I think that, like a lot of the things that have come out since Mr. Snowden started disclosing classified information, there were some kernels of truth in there, but a lot of extrapolations and half-truths in there, and I'm interested in helping to address those. I think this is a really important conversation that we're having in the United States and internationally, and I think it is important and of import, and so given that, we need to have that be a fact-based conversation, and we want to help make that happen.
CA: Gracias, Rick. Apreciamos que te sumes. Sin duda es toda una declaración de peso que la NSA está dispuesta a mostrar una cara más abierta aquí. Viste, creo, la charla y entrevista que dio Edward Snowden aquí hace un par de días. ¿Qué te pareció? RL: Creo que fue interesante. No nos dimos cuenta de que aparecería por allí, así que felicitaciones por organizar una linda sorpresa como esa. Creo que, al igual que muchas de las cosas surgidas desde que el Sr. Snowden empezó a divulgar información clasificada, hubo algunos resquicios de verdad en lo dicho, pero también muchas extrapolaciones y verdades a medias, y me interesa ayudar a abordar esos puntos. Creo que es una conversación realmente importante la que estamos entablando en EE.UU. y a nivel internacional, y creo que es importante, y de importancia, y por eso tenemos que lograr que sea una conversación basada en hechos y queremos ayudar a que eso ocurra.
CA: So the question that a lot of people have here is, what do you make of Snowden's motivations for doing what he did, and did he have an alternative way that he could have gone?
CA: La pregunta que muchos nos hacemos aquí es ¿cuáles crees que son las motivaciones de Snowden para hacer lo que hizo? ¿Tenía alguna manera alternativa de hacerlo?
RL: He absolutely did have alternative ways that he could have gone, and I actually think that characterizing him as a whistleblower actually hurts legitimate whistleblowing activities. So what if somebody who works in the NSA -- and there are over 35,000 people who do. They're all great citizens. They're just like your husbands, fathers, sisters, brothers, neighbors, nephews, friends and relatives, all of whom are interested in doing the right thing for their country and for our allies internationally, and so there are a variety of venues to address if folks have a concern. First off, there's their supervisor, and up through the supervisory chain within their organization. If folks aren't comfortable with that, there are a number of inspectors general. In the case of Mr. Snowden, he had the option of the NSA inspector general, the Navy inspector general, the Pacific Command inspector general, the Department of Defense inspector general, and the intelligence community inspector general, any of whom would have both kept his concerns in classified channels and been happy to address them. (CA and RL speaking at once) He had the option to go to congressional committees, and there are mechanisms to do that that are in place, and so he didn't do any of those things.
RL: Absolutamente, tenía maneras alternativas de hacerlo, y en realidad creo que caracterizarlo como un soplón realmente daña las actividades de denuncia legítimos. ¿Y si los empleados de la NSA... y hay más de 35 000 empleados... todos grandes ciudadanos. Son como sus esposos, padres, hermanas, hermanos, vecinos, sobrinos, amigos y parientes, todos interesados en hacer lo correcto por su país y por nuestros aliados internacionales, y hay muchos lugares a dónde dirigirse si alguien tiene alguna preocupación. En primer lugar, está su supervisor, y una cadena de supervisión en su organización. Si alguien no se siente cómodo con eso, hay una serie de inspectores generales. En el caso del Sr. Snowden, tenía la opción del inspector general de la NSA, el inspector general de la Armada, el inspector general del Comando del Pacífico, el inspector general del Departamento de Defensa, y el inspector general de la comunidad de inteligencia, alguno de ellos habría mantenido tanto sus preocupaciones en canales clasificados como estado feliz de abordarlas. (CA y RL hablan a la vez) Tenía la opción de ir a las comisiones del Congreso, existen mecanismos para hacerlo, pero no hizo nada de esto.
CA: Now, you had said that Ed Snowden had other avenues for raising his concerns. The comeback on that is a couple of things: one, that he certainly believes that as a contractor, the avenues that would have been available to him as an employee weren't available, two, there's a track record of other whistleblowers, like [Thomas Andrews Drake] being treated pretty harshly, by some views, and thirdly, what he was taking on was not one specific flaw that he'd discovered, but programs that had been approved by all three branches of government. I mean, in that circumstance, couldn't you argue that what he did was reasonable?
CA: Mencionaste que Ed Snowden tenía otras vías para elevar sus inquietudes. Un par de cosas en respuesta a eso: uno, él ciertamente cree que, como contratista, las vías disponibles para él como empleado no estaban disponibles; dos, hay un historial de otros denunciantes, como [Thomas Andrews Drake] tratados muy duramente, según algunos; y, tres, no denunciaba una falla específica que había descubierto, sino programas aprobados por los tres poderes del gobierno. Digo, en esa circunstancia, ¿no podría argumentarse que lo que hizo fue razonable?
RL: No, I don't agree with that. I think that the — sorry, I'm getting feedback through the microphone there — the actions that he took were inappropriate because of the fact that he put people's lives at risk, basically, in the long run, and I know there's been a lot of talk in public by Mr. Snowden and some of the journalists that say that the things that have been disclosed have not put national security and people at risk, and that is categorically not true. They actually do. I think there's also an amazing arrogance to the idea that he knows better than the framers of the Constitution in how the government should be designed and work for separation of powers and the fact that the executive and the legislative branch have to work together and they have checks and balances on each other, and then the judicial branch, which oversees the entire process. I think that's extremely arrogant on his part.
RL: No, no estoy de acuerdo. Creo que las... lo siento, recibo retorno por ese micrófono... las acciones que emprendió fueron inapropiadas porque puso vidas en riesgo, básicamente, a largo plazo, y sé que hablan mucho, el Sr. Snowden y algunos periodistas, dicen que las revelaciones no han puesto en riesgo a la seguridad nacional ni a la gente, y eso no es categóricamente cierto. Las pusieron en riesgo. Creo también que es de una arrogancia increíble la idea de que él conoce mejor que los redactores de la Constitución cómo debería diseñarse y funcionar el gobierno para una separación de poderes y que el Poder Ejecutivo y el Poder Legislativo tienen que trabajar juntos, con controles y equilibrios entre ellos, y luego el Poder Judicial, que supervisa todo el proceso. Creo que es extremadamente arrogante de su parte.
CA: Can you give a specific example of how he put people's lives at risk?
CA: ¿Puede dar un ejemplo específico de cómo puso en riesgo la vida de la gente?
RL: Yeah, sure. So the things that he's disclosed, the capabilities, and the NSA is a capabilities-based organization, so when we have foreign intelligence targets, legitimate things of interest -- like, terrorists is the iconic example, but it includes things like human traffickers, drug traffickers, people who are trying to build advanced weaponry, nuclear weapons, and build delivery systems for those, and nation-states who might be executing aggression against their immediate neighbors, which you may have some visibility into some of that that's going on right now, the capabilities are applied in very discrete and measured and controlled ways. So the unconstrained disclosure of those capabilities means that as adversaries see them and recognize, "Hey, I might be vulnerable to this," they move away from that, and we have seen targets in terrorism, in the nation-state area, in smugglers of various types, and other folks who have, because of the disclosures, moved away from our ability to have insight into what they're doing. The net effect of that is that our people who are overseas in dangerous places, whether they're diplomats or military, and our allies who are in similar situations, are at greater risk because we don't see the threats that are coming their way.
RL: Sí, claro. Sus revelaciones, las capacidades... la NSA es una organización basada en capacidades, por eso cuando tenemos objetivos de inteligencia extranjeros... elementos de interés legítimo como los terroristas, es el ejemplo emblemático, pero pueden ser traficantes de personas, narcotraficantes, personas que tratan de construir armamento avanzado, armas nucleares, y que para ello construyen sistemas de entrega, y los estados-nación que podrían ejercer agresión contra sus vecinos, que es posible que tenga un poco de visibilidad en algo de lo que está pasando en este momento, las capacidades se aplican en formas muy discretas, medidas y controladas. Por eso, divulgar esas capacidades sin restricciones implica que los adversarios las vean y reconozcan: "Oye, yo podría ser vulnerable a esto", y las aludan. Hemos visto objetivos en el terrorismo, en la zona del estado-nación, en contrabandistas de varios tipos, y otra gente que, debido a las divulgaciones, han eludido nuestra capacidad de detectar lo que están haciendo. El efecto neto de eso es que nuestra gente que está en el extranjero en lugares peligrosos, sean diplomáticos o militares, y nuestros aliados que están en situaciones similares, corren un gran riesgo porque no vemos las amenazas que se les vienen.
CA: So that's a general response saying that because of his revelations, access that you had to certain types of information has been shut down, has been closed down. But the concern is that the nature of that access was not necessarily legitimate in the first place. I mean, describe to us this Bullrun program where it's alleged that the NSA specifically weakened security in order to get the type of access that you've spoken of.
CA: Esa es una respuesta general que dice que debido a sus revelaciones, el acceso que Uds. tenían a cierto tipo de información se ha terminado, se ha cerrado. Pero la preocupación es que la naturaleza de ese acceso no era necesariamente legítimo en primera instancia. O sea, descríbenos este programa Bullrun en el que se afirma que la NSA específicamente debilitaba la seguridad para obtener el tipo de acceso del que hablabas.
RL: So there are, when our legitimate foreign intelligence targets of the type that I described before, use the global telecommunications system as their communications methodology, and they do, because it's a great system, it's the most complex system ever devised by man, and it is a wonder, and lots of folks in the room there are responsible for the creation and enhancement of that, and it's just a wonderful thing. But it's also used by people who are working against us and our allies. And so if I'm going to pursue them, I need to have the capability to go after them, and again, the controls are in how I apply that capability, not that I have the capability itself. Otherwise, if we could make it so that all the bad guys used one corner of the Internet, we could have a domain, badguy.com. That would be awesome, and we could just concentrate all our efforts there. That's not how it works. They're trying to hide from the government's ability to isolate and interdict their actions, and so we have to swim in that same space. But I will tell you this. So NSA has two missions. One is the Signals Intelligence mission that we've unfortunately read so much about in the press. The other one is the Information Assurance mission, which is to protect the national security systems of the United States, and by that, that's things like the communications that the president uses, the communications that control our nuclear weapons, the communications that our military uses around the world, and the communications that we use with our allies, and that some of our allies themselves use. And so we make recommendations on standards to use, and we use those same standards, and so we are invested in making sure that those communications are secure for their intended purposes.
RL: Existen, cuando nuestros objetivos de inteligencia extranjeros legítimos del tipo que he descrito antes, usan el sistema mundial de telecomunicaciones como metodología de comunicaciones, y lo hacen porque es un gran sistema, es el sistema más complejo creado por el hombre, es una maravilla, y muchos de los presentes en la sala son responsables de su creación y mejoramiento... sencillamente es una cosa maravillosa. Pero también es usada por personas que trabajaron en contra de nosotros y de nuestros aliados. Y si voy a perseguirlos, necesito tener la capacidad de ir tras ellos, y, de nuevo, los controles están en la forma de aplicar esa capacidad, no en que tenga la capacidad en sí. De lo contrario, si pudiéramos acorralar a los chicos malos en un rincón de Internet, podríamos tener un dominio, chicomalo.com. Sería increíble, y podríamos centrar todos los esfuerzos allí. Pero no funciona así. Ellos tratan de ocultarse de la capacidad del gobierno para aislar e interceptar sus acciones, por eso tenemos que movernos en ese mismo espacio. Pero te diré algo: La NSA tiene 2 misiones. Una es la misión de Inteligencia de Señales de la que, lamentablemente, hemos leído tanto en la prensa. La otra misión es el Aseguramiento de Información, que consiste en proteger los sistemas de seguridad nacional de EE.UU., es decir cosas como las comunicaciones que usa el presidente, las comunicaciones que controlan nuestras armas nucleares, las comunicaciones que usan nuestros militares en el mundo, y las comunicaciones que usamos con nuestros aliados, y las que usan algunos de nuestros aliados. Por eso recomendamos qué estándares usar, y usamos esos mismos estándares, e invertimos en asegurar que esas comunicaciones sean seguras para los fines previstos.
CA: But it sounds like what you're saying is that when it comes to the Internet at large, any strategy is fair game if it improves America's safety. And I think this is partly where there is such a divide of opinion, that there's a lot of people in this room and around the world who think very differently about the Internet. They think of it as a momentous invention of humanity, kind of on a par with the Gutenberg press, for example. It's the bringer of knowledge to all. It's the connector of all. And it's viewed in those sort of idealistic terms. And from that lens, what the NSA has done is equivalent to the authorities back in Germany inserting some device into every printing press that would reveal which books people bought and what they read. Can you understand that from that viewpoint, it feels outrageous?
CA: Pareces estar diciendo que si se trata de Internet como un todo, cualquier estrategia vale si mejora la seguridad de Estados Unidos. Y creo que en parte a eso se debe que haya tal división de opiniones, que haya tantas personas en esta sala y en todo el mundo que piensan de manera muy diferente sobre Internet. Lo ven como una invención trascendental de la humanidad, a la par con la Imprenta de Gutenberg por ejemplo. Es el portador de conocimiento para todos. Es el conector de todos. Se ve en estos términos idealistas. Y desde esa óptica, lo que ha hecho la NSA es el equivalente a que aquellas autoridades alemanas pusieran algún dispositivo en la imprenta que revelara qué libros compró la gente y qué leen. ¿Puedes entender que, desde ese punto de vista, parece una barbaridad?
RL: I do understand that, and I actually share the view of the utility of the Internet, and I would argue it's bigger than the Internet. It is a global telecommunications system. The Internet is a big chunk of that, but there is a lot more. And I think that people have legitimate concerns about the balance between transparency and secrecy. That's sort of been couched as a balance between privacy and national security. I don't think that's the right framing. I think it really is transparency and secrecy. And so that's the national and international conversation that we're having, and we want to participate in that, and want people to participate in it in an informed way. So there are things, let me talk there a little bit more, there are things that we need to be transparent about: our authorities, our processes, our oversight, who we are. We, NSA, have not done a good job of that, and I think that's part of the reason that this has been so revelational and so sensational in the media. Nobody knew who we were. We were the No Such Agency, the Never Say Anything. There's takeoffs of our logo of an eagle with headphones on around it. And so that's the public characterization. And so we need to be more transparent about those things. What we don't need to be transparent about, because it's bad for the U.S., it's bad for all those other countries that we work with and that we help provide information that helps them secure themselves and their people, it's bad to expose operations and capabilities in a way that allows the people that we're all working against, the generally recognized bad guys, to counter those.
RL: Entiendo eso, realmente comparto la mirada utilitaria de Internet, y yo diría que es más grande que Internet. Es un sistema mundial de telecomunicaciones. Internet en gran parte es eso, pero es mucho más. Creo que la gente tiene preocupaciones legítimas sobre el equilibrio entre la transparencia y lo secreto. Y lo ha expresado como un equilibrio entre la privacidad y la seguridad nacional. No creo que ese sea el enfoque correcto. Creo que se trata de la transparencia y lo secreto. Y esa es la conversación que entablamos en el ámbito nacional e internacional y en la que queremos participar y queremos que la gente participe de manera informal. Hay cosas, permíteme hablar de eso un poco más, hay cosas que necesitamos sean transparentes: nuestras autoridades, nuestros procesos, nuestra supervisión, quiénes somos. Como NSA no hemos trabajado bien en eso y creo que esa es en parte la razón de que esto causara tanta novedad y repercusión en los medios. No nos conocían. Éramos No Such Agency [la no agencia], Never Say Anything [nadie dice nada]. Hay versiones de nuestro logo con un águila que tiene auriculares. Esa es la caracterización pública. Por eso tenemos que ser más transparentes en esas cosas. Donde no tenemos que ser transparentes, porque es malo para EE.UU., y es malo para los países que trabajan con nosotros y a los que les proveemos información que les ayuda a cuidar su seguridad y a su gente, es en la exposición de operaciones y capacidades que le permita a las personas contra las que trabajamos, los generalmente llamados chicos malos, contrarrestarlas.
CA: But isn't it also bad to deal a kind of body blow to the American companies that have essentially given the world most of the Internet services that matter? RL: It is. It's really the companies are in a tough position, as are we, because the companies, we compel them to provide information, just like every other nation in the world does. Every industrialized nation in the world has a lawful intercept program where they are requiring companies to provide them with information that they need for their security, and the companies that are involved have complied with those programs in the same way that they have to do when they're operating in Russia or the U.K. or China or India or France, any country that you choose to name. And so the fact that these revelations have been broadly characterized as "you can't trust company A because your privacy is suspect with them" is actually only accurate in the sense that it's accurate with every other company in the world that deals with any of those countries in the world. And so it's being picked up by people as a marketing advantage, and it's being marketed that way by several countries, including some of our allied countries, where they are saying, "Hey, you can't trust the U.S., but you can trust our telecom company, because we're safe." And they're actually using that to counter the very large technological edge that U.S. companies have in areas like the cloud and Internet-based technologies.
CA: ¿Pero no es también malo asestar una especie de golpe a las empresas de EE.UU. que básicamente le han dado al mundo la mayoría de los servicios importantes de Internet? RL: Lo es. Realmente las empresas están en una posición difícil, como nosotros, porque las obligamos a brindar información, como hace cualquier otra nación del mundo. Todas las naciones industrializadas del mundo tiene un programa de intercepción legal que le exige a las empresas que les brinde la información que necesitan para su seguridad, y las empresas involucradas han cumplido con los programas de la misma manera en que lo tienen que hacer cuando operan en Rusia, en el Reino Unido, en China, en India o en Francia. Cualquier país que elijas. Pero como estas revelaciones han sido caracterizadas como: "no puedes confiar en la empresa A porque peligra tu privacidad con ellos" eso solo es exacto en el sentido en que ocurre exactamente con cualquier otra empresa en el mundo que interactúe con esos países del mundo. Y la gente lo aprovecha como una ventaja comercial, y muchos países lo presentan de esa manera, incluso algunos de nuestros aliados, cuando dicen: "Oye, no puedes confiar en EE.UU., pero puedes confiar en nuestra empresa de telecomunicaciones, porque somos seguros". Y en realidad usan eso para contrarrestar la gran ventaja tecnológica que tienen las empresas de EE.UU. en áreas como la nube y las tecnologías de Internet.
CA: You're sitting there with the American flag, and the American Constitution guarantees freedom from unreasonable search and seizure. How do you characterize the American citizen's right to privacy? Is there such a right?
CA: Estás sentado allí con la bandera de Estados Unidos, y la Constitución de EE.UU. garantiza la libertad de requisas o confiscaciones infundadas. ¿Cómo caracterizas el derecho del ciudadano de EE.UU. a la privacidad? ¿Existe tal derecho?
RL: Yeah, of course there is. And we devote an inordinate amount of time and pressure, inordinate and appropriate, actually I should say, amount of time and effort in order to ensure that we protect that privacy. and beyond that, the privacy of citizens around the world, it's not just Americans. Several things come into play here. First, we're all in the same network. My communications, I'm a user of a particular Internet email service that is the number one email service of choice by terrorists around the world, number one. So I'm there right beside them in email space in the Internet. And so we need to be able to pick that apart and find the information that's relevant. In doing so, we're going to necessarily encounter Americans and innocent foreign citizens who are just going about their business, and so we have procedures in place that shreds that out, that says, when you find that, not if you find it, when you find it, because you're certain to find it, here's how you protect that. These are called minimization procedures. They're approved by the attorney general and constitutionally based. And so we protect those. And then, for people, citizens of the world who are going about their lawful business on a day-to-day basis, the president on his January 17 speech, laid out some additional protections that we are providing to them. So I think absolutely, folks do have a right to privacy, and that we work very hard to make sure that that right to privacy is protected.
RL: Sí, claro que existe. Le dedicamos una excesiva cantidad de tiempo y presión, excesiva y apropiada, debería decir, cantidad de tiempo y esfuerzo para garantizar que protegemos esa privacidad. Y, más allá de eso, la privacidad de ciudadanos del mundo, no solo de EE.UU. Aquí intervienen varias cosas. Primero, estamos todos en la misma red. Mis comunicaciones, Soy usuario de un servicio de correo electrónico de Internet en particular que es el preferido de los terroristas del mundo, el número uno. Estoy a su lado en el espacio de correo en Internet. Por eso tenemos que poder separarlos y encontrar la información relevante. Al hacerlo, necesariamente encontraremos ciudadanos de EE.UU. y extranjeros inocentes que solo van a lo suyo, y tenemos procedimientos que descartan eso, que dicen, cuando uno encuentra eso, no si lo encuentra, cuando lo encuentra, porque uno está seguro de encontrarlo, así se protege eso. Se denominan procedimientos de minimización. Están aprobados por el fiscal general y tienen base constitucional. Así que los protegemos. Y luego, las personas, los ciudadanos del mundo que realizan negocios lícitos cotidianamente, el presidente en su discurso del 17 de enero expuesto algunas protecciones adicionales que les estamos ofreciendo. Creo absolutamente que la gente tiene derecho a la privacidad y que trabajamos arduamente para asegurar que se proteja ese derecho a la privacidad.
CA: What about foreigners using American companies' Internet services? Do they have any privacy rights?
CA: ¿Qué pasa con los extranjeros que usan servicios de Internet de empresas de EE.UU.? ¿Tienen derecho a la privacidad?
RL: They do. They do, in the sense of, the only way that we are able to compel one of those companies to provide us information is when it falls into one of three categories: We can identify that this particular person, identified by a selector of some kind, is associated with counterterrorist or proliferation or other foreign intelligence target.
RL: Lo tienen. En el sentido en que la única forma en que podemos obligar a esas empresas a brindarnos información es cuando la persona cae en una de tres categorías: Podemos identificar a esta persona en particular con algún tipo de selector, si está vinculado con contraterrorismo o proliferación u otro objetivo extranjero de inteligencia.
CA: Much has been made of the fact that a lot of the information that you've obtained through these programs is essentially metadata. It's not necessarily the actual words that someone has written in an email or given on a phone call. It's who they wrote to and when, and so forth. But it's been argued, and someone here in the audience has talked to a former NSA analyst who said metadata is actually much more invasive than the core data, because in the core data you present yourself as you want to be presented. With metadata, who knows what the conclusions are that are drawn? Is there anything to that?
CA: Se ha hablado mucho del hecho de que mucha de la información obtenida con estos programas, son en esencia metadatos. No son necesariamente las palabras reales que uno ha escrito en un correo o dicho en una llamada telefónica. Se trata de a quién escribieron, cuándo, etc. Pero se ha esgrimido, alguien aquí en la audiencia ha dicho, un ex-analista de la NSA que dijo los metadatos son mucho más invasivos que los datos puros, porque en los datos puros uno se presenta como quiere presentarse. Con los metadatos, ¿quién sabe cuál es la conclusión que se saca? ¿Hay algo de eso?
RL: I don't really understand that argument. I think that metadata's important for a couple of reasons. Metadata is the information that lets you find connections that people are trying to hide. So when a terrorist is corresponding with somebody else who's not known to us but is engaged in doing or supporting terrorist activity, or someone who's violating international sanctions by providing nuclear weapons-related material to a country like Iran or North Korea, is trying to hide that activity because it's illicit activity. What metadata lets you do is connect that. The alternative to that is one that's much less efficient and much more invasive of privacy, which is gigantic amounts of content collection. So metadata, in that sense, actually is privacy-enhancing. And we don't, contrary to some of the stuff that's been printed, we don't sit there and grind out metadata profiles of average people. If you're not connected to one of those valid intelligence targets, you are not of interest to us.
RL: Yo realmente no entiendo ese argumento. Creo que los metadatos son importantes por un par de razones. Los metadatos son la información que te permite encontrar las conexiones que la gente trata de ocultar. Por eso cuando un terrorista escribe a alguien que no conocemos pero realiza o apoya actividades terroristas, o alguien que viola sanciones internacionales proporcionando material para armas nucleares a un país como Irán o Corea del Norte, trata de ocultar esa actividad porque es ilícita. Los metadatos te permiten hacer esa conexión. La alternativa a eso es mucho menos eficiente y mucho más invasiva de la privacidad, es la acumulación gigantesca de contenido. Los metadatos, en ese sentido, mejoran la privacidad. Y a diferencia de lo que sostienen algunas publicaciones, no nos sentamos a desmenuzar perfiles de metadatos de la gente común. Las personas que no están relacionadas con un objetivo válido de inteligencia, no son de nuestro interés.
CA: So in terms of the threats that face America overall, where would you place terrorism?
CA: Entonces, en materia de amenazas que enfrenta EE.UU. en general, ¿en qué lugar ubicarías al terrorismo?
RL: I think terrorism is still number one. I think that we have never been in a time where there are more places where things are going badly and forming the petri dish in which terrorists take advantage of the lack of governance. An old boss of mine, Tom Fargo, Admiral Fargo, used to describe it as arcs of instability. And so you have a lot of those arcs of instability in the world right now, in places like Syria, where there's a civil war going on and you have massive numbers, thousands and thousands of foreign fighters who are coming into Syria to learn how to be terrorists and practice that activity, and lots of those people are Westerners who hold passports to European countries or in some cases the United States, and so they are basically learning how to do jihad and have expressed intent to go out and do that later on in their home countries. You've got places like Iraq, which is suffering from a high level of sectarian violence, again a breeding ground for terrorism. And you have the activity in the Horn of Africa and the Sahel area of Africa. Again, lots of weak governance which forms a breeding ground for terrorist activity. So I think it's very serious. I think it's number one. I think number two is cyber threat. I think cyber is a threat in three ways: One way, and probably the most common way that people have heard about it, is due to the theft of intellectual property, so basically, foreign countries going in, stealing companies' secrets, and then providing that information to state-owned enterprises or companies connected to the government to help them leapfrog technology or to gain business intelligence that's then used to win contracts overseas. That is a hugely costly set of activities that's going on right now. Several nation-states are doing it. Second is the denial-of-service attacks. You're probably aware that there have been a spate of those directed against the U.S. financial sector since 2012. Again, that's a nation-state who is executing those attacks, and they're doing that as a semi-anonymous way of reprisal. And the last one is destructive attacks, and those are the ones that concern me the most. Those are on the rise. You have the attack against Saudi Aramco in 2012, August of 2012. It took down about 35,000 of their computers with a Wiper-style virus. You had a follow-on a week later to a Qatari company. You had March of 2013, you had a South Korean attack that was attributed in the press to North Korea that took out thousands of computers. Those are on the rise, and we see people expressing interest in those capabilities and a desire to employ them.
RL: Creo que el terrorismo aún está primero. Creo que nunca hemos estado en un tiempo con tantos lugares en los que las cosas van mal y se forma un caldo de cultivo para terroristas que se aprovecha de la falta de gobernabilidad. Un antiguo jefe mío, Tom Fargo, el almirante Fargo, solía describirlos como <i>arcos de inestabilidad</i>. Hoy tenemos muchos arcos de inestabilidad en el mundo, en lugares como Siria, donde hay una guerra civil en curso y llegan ingentes cantidades, miles y miles de combatientes extranjeros que llegan a Siria para aprender a ser terroristas y practicar esa actividad, y muchas de esas personas son occidentales que tienen pasaporte de países europeos o en algunos casos de EE.UU., y que básicamente aprenden a hacer la yihad y han expresado la intención de salir para luego volver y hacerla en sus países. Hay lugares como Irak, que está sufriendo de un alto nivel de violencia sectaria, y, de nuevo, es caldo de cultivo para el terrorismo. Hay actividad en el Cuerno de África en la zona del Sahel, en África. De nuevo, una gobernabilidad muy débil que es caldo de cultivo para la actividad terrorista. Por eso creo que es muy grave. Creo que está primero. Segundo creo que está la amenaza cibernética. Es una amenaza en tres formas: Una forma, probablemente la más común, la más conocida por la gente, es el robo de propiedad intelectual. Básicamente, países extranjeros que vienen roban secretos empresariales, y luego brindan esa información a empresas del gobierno o empresas relacionadas con el gobierno para ayudarles a dar el salto tecnológico u obtener inteligencia de negocios usada para ganar contratos en el extranjero. Son actividades enormemente onerosas que están ocurriendo ahora mismo. Varios estados-nación están haciendo esto. Luego están los ataques de denegación de servicio. Quizá estén al tanto de que ha habido una crecida de estos ataques contra el sector financiero de EE.UU. desde 2012. De nuevo, es una nación-estado que ejecuta estos ataques y lo hacen como una forma semi-anónima de represalia. Y por último los ataques destructivos, y esos son los que más me preocupan. Esos están en aumento. El ataque contra Saudi Aramco en 2012, en agosto de 2012. Afectó a unas 35 000 de sus computadoras con un virus estilo limpiaparabrisas. Una semana más tarde la continuación en una empresa qatarí. En marzo de 2013, un ataque en Corea del Sur atribuido en la prensa a Corea del Norte que afectó a miles de computadoras. Esos están en aumento y vemos gente que expresa interés en esas capacidades y un deseo de emplearlas.
CA: Okay, so a couple of things here, because this is really the core of this, almost. I mean, first of all, a lot of people who look at risk and look at the numbers don't understand this belief that terrorism is still the number one threat. Apart from September 11, I think the numbers are that in the last 30 or 40 years about 500 Americans have died from terrorism, mostly from homegrown terrorists. The chance in the last few years of being killed by terrorism is far less than the chance of being killed by lightning. I guess you would say that a single nuclear incident or bioterrorism act or something like that would change those numbers. Would that be the point of view?
CA: Bueno, un par de cosas aquí, porque esto es realmente el quid, casi. Digo, en primer lugar, mucha gente que mira el riesgo y mira los números no entiende esta creencia de que el terrorismo sigue siendo la amenaza número uno. Aparte del 11 de septiembre, creo que los números indican que en los últimos 30 o 40 años unos 500 estadounidenses murieron por terrorismo, en su mayoría a manos de terroristas locales. La probabilidad en los últimos años de morir por terrorismo es mucho menor que la de morir por un rayo. Supongo que podrías decirme que un solo incidente nuclear o un acto de bioterrorismo o algo así cambiaría esos números. ¿Sería ese el punto de vista?
RL: Well, I'd say two things. One is, the reason that there hasn't been a major attack in the United States since 9/11, that is not an accident. That's a lot of hard work that we have done, that other folks in the intelligence community have done, that the military has done, and that our allies around the globe have done. You've heard the numbers about the tip of the iceberg in terms of numbers of terrorist attacks that NSA programs contributed to stopping was 54, 25 of those in Europe, and of those 25, 18 of them occurred in three countries, some of which are our allies, and some of which are beating the heck out of us over the NSA programs, by the way. So that's not an accident that those things happen. That's hard work. That's us finding intelligence on terrorist activities and interdicting them through one way or another, through law enforcement, through cooperative activities with other countries and sometimes through military action. The other thing I would say is that your idea of nuclear or chem-bio-threat is not at all far-fetched and in fact there are a number of groups who have for several years expressed interest and desire in obtaining those capabilities and work towards that.
RL: Bueno, quisiera decir dos cosas. Una, que la razón por la que no ha habido un ataque importante en EE.UU. desde el 11-S, no es un accidente. Se debe al arduo trabajo que hicimos junto a otra gente de la comunidad de inteligencia, que han hecho los militares, y que han hecho nuestros aliados en el mundo. Habrás oído números, la punta del iceberg en términos de cantidad de ataques terroristas que los programas de la NSA ayudaron a detener, fueron 54, 25 en Europa, y de esos 25, 18 ocurrieron en 3 países, algunos de ellos son aliados, y golpean duramente los programas de la NSA, por cierto. Así que no es por accidente que ocurren esas cosas. Es un trabajo arduo. Hacemos inteligencia sobre actividades terroristas y las impedimos de alguna u otra manera aplicando la ley, cooperando con otros países, y a veces mediante acción militar. La otra cosa que me gustaría decir es que tu idea de la amenaza nuclear o bioquímica no es en absoluto exagerada y de hecho hay grupos que durante años han expresado interés y deseo de obtener esas capacidades y trabajan para ello.
CA: It's also been said that, of those 54 alleged incidents, that as few as zero of them were actually anything to do with these controversial programs that Mr. Snowden revealed, that it was basically through other forms of intelligence, that you're looking for a needle in a haystack, and the effects of these programs, these controversial programs, is just to add hay to the stack, not to really find the needle. The needle was found by other methods. Isn't there something to that?
CA: También se ha dicho que de esos 54 presuntos incidentes pocos o ninguno de ellos tuvieron en realidad que ver con estos programas controvertidos que reveló el Sr. Snowden, que fue básicamente mediante otras formas de inteligencia, que están buscando una aguja en un pajar, y los efectos de estos programas, estos programas controvertidos, que solo aportan paja a la pila, y no encuentran la aguja. La aguja fue encontrada por otros métodos. ¿No hay algo de eso?
RL: No, there's actually two programs that are typically implicated in that discussion. One is the section 215 program, the U.S. telephony metadata program, and the other one is popularly called the PRISM program, and it's actually section 702 of the FISA Amendment Act. But the 215 program is only relevant to threats that are directed against the United States, and there have been a dozen threats where that was implicated. Now what you'll see people say publicly is there is no "but for" case, and so there is no case where, but for that, the threat would have happened. But that actually indicates a lack of understanding of how terrorist investigations actually work. You think about on television, you watch a murder mystery. What do you start with? You start with a body, and then they work their way from there to solve the crime. We're actually starting well before that, hopefully before there are any bodies, and we're trying to build the case for who the people are, what they're trying to do, and that involves massive amounts of information. Think of it is as mosaic, and it's hard to say that any one piece of a mosaic was necessary to building the mosaic, but to build the complete picture, you need to have all the pieces of information. On the other, the non-U.S.-related threats out of those 54, the other 42 of them, the PRISM program was hugely relevant to that, and in fact was material in contributing to stopping those attacks.
RL: No, en realidad hay 2 programas típicamente implicados en esta discusión. Una es la Sección 215 del programa de metadatos de telefonía de EE.UU., y el otro es el programa llamado popularmente PRISM, la Sección 702 de la enmienda a la Ley FISA. Pero el programa 215 solo es pertinente para las amenazas dirigidas contra Estados Unidos, y ha habido una docena de amenazas en las que estuvo implicado. Verás que la gente dice públicamente que no hay relación de causalidad, no hay un caso para el cual la amenaza se haya cumplido. Pero eso indica una falta de comprensión de la dinámica de las investigaciones de terrorismo. Uno piensa en la televisión, ve un asesinato misterioso. ¿Por dónde empieza? Empieza por el cuerpo y partiendo de eso se abren camino para resolver el crimen. Nosotros partimos mucho antes que eso con suerte antes de que aparezcan los cuerpos, y tratamos de construir el caso de quién es la gente, qué trata de hacer, y eso requiere ingentes cantidades de información. Piénsalo como un mosaico, es difícil saber si cada pieza del mosaico era necesaria para construirlo, pero para construir la imagen completa, se necesitan todas la información. De las 54, para las amenazas no vinculadas con EE.UU. las otras 42, el programa PRISM fue muy relevante y de hecho contribuyó significativamente para detener esos ataques.
CA: Snowden said two days ago that terrorism has always been what is called in the intelligence world "a cover for action," that it's something that, because it invokes such a powerful emotional response in people, it allows the initiation of these programs to achieve powers that an organization like yours couldn't otherwise have. Is there any internal debate about that?
CA: Snowden dijo hace 2 días que el terrorismo siempre ha sido lo que en el mundo de la inteligencia se llama "una fachada para la acción", es decir, algo que dado que provoca una respuesta emocional muy fuerte en la gente, permite que estos programas obtengan poderes que una organización como la suya no podría tener de otra manera. ¿Hay algún debate interno acerca de eso?
RL: Yeah. I mean, we debate these things all the time, and there is discussion that goes on in the executive branch and within NSA itself and the intelligence community about what's right, what's proportionate, what's the correct thing to do. And it's important to note that the programs that we're talking about were all authorized by two different presidents, two different political parties, by Congress twice, and by federal judges 16 different times, and so this is not NSA running off and doing its own thing. This is a legitimate activity of the United States foreign government that was agreed to by all the branches of the United States government, and President Madison would have been proud.
RL: Sí. Digo, debatimos estas cosas todo el tiempo, y continúa la discusión en el Poder Ejecutivo y dentro de la propia NSA y la comunidad de inteligencia sobre qué es correcto, qué es proporcionado, cuál es la forma correcta. Y es importante observar que los programas de los que estamos hablando fueron autorizados por 2 presidentes distintos, por 2 partidos políticos distintos, por el Congreso 2 veces, y 16 veces diferentes por jueces federales, así que la NSA no actúa unilateralmente. Es una actividad legítima del gobierno exterior de Estados Unidos que fue acordada con todos los poderes del gobierno de Estados Unidos, y el presidente Madison estaría orgulloso.
CA: And yet, when congressmen discovered what was actually being done with that authorization, many of them were completely shocked. Or do you think that is not a legitimate reaction, that it's only because it's now come out publicly, that they really knew exactly what you were doing with the powers they had granted you?
CA: Sin embargo, cuando los congresistas descubrieron lo que se estaba haciendo con esa autorización, muchos de ellos quedaron completamente impactados. ¿O piensas que no es una reacción legítima, que se debe solo a que se hizo público, que sabían exactamente lo que Uds. estaban haciendo con los poderes que les habían concedido?
RL: Congress is a big body. There's 535 of them, and they change out frequently, in the case of the House, every two years, and I think that the NSA provided all the relevant information to our oversight committees, and then the dissemination of that information by the oversight committees throughout Congress is something that they manage. I think I would say that Congress members had the opportunity to make themselves aware, and in fact a significant number of them, the ones who are assigned oversight responsibility, did have the ability to do that. And you've actually had the chairs of those committees say that in public. CA: Now, you mentioned the threat of cyberattacks, and I don't think anyone in this room would disagree that that is a huge concern, but do you accept that there's a tradeoff between offensive and defensive strategies, and that it's possible that the very measures taken to, "weaken encryption," and allow yourself to find the bad guys, might also open the door to forms of cyberattack?
RL: El Congreso es un gran cuerpo. Hay 365 integrantes, y cambian con frecuencia, la Cámara de Diputados, cada 2 años, y creo que la NSA brindó la información relevante a nuestras comisiones de vigilancia. Luego la difusión de esa información de las comisiones de vigilancia a todo el Congreso es algo que manejan ellos. Me gustaría decir que los miembros del Congreso tuvieron la oportunidad de darse cuenta, y, de hecho, un número significativo de ellos, los que tienen la responsabilidad de vigilancia, tuvieron la posibilidad de hacerlo. Y realmente los presidentes de esas comisiones lo dijeron en público. CA : mencionaste la amenaza de ataques cibernéticos, y creo que ninguno de los presentes estaría en desacuerdo de que eso es una gran preocupación, pero aceptas que existe un compromiso entre las estrategias ofensivas y defensivas y que es posible que las mismas medidas adoptadas para "debilitar el cifrado" que te permiten encontrar a los chicos malos, podrían abrir la puerta a formas de ciberataques?
RL: So I think two things. One is, you said weaken encryption. I didn't. And the other one is that the NSA has both of those missions, and we are heavily biased towards defense, and, actually, the vulnerabilities that we find in the overwhelming majority of cases, we disclose to the people who are responsible for manufacturing or developing those products. We have a great track record of that, and we're actually working on a proposal right now to be transparent and to publish transparency reports in the same way that the Internet companies are being allowed to publish transparency reports for them. We want to be more transparent about that. So again, we eat our own dog food. We use the standards, we use the products that we recommend, and so it's in our interest to keep our communications protected in the same way that other people's need to be.
RL: Creo dos cosas. Una es que tú dijiste debilitar el cifrado. Yo no. Y la otra cosa es que la NSA tiene las 2 misiones, y estamos muy sesgados hacia la defensa, y, en realidad, las vulnerabilidades que encontramos en la abrumadora mayoría de los casos, es que damos a conocer personas responsables de la fabricación o el desarrollo de estos productos. Tenemos un gran historial y en este momento estamos trabajando en una propuesta para ser transparentes y publicar reportes de transparencia de la misma manera en que las empresas de Internet se les permite publicar informes de transparencia. Queremos ser más transparentes en eso. De nuevo, predicamos con el ejemplo. Usamos los estándares, usamos los productos que recomendamos, por eso nos interesa mantener las comunicaciones protegidas del mismo modo que lo necesitan las otras personas.
CA: Edward Snowden, when, after his talk, was wandering the halls here in the bot, and I heard him say to a couple of people, they asked him about what he thought of the NSA overall, and he was very complimentary about the people who work with you, said that it's a really impassioned group of employees who are seeking to do the right thing, and that the problems have come from just some badly conceived policies. He came over certainly very reasonably and calmly. He didn't come over like a crazy man. Would you accept that at least, even if you disagree with how he did it, that he has opened a debate that matters?
CA: Edward Snowden, cuando, después de su charla, recorrió los pasillos con el bot, escuché que le dijo a un par de personas, que le preguntaron qué pensaba de la NSA en general, fue muy elogioso con las personas que trabajan contigo, dijo que en realidad son un grupo apasionado de empleados que tratan de hacer lo correcto, y que el problema proviene solo de algunas políticas mal concebidas. Vino ciertamente muy razonable y con calma. No vino como un loco. ¿Aceptarías, por lo menos, aunque estés en desacuerdo con la forma en que lo hizo, que ha abierto un debate importante?
RL: So I think that the discussion is an important one to have. I do not like the way that he did it. I think there were a number of other ways that he could have done that that would have not endangered our people and the people of other nations through losing visibility into what our adversaries are doing. But I do think it's an important conversation.
RL: Creo que es una discusión discusión importante. No me gusta la forma en que la planteó. Creo que había varias otras maneras de hacerlo sin poner en peligro a nuestra gente y a la gente de otras naciones por la pérdida de visibilidad de lo que hacen los adversarios. Pero creo que es una conversación importante.
CA: It's been reported that there's almost a difference of opinion with you and your colleagues over any scenario in which he might be offered an amnesty deal. I think your boss, General Keith Alexander, has said that that would be a terrible example for others; you can't negotiate with someone who's broken the law in that way. But you've been quoted as saying that, if Snowden could prove that he was surrendering all undisclosed documents, that a deal maybe should be considered. Do you still think that?
CA: Se ha informado que hay casi una diferencia de opinión entre tus colegas y tú sobre cualquier posibilidad de ofrecerle un acuerdo de amnistía. Creo que tu jefe, el general Keith Alexander, ha dicho que sería un pésimo ejemplo para otros; que no se puede negociar con alguien que quebrantó la ley de ese modo. Pero tú has sido citado diciendo que, si Snowden pudiera probar que entregó todos los documentos no divulgados, que debería considerarse un acuerdo. ¿Sigues pensando eso?
RL: Yeah, so actually, this is my favorite thing about that "60 Minutes" interview was all the misquotes that came from that. What I actually said, in response to a question about, would you entertain any discussions of mitigating action against Snowden, I said, yeah, it's worth a conversation. This is something that the attorney general of the United States and the president also actually have both talked about this, and I defer to the attorney general, because this is his lane. But there is a strong tradition in American jurisprudence of having discussions with people who have been charged with crimes in order to, if it benefits the government, to get something out of that, that there's always room for that kind of discussion. So I'm not presupposing any outcome, but there is always room for discussion.
RL: Sí, en realidad, es mi parte favorita de esa entrevista de "60 Minutos", y todas las citas erróneas que salieron de allí. Lo que en realidad dije, en respuesta a una pregunta sobre si estaría abierto a la discusión de mitigar la acción contra Snowden, dije que sí, que valdría la pena conversar. Esto es algo de lo que el fiscal general de Estados Unidos y también el presidente ambos han hablado de esto, y me remito al fiscal general, porque ese es su competencia. Pero hay una fuerte tradición en la jurisprudencia estadounidense de tener conversaciones con personas acusadas de delitos para, de ser beneficioso para el gobierno, obtener algo a cambio. Siempre hay lugar para ese tipo de discusión. No estoy presuponiendo ningún resultado, pero siempre hay lugar para la discusión.
CA: To a lay person it seems like he has certain things to offer the U.S., the government, you, others, in terms of putting things right and helping figure out a smarter policy, a smarter way forward for the future. Do you see, has that kind of possibility been entertained at all? RL: So that's out of my lane. That's not an NSA thing. That would be a Department of Justice sort of discussion. I'll defer to them.
CA: Para el lego que parece ser tiene ciertas cosas que ofrecer a EE.UU., al gobierno, a ti, a otros, en términos de acomodar las cosas y ayudar a encontrar una política más inteligente, una forma más inteligente de avanzar hacia el futuro. ¿Ves algún tipo de posibilidad de acercamiento? RL: Eso está fuera de mi ámbito. No es algo de la NSA. Esa sería una discusión del Departamento de Justicia. Se lo dejaré a ellos.
CA: Rick, when Ed Snowden ended his talk, I offered him the chance to share an idea worth spreading. What would be your idea worth spreading for this group?
CA: Rick, cuando Ed Snowden terminó su charla, le ofrecí la posibilidad de compartir una idea que vale la pena difundir. ¿Cuál sería tu idea que vale la pena difundir para este grupo?
RL: So I think, learn the facts. This is a really important conversation, and it impacts, it's not just NSA, it's not just the government, it's you, it's the Internet companies. The issue of privacy and personal data is much bigger than just the government, and so learn the facts. Don't rely on headlines, don't rely on sound bites, don't rely on one-sided conversations. So that's the idea, I think, worth spreading. We have a sign, a badge tab, we wear badges at work with lanyards, and if I could make a plug, my badge lanyard at work says, "Dallas Cowboys." Go Dallas. I've just alienated half the audience, I know. So the lanyard that our people who work in the organization that does our crypto-analytic work have a tab that says, "Look at the data." So that's the idea worth spreading. Look at the data.
RL: Creo que es conocer los hechos. Esta es una conversación realmente importante, tiene impacto, no solo en la NSA, no solo en el gobierno, en Uds., en las empresas de Internet. El tema de la privacidad y de los datos personales es mucho más grande que solo el gobierno, por eso conozcan los hechos. No confíen en los titulares, no confíen en altisonancias, no confíen en conversaciones unidireccionales. Esa es la idea, creo, que vale la pena difundir. Tenemos un signo, una insignia, en el trabajo llevamos insignias, y si puedo hacer publicidad, mi insignia laboral dice "Dallas Cowboys". Vamos Dallas. Acabo de enajenar a media audiencia, lo sé. La insignia de nuestra gente que trabaja en la organización en tareas de cripto-análisis tiene una pestaña que dice: "Mira a los datos". Esa es la idea que vale la pena difundir. Miren los datos.
CA: Rick, it took a certain amount of courage, I think, actually, to come and speak openly to this group. It's not something the NSA has done a lot of in the past, and plus the technology has been challenging. We truly appreciate you doing that and sharing in this very important conversation. Thank you so much.
CA: Rick, se requiere cierto coraje, creo, para salir a hablar abiertamente a este grupo. No es algo que la NSA haya hecho mucho en el pasado, y además de la tecnología ha sido un reto. Te agradecemos que hayas participado en esta conversación muy importante. Muchas gracias.
RL: Thanks, Chris.
RL: Gracias, Chris.
(Applause)
(Aplausos)