miércoles, 17 de julio de 2013

Algunas consideraciones para que no te "espíen"

No me espíes
Por Noelia González publicado en Cromo - El Observador.com.uy

Tras el escándalo de ciberespionaje internacional de Estados Unidos, existen estrategias para evitar el rastreo constante o para al menos ser consciente y cauteloso con lo que se comparte en internet

Tal vez recuerdes vagamente esos tres segundos que demoraste en marcar con un tic “Acepto”, para luego continuar creando tu cuenta de Facebook. Esa ventana que muy pocos se detienen a leer volvió cuando te registraste a otros servicios o creaste tu casilla de correo electrónico de Gmail, Hotmail o Yahoo.

Desde el momento en que diste tu sí con un clic, esa red social, buscador o web se convirtió en custodio de tu información personal. Todos los datos que ingreses de forma voluntaria, como tu dirección, teléfono, fotos, videos y comentarios le pertenecen a esa empresa, que a cambio promete salvaguardar tu información.

Tus correos, chats e incluso datos recogidos a través de las famosas cookies (que registran y siguen tus búsquedas, las combinan con tu perfil de usuario y luego te ofrecen publicidad online a medida) pertenecen también a Google, Facebook y hasta a los desarrolladores de la aplicación que descargaste a tu celular o tableta.

Si no leíste la letra grande del contrato de licencia, también pasaste por alto la letra chica. En líneas generales, estas compañías advierten que tu información será usada para fines comerciales, pero no de forma pública, a menos que se les exijan los datos con una orden judicial, es decir, cuando la ley lo disponga.

En las últimas semanas habrás escuchado que todas las grandes tecnológicas están acusadas de colaborar con la Agencia de Seguridad Nacional (NSA) de Estados Unidos (EEUU), quien tiene acceso a los servidores donde se aloja toda tu información (incluso sin residir en ese país). Entonces te preguntaste por qué no leíste esa molesta ventana que te pide que aceptes.

No te martirices: de no haber aceptado las condiciones que te ofrecían no podrías tener ninguna de esas cuentas. Para no ser espiado hay que salirse del sistema o ser consciente de qué se comparte.

Ciberespiados

El 6 de junio, el diario británico The Guardian informó que la NSA tenía acceso a las llamadas telefónicas de millones de clientes de la compañía Verizon, amparándose en una orden judicial secreta.

Al otro día, el periódico estadounidense The Washington Post reveló que la inteligencia de su país, NSA y FBI también accedía a los servidores de nueve empresas, entre ellas Google, Facebook, Apple, Microsoft y Yahoo, para interceptar y vigilar las comunicaciones de usuarios extranjeros fuera de EEUU.

Se trataba de una filtración de información al mejor estilo WikiLeaks pero de mayor calibre, que resultó tener nombre y apellido: Edward Snowden. Ese joven de 29 años informático y exconsultor de la inteligencia estadounidense decidió poner fin al secretismo y reveló la existencia de Prism, un programa secreto de ciberespionaje que partió de una ley creada en 2007 durante la presidencia de George Bush y que se aprobó al año siguiente del atentado del 11-S.

Combatir el terrorismo es la justificación de fondo de este programa, explicó el FBI, que abrió una investigación contra Snowden. En tanto, el actual presidente de EEUU, Barack Obama, habló de la necesidad de un compromiso entre libertad y seguridad, lo que no apaciguó los reclamos de los ciudadanos estadounidenses, que elevaron a Snowden a la figura de héroe y que el 4 de julio se manifestaron en contra del “espionaje anticonstitucional” de la NSA. Por su parte, EEUU persigue a Snowden como a un “traidor” de la seguridad nacional, mientras el joven busca dónde exiliarse.

El escándalo recorrió el mundo y la Unión Europea reclamó a Washington aclaraciones sobre estas prácticas de ciberespionaje, mientras América Latina repudiaba las escuchas. Pero la mayoría de los países occidentales que se quejan han colaborado con este programa, aclaró Snowden. De hecho, los servicios de inteligencia británicos tienen acceso a los cables de fibra óptica que llevan conversaciones telefónicas y online en todo el planeta.

Yo no fui

Mientras Snowden jugaba a las escondidas, las grandes empresas acusadas admitieron haber recibido peticiones de información de sus usuarios por parte de agencias de EEUU en 2012. Primero Facebook y Microsoft, luego Apple y Yahoo. Sin embargo, hasta el día de hoy niegan tener “una puerta trasera” abierta para que el gobierno acceda a sus servidores.

Según el sitio Venture Beat, todas estas compañías repiten el mismo discurso. En resumen, afirman que se preocupan por la seguridad del usuario, que no dan información de sus clientes de forma voluntaria y que solo responden a las peticiones de datos cuando la ley lo requiere.

Según The Washington Post, Twitter es de las pocas empresas online que continúan negándose a colaborar con los datos de sus usuarios. De hecho, algunos medios especializados especulan que la red de microblogging no es un blanco interesante para la inteligencia estadounidense, por su relativa poca cantidad de usuarios (algo más de 200 millones) y porque no colecta mucha información de estos. Al menos hasta ahora, ya que a principios de este mes la red del pájaro comenzó a implementar cookies para optimizar la publicidad en su sitio, sumándose a la tendencia.

De este lado del globo

Así como Twitter despierta poco interés en la vigilancia estadounidense, Uruguay también. Según un informe publicado en conjunto por The Guardian y el diario brasileño O Globo, en Latinoamérica es Brasil el principal blanco de ciberespionaje estadounidense. “Solo en enero, la NSA rastreó 2.300 millones de datos en EEUU y Brasil quedó apenas abajo”, dice el informe.

Esta semana se supo además que Colombia y Venezuela también constituyen bases en la red de espionaje de EEUU. Pero, hasta hace poco tiempo, el ciberespionaje no era noticia en América Latina.

Según contó el especialista en seguridad informática de la firma Eset, Rapheal Labaca, recién en 2012 se detectó en Perú uno de los primeros casos de ciberespionaje industrial dirigido a usuarios de un país específico de la región, con el objetivo de obtener documentos concretos. Se trató de Acad Medre, un “gusano” informático que robaba los planos hechos con el programa Autocad y los enviaba a un servidor en China.

Ese es el objetivo del ciberespionaje: “Acceder a información clasificada con la que obtener un beneficio propio”, dijo Labaca. El especialista lo diferenció del hackeo, que es un ataque informático que pone en riesgo la información de una computadora.

El investigador de Eset aclaró además que los casos de Perú y el revelado por Snowden son de “diferente naturaleza”, ya que mientras en el primero había un código malicioso que infectaba los equipos, en el segundo se trata de una colaboración de la NSA con las empresas de internet. Estas compañías no son atacadas, sino que brindan la información de forma voluntaria.

Según el director de Seguridad de la Información de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic), Santiago Paz, en Uruguay no ha habido casos de ciberespionaje hasta el momento. Sin embargo, el caso de Perú confirmó que puede existir un interés por espiar países de la región.

A su vez, Paz dijo que el caso Snowden no ha generado alerta en la entidad de la que también depende el CERTuy, que protege los más de 600 sitios web del estado uruguayo. Sin embargo, sí cree que debería servir para sensibilizar a la ciudadanía. “Cuidado, que Google te puede leer los mails, y Microsoft también. Sí, es un hecho, téngalo en cuenta”, afirmó.

Según dijo el experto de Agesic, Uruguay cuenta con medidas de protección en este sentido y se halla homologado con los criterios de privacidad europeos. Por ejemplo, el Estado uruguayo puede brindar información sobre una persona a la que se está investigando por un crimen, pero siempre “dentro de un marco jurídico legal”, aseguró.

Pero, a pesar de que se conozca el marco jurídico uruguayo, el problema es que las empresas como Facebook se rigen por otras normativas, aquellas que están vigentes en donde están sus servidores, en este caso, EEUU. Esto se complica aun más por el hecho de que gran parte de la información se aloja en la nube, donde “tu información puede estar en cualquier parte del mundo”, explicó Paz.

En el caso de EEUU, rige la ley llamada Patriotic Act, aprobada luego del 11-S, que en resumen dice que bajo sospecha de terrorismo se puede acceder a la información de alguien de forma mucho más ágil. En esta ley se ampara el programa Prism y puede aplicarse para cualquier usuario, sin importar si es estadounidense o uruguayo.

Por eso no basta con configurar la privacidad del perfil de Facebook para evitar ser espiado, ya que toda la información queda igual almacenada en los servidores. Y si esa empresa comete un error o si decide colaborar con las agencias de inteligencia, podría darle a esa información un manejo que el usuario no preveía.

Para Labaca, las recomendaciones para gobiernos, empresas y usuarios en este sentido es utilizar siempre una solución en seguridad, actualizar todas las aplicaciones y el sistema operativo. Para el caso denunciado por Snowden, el experto aconseja deshabilitar las cookies y usar la criptografía o cifrado, algo así como escribirla en clave para ocultarla.

Según dijo Paz, el cifrado se aconseja para toda la información sensible, como usuarios y contraseñas. También se pueden encriptar los respaldos de archivos, los discos duros de las notebooks e incluso los dispositivos móviles.

Cómo evitarlo

Como la abstinencia de internet no es ya una opción de vida para los gobiernos, empresas y usuarios, existen opciones para que el usuario pueda protegerse de ojos curiosos. Por ejemplo, hay alternativas sencillas a buscadores y plataformas de chat, tanto para computadora como para dispositivos móviles (ver recuadro). Desactivar la geolocalización de los tuits y de las aplicaciones, por ejemplo, son otras de las opciones al alcance de la mano.

Sin embargo, nada de esto sirve si no se está consciente de los peligros. “La recomendación es, antes de compartir la información, evaluar brevemente qué pasaría si se difundiera, si fuera alterada o se perdiera para siempre”, dijo Paz, para quien el momento generado por Snowden puede servir para que los internautas se informen y tomen medidas.

Por ahora, el usuario “corriente” en Uruguay no ha sentido esa violación de privacidad que Snowden hizo pública. “Lo siento de esa manera, y lo critico porque eso significa que ni siquiera hubo una condena social”, afirmó el experto de Agesic.

Aunque también puede suceder que las personas estén de acuerdo con que se las vigile, si el fin último es su propia seguridad.

En definitiva, no se trata de temer a internet como si se tratara de un Gran Hermano invencible, sino de padecer un poco de paranoia saludable.
---.---
Alternativas a los grandes

Buscador

Motores de búsqueda como DuckDuckGo y Qwant garantizan el anonimato y la privacidad del usuario, por lo que se postulan como alternativas al rey del rubro, Google.

Chatear en la PC

Opciones como Cryptocat son una alternativa a Skype, el chat de Google y el de Facebook. La plataforma es gratuita y fácil de usar, funciona a través del navegador y permite chatear de forma cifrada.

Chatear en el celular

También para chatear pero desde el smartphone existen apps como Seecrypt (US$ 3), que se basa en tecnología de cifrado y “esquiva” los grandes servidores de chat.

Correo electrónico

Enviar y recibir correos puede hacerse de forma más segura con el sistema de servidores de Zimbra, por ejemplo. Por US$ 2 por cuenta permite intercambiar mails encriptados.

Documentos

Para proteger archivos existen herramientas como Truecrypt o Cryptoforge, que permiten cifrar y descifrar los documentos. El último también funciona como destructor de archivos.

Navegador

Deshabilitar las cookies del navegador es el primer paso para evitar ser rastreado por las webs. Extensiones como DoNotTrackMe para Chrome permiten hacerlo de forma simple. / Cromo.

No me espíes, un artículo de Noelia González / @NoeliaGMo - 13/07/2013
Vísto en Cromo (http://www.cromo.com.uy/2013/07/no-me-espies/). Distribuido bajo la licencia Creative Commons [Reconocimiento-NoComercial-SinObrasDerivadas 3.0] con ciertas modificaciones.

Más sobre el tema Prism y los programas de vigilancia en éste blog.

3 comentarios:

  1. 1.¿a blogger Jorge también sele aplican los riegos para la privacidad?

    2.¿cuánto tiempo se mantienen en los servidores de google p.ej las búsquedas?

    ResponderEliminar
  2. Hugo, la plataforma de Blogger es muy segura pero no infalible. Fíjate que muchos "indignados y/o activistas" la utilizan para elevar sus quejas y denuncias, porque es más difícil que puedan ser crakeadas.

    Con respecto a "la permanencia" de la información, coincido con quienes señalan que "nuestra huella digital es imborrable". Hay que tener en cuenta que un motor de búsqueda conserva una copia almacenada de la página en su índice hasta el próximo rastreo, y no es totalmente seguro que se "borren". También hay que tener en cuenta que Blogger tiene una aplicación para recuperar los blogs eliminados, disponible para quienes "se arrepintieron".

    En la Ayuda de Blogger señalan: "Los blogs eliminados puede ser normalmente recuperados si la eliminación es reciente (acuérdate de que cualquier persona con permisos de administración puede eliminar el blog). Simplemente haz clic en Cancelar eliminación y el contenido se recuperará de inmediato. Los blogs bloqueados se pueden recuperar normalmente haciendo clic en Solicitar revisión de desbloqueo. Las solicitudes serán entonces revisasadas por nuestro equipo y el contenido será recuperado en caso de que el contenido no vaya en contra de las políticas de contenido".

    No especifican el tiempo de "reciente", por ahí se ha comentado que "lo guardan" unos 18 meses como los servidores de Yahoo y Gmail que guardan los e-mails que borramos de las cuentas personales. Pero existe la presunción que es imborrable.

    ResponderEliminar
  3. NO ME QUEDO MUY TRANQUILO JORGE CON TU ÚLTIMA PRESUNCIÓN...

    ResponderEliminar

Antes de colocar un comentario tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.

Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.