18 julio 2013

¿Y ahora nos preocupamos por la privacidad? Gracias #Snowden

Hacia mucho tiempo que no acercaba una contribución a los grandes amigos de Security By Default, a los cuales les agradezco el honor de poder tener el espacio. En esta oportunidad, les acerco algunos puntos de vista respecto al espionaje de la NSA revelado por el ¿nuevo héroe? llamado #snowden.

Con el reciente escándalo de la NSA y el "topo" #Snowden, el mundo entero (ahora) parece estar preocupado por la privacidad, en lo que podría interpretarse como la primera vez en que la información de los ciudadanos se percibe ante un peligro real. Sin embargo, es algo que se había comenzado a debatir con los cables diplomáticos difundidos por Wikileaks allá por 2010. Si bien en muchos ámbitos lo que hoy se conoce ya se hablaba hace tiempo e incluso se asumía, para muchos es algo completamente nuevo. De todas formas, para quienes nos preocupamos por el resguardo de la privacidad y la toma de conciencia respecto a los riesgos referidos con las nuevas tecnologías, toda situación que permita el debate y conocimiento de la problemática es bienvenida.



Lo que no deberíamos hacer es dejar pasar el momento e interés que generó en la opinión pública el cuidado de la privacidad ya que no son frecuentes. Pero si tenemos que ser sinceros, ¿acaso alguien dejó de almacenar información en EEUU conociendo la existencia del Patriot Act? ¿acaso se presentó una baja masiva de usuarios de las plataformas involucradas en el espionaje de la NSA? ¿acaso alguien ahora lee los permisos que requiere una aplicación móvil antes de instalarla en su smartphone?


El espionaje por parte de los Gobiernos es peligroso, incluso en algunos países se lo relaciona con las épocas más oscuras de la historia. El Estado siempre termina siendo el más fuerte, sobre todo si del otro lado se encuentran los ciudadanos de a pie. Quizás lo más preocupante de todo este tema es el nivel de des-protección con el que podrían sentirse los ciudadanos cuando es el Estado quien "decide" espiarlos. Acuerdos Internacionales, Organismos Independientes de control y demás herramientas políticas y diplomáticas podrían formar parte del conjunto de medidas para minimizar la falta de garantías de los ciudadanos, aunque podría incluso también ser insuficiente.

Pero sin olvidar que este es un blog de seguridad informática (y porque saben como pienso sobre estos temas), entiendo que tendríamos que mirarnos un poco al espejo. Amigos, ¿tenía que surgir #snowden para que nos preocupe la privacidad? ¿tenía que conocerse que muchas plataformas tecnológicas de uso masivo brindan información al Gobierno, para que nos empecemos a preocupar por lo que subimos/publicamos en internet?

Creo que tenemos que ser menos hipócritas y asumir nuestro compromiso, ocupar nuestro lugar. Lo que se conoce generalmente es lo que nosotros permitimos que se conozca, más allá de algún caso específico en el cual el Estado es quien cuenta con la información, en lo que tiene que ver con las redes sociales y servicios masivos, nosotros somos los que damos la información. Somos los que por una entrada de cine no tenemos reparos en brindar con lujo de detalles nuestros gustos e intereses, somos los que en twitter publicamos la foto de nuestro vehículo nuevo y lo que estamos comiendo en las vacaciones. ¿Estamos evaluando los riesgos ante cada publicación?

No debería confundirse que lo que intento decir es que no utilicemos internet o los servicios actuales, ya que eso seguramente sería un error en la mayoría de los casos, lo que intento decir es que no deberíamos utilizar un servicio (cerrando un contrato) sin conocer los términos y condiciones, sin leer la cláusula de privacidad y seguridad. ¿Por qué si lo hacemos en algún otro ámbito de la vida, lo relajamos cuando se trata de internet?


¿Acaso a partir de #snowden surgieron las técnicas de cifrado o borrado seguro? están allí hace años, muchos las conocemos y sin embargo muy poca gente las utiliza. A veces parece algo osado hablar de cifrado cuando quizás aún no contamos con la realización de copias de resguardo como un hábito elemental, o la utilización de un antivirus, sin embargo, muchas herramientas que tienen años de madurez podrían minimizar el impacto de una brecha o fuga de información. Si aún no hacemos copias de resguardo, ni utilizamos un antivirus, seguro cualquier propuesta de cloud computing sea algo mejor, pero la solución no es "escapar" al cloud, sino realmente gestionar mejor nuestra información, asignarle un valor y aplicar medidas de protección relacionadas con ello. ¿Cuánto vale la infancia de nuestros hijos en fotos? ¿Cuánto vale la investigación que estoy desarrollando hace varios meses? ¿Qué valor tiene el resultado de un examen clínico? ¿Cuánto vale la idea de mi próximo proyecto? Todo eso hoy está en internet, quizás con el mismo nivel de protección que este post. No creo que lo mejor que podamos hacer para mejorar esa situación sea asombrarnos del espionaje...

Tampoco creo que debamos bajar el nivel de disgusto sobre las actividades reveladas por #snowden que involucran a EEUU y que podrían involucrar a varios países más, pero también creo que en muchos casos nos estamos sumando al reclamo, cuando al instante dejamos de interesarnos por nuestra privacidad.

Como indica el título de este post, ¿y ahora nos preocupamos por la privacidad?

Gracias #snowden, la seguimos...

Contribución gracias a Mariano M. del Río @mmdelrio

17 comments :

masticover dijo...

Que la NSA pueda acceder, por ejemplo, a los correos PERSONALES que intercambio con mi novia o mis amigos en distintas plataformas creo que no es para nada no estar al tanto ni preocuparse por la seguridad. Es un atentado contra la intimidad de las personas. ¿O acaso tenemos que cifrar los correos para poder quedar para ir un día a un concierto o al cine?

Vale que muchas de las cosas que hacemos o subimos a Internet las hacemos sin leer los términos y condiciones de aplicaciones y servicios, y que perdamos parcial o totalmente los derechos de lo subido. Vale que a veces pequemos de irresponsables poniendo cuando estamos de vacaciones o trabajando, si hacemos algo o no. Pero de ahí a decir que si ahora nos preocupamos por la privacidad y que "tenemos que ser menos hipócritas y asumir nuestro compromiso"... ¿Compromiso? ¿Hipócritas? Joder, parece que el post lo ha escrito un miembro de la NSA intentando justificar sus acciones.

Noldor dijo...

No entiendo tu posición. Comentas que no intentas decirnos que dejemos de usar los servicios actuales en internet, sino que leamos las cláusulas de privacidad. ¿Y no es lo mismo? Las leemos, vemos que perdemos todo derecho a la información, y ya no usamos el servicio. Y como la mayoría son así, nos alejamos del mundo digital. O bien las aceptamos, eso si, siendo conscientes de que se pasan nuestra privacidad por el forro, pero como lo sabemos, como nos han avisado, no tenemos derecho a quejarnos.

Al final con estos servicios todo es un chantaje: ¿Quieres participar del mundo digital? Entonces vende tu alma al diablo. ¿Quieres entrar en la nueva era del cloud computing?¿Tener ubiquidad de todos tus datos, ficheros, programas? ¡Entra, es gratis! Eso si, tus datos están todos fuera de tu control.

María García dijo...

Pues anda, que yo, sin ser ninguna experta ni moverme en estos círculos, es algo que ya tenía asumido hace mucho y que no me sorprende nada en absoluto: que nos espían por todos lados.

Creo que tiene razón Noldor: que por muy conscientes que seamos y que nos leamos todas las clausulas, hay ciertas cosas con las que tenemos que tragar si queremos usar ciertos servicios. ¿O es que acaso yo me voy a poner a negociar con Google o con Facebook sus condiciones de privacidad? Facebook viene más o menos a decir que lo que pongas ahí es suyo, no tuyo y hace con ello lo que le da la gana. Y como me dijo un compañero (antes de que saltara lo del PRISM): por lo menos es más honesto que Google, que hará lo mismo y no lo dice. Por no hablar de hecho de que pueden tenerme sólo porque otro ponga allí una foto en la que yo salgo o porque yo aparezca en su agenda de contactos (perfiles ocultos). Y lo de Whatsapp ya es de risa. Por lo que respecta a la nube, es que ni siquiera está claro qué legislación aplica.

Pero también entiendo el sentido del artículo: que la gente se lleva las manos a la cabeza cuando saltan las noticias con titulares grandes y no lee la letra pequeña de los servicios que contrata. Yo empecé a usar la redes sociales con mucha aprensión y porque son muy útiles para muchas cosas. Pero tengo claro que si no quieres que algo se sepa, no lo subas a internet (y eso, independientemente de cuales sean las condiciones). Me parece que es verdad que no todo el mundo es consciente de ello.

Ford Prefect dijo...

Yo creo que ya está bien de mezclar churras con merinas.

¿Se puede saber que tiene que ver las filtraciones de Snowden con los contratos de los servicios de internet?

¿En que parte de los contratos de Google dice que mis correos personales podrán ser escaneados por la NSA sin ni siquiera informarme e incluso sin control judicial?

El asunto Snowden no es un asunto de privacidad personal, sino un asunto de espionaje político, militar y comercial, y de atentado a los derechos civiles más básicos en democracia.

¿A que viene mezclar eso con las actitud general de la gente en sus relaciones personales, da igual si físicas o virtuales?

Es que de verdad, ya empieza a sonar a aquello de ¡.... es que van provocando!

Johnd dijo...

No hace mucho tiempo que leía por internet una noticia sobre los americanos, que cuanto menos mostraba un insano nivel de paranoia. Y es que en determinadas reuniones no era suficiente con que se apagasen los teléfonos móviles, sino que era necesario introducirlos en una caja de Faraday.


Bendita ignorancia la nuestra...

anonimo33 dijo...

Pero si luego resulta que la mayoría de los visitantes de esta web e incluso los mismos redactores usan productos Microsoft como sistema operativo personal "predeterminado",... XD. Dejar claro que no me parece mal que lo usen, para gustos colores, pero no sé,.. curioso cuanto menos, no?


Un saludo

@mmdelrio dijo...

Gracias a todos por los comentarios, bien vale el debate.

Alejandro Ramos dijo...

No entiendo, ¿qué es curioso exactamente?, que tu comentario parece sacado de alguien que usa Linux y se ha auditado todo el código asegurándose que no hay puertas traseras. Como con OpenBSD, ah no, calla, que tenía una en el ipsec que nadie había visto pese a que es código abierto. Eso si que es curioso, ser un fanático sin fundamento.

y luego... para tu información: Yago usa Fedora, Lorenzo y Guasch Mac y yo soy el único que usa Windows en su estación de trabajo. Has generalizado erróneamente ;-))

Otro saludo para ti, salao.

Román Ramírez dijo...

La verdad es que me parece sorprendente lo que leo en los comentarios.

El problema no tiene que ver ni con tecnologías, ni con que sean abiertas o cerradas y, ni siquiera, con que sean mis correos-e privados o no.

Es un problema más profundo y más alarmante: alguien cree que debe estar por encima del control democrático para "protegerme". Lo que un atentado contra la democracia en sí.

Mi cita favorita de un ciudadano estadounidense es de Benjamin Franklin y dice:

"Aquellos que pueden dejar la libertad esencial por obtener un poco de seguridad temporal, no merecen, ni libertad, ni seguridad"


Y es que todos los tiranos usan siempre las mismas excusas desde la época de la decadencia de Roma: "Contra el terrorismo", "Por nuestros hijos". Con esos argumentos en la mano, se justifica el atropello sistemático de derechos fundamentales de los ciudadanos.


No bastando con el atropello, además se señala al que protesta como "que tiene algo que ocultar". Pues sí, tengo cosas que ocultar. MI VIDA PRIVADA, MI INTIMIDAD.


Sumado a todo este mejunje de desmanes antidemocráticos, recordemos las campañas del FBI en EEUU sobre que si tienes un vecino que usa cifrado o VPN, denuncia.


Y seguimos debatiendo sobre si es un problema de Microsoft y no del Open Source... qué mal vamos...

Román Ramírez dijo...

Por cierto, enhorabuena por el post, me ha gustado mucho.

María García dijo...

Ji, ji, ji. Eso mismo iba a decir yo: ¿cómo sabe lo que usamos todos?
Yo Ubuntu o Android (en este momento). Windows sólo para el trabajo o en casa, si no me queda más remedio (tampoco es que le tenga manía, pero me gusta más Ubuntu).

Eder López dijo...

Creo la divulgación masiva de los datos sensibles que comprometen nuestra integridad, centro de trabajo o cualquier tipo, es debido a estar desinformados o en casos extremos por desconocer los errores basados en la capa 8 de la cadena de la seguridad.

matias dijo...

hay que generarle millones de mails que salten las alertas a ver cuantos mails pueden "procesar"

José Ramón dijo...

Muy buen artículo, la verdad es que con tanto ruido que se ha montado faltaba un poco de debate real sobre el tema.

Añadir un par de puntos, como bien indicas esto no es nada nuevo, lo que se ha contado ha sido el como se realiza ahora.



Indicar que TODOS los gobiernos espían, esto viene desde muy antiguo, cada uno en la medida de sus posibilidades y espían en función de sus intereses. Lo que ha supuesto internet y los servicios en la nube y redes sociales es la facilidad con la que se puede realizar.


Además de los gobiernos, nos espían las empresas, han convertido al SEO en una disciplina del marketing.


Y por supuesto los criminales o delincuentes que pululan por ahí.


Hasta las porteras, estas de una forma más tradicional ;-)


Como dices se lo ponemos muy, pero que muy fácil, nos olvidamos que internet es como la calle o la plaza pública, donde todo se puede ver y escuchar, confiamos en servicios gratuitos que ofrecen grandes cosas, y nos olvidamos de donde está el beneficio.


Como bien se ha dicho en los comentarios, si quieres que algo no se sepa, no lo cuentes por internet.


Luego está el tema moral o legal, y aquí sale otro debate muy interesante, internet es global, sin embargo existen fronteras, y cada país aplica sus leyes a sus empresas, comunicaciones o servidores que están en su territorio. Verifiquemos el país donde damos de alta el servicio, suele venir en las condiciones donde ya nos dicen por las leyes que se rigen.


Si nos asusta lo de EEUU, ojo a la ley que se quiere aprobar en Alemania, es muy parecida a PRIMS, y legal y constitucional si se aprueba. Igual alguno puede dar mas detalles de la misma.


Y buena recomendación, si no quieres que te usen, utiliza las herramientas que hace tiempo existen.

sniffador dijo...

Ir asumiendo que la CIA , la NSA y el MI6 os han visto como os la pelais.


A mi no, claro. Yo no me la pelo.

Jesús Hernández Gormaz dijo...

Buena respuesta, sobre lo de ipsec... nadie es perfecto, cierto, pero mil ojos ven mejor que cien ojos con contratos de confidencialidad, y yo soy un lector que tampoco uso windows mas que cuando no me queda otro remedio porque me obliguen en el trabajo o para hacer alguna prueba sobre el (virtualizado), mala generalización anonimo33.

Medidas de seguridad existen desde hace años y años, el problema es que quien quiere lo usa y quien no quiere no lo usa (yo en la firma de mis email pongo enlace a GnuPG y a mi clave publica para que quien quiera lo use) pero eso no quita nada de el mal actuar de la NSA pues los terroristas son los primeros que usan programas de criptografia, dejan los email como borrador para que no se registre en el log el envio por smtp, etc; con lo que la información de caracter terrorista que hayan obtenido no llegara ni a un 0.1% seguramente, y mas de la mitad de eso seran cometarios de broma del tipo "fulanito tal y cual, es para matarlo, menudo es", pero la informacion financiera que hayan interceptado, ya no solo por el gobierno sino por los propios trabajadores de la NSA, es muy util sobre todo la informacion que se pueda usar para invertir en bolsa...

Jesús Hernández Gormaz dijo...

mandamos todos un email diciendo "fulano no olvides que el proximo jueves vamos a la casa blanca con los rifles, que ya van dos veces que te olvidas y tenemos que posponerlo" jajaja xD no habria carceles suficientes donde meternos a todos por atentados que ni siquiera iban a cometerse, seria subrealista la situacion