Me contactaron hace unas semanas de ETC by VOZ.COM, revista de Empresa, Tecnología y Comunicación, para preguntarme si quería colaborar con un artículo sobre comunicaciones cifradas en su publicación física, con una tirada de más de 20.000 ejemplares y dirigida al ámbito empresarial.
La idea era participar en sus páginas como colaborador de la sección SecuriTIC, así que les preparé esta pieza, disponible también para su lectura en PDF (ES/página 40-41), convenientemente adobada con aquellos enlaces que he visto oportuno incluirle.
Hacia escenarios de comunicaciones cifradas por defecto
Aquellos que nos dedicamos a esto de la seguridad tendemos a caer con bastante facilidad en el más puro pesimismo tecnológico. Parece que todas las innovaciones que nuestros compañeros realizan solo nos dirigen hacia un catastrófico final.
Y entiendo que en parte esto es debido a que nuestro trabajo se basa, precisamente, en señalar (y con suerte, solucionar) aquellos problemas a los que la tecnología, y en especial, aquel “elemento” que está entre la silla y la pantalla, nos obliga a enfrentarnos.
Es, de facto, una lucha perdida, habida cuenta de que no hay sistema 100% seguro. Pero aun así, nos empecinamos en esa labor titánica, arañando quizás un mísero porcentaje de riesgo para beneplácito de la organización, de nuestros clientes, o de nuestra propia seguridad.
Y en ese camino, los que estáis al otro lado tenéis que aguantar que día tras día la noticia sea los tropecientos millones de pérdidas que ha causado la industria del crimen, o la crisis reputacional que ha sufrido esta otra compañía, o la exposición de millones de cuentas personales por una vulnerabilidad descubierta en algún gran servicio de Internet.
Pareciese que cada vez vamos a peor, pero le quiero contar un secreto.
Nada más lejos de la realidad.
Estamos mejor que nunca en cuanto a privacidad y seguridad de la información
¿Qué anecdótico, verdad? Despotrico a diario sobre lo inseguros que están nuestros sistemas, y hoy vengo a esta revista a decir justo lo contrario… Pero lo hago con conocimiento de causa, que conste.
Hace apenas un par de décadas el mundo digital era sin lugar a duda un escenario muchísimo más inseguro y, si me apura, bastante menos privado.
Sí, que vale que todo estaba naciendo, pero bastaba con que alguien tuviera el interés de causar el mal para en efecto causarlo. Y a un nivel que hoy en día nos daría miedo.
¿Que por qué no ocurría? Claro que ocurría, pero lo malo es que ninguno de nosotros nos enterábamos. Ni las empresas tenían “incentivos” para compartir sus errores, ni los medios de comunicación se hacían eco de ello.
Lo más normal es que un ordenador conectado a Internet estuviera infectado con algún tipo de virus. La industria del malware estaba aún naciendo, cierto es, y quizás las piezas más virulentas únicamente tenían como objetivo molestar, pero ahí cohabitaban con el resto de infecciones maliciosas, con fugas de información masiva que no se publicaban como ahora en un pastebin, sino que se vendían directamente al mejor postor.
Ya ni hablemos de la privacidad. Que este término prácticamente lo hemos acuñado estos últimos años, cuando de repente a unos ciudadanos totalmente desconocidos les da por montar Wikileaks, y a un tal Snowden, por sacar los trapos sucios de una de las mayores agencias de inteligencia del mundo.
Desde que somos conscientes de que organizaciones como la NSA son capaces de interferir en las comunicaciones de prácticamente cualquier usuario, desde que los medios de comunicación han dejado de utilizar el término “pirata informático” para referirse a la industria organizada del cibrecrimen, apenas han pasado unos años, y sin embargo, hemos experimentado una mejora notable en las garantías de los canales digitales.
Sin ir más lejos, el WhatsApp, que hasta no hace mucho era caso de estudio para “startuperos” sobre la importancia de llegar primero cueste lo que cueste, ha acabado por hacer de tripas corazón y rendirse a la evidencia de un escenario donde el cifrado por defecto se impone.
Que los usuarios queremos seguir compartiendo nuestras fotos de gatitos sin la mirada ubicua del Gran Hermano, vamos.
Y sí, que Facebook, Google y compañía son agujeros negros que se alimentan de nuestros datos personales. Pero precisamente el que su negocio se base en sacar valor de esos datos hace que estén obligados a almacenarnos y explotarlos con las mayores garantías posibles. No vaya a ser que la competencia encuentre una manera de aprovecharse de su trabajo sin pasar por caja…
Lo que importa a nivel empresarial no es el contenido, sino el contenedor
Aquí quería llegar.
Lo que de verdad aporta valor en esta economía digital son los metadatos, y no las tonterías que nos escribimos en el día a día. Tal es así que paulatinamente estamos viendo cómo los servicios de comunicación se fortifican mediante cifrados asimétricos, de tal manera que ni la propia compañía es capaz de saber qué se está diciendo.
Y realmente, ¿qué les importa? A sabiendas de que cada vez más el resto de organizaciones demandamos una mayor privacidad en nuestras comunicaciones. A sabiendas de que el negocio se encuentra en las relaciones, en el profiling y en las acciones, no en el contenido.
Lo que me lleva a señalar el siguiente objetivo: los emails.
Si en mensajería instantánea ya casi hemos dejado atrás la época del envío de mensajes en texto plano (sin cifrado), ¿cuánto falta para que, el que hoy en día sigue siendo el canal corporativo por defecto, acabe por dar el paso?
Que sí, que cualquier organización puede formar a sus trabajadores en el uso del cifrado PGP (Pretty Good Privacy (EN)) en sus envíos, pero reconozcamos que aún con la instalación de extensiones, sigue siendo un tanto molesto eso de tener que compartir la clave pública con nuestros receptores.
Hay, no obstante, acercamientos.
Recientemente GMX se ha propuesto incluir el PGP por defecto en los correos de sus clientes (EN), rompiendo así con el histórico simil del email como “un correo postal tradicional”, cuya única seguridad depende del contenedor donde está metido.
Que el usuario sólo tenga que darle a enviar, que ya se encarga el gestor de correo de compartir las claves con el receptor de forma totalmente opaca a los usuarios.
Justo aquello que jamás hemos tenido en el correo postal (dudo que algún lector se haya molestado alguna vez en enviar una postal o una carta cifrando a mano el contenido), amparados por la esperanza de que al cartero no le diera por leer su contenido.
Y la duda es ¿para cuando en GMail, en Outlook, en Mail, o si todavía sigue existiendo, en Yahoo (EN)? No debería faltar mucho. En la mayoría de estos servicios ya se envían por defecto emails cifrados con TLS. Ahora falta que demos el siguiente paso.
Y es que como decía, y frente al pesimismo de nuestro sector, mañana estaremos aún mejor de lo que hemos estado nunca.
La verdad es que tienes razón. El problema es que a mayor seguridad más se ponen las pilas los malos para superar ese nivel. También es cierto que a Google le importa tres leches si mando un vídeo de mi gato subiéndose al aire acondicionado a dormir (algo verídico lo prometo). La inseguridad es algo que aún muchos ni siquiera sabemos que existe. Nos creemos que todo está bien, que a quién le importa lo que yo escriba, que no tengo nada que ocultar y todas esas chorradas que hacen que en nuestros ordenadores se abran las puertas de par en par para el crimen organizado cibernético. No, la seguridad total, el 100% no existe pero al menos sería bueno ponérselo difícil a los malos malotes. Saludos Pablo y feliz semana.
Tal cual Fernando. También es verdad que ahora nos enteramos de mucho más que antes, y que por otro lado, lo que antiguamente eran simples hackeos por reputación o activismo, ahora cuenta detrás con una industria que mueve millones.
Pero en efecto hay que desterrar esa idea preconcebida que lo que nosotros hagamos no le importa a nadie. Porque de verdad que importa, y podría pasarnos factura el día de mañana, como ya he explicado en alguna que otra ocasión.
A Samsung le gusta eso.!! Próximamente los aire acondicionado Samsung ofrecerán en su equipo material acolchonado y anti-rasguño para esos pequeños de casa que disfrutan subirse en ellos.
Han visto la pelicula de hacker… no esa que dice llamarse hacker y es mas persecución policiaca. Hablo de I.T. donde el protagonista es un hacker y el actor reconocido como uno de los jamesbond, piercesbrosnan. Esa si es una película de hacker, donde su dialogo es dar a entender la poca seguridad que existe mediante la tecnología, la privacidad es algo que se pierde.
Acá el punto es, se mejor que los demás y a la vez superarse a si mismo. Por eso ningún sistema es seguro. Claro que eso solo las personas que andamos en esos ámbitos entendemos o los que están al pendiente de como este mundo se mueve, pero aquellos que ni idea y ni les interesa, serán esos que no prestaran atención cuando su jefe les diga sobre PGP en su mails para futuras comunicaciones.
Por cierto, un telegrama si era todo un sistema de cifrado, cuando cada letra costaba cierta cantidad monetaria, había que pensar bien escribir poco pero que se entendiera en su destino o por lo menos escribirlo en clave y que lo entendiera el destinatario.
Fíjate que pasó lo mismo con los SMS y no hubo interés en cifrarlo. Realmente hay diferencia entre el coste de cifrar un mensaje y el coste de simplificarlo, y en esos casos ocurre lo segundo. De hecho, generalmente un cifrado aumenta (o como mucho, queda estable) la economía de un mensaje. No recuerdo si existe algún cifrado que simplifique el tamaño de un mensaje sin perder datos, a no ser que se recurra a simplificarlo primero y luego se cifre ese mensaje simplificado, claro.