Aunque no suela publicarlo por aquí, no hay día que no me llegue algún email con preguntas de algún lector. Algunas veces con dudas cuya complejidad requiere que nos planteemos un acuerdo de colaboración empresarial (consultoría, mentoría, talleres…), pero otras son simples dudas que en diez/quince minutos en un mail puedo solventar, y que hago por tanto en algún rato libre (muchas veces incluso mientras saco a pasear al perro).
La cuestión es que al final, cuando algunas de ellas se repiten demasiado, acabo prefiriendo resolverlas directamente con un artículo en esta página, de forma que para futuras preguntas puedo directamente enlazar a la pieza y evitar volver a escribir todo el rollo otra vez.
Este es uno de esos casos.
Recientemente Sonia, una recién llegada a la Comunidad, me pedía permiso para trasladarme algunas dudas al respecto de si era seguro compartir documentos y archivos confidenciales por servicios digitales. Es una duda muy común, que tiene varias lecturas distintas, y que por tanto me parece interesante transcribir por aquí.
¿Es seguro mandar documentación importante como el DNI o el libro de familia por email, o mejor mandarlo por correo certificado?
Básicamente aquí estamos ante la eterna pugna entre seguridad y privacidad de los entornos físicos y digitales. Y como cualquier otra pregunta compleja, la respuesta obvia es: depende.
- Depende del ámbito y la importancia del documento: Si tenemos que demostrar que el documento no ha sido manipulado, es probable que enviar una fotocopia vía email no nos sirva de nada. Tendremos que personarnos en el lugar donde nos lo han pedido para que ellos mismos hagan la fotocopia, o enviarlo desde una oficina con algún tipo de sello que un tercero expida (Correos o la Administración Pública, por ejemplo) para certificar que estamos ante el original. Sobra decir que digitalmente no enviamos un original, si no una copia (la originalidad en formato digital no funciona igual que en el formato físico), por lo que si lo que nos piden es el original no será posible hacerlo tampoco.
- Depende de lo que valoremos nuestro tiempo y nuestros recursos: Enviar un correo certificado supone tener que ir hasta una oficina físicamente con la fotocopia (o hacerla nosotros mismos), rellenar un formulario y pagar el precio que tenga el envío, el sobre y la certificación. Hacerlo por email supone poder enviarlo desde casa, escaneando el documento con un escáner o con una aplicación del móvil, y enviarlo vía email. Algo que nos va a robar muchísimo menos tiempo y además es prácticamente gratis (siendo estrictos, únicamente estamos gastando el coste eléctrico y el pago de la conexión, en ambos casos casi despreciable).
- Pero sobre todo, depende de lo que entendamos por seguridad.
Me explico.
¿Es más seguro enviar un documento por email que hacerlo por correo postal? Realmente sí, ya que el protocolo de email es universal y en caso de fallo, recibiremos una alerta instantánea (el correo no ha podido enviarse/no ha llegado al destinatario por X razón). Si no la recibimos el correo llegar ha llegado a su destino (otra cosa es que lo abran). Un correo postal, pese a estar certificado, tiene que pasar físicamente por varios procesos, y en cualquiera de ellos hay un riesgo de que se extravíe, perdiendo de paso el documento (si habíamos enviado el original, estamos jodidos).
¿Es más privado? En principio no. En el momento en el que subimos algo a Internet, aunque sea una imagen en un correo, eso va a pasar por algún servidor y presumiblemente se va a quedar alojado allí quizás para siempre. Eso no significa que vaya a ser accesible por alguien que no sea el emisor y el receptor, pero está claro que de haber, existe más riesgo de que la confidencialidad se rompa que en un correo postal, en principio (y presuponiendo que nadie acabe robando ese sobre) único e inmutable.
Sea como fuere, yo tengo que decirte que hace tiempo que envío mi DNI y otros documentos de este tipo por correo. Que la comodidad y seguridad al final ha acabado anteponiéndose a la privacidad en mi caso.
Pero teniendo claro lo siguiente:
- Enviar documentos como un adjunto directo dentro del propio email: Es la opción más recomendable, ya que probabilísticamente hablando pasará por menos intermediarios. Y si queremos estar aún más seguros, la mayoría de compresores nos permiten comprimir (y a veces también cifrar) documentos que requieren contraseña para abrirse. Dicha contraseña podríamos pasársela al interesado por otro canal, complicando aún más la posibilidad de que un tercero, o incluso la propia plataforma, pueda acceder al mismo (lo que sería algo así como un segundo factor de autenticación :)).
- Enviarlo como un archivo compartido: En la mayoría de gestores de emails existe una cuota máxima de tamaño de adjuntos que podemos enviar por mail. Pasada esa cuota, o bien no nos deja enviarlo, o como en el caso de GMail (25 megas o más) nos ofrece la posibilidad de compartirlo subiéndolo a un servicio en la nube. Y aquí el problema de esto es que según cómo se hayan compartido esos documentos puede que terceros en algún momento futuro puedan acceder a ellos. Basta buscar por Google URLs de carpetas compartidas de Dropbox para darse cuenta que a veces por desconocimiento los usuarios comparten documentos y carpetas con sus conocidos sin los controles de seguridad adecuados, y estos enlaces acaban de una u otra manera indexados en búsquedas públicas. Para evitarlo, siempre fijarse con quién estás compartiendo el documento (darle acceso de lectura o escritura al interesado), y no dejarlo abierto a cualquiera que llegue a esa dirección.
¿Y subir fotos comprometidas o de niñ@s a un servicio en la nube privado como Google Fotos?
Esta pregunta, aunque con otra formulación, ya la respondí precisamente cuando Google presentó su servicio de almacenamiento de fotos privado.
Volvemos a lo mismo. TODO lo que subamos a la Red, aunque sea solo accesible por nosotros, deja de ser exclusivamente privado.
En teoría, en el caso de GFotos, Google se reserva el derecho a borrar contenido que considere inadecuado de las bibliotecas de los usuarios (ha pasado ya con algún contenido explícito compartido entre usuarios del servicio), y no hay que olvidar que Google es una empresa de datos y como tal su principal motivación es hacer billetes, lo que puede llevarle a que el día de mañana modifique esa biblioteca personal para, por ejemplo, mostrar publicidad o incluso, ya poniéndonos en el peor caso, edite sutilmente esas fotos para que pensemos que estábamos tomando una Cocacola y no un Nestea en aquella instantánea del verano pasado.
Ahora suena a locura, pero ojo, que la política de uso que hemos aceptado cuando empezamos a utilizar ese servicio por permitir ya lo permitiría.
Torres más altas han caído…
Ahora bien, y de nuevo te vuelvo a mi caso, es cierto que hoy en día más seguro que algo como Google Fotos (y en definitiva, cualquier servicio en la nube) no hay nada.
Los documentos que subas a un servicio de estos van a estar ahí hasta que tú los borres, y se replican en diferentes servidores físicos para asegurarse de que incluso si alguno de ellos falla, haya otras copias de seguridad disponibles.
Que lo que subes a Google Fotos sabes que va a seguir estando ahí hasta que el servicio cierre (y cuando ocurra, avisarán con tiempo para poder sacarlo). Cosa que no puedes decir de fotos o documentos que tengas tú guardados en el ordenador o el móvil.
Descontando que, por supuesto, un tercero lo tiene mucho más jodido para poder entrar en tu cuenta que, por ejemplo, para robarte tu dispositivo. Hackear un servicio como Google no es para nada fácil, y de hecho lo más probable es que salga más rentable engañarte a ti, lanzando una campaña de phishing específicamente diseñada para que entregues tus credenciales de acceso a la cuenta.
Es, de nuevo, más seguro, pero menos privado. En principio solo tú puedes ver estas fotos. Pero también es verdad que puedes compartir álbumes, y lo mismo en dicho álbum hay alguna foto que no hubieras querido compartirla con alguien (es un error tuyo y un riesgo a considerar). Y por encima de todo, está Google, que aunque ninguno de sus trabajadores puede entrar en tus carpetas, el sistema algorítmico que rige el servicio sí lo hace, pudiendo como decía eliminar contenido que considera inadecuado, controlando posibles abusos del uso del servicio…
Aunque es cierto que la mayoría de estos servicios cuentan con una versión de pago que asegura la privacidad de dicha información (como ocurre con todos los negocios digitales, si no pagas por un servicio, el producto eres tú).
Resumiendo. Que siendo conscientes de lo que supone aceptar su uso, a mi me da más miedo que un buen día mi disco duro deje de funcionar y por tanto pierda toda las fotos de mi vida que el que las máquinas de Google, Microsoft o la multinacional de turno tengan acceso a ese contenido.
Privacidad frente a seguridad en la preservación de nuestros recuerdos, lo llamé en su momento. Y sigo opinando igual.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve en tu día a día, piensa si te merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Interesante el artículo para aclarar alguna de las dudas que nos suelen asaltar a todos de vez en cuando, pero hubiera estado bien tocar el tema de la exposición de nuestros datos, teóricamente privados, en Internet. Me refiero a indicar nombre completo mas número de DNI y dirección de contacto en el apartado de «Política de Privacidad» y/o «Términos de uso» que la ley indica que debemos incluir en los sitios web.
He visto profesionales «autónomos» que los incluyen todos, otros solo una parte y la mayoría no indica ninguno, mas allá de un email de contacto. Seguramente será por miedo a que cualquiera pueda acceder a esos datos y «liartela parda» contratando algo a tu nombre o similares, ya que dispone de toda la información necesaria para realizar tramites online.
Por cumplir con un requisito legal te expones a problemas, o al menos eso me parece a mi. ¿Y tú que opinas?
Que tienes mucha razón, Alfredo. Yo juraría, de hecho, que no lo tengo puesto por ningún lado.
Hay cosas por las que no paso, y esta es una. Igual que el domicilio (tengo puesto la dirección de un coworking donde voy de vez en cuando).
Muy buen aporte.
Hola, no he podido evitar el comentar al ver lo que hay escrito.
Puedo coincidir en que es más comodo enviar las cosas por correo electrónico. Pero ni es más seguro ni mas privado.
Teniendo en cuenta en que confies en la compañia de correos es bastante dificil que o bien se comprometa la integridad del envío o bien tu privacidad. Los casos retivamente más fáciles ( que no significa que sea fácil en términos absolutos) incluyen la cooperación del sercicio de correo. Las demás posibilidades son bastante más complicadas.
En cambio por correo electrónico hay una gran cantidad de ataques que implican que tanto el emisor como el destinatario no son conscientes de que la privacidad ha sido violada. Existen robos de información. Aparte enviar información delicada ( dni por ejemplo) sin al menos encriptarlo es como dejar las llaves del coche en el contacto ( buena suerte si te pasa).
Existen maneras bastante mejores de identificarte de manera digital sin comprometer tu seguridad.
NO ACONSEJARÍA A NADIE MANDAR DOCUMENTOS ESPECIALMENTE DELICADOS POR EMAIL.