#MundoHacker: ¿Es seguro enviar documentos confidenciales por Internet?

enviar documentos email

Aunque no suela publicarlo por aquí, no hay día que no me llegue algún email con preguntas de algún lector. Algunas veces con dudas cuya complejidad requiere que nos planteemos un acuerdo de colaboración empresarial (consultoría, mentoría, talleres…), pero otras son simples dudas que en diez/quince minutos en un mail puedo solventar, y que hago por tanto en algún rato libre (muchas veces incluso mientras saco a pasear al perro).

La cuestión es que al final, cuando algunas de ellas se repiten demasiado, acabo prefiriendo resolverlas directamente con un artículo en esta página, de forma que para futuras preguntas puedo directamente enlazar a la pieza y evitar volver a escribir todo el rollo otra vez.

Este es uno de esos casos.

Recientemente Sonia, una recién llegada a la Comunidad, me pedía permiso para trasladarme algunas dudas al respecto de si era seguro compartir documentos y archivos confidenciales por servicios digitales. Es una duda muy común, que tiene varias lecturas distintas, y que por tanto me parece interesante transcribir por aquí.

¿Es seguro mandar documentación importante como el DNI o el libro de familia por email, o mejor mandarlo por correo certificado?

Básicamente aquí estamos ante la eterna pugna entre seguridad y privacidad de los entornos físicos y digitales. Y como cualquier otra pregunta compleja, la respuesta obvia es: depende.

  • Depende del ámbito y la importancia del documento: Si tenemos que demostrar que el documento no ha sido manipulado, es probable que enviar una fotocopia vía email no nos sirva de nada. Tendremos que personarnos en el lugar donde nos lo han pedido para que ellos mismos hagan la fotocopia, o enviarlo desde una oficina con algún tipo de sello que un tercero expida (Correos o la Administración Pública, por ejemplo) para certificar que estamos ante el original. Sobra decir que digitalmente no enviamos un original, si no una copia (la originalidad en formato digital no funciona igual que en el formato físico), por lo que si lo que nos piden es el original no será posible hacerlo tampoco.
  • Depende de lo que valoremos nuestro tiempo y nuestros recursos: Enviar un correo certificado supone tener que ir hasta una oficina físicamente con la fotocopia (o hacerla nosotros mismos), rellenar un formulario y pagar el precio que tenga el envío, el sobre y la certificación. Hacerlo por email supone poder enviarlo desde casa, escaneando el documento con un escáner o con una aplicación del móvil, y enviarlo vía email. Algo que nos va a robar muchísimo menos tiempo y además es prácticamente gratis (siendo estrictos, únicamente estamos gastando el coste eléctrico y el pago de la conexión, en ambos casos casi despreciable).
  • Pero sobre todo, depende de lo que entendamos por seguridad.

Me explico.

¿Es más seguro enviar un documento por email que hacerlo por correo postal? Realmente , ya que el protocolo de email es universal y en caso de fallo, recibiremos una alerta instantánea (el correo no ha podido enviarse/no ha llegado al destinatario por X razón). Si no la recibimos el correo llegar ha llegado a su destino (otra cosa es que lo abran). Un correo postal, pese a estar certificado, tiene que pasar físicamente por varios procesos, y en cualquiera de ellos hay un riesgo de que se extravíe, perdiendo de paso el documento (si habíamos enviado el original, estamos jodidos).

¿Es más privado? En principio no. En el momento en el que subimos algo a Internet, aunque sea una imagen en un correo, eso va a pasar por algún servidor y presumiblemente se va a quedar alojado allí quizás para siempre. Eso no significa que vaya a ser accesible por alguien que no sea el emisor y el receptor, pero está claro que de haber, existe más riesgo de que la confidencialidad se rompa que en un correo postal, en principio (y presuponiendo que nadie acabe robando ese sobre) único e inmutable.

Sea como fuere, yo tengo que decirte que hace tiempo que envío mi DNI y otros documentos de este tipo por correo. Que la comodidad y seguridad al final ha acabado anteponiéndose a la privacidad en mi caso.

Pero teniendo claro lo siguiente:

  • Enviar documentos como un adjunto directo dentro del propio email: Es la opción más recomendable, ya que probabilísticamente hablando pasará por menos intermediarios. Y si queremos estar aún más seguros, la mayoría de compresores nos permiten comprimir (y a veces también cifrar) documentos que requieren contraseña para abrirse. Dicha contraseña podríamos pasársela al interesado por otro canal, complicando aún más la posibilidad de que un tercero, o incluso la propia plataforma, pueda acceder al mismo (lo que sería algo así como un segundo factor de autenticación :)).
  • Enviarlo como un archivo compartido: En la mayoría de gestores de emails existe una cuota máxima de tamaño de adjuntos que podemos enviar por mail. Pasada esa cuota, o bien no nos deja enviarlo, o como en el caso de GMail (25 megas o más) nos ofrece la posibilidad de compartirlo subiéndolo a un servicio en la nube. Y aquí el problema de esto es que según cómo se hayan compartido esos documentos puede que terceros en algún momento futuro puedan acceder a ellos. Basta buscar por Google URLs de carpetas compartidas de Dropbox para darse cuenta que a veces por desconocimiento los usuarios comparten documentos y carpetas con sus conocidos sin los controles de seguridad adecuados, y estos enlaces acaban de una u otra manera indexados en búsquedas públicas. Para evitarlo, siempre fijarse con quién estás compartiendo el documento (darle acceso de lectura o escritura al interesado), y no dejarlo abierto a cualquiera que llegue a esa dirección.

¿Y subir fotos comprometidas o de niñ@s a un servicio en la nube privado como Google Fotos?

Esta pregunta, aunque con otra formulación, ya la respondí precisamente cuando Google presentó su servicio de almacenamiento de fotos privado.

Volvemos a lo mismo. TODO lo que subamos a la Red, aunque sea solo accesible por nosotros, deja de ser exclusivamente privado.

En teoría, en el caso de GFotos, Google se reserva el derecho a borrar contenido que considere inadecuado de las bibliotecas de los usuarios (ha pasado ya con algún contenido explícito compartido entre usuarios del servicio), y no hay que olvidar que Google es una empresa de datos y como tal su principal motivación es hacer billetes, lo que puede llevarle a que el día de mañana modifique esa biblioteca personal para, por ejemplo, mostrar publicidad o incluso, ya poniéndonos en el peor caso, edite sutilmente esas fotos para que pensemos que estábamos tomando una Cocacola y no un Nestea en aquella instantánea del verano pasado.

Ahora suena a locura, pero ojo, que la política de uso que hemos aceptado cuando empezamos a utilizar ese servicio por permitir ya lo permitiría.

Torres más altas han caído…

Ahora bien, y de nuevo te vuelvo a mi caso, es cierto que hoy en día más seguro que algo como Google Fotos (y en definitiva, cualquier servicio en la nube) no hay nada

Los documentos que subas a un servicio de estos van a estar ahí hasta que tú los borres, y se replican en diferentes servidores físicos para asegurarse de que incluso si alguno de ellos falla, haya otras copias de seguridad disponibles.

Que lo que subes a Google Fotos sabes que va a seguir estando ahí hasta que el servicio cierre (y cuando ocurra, avisarán con tiempo para poder sacarlo). Cosa que no puedes decir de fotos o documentos que tengas tú guardados en el ordenador o el móvil.

Descontando que, por supuesto, un tercero lo tiene mucho más jodido para poder entrar en tu cuenta que, por ejemplo, para robarte tu dispositivo. Hackear un servicio como Google no es para nada fácil, y de hecho lo más probable es que salga más rentable engañarte a ti, lanzando una campaña de phishing específicamente diseñada para que entregues tus credenciales de acceso a la cuenta.

Es, de nuevo, más seguro, pero menos privado. En principio solo tú puedes ver estas fotos. Pero también es verdad que puedes compartir álbumes, y lo mismo en dicho álbum hay alguna foto que no hubieras querido compartirla con alguien (es un error tuyo y un riesgo a considerar). Y por encima de todo, está Google, que aunque ninguno de sus trabajadores puede entrar en tus carpetas, el sistema algorítmico que rige el servicio sí lo hace, pudiendo como decía eliminar contenido que considera inadecuado, controlando posibles abusos del uso del servicio…

Aunque es cierto que la mayoría de estos servicios cuentan con una versión de pago que asegura la privacidad de dicha información (como ocurre con todos los negocios digitales, si no pagas por un servicio, el producto eres tú).

Resumiendo. Que siendo conscientes de lo que supone aceptar su uso, a mi me da más miedo que un buen día mi disco duro deje de funcionar y por tanto pierda toda las fotos de mi vida que el que las máquinas de Google, Microsoft o la multinacional de turno tengan acceso a ese contenido.

Privacidad frente a seguridad en la preservación de nuestros recuerdos, lo llamé en su momento. Y sigo opinando igual.

 

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve en tu día a día, piensa si te merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias