El mundo digital hacia un escenario donde la privacidad está asegurada

privacy

Entendiendo privacidad como aquella que evita que nuestros datos sean susceptibles a ser explotados por otras personas, y cuya explotación atiende bien únicamente a intereses personales (ofrecernos inteligencia y contextualidad en los servicios que utilizamos), bien como modelo de negocio ANONIMIZADO para esas empresas que están detrás.

Una nueva definición de privacidad que previsiblemente se irá instaurando en el escenario digital, y que en máxima, es quizás el menor de los males. El equilibrio más adecuado entre evolución tecnológica, necesidades del usuario, e intereses comerciales.

Bajo este prisma, me parece interesante recopilar en un mismo artículo varios de los últimos movimientos que en efecto apuntan a un entorno en el que como mínimo se tiene en cuenta la privacidad del usuario. No únicamente como método diferencial frente a la competencia (ganarse la confianza del usuario), sino también como estrategia de defensa frente a las peticiones de datos de gobiernos y ciberataques de la industria del crimen (tanto en el primer como en el segundo caso, si los datos están cifrados y anonimizados y ni siquiera el actual poseedor de estos es capaz de tratarlos, se minimizan los efectos de ese fallo). Como respuesta a los abusos de la industria publicitaria.

Un movimiento generalizado que debemos agradecer en mayor o menor medida a las revelaciones de whistleblowers como Assange y Snowden. Auténticos baluartes de la transparencia que debería dictar el camino a seguir en la era de la información.

Es gracias a la exposición pública de este auténtico despropósito de vigilancia masiva por parte de gobiernos de medio mundo. A la continua presencia de una verdadera guerra fría digital que lleva años en activo, escudándose en la dificultad de identificar quién ha sido el verdadero atacante (y por ende, la incapacidad de declarar la guerra públicamente). A la paulatina hegemonía del control de la sociedad mediante el control desorbitado de la información, que a día de hoy, y cada vez con mayor presencia, estamos viviendo un cambio de paradigma sin precedentes.

Las comunicaciones en el mundo digital (en toda su amplia definición, como veremos) se están volviendo más privadas y seguras. El cifrado y la autenticación gestionan y gestionarán cada vez con mayor acierto cualquier acción en el mundo digital, pervirtiendo (para bien) el uso que tuvo la informática en sus inicios, y dibujando un panorama más adecuado para la feroz proliferación de internet como medio de acceso y compartición de la información.

Comunicaciones cifradas y efímeras por defecto

La era Post-Snowden trajo consigo varios movimientos, y entre ellos, vimos con renovado interés cómo las comunicaciones mediante mensajería instantánea abrazaban a marchas forzadas protocolos de cifrado adecuados.

Ese WhatsApp, que hasta el momento había sido un ejemplo de aplicación poco segura, se ponía las pilas.

Y surgía entonces un movimiento paralelo, apoyado también en el cifrado de la mensajería. Con Snapchat como gran referente, surge la mensajería efímera (y en líneas generales, la comunicación efímera), que no es tan efímera como a priori parece, pero que adentra el sentido común en un escenario digital falto de él.

No necesito que todas esas cosas del día a día que digo por una plataforma de mensajería instantánea se queden registradas. Es más, prefiero que no sea así, como ocurre en el mundo físico con las conversaciones diarias.

El resultado es una capa de privacidad extra. La información viaja cifrada, y además se “destruye” cuando el usuario al que va dirigida la ha visto. Un movimiento al que se ha sumado este mismo viernes Facebook con su Messenger (EN), por ahora solo para usuarios franceses, y que quizás acabe por exportarse a buena parte de servicios de este tipo.

Protocolos de cifrado y autenticación abstractos al usuario

También sirvió para dar el pistoletazo de salida al cifrado mediante comunicaciones HTTPs de la mayoría de grandes servicios de internet.

Tanto que a partir de ahora, GMail informará al usuario de qué emails le llegan desde servicios o aplicaciones no cifradas por defecto (EN). Comunicaciones que podrían venir intervenidas (y por tanto, modificadas), de las cuales no es posible asegurar su integridad y autoría.

A día de hoy, no se me ocurre ningún servicio masivo que no haya apostado por HTTPs como método de comunicación por defecto, e incluso es probable que de aquí a unos años la navegación (sea activa o pasiva por parte del usuario) se realice exclusivamente mediante protocolo seguro.

Ejemplo de ello lo vemos en ese anuncio de Google en el que animaba a todas las webs a abrazar el protocolo seguro HTTPs a cambio de una valoración más positiva desde el punto de vista del posicionamiento en su buscador. Una jugada magistral que en su día analizamos, y que seguramente acabe por materializarse en esa futura internet donde ya no solo los servicios y toda web que gestiona usuarios o información crítica de estos mantenga una conexión HTTPs por defecto, sino también medios de información y blogs como este, donde a priori no hay un tráfico bidireccional de información (quitando los comentarios, la información viaja de mi usuario hacia el lector, que a efectos prácticos es un usuario anónimo).

¿Qué falta para que esto acabe por materializarse? Muy sencillo. Que se democratice la implementación y el mantenimiento de protocolos seguros:

  • Mantener una conexión HTTPs en una página cuesta dinero: como mínimo unos 60 euros anuales, siendo el precio más normal (HTTPs que cubren la mayoría de casuísticas y vienen firmadas por certificadoras de prestigio) alrededor de los 150 euros. Hay sin embargo iniciativas como Let’s Script de la EFF y Mozilla, desarrollado bajo licencia open source, que están ya ofreciendo (bajo beta cerrada) conexiones TLS gratuitas a administradores de dominios.
  • La implementación de un HTTPs no es del todo sencilla: se requieren conocimientos de administración de sistemas para llevarla a cabo. La democratización está llegando también a esto, con numerosos proveedores de dominios y hosting que se encargan de hacer estos trámites.

Asegurada su privacidad, falta asegurar su autoría, y ahí es donde entra DNSSEC, una extensión del DNS (encargado de traducir una dirección del tipo www.dominio.com en su IP respectiva) que permite autenticar esa conexión, evitando posibles man in the middle o envenenamientos de nombres de dominios (ataque que se basa en cambiar las direcciones IP a las que apunta un dominio en un ordenador específico para que ese usuario acceda a un servicio distinto, normalmente fraudulento).

Esta semana también conocíamos que CloudFlare, uno de los CDNs más utilizados en todo el mundo (y presentes en esta página), habilitaba un servicio de DNSSEC (EN) gratuito, intentando que la implementación dependa lo mínimo posible del administrador (únicamente hay que pasarle al proveedor de hosting las claves para que la comunicación en efecto vaya autenticada).

Sin olvidarnos del movimiento de Firefox por ofrecer Private Safe por defecto en su navegador (sin tener que instalar nada más). Una suerte de navegación de incógnito que incluye además un bloqueador de scripts de tracking, como respuesta a ese abuso de la industria publicitaria.

Son ejemplos de que pese a que a corto plazo parece que no avanzamos, en verdad sí lo estamos haciendo. Que la internet de finales del 2015 no es ni de lejos tan insegura como lo era la del 2010, y seguramente lo sea mucho más de lo que nos encontraremos en los próximos años.

Lo cual, sin lugar a dudas, son buenas noticias.