Entendiendo privacidad como aquella que evita que nuestros datos sean susceptibles a ser explotados por otras personas, y cuya explotación atiende bien únicamente a intereses personales (ofrecernos inteligencia y contextualidad en los servicios que utilizamos), bien como modelo de negocio ANONIMIZADO para esas empresas que están detrás.
Una nueva definición de privacidad que previsiblemente se irá instaurando en el escenario digital, y que en máxima, es quizás el menor de los males. El equilibrio más adecuado entre evolución tecnológica, necesidades del usuario, e intereses comerciales.
Bajo este prisma, me parece interesante recopilar en un mismo artículo varios de los últimos movimientos que en efecto apuntan a un entorno en el que como mínimo se tiene en cuenta la privacidad del usuario. No únicamente como método diferencial frente a la competencia (ganarse la confianza del usuario), sino también como estrategia de defensa frente a las peticiones de datos de gobiernos y ciberataques de la industria del crimen (tanto en el primer como en el segundo caso, si los datos están cifrados y anonimizados y ni siquiera el actual poseedor de estos es capaz de tratarlos, se minimizan los efectos de ese fallo). Como respuesta a los abusos de la industria publicitaria.
Un movimiento generalizado que debemos agradecer en mayor o menor medida a las revelaciones de whistleblowers como Assange y Snowden. Auténticos baluartes de la transparencia que debería dictar el camino a seguir en la era de la información.
Es gracias a la exposición pública de este auténtico despropósito de vigilancia masiva por parte de gobiernos de medio mundo. A la continua presencia de una verdadera guerra fría digital que lleva años en activo, escudándose en la dificultad de identificar quién ha sido el verdadero atacante (y por ende, la incapacidad de declarar la guerra públicamente). A la paulatina hegemonía del control de la sociedad mediante el control desorbitado de la información, que hoy en día, y cada vez con mayor presencia, estamos viviendo un cambio de paradigma sin precedentes.
Las comunicaciones en el mundo digital (en toda su amplia definición, como veremos) se están volviendo más privadas y seguras. El cifrado y la autenticación gestionan y gestionarán cada vez con mayor acierto cualquier acción en el mundo digital, pervirtiendo (para bien) el uso que tuvo la informática en sus inicios, y dibujando un panorama más adecuado para la feroz proliferación de internet como medio de acceso y compartición de la información.
Comunicaciones cifradas y efímeras por defecto
La era Post-Snowden trajo consigo varios movimientos, y entre ellos, vimos con renovado interés cómo las comunicaciones mediante mensajería instantánea abrazaban a marchas forzadas protocolos de cifrado adecuados.
Ese WhatsApp, que hasta el momento había sido un ejemplo de aplicación poco segura, se ponía las pilas.
Y surgía entonces un movimiento paralelo, apoyado también en el cifrado de la mensajería. Con Snapchat como gran referente, surge la mensajería efímera (y en líneas generales, la comunicación efímera), que no es tan efímera como a priori parece, pero que adentra el sentido común en un escenario digital falto de él.
No necesito que todas esas cosas del día a día que digo por una plataforma de mensajería instantánea se queden registradas. Es más, prefiero que no sea así, como ocurre en el mundo físico con las conversaciones diarias.
El resultado es una capa de privacidad extra. La información viaja cifrada, y además se «destruye» cuando el usuario al que va dirigida la ha visto. Un movimiento al que se ha sumado este mismo viernes Facebook con su Messenger (EN), por ahora solo para usuarios franceses, y que quizás acabe por exportarse a buena parte de servicios de este tipo.
Protocolos de cifrado y autenticación abstractos al usuario
También sirvió para dar el pistoletazo de salida al cifrado mediante comunicaciones HTTPs de la mayoría de grandes servicios de internet.
Tanto que a partir de ahora, GMail informará al usuario de qué emails le llegan desde servicios o aplicaciones no cifradas por defecto (EN). Comunicaciones que podrían venir intervenidas (y por tanto, modificadas), de las cuales no es posible asegurar su integridad y autoría.
hoy en día, no se me ocurre ningún servicio masivo que no haya apostado por HTTPs como método de comunicación por defecto, e incluso es probable que de aquí a unos años la navegación (sea activa o pasiva por parte del usuario) se realice exclusivamente mediante protocolo seguro.
Ejemplo de ello lo vemos en ese anuncio de Google en el que animaba a todas las webs a abrazar el protocolo seguro HTTPs a cambio de una valoración más positiva desde el punto de vista del posicionamiento en su buscador. Una jugada magistral que en su día analizamos, y que seguramente acabe por materializarse en esa futura internet donde ya no solo los servicios y toda web que gestiona usuarios o información crítica de estos mantenga una conexión HTTPs por defecto, sino también medios de información y blogs como este, donde a priori no hay un tráfico bidireccional de información (quitando los comentarios, la información viaja de mi usuario hacia el lector, que a efectos prácticos es un usuario anónimo).
¿Qué falta para que esto acabe por materializarse? Muy sencillo. Que se democratice la implementación y el mantenimiento de protocolos seguros:
- Mantener una conexión HTTPs en una página cuesta dinero: como mínimo unos 60 euros anuales, siendo el precio más normal (HTTPs que cubren la mayoría de casuísticas y vienen firmadas por certificadoras de prestigio) alrededor de los 150 euros. Hay sin embargo iniciativas como Let’s Script de la EFF y Mozilla, desarrollado bajo licencia open source, que están ya ofreciendo (bajo beta cerrada) conexiones TLS gratuitas a administradores de dominios.
- La implementación de un HTTPs no es del todo sencilla: se requieren conocimientos de administración de sistemas para llevarla a cabo. La democratización está llegando también a esto, con numerosos proveedores de dominios y hosting que se encargan de hacer estos trámites.
Asegurada su privacidad, falta asegurar su autoría, y ahí es donde entra DNSSEC, una extensión del DNS (encargado de traducir una dirección del tipo www.dominio.com en su IP respectiva) que permite autenticar esa conexión, evitando posibles man in the middle o envenenamientos de nombres de dominios (ataque que se basa en cambiar las direcciones IP a las que apunta un dominio en un ordenador específico para que ese usuario acceda a un servicio distinto, normalmente fraudulento).
Esta semana también conocíamos que CloudFlare, uno de los CDNs más utilizados en todo el mundo (y presentes en esta página), habilitaba un servicio de DNSSEC (EN) gratuito, intentando que la implementación dependa lo mínimo posible del administrador (únicamente hay que pasarle al proveedor de hosting las claves para que la comunicación en efecto vaya autenticada).
Sin olvidarnos del movimiento de Firefox por ofrecer Private Safe por defecto en su navegador (sin tener que instalar nada más). Una suerte de navegación de incógnito que incluye además un bloqueador de scripts de tracking, como respuesta a ese abuso de la industria publicitaria.
Son ejemplos de que pese a que a corto plazo parece que no avanzamos, en verdad sí lo estamos haciendo. Que la internet de finales del 2015 no es ni de lejos tan insegura como lo era la del 2010, y seguramente lo sea mucho más de lo que nos encontraremos en los próximos años.
Lo cual, sin lugar a duda, son buenas noticias.
¿De qué me sirve el HTTPS entre mi ordenador y Google si el que me espía y utiliza mis datos es Google? Es una pregunta-reflexión que suelo hacerme y que confío no tomes a mal, pues no pretende desmerecer tu artículo, como siempre con información muy valiosa.
Y me parece muy adecuada Pidal. Aquí es una cuestión de confianza.
Google tiene muchísima información nuestra, pero por otro lado, está trabajando en que todo ese conocimiento sirva únicamente para alimentar su maquinaria, sin que haya posibilidad de que un tercero o ellos mismos accedan específicamente a ello.
Es decir, es una capa de abstracción. Un sistema que intenta ser lo suficientemente automático como para que no haya mediación humana, y por ende, posibilidad de explotar interesadamente los datos.
Y fíjate que este conocimiento no es compartido con stakeholders. Lo que se comparte son perfiles anonimizados, que es lo que en la práctica usan para segmentar la publicidad.
¿Que no te encuentras a gusto con ello? No eres el único. Siempre queda la duda de hasta qué punto esto funciona de esta manera, más sabiendo el interés que hay por parte de agencias de inteligencia por el acceso a esa información. Y los malos usos que podría desencadenar en el futuro.
Pero hay que aceptar que al menos lo están intentando. Que su negocio, como la mayoría de negocios de internet, depende aún más de la confianza que el usuario deposite en sus servicios. Y que por tanto hay una suerte de presión por hacer las cosas bien, ya que un día se está en lo alto, y al siguiente, un par de tíos en una cochera te han dejado sin negocio.
No me cabe la menor duda que muchos trabajan para hacer de Internet un servicio más seguro. Igualmente otros estarán desarrollando estrategias y sistemas para superar las nuevas medidas de protección. Un juego de nunca acabar. Muy buen artículo Pablo. Un saludo.
El sector de las infraestructuras críticas es uno de los más vulnerables.Hoy en día tanto a nivel particular como para las grandes organizaciones, el ámbito de la Ciberseguriddad (ES) es un campo que suscita un creciente interés dadas las constantes y cada vez más sofisticadas amenazas externas que ponen en riesgo la información crítica o los activos industriales de una compañía. hay un creciente interés por proteger cada vez de forma más eficiente la información crítica o los activos industriales de una empresa. Para optimizar una estrategia de ciberseguridad habría que avanzar en tres líneas de acción concretas.
-La disminución de la superficie de ataque de la red de control.
-La mejora en la gestión de la Ciberseguridad de la organización.
-La supervisión continua del riesgo al que se enfrentan los activos de control.