¿Os suena el nombre David Petraeus? La mayoría no suele saberse de memoria cómo se llama el director de la CIA, pero recientemente Petraeus ha cometido un descuido de seguridad de tal calibre que el mundo entero ha terminado sabiendo acerca de él. Hay todo un cuelbrón matrimonial de por medio que no viene al caso, lo que importa verdaderamente es que el director de la CIA (con estudios especializados en antiterrorismo) utilizase los borradores de Gmail para encubrir secretos. Y hay métodos mucho mejores para ocultarse.
No, David, los borradores de Gmail no es un sitio seguro para esconder mensajes secretos
La estratagema de Petraeus para ocultar la relación con su amante era la siguiente: enviarse correos electrónicos entre sí era demasiado evidente aún usando cuentas falsas, de modo que en vez de enviarse esos correos los escribirían y sencillamente los guardarían en la carpeta de borradores pendientes de enviar. Tanto Petraeus como su romance entraban en la misma cuenta de correo y leían los mensajes accediendo a esos borradores.
Como no se enviaba ningún mensaje, el rastreo era imposible y se reducía a la actividad interna de esa misma cuenta. Pero claro, hay un problema: resulta que es un método que han usado muchos terroristas y por lo tanto es bien conocido por las fuerzas de seguridad de los Estados Unidos. Y al ser un método sin ningún tipo de protección, pillar a Petraeus fue fácil. Google guarda un historial de direcciones IP que acceden a las cuentas de Gmail, y eso es sólo el principio.
Cómo intentar enviarse mensajes en secreto y tener un mínimo de seguridad
No es que desde Genbeta animemos a planear delitos, pero no tiene por qué ser el único motivo por el que podríamos querer enviar mensajes con un añadido en seguridad. Imaginémonos, por ejemplo, que estamos planeando una fiesta sorpresa a alguien que usa el mismo ordenador que nosotros y no queremos dejar rastro. Hay varias formas de conseguirlo:
-
Usar una aplicación que tenga especial hincapié en la seguridad al enviar mensajes. A principios de julio le echábamos un vistazo a Wickr, una aplicación de mensajería instantánea que cifraba todos los mensajes.
-
Utilizar una herramienta de cifrado manual para ocultar nuestro texto: escribimos, ciframos, enviamos, y el destinatario recibe, descifra y lee. Rudimentario, pero desde luego más efectivo que “esconder” un mensaje en los borradores.
-
Navegar detrás de capas de seguridad adicionales como una VPN, utilizar servidores proxy para ocultar nuestra identidad o cifrar todos los datos que salen y entran de nuestro ordenador con algún complemento de la talla de TOR con cifrado militar.
-
Utilizar, como mínimo, un servicio que no esté en uso por cientos de millones de personas cada día para evitar ponérselo fácil a todo el mundo.
La moraleja que podemos aprender aquí es que aunque seas director de la CIA no tienes por qué saber de privacidad y seguridad de los servicios en internet, cosa que deja a una de las organizaciones más avanzadas del mundo en el podio de la vergüenza. Y nunca podremos decir que existe un método perfecto y completamente infalible para cifrar y enviar mensajes ocultos, pero como mínimo se lo podemos complicar un poco a los encargados de descubrir este tipo actividades.
Imágenes | Dave Bleasdale
Ver 10 comentarios
10 comentarios
atoi
Yo uso GPG para enviar correos cifrados de trabajo y es tan sencillo como enviar un correo no cifrado. Permite confidencialidad, integridad, y los más importante, no-repudio. Esto último debido que es un algoritmo asimétrico (clave publica y privada), y por tanto la clave de cifrado la tiene sólo el emisor. Se pueden usar certificados emitidos por terceros, claves auto-generadas o utilizar claves de confianza, donde unos firman las claves de otros certificando que son quienes dicen ser.
Se supone que sólo los correos firmados digitalmente (aunque no necesariamente cifrados) tienen valor legal, por lo que son los únicos que se pueden usar como evidencia válida en el contexto de un litigio. Si recibo un mail del gerente con improperios, y decido demandarlo, de no estar firmado puede ser repudiado pues el protocolo smtp no requiere autenticación.
No tengo idea de si Gmail permite usar alguna implementación PGP desde su interfaz webmail, pero se puede usar desde un cliente de escritorio y de forma totalmente transparente.
ejner69
"Borrón y cuenta nueva" nunca fue tan literal.
95873
Yo creo este señor tal vez supiera más de lo que parece. Tal vez usar una VPN o cualquier otro cifrado haga saltar alarmas automáticas y llame la atención sobre un usuario. En cambio guardar borradores es algo que gmail hace automáticamente si tardamos un rato en terminar de escribir, así que debe despertar menos sospechas. Supongo que los mismos borradores, pero cifrados, podrían ser más sospechosos todavía. Si vas a cartearte con la amante, es mejor que la NSA o la CIA puedan leerlo fácilmente antes que arriesgarte a una sesión de interrogatorio para obligarte a dar la clave que descifra los mensajes.
maverick
¿le habría ido mejor si hubiera usado outlook(antes hotmail)? ¿Alguien sabe si Microsoft también guarda el historial de las ip que acceden al correo? Es que sinceramente me dan miedo los de google, que pueden llegar a saber mas de uno que mi propia madre
fossie
Me gusta la imagen que habeis puesto simulando ser la carpeta "borradores" de Petraeus aunque dudo que él escribiera los mensajes en castellano ;D
Los colegas de Petraeus en la CIA se han tenido que reir un rato por la escasa seguridad del jefe.