Hace unos días, Edward Snowden salió de nuevo en público desaconsejando servicios como Dropbox, Google o Facebook si te preocupa tu privacidad. A estas alturas ya todos conocemos el escándalo de la NSA y cómo los tentáculos de la agencia estadounidense llegan a cualquier sitio.
Pero, ¿cuál es la base técnica para esas afirmaciones? ¿Cómo podemos saber si nuestros datos son privados o no, o si alguien más aparte de nosotros puede leerlos? Vamos a tratar de dar respuesta a esas preguntas.
La teoría en este sentido es fácil: si tú no estás cifrando y protegiendo tus datos, entonces alguien más podría leerlos. Si Dropbox no te pide una clave para descifrar tus archivos, entonces es posible que puedan husmearlos. Si puedes enviar un mensaje a través de Gmail sin poner una contraseña de cifrado, entonces alguien más podría leer ese mensaje (y no sólo el destinatario).
Tus datos no son 100% privados si no tienes tú la clave de cifrado
Alguno pensará que sí tenemos la clave: al final todas nuestras cuentas tienen una contraseña, ¿no? En realidad, muy pocas veces se usa nuestra contraseña para cifrar los datos. Sólo hay que hacer la prueba: ¿te deja el servicio en cuestión recuperar tu cuenta si has olvidado tu contraseña? Si la respuesta es sí, entonces tus datos no están cifrados con ella. Si lo estuviesen, entonces no podrías recuperar nada (ningún algoritmo de cifrado tiene una opción "He olvidado la clave").
Por poner un ejemplo de este último caso: mirad las páginas de "Recuperación de cuenta" de Lastpass o Spideroak: hay alguna posibilidad de recuperar tu cuenta si tienes clientes todavía conectados, pero en general, si no hay contraseña, no hay datos.
Y aparte de la clave, ¿cómo de seguros están nuestros datos?
Este apartado es el que menos dudas nos debería generar. En general, todos los datos que enviamos están cifrados desde nuestro ordenador hasta los servidores de destino. Normalmente la tecnología es HTTPS o TLS si no son páginas web. Cuando navegamos por Facebook, por ejemplo, nadie puede puede ver lo que envías porque la conexión es segura, igual que no podrían ver los archivos que subes a Dropbox, ya que usan conexiones cifradas.
Una vez que tus datos llegan a sus servidores, podemos considerar que están bastante seguros. Cada empresa implementa medidas de seguridad para evitar intrusiones en sus servidores, aparte de cualquier cifrado adicional que pueda haber. Además, tanto Google como Dropbox cifran las conexiones entre sus servidores cuando necesitan mover datos de un sitio a otro. Facebook también lo hace, pero no con todas las conexiones.
En la práctica: que no cunda la paranoia
Está muy bien que todos nos sepamos la teoría y podamos distinguir cuándo estamos depositando nuestra confianza en un algoritmo criptográfico fiable y cuándo en una empresa que dice proteger nuestros datos. Ahora bien, tampoco debemos ponernos en un estado de paranoia 100% y empezar a buscar alternativas y cifrar nuestros datos por todas partes. Os planteo varias reflexiones.
Primera cuestión: ¿de quién quieres proteger tus datos? Si es de los _crackers_ - uno se resiste a hacerle caso a la RAE con este nombre -, tranquilo, estás a salvo. Dropbox, Google, Facebook, Microsoft y similares usan tecnología segura para transmitir tus datos. Y no porque lo diga yo: si no lo hicieran, con la cantidad de gente que hay tratando de buscarles las cosquillas ya nos habríamos enterado.
Segunda cuestión: ¿estás seguro de que los servicios que usas son el eslabón más débil de la cadena? No sirve de nada usar un servicio como SpiderOak si luego tus archivos están guardados en un portátil sin contraseña. Es un ejemplo extremo, pero sirve para ilustrar la idea.
Tercera cuestión: ¿dónde ponemos el límite de la confianza? ¿No nos fiamos de grandes empresas pero creemos que una más desconocida sí va hacer lo que promete? O mejor aún: ¿no nos fiamos de ninguna empresa pero pensamos que nosotros haremos un mejor trabajo manteniendo nuestra propia nube con soluciones como OwnCloud? No quiero arrojar dudas sobre nada, pero desde luego no deberíamos dejarnos llevar por la histeria de _X es inseguro_ sin darle vueltas a las alternativas.
Cuarta cuestión: ¿qué datos estamos compartiendo? Hace unos días, mi compañero Juan Carlos lanzaba una reflexión interesante en Xataka: muchas veces no nos importa compartir ciertos datos a cambio de recibir el servicio, y eso no tiene por qué ser necesariamente malo. Por ejemplo, Facebook sabe que vivo en Madrid y que me gustan las matemáticas. ¿Y? El problema no es tanto compartir los datos sino no ser consciente de ello.
Por último, cuando hablamos de nuestra privacidad solemos criticar el poder de ciertos gobiernos para ver nuestros datos sin autorización. En ese caso, la solución no es que nosotros tengamos que cambiar nuestros hábitos, la solución es que los gobiernos estén más controlados. Tener derecho a la privacidad no significa que tengamos que protegernos de ciertas agencias (ni de nadie) para mantenerla.
Ver 16 comentarios
16 comentarios
260397
¿Por qué utilizar Dropbox cuando tienes que Mega está cifrado y encima te da más espacio gratis?
Usuario desactivado
Snowden no habla de eso, yo creo. Habla de que si para ti es realmente importante la seguridad olvidate de esas empresas.
Por ejemplo si manejas datos muy sensibles de una empresa determinada. Es sabido que agencias de EEUU han espiado empresas europeas, como airbus, para beneficio de las suyas. O si tienes relaciones politicas importantes, etc. Los casos de angela merkel, putin, hollande, por citar algunos casos extremos.
Snowden lo que dice es que en esas empresas, entre otras, pueden meter la zarpa si les interesa realmente, DIGAN LO QUE DIGAN oficialmente. Y esto ha pasado y seguira pasando.
Y respecto a que podemos estar tranquilos frente a hackeos, tu mismo. Cada pocos meses hay noticias de empresas de esas tan serias que pierden datos de miles de usuarios, incluidas targetas de credito; adobe, sony, paypal...
pedrogomezant
Snowden, protegido por el gobierno ruso, atacando a empresas de EE.UU, país cuyo gobierno le acusa de un delito. Inexplicable...
kadmon
A esto:
"¿No nos fiamos de grandes empresas pero creemos que una más desconocida sí va hacer lo que promete? O mejor aún: ¿no nos fiamos de ninguna empresa pero pensamos que nosotros haremos un mejor trabajo manteniendo nuestra propia nube con soluciones como OwnCloud?"
No nos fiamos ni de las grandes ni de las pequeñas, ni de que nosotros sepamos hacerlo mejor con OwnCloud, pues seguramente no. Quien quiera puede cifrar con GPG el correo de Gmail(con un cliente de correo no es tan difícil) y con EncFS los archivos de Dropbox (http://www.securitybydefault.com/2011/05/sistema-de-ficheros-cifrado-bajo.html)
Aunque después está el tema de los metadatos, como con quien te carteas, que no se resuelve con GPG.
Land-of-Mordor
"...Tercera cuestión: ¿dónde ponemos el límite de la confianza? ¿No nos fiamos de grandes empresas pero creemos que una más desconocida sí va hacer lo que promete? O mejor aún: ¿no nos fiamos de ninguna empresa pero pensamos que nosotros haremos un mejor trabajo manteniendo nuestra propia nube con soluciones como OwnCloud? No quiero arrojar dudas sobre nada, pero desde luego no deberíamos dejarnos llevar por la histeria de X es inseguro sin darle vueltas a las alternativas..."
Te falta una opción, la del que porque ha leído que "X servicio se ha descubierto vulnerable a la NSA/Crackers/Etc" ha mudado toda su vida digital a Y (mismo tipo de servicio prestado por compañía similar, del tipo "me he pasado de Google/Microsoft/Yahoo... a Yahoo/Google/Microsoft porque valoro mi privacidad") y ahora se siente muchísimo más seguro cuando simplemente le ha cambiado el color del collar al perro.
spacelord
Sentido común:
Sobre la moda de la nube y las redes sociales. ¿De qué sirve subir tus miles y miles de fotos? luego cuando quieras enseñarlas a alguien, desde un dispositivo móvil, pues enseñarás como mucho 10, 20, o 50 si eres un pesado egocéntrico... pues para eso, puedes seleccionar un poquito lo que vas a subir o compartir teniendo en cuenta que ese material nunca te pueda poner en evidencia... y para todo lo demás, pues un disco duro físico y personal que esté en tu casita; en el que puedas enchufarte, guardar tu material personal y desenchufarte sin que nadie pueda meter las zarpas. Y si no te fias de tu familiares, pues utilizas sesión de usuario con contraseña y fin del problema.
Sinceramente, la gran mayoría de la gente que está sufriendo sorpresas y problemas porque se mueven "como pollo sin cabeza" en el ámbito tecnológico y de la privacidad.
sergio.mendez
Pero hombre, todos los servicios en Internet son igual. Si no es eso, otro problema tendrá. Lo aseguro!
Usuario desactivado
¿Este tío sigue en la Rusia de Putín, no? Rajando todo el día contra su país, contra Google, contra todo, pero acodigo, protegido y amparado por el régimen de Putin y por la Rusia de Putin...
Buenas tardes.