Toda tu vida será revelada

Imagen de una llave

Imagina que, un buen día, todos tus secretos quedaran expuestos. Desde las cosas que te configuran como persona pública hasta aquellas que te niegas a ti mismo. Desde el episodio más tierno de tu infancia a tus fantasías más escandalosas. Imagina toda tu vida proyectada a la mente colmenta de inernet. Todo tu ser expuesto, más desnudo que el día en el que viniste al mundo. Todo esto ya ha pasado y volverá a pasar. Tres píldoras:

  1. 2006. AOL publica un índice de términos de búsqueda con fines científicos. Para proteger el anonimato de quienes introdujeron dichos términos, se asoció cada usuario a un perfil anonimizado. No sirvio de nada. De pañales a mortaja, miles de vidas y búsquedas ansiosas quedaron expuestas.
  2. 2015. La base de datos de Ashley Madison, un sitio web dedicado a facilitar contactos sexuales entre gente infiel a su pareja, quedó expuesta. El escándalo sacudió incluso a determinados políticos y figuras públicas.
  3. 2016. La gran brecha de seguridad de Yahoo! queda confirmada. 500 millones, repito, 500 millones de direcciones de email filtradas y vendidas al mejor postor mientras Yahoo! ocultaba la gravedad de la brecha para evitar que peligrase su posible compra por Verizon.
  4. Otra vez 2016. Se filtra una base de datos de AdultFriendFinder, una de las webs de contactos sexuales más utilizados del mundo. 400 millones de cuentas a la venta en el mercado negro.

La pregunta no es si acontecerá una filtración de seguridad más grave que las anteriores; la pregunta es cuándo y cuántas personas se verán afectadas. De qué forma veremos nuestro mundo privado, interior, expuesto.

Hay, a mi parecer, otra pregunta casi tan pertinente como la anterior: ¿Estamos preparados como sociedad para cuando suceda? La intimidad y la privacidad forman parte de nuestro constructo, y la mentira como lubricante social está a la orden del día. ¿Estamos preparados para ser una sociedad completamente honesta?

El autor Cory Doctorow, uno de los grandes filósofos de internet, sostiene que la privacidad es consustancial al desarrollo de una sociedad libre y democrática. En el otro extremo de la balanza está el escritor de ciencia ficción David Brin, que apuesta por la transparencia como paso fundamental para estimular la llegada de una sociedad más abierta. En opinión de Brin, la inutilidad de esconderse solo beneficia a las élites, que dispondrán de cualquier herramienta para rastrear lo ajeno y ocultar lo suyo propio.

Todo esto ya ha pasado, y volverá a pasar. Como sociedad, es nuestro deber estar preparados para cuando suceda y, a exepción de conductas deplorables y que atentan contra la ley y los derechos de nuestros semejantes, deberemos aprender a contemplar con tolerancia el mono desnudo que, aún vestido de seda, hemos sido siempre.

Heartbleed: un fallo de seguridad que te interesa conocer

Logo de Heartbleed En los próximos días, escucharás o leerás muchas noticias sobre Heartbleed, un gigantesco fallo de seguridad que afecta a media red. Habrá que esperar unos días a que la cosa se asiente. De momento graba a fuego cuatro consejos:

  1. Jamás utilices la misma contraseña para más de un sitio. Si no usas un gestor de contraseñas como LastPass, deberías darle una oportunidad.
  2. No corras a cambiar todas las contraseñas de golpe, todavía no se conocen bien todas las ramificaciones del fallo. Es probable que servicios como Facebook, Google y Twitter se hayan salvado por esta vez, pero permanece atento a las novedades. Al parecer,  sitios como Yahoo o Flickr han caído con todo el equipo; si tu correo electrónico o fotos están allí, ve pensando en una nueva contraseña.
  3. Tira a la basura e ignora sin piedad cualquier correo en cadena que te reenvíen con instrucciones peregrinas sobre el tema, sobre todo si están escritos a cuatro colores, en Comic Sans o te lo reenvía tu primo Fermín, el que siempre formatea el disco duro una vez por semana. En su lugar…
  4. Confía en blogs y prensa especializada o los canales oficiales de los servicios web que utilices y se hayan visto afectados.

Enlaces de interés

ElDiario.es | Qué debemos saber sobre Heartbleed, un grave agujero en sitios web supuestamente seguros.

Alt1040 | Heartbleed amenaza Internet y no hay mucho que puedas hacer.

Security by Default | Desangrando el corazón de OpenSSL (CVE-2014-0160).

GitHub | Top sitios web según el ránking de Alexa, con información sobre si han sido o no afectados.

PRISM: ¿El Watergate de la era digital?

Contenido actualizado. Por favor, no olvide leer la última parte de la entrada.

eagle_new_layers_verizon1Bomba desde el Washington Post: El FBI y la Agencia de Seguridad Nacional extraen datos directamente de los servidores de 9 grandes compañías de Internet en el marco de un programa llamado PRISM. Si utilizas servicios de Yahoo!, Google, Microsoft, Facebook, PalTalk, AOL o Apple, la inteligencia norteamericana tiene acceso a todos los datos que hayas almacenado ‘en la nube’.

Siete de las empresas implicadas niegan, como era de esperar, su participación en el programa. Conviene recordar que la operación está clasificada como secreta, por lo que no estarían autorizadas ni tan siquiera a reconocer su existencia. Si crees que al no ser ciudadano estadounidense la medida no te afecta, nada más lejos de la realidad: el programa está especialmente dirigido a recabar datos fuera de EEUU.

Estamos ante un escándalo tecnológico que podría tener gravísimas consecuencias para compañías como Google y redes sociales como Facebook, que cimentan su negocio en la ingente cantidad de datos proporcionada por sus usuarios.

¿Cómo me afecta?

Salvo que dediques tu tiempo al terrorismo internacional, no es probable que los datos recopilados por PRISM vayan a tener consecuencias para tu vida real. Sin embargo, una cosa es sospechar que un gobierno extranjero mete, de vez en cuando, mano a datos que no debería y otra saber que la inteligencia norteamericana tiene acceso completo e ilimitado a los servidores de las compañías afectadas y  los datos que has almacenado en ellas. Imagina que tus fotos, textos, correos electrónicos, conversaciones por Skype, documentos compartidos y material de empresa fueran monitorizados y examinados por el Tío Sam. No es un pensamiento agradable.

¿Qué dice la Unión Europea?

Teniendo en cuenta que somos una de las sociedades más celosas con la privacidad de los datos, cabría esperar una reacción airada por parte de Bruselas ante semejante intromisión, ¿verdad?

Pues no. Esta es la respuesta remitida a David Meyer de GigaOm por el departamento de Asuntos Internos de la Unión Europea:

Sin comentarios. Es un asunto interno de los Estados Unidos.

Mira que Bruselas funciona bien, pero incluso ellos son capaces de superarse a sí mismos. Me pregunto si regalarán móviles para conseguir que la gente vaya a votar en las Elecciones Europeas. Cabe esperar, sin embargo, que la cosa no quede ahí; recuerden que estamos hablando de la misma entidad supranacional que le enmendó la plana a Microsoft por la inclusión de Internet Explorer en las copias de Windows.

De nube a tormenta

Indignación, toda. Sorpresa, ninguna. Si bien nuestros documentos ganan accesibilidad desde la nube, también se exponen a las injerencias de gobiernos e incluso legislación extranjera. No me voy a caer del guindo y decirles que reniego de utilizar cualquier servicio de las compañías mencionadas, porque eso me resultaría prácticamente imposible. Sin embargo, pienso reducir en la medida de mis posibilidades la dependencia de las mismas. Al menos, hasta que todo esto se aclare. Generar confianza requiere años; perderla, tan solo unos segundos.

Actualización 23:20 – Larry Page publica un comunicado en el blog de Google, negando la participación de la compañía en el programa o cualquier iniciativa de características similares. Pero cuidado, porque los detalles pueden matar. Fíjense en la negrita:

First, we have not joined any program that would give the U.S. government—or any other government—direct access to our servers. Indeed, the U.S. government does not have direct access or a “back door” to the information stored in our data centers. We had not heard of a program called PRISM until yesterday. Second, we provide user data to governments only in accordance with the law. Our legal team reviews each and every request, and frequently pushes back when requests are overly broad or don’t follow the correct process. Press reports that suggest that Google is providing open-ended access to our users’ data are false, period. Until this week’s reports, we had never heard of the broad type of order that Verizon received—an order that appears to have required them to hand over millions of users’ call records. We were very surprised to learn that such broad orders exist. Any suggestion that Google is disclosing information about our users’ Internet activity on such a scale is completely false.

Mientras tanto, The Next Web informa de que el Washington Post ha modificado su artículo original; la nueva redacción altera el papel de las empresas afectadas:

It is possible that the conflict between the PRISM slides and the company spokesmen is the result of imprecision on the part of the NSA author. In another classified report obtained by The Post, the arrangement is described as allowing “collection managers [to send] content tasking instructions directly to equipment installed at company-controlled locations,” rather than directly to company servers.

Si tal afirmación es correcta no le restaría gravedad al suceso, pero sería una gran metedura de pata por parte del periódico, ya que una de las afirmaciones más escandalosas aludía a la connivencia de las empresas respecto a la intervención de los datos. Por el momento, mantengo mi criterio: algo huele a podrido en Dinamarca. Necesitaremos más pruebas que un simple “el perro se ha comido mis deberes”.

Actualización 00:16 – Turno de Mark Zuckerberg. Fíjense en las negritas y díganme dónde han leído esto antes:

Facebook is not and has never been part of any program to give the US or any other government direct access to our servers. We have never received a blanket request or court order from any government agency asking for information or metadata in bulk, like the one Verizon reportedly received. And if we did, we would fight it aggressively. We hadn’t even heard of PRISM before yesterday. When governments ask Facebook for data, we review each request carefully to make sure they always follow the correct processes and all applicable laws, and then only provide the information if is required by law. We will continue fighting aggressively to keep your information safe and secure. We strongly encourage all governments to be much more transparent about all programs aimed at keeping the public safe. It’s the only way to protect everyone’s civil liberties and create the safe and free society we all want over the long term.

Es curioso lo que dice en el último párrafo, porque si volvemos al post de Larry Page…

Finally, this episode confirms what we have long believed—there needs to be a more transparent approach. Google has worked hard, within the confines of the current laws, to be open about the data requests we receive. We post this information on our Transparency Report whenever possible. We were the first company to do this. And, of course, we understand that the U.S. and other governments need to take action to protect their citizens’ safety—including sometimes by using surveillance. But the level of secrecy around the current legal procedures undermines the freedoms we all cherish.

A este paso podrían montar un equipo de natación sincronizada.

Imagen: Hugh D’Andrade | Electronic Frontier Foundation

Facebook: no expondré amigos a tu estúpida comprobación de nombres

La obsesión de Facebook por minar nuestra privacidad parece, a veces, una vieja broma. Pero creo que se están pasando. No contentos con aguantar el abuso en el tratamiento de nuestros datos, la censura de cualquier desnudo artístico y la indolencia con la que tratan las denuncias sobre pornografía infantil, ahora quieren que espiemos a nuestros semejantes por el bien de su empresa y les indiquemos si un amigo nuestro está utilizado un seudónimo en lugar de su nombre real. En Talking Points Memo ilustran tamaño despropósito con una imagen capturada por la usuaria de Twitter @chapeaudefee.

Mensaje de Facebook para confirmar un nombre

Como señala Emil Protalinski en The Next Web, la ventana no contiene ningún botón para cerrarla. En el colmo de los colmos, tambié se incluye una opción llamada ‘no quiero contestar’, como si eso arreglara algo. Lejos de hacerlo, esta barbaridad podría poner en peligro a quienes hacen uso de un nombre falso por razones legítimas:

Facebook has a point that using real names is a good way to keep its users safe. Unfortunately, it can also endanger them: many Facebook users opt to use pseudonyms to hide from stalkers, abusive exes, and even governments that don’t condone free speech.

Tras reflexionar un poco sobre el tema, creo que la mejor manera de reventar este abuso es responder siempre ‘sí’. Decir que te niegas a contestar puede ser interpretado como un “no” ante la pregunta, así que les estarías ayudando igualmente.

Esto va para las señoras y señores de Facebook: no pienso exponer a mis amigos a vuestra estúpida comprobación de nombres. Si queréis aumentar la confianza en vuestra plataforma, no deberíais empezar por los alias, sino por los pedófilos que comparten material con su nombre y apellidos, abriendo nuevas cuentas cada vez que les cerráis alguna. A ver si nos comportamos por una vez.

Lanzan un ataque DDoS contra The Pirate Bay

Según informa TorrentFreak, el popular tracker y buscador de torrents The Pirate Bay está sufriendo un ataque de denegación de servicio. En estos momentos, el buscador continúa inaccesible y se desconoce la identidad del atacante.

Aunque en TorrentFreak no establecen una relación de causa y efecto, mencionan que el ataque ha tenido lugar después de que los responsables del servicio criticaran el ataque efectuado por el grupo ciberactivista Anonymous a Virgin Media, un proveedor de servicios del Reino Unido que bloqueó el acceso a The Pirate Bay. Si preguntan por mi opinión, me parece poco plausible que Anonymous esté detrás del ataque, ya que la bahía pirata dista mucho de estar en su lista negra.

Estoy en contra del DDoS como herramienta reivindicativa, por el descrédito que supone a la causa que pretende defender. Mejor luchar con elegancia. Sin embargo, las opiniones en la red están divididas.

¿Crees que el DDoS es una forma legítima de ciberactivismo? Puedes dejar tu opinión en los comentarios.