¿Qué es la privacidad en Internet? - Consejos de Snowden

La privacidad en Internet refiere a la capacidad del usuario de retener sus datos en línea para decidir sobre su uso y destino. Algo que hoy resulta casi una quimera, o por lo menos no tan a mano del usuario común, si bien existen cosas que pueden ayudarnos, como Signal, Tor y Tails, entre otros programas y prácticas recomendadas por el informático Edward Snowden…

¿Qué es la privacidad en Internet?

Conocida también como privacidad en línea, la privacidad en Internet es un derecho que todo usuario debería poder ejercer, a diario amenazado por ciberdelincuentes, corporaciones, empresas y gobiernos.

Los canales de comunicación más usados hoy en día son aprovechados por compañías y agencias gubernamentales tanto nacionales como extranjeras, con capacidades de interceptar, recopilar, almacenar, analizar o compartir información personal en forma silenciosa, sin uno notarlo.

A modo de ejemplo, a cada sitio web que entramos se suele dar un robo invisible de información. Más bien una fuga imperceptible de datos, que escapan irremediablemente de nuestro alcance.

La privacidad se convirtió en un núcleo candente de la era digital. Debido a la cantidad de cosas que a cada rato hacemos a través de Internet, la exposición de nuestra información resulta mayor.

Para bien y para mal, el medio virtual se transformó en el entorno natural y cotidiano de las interacciones humanas.

Búsquedas en Google, navegación por sitios web, pagos en línea, publicaciones en redes sociales, uso de aplicaciones móviles, chats, transacciones bancarias, herramientas de trabajo, compras de productos, venta de servicios…

Internet nos une y al mismo tiempo, produce una gran cantidad de registros.

Con múltiples fuentes de datos, hoy se procesan y crean perfiles muy detallados de todos, a través del uso de tecnologías que rastrean nuestros rastros al buscar, navegar, usar una app o cualquier otra cosa que hagamos desde Internet.

Además de técnicas de vigilancia masiva por parte de gobiernos, muchas empresas de gran tamaño aprovechan la monstruosa cantidad de datos que recaban como una oportunidad de monetizar.

Ya sea con dardos de publicidad ultra personalizada, o directamente vendiendo esa información al mejor comprador.

¿Quiénes ponen en riesgo la privacidad en Internet?

• Data brokers.
• Hackers.
• Sitios web, aplicaciones y programas usados a diario, a través de cookies, spyware y otras técnicas de seguimiento en línea (online tracking).
• Gobiernos.
• Agencias de inteligencia.
• Corporaciones / Compañías de tecnología y publicidad.
• ISP (Internet Service Provider).
• Etc.

¿Cómo proteger la privacidad en Internet?

La privacidad online no se reduce a leer términos y condiciones, aceptar o rechazar. Dependiendo de las necesidades, conocimientos y experiencia de cada uno, hay distintos programas, herramientas y sistemas conocidos por centrarse en proteger la privacidad en Internet.

Tal como sucede con otra clase de productos y servicios, casi ninguna ofrece 100 % de privacidad. Tal cosa es complejo de obtener.

Algunos proporcionan, en comparación a otras, mayores condiciones de protección y un amplio espectro de configuraciones.

Pero cada tanto surgen nuevos tipos de ataques, vulnerabilidades, fallas y fugas de datos antes impensadas, así como novedosos y desconocidos sistemas de rastreo, vigilancia y recopilación de datos a escala masiva.

No todos necesitan el mismo grado de protección y autogestión de su información, pero es bueno saber las alternativas que existen, por derecho, para seguir investigando y por las dudas.

Antes de usar una, conviene preguntarse y detectar qué necesito esconder, a quién y por qué.

La privacidad en Internet no consiste en pretender tapar todo. Eso sí sería paranoico, impráctico e imposible.

Gracias a ciertas herramientas, navegadores, sistemas y variadas tecnologías a disposición, el usuario puede reforzar sus condiciones de privacidad en Internet.

Sin embargo, irónicamente, los avances tecnológicos también facilitan el rastreo, control y abuso de nuestros datos a cargo de terceros.

¿Con qué defender la privacidad en Internet según Edward Snowden?

A continuación, algunos consejos de Edward Snowden, el informático conocido por revelar en 2013 las operaciones de vigilancia masiva de la NSA de EE.UU, basados en esta entrevista con The Intercept.

Tor

Si bien considera a Tor como uno de los mejores proyectos utilizados en la actualidad para preservar la privacidad en Internet, el informático alerta:

“No es a prueba de balas. Lo que Tor hace es proporcionar una medida de seguridad y le permite desasociar su ubicación física. Pero la idea básica, el concepto de Tor que es tan valioso, es que está dirigido por voluntarios. Cualquiera puede crear un nuevo nodo en la red… La naturaleza voluntaria de esta red significa que puede sobrevivir, es resistente, es flexible”.

El uso del navegador Tor permite no dejar rastros en línea, o al menos minimizar el riesgo en comparación a otros navegadores, además de ayudar a evitar la censura de ciertos sitios web bloqueados.

Ver: ¿Qué es el navegador Tor?

Signal

La privacidad y el cifrado mantienen una vieja relación. Distintos métodos de cifrado permiten proteger las comunicaciones, sin dejar nuestros datos al desnudo, complicando mucho el acceso de ojos intrusos.

Uno de los productos más estimados del último tiempo por parte de diferentes especialistas es la aplicación Signal, por su sólido cifrado de extremo a extremo.

Ver: ¿Qué es el cifrado de extremo a extremo? – Concepto, utilidad y límites

Para cifrar los mensajes y llamadas, Snowden sugiere el uso de Signal, app móvil desarrollada por Open Whisper Systems.

“Es gratis y puedes descargarlo inmediatamente. Cualquiera con quien esté hablando ahora, sus comunicaciones, si se interceptan, no pueden ser leídas por los adversarios”.

Otra app móvil que ha recomendado el ex NSA para el envío de mensajes cifrados es Silent Circle.

Snowden sostiene que los sistemas orientados a proteger nuestra privacidad deberían resultar, para el usuario, invisibles y poder usarse sin esfuerzo.

“Por eso me gustan las aplicaciones como Signal, porque son de baja fricción. No requiere que reorganices tu vida. No requiere que cambie su método de comunicación. Puedes usarlo ahora mismo para hablar con tus amigos”.

Ver: Apps de mensajería instantánea más privadas y seguras

Gestor de contraseñas

Otra forma de prevenir la exposición de datos sensibles es usar un gestor de contraseñas, conocidos en inglés como ‘password manager’.

“Un administrador de contraseñas le permite crear contraseñas únicas para cada sitio que sean irrompibles, pero sin la carga de memorizarlas”.

Ver: ¿Qué es un gestor de contraseñas?

Autenticación de dos factores

2FA (Multi-factor authentication) ofrece un paso de seguridad adicional en caso de robos o pérdidas de contraseñas y dispositivos.

Cuando la autentificación de dos factores está activada, para poder iniciar sesión un atacante necesitaría una contraseña y también un dispositivo físico (como tu teléfono) para recibir un código a ingresar.

“El valor de esto es si alguien roba su contraseña, o se deja o se expone en algún lugar [la autenticación de dos factores] le permite al proveedor enviarle un medio secundario de autenticación: un mensaje de texto o algo así”.

Encriptar el disco duro

En caso de que alguien robe tu computadora y no puedas ubicarla, si encriptas el disco duro impedirás que adversarios puedan acceder a la información allí guardada.

SecureDrop y Tails

También recomienda a periodistas, activistas e investigadores que manejan información sensible usar SecureDrop, una plataforma para la presentación de denuncias anónimas y la comunicación segura entre periodistas y fuentes.

También sugiere como pared de protección digital adicional el sistema operativo Tails, siempre navegando desde Tor:

“Usar algo como SecureDrop, a través de la red Tor, por lo que no hay conexión entre la computadora que está utilizando en ese momento, preferiblemente con un sistema operativo no persistente como Tails, por lo que no ha dejado rastro forense en la máquina que está utilizando, que con suerte es una máquina desechable de la que puede deshacerse después, que no se puede encontrar en una redada, que no se puede analizar ni nada de eso, de modo que el único resultado de sus actividades operativas son las historias reportadas por los periodistas”.

En vez de vivir como un paranoico queriendo esconder todo, el consejo sensato de Snowden es mejor acotar y preguntarse:

“¿Qué tipo de cosas necesitas proteger? Porque, por supuesto, no necesitas ocultarle todo al adversario”.

Además, sugiere no contarle a nadie lo que no necesita saber. La novia de Snowden se enteró de las revelaciones por las noticias.

HTTPS Everywhere

Entre las herramientas de uso diario recomendadas por Snowden, la extensión de navegador HTTPS Everywhere, proyecto creado en conjunto por la Electronic Frontier Foundation y The Tor Project, que busca hacer cumplir las comunicaciones cifradas y seguras al navegar, evitando que los datos viajen descubiertos durante su viaje en línea.

Qubes OS

Snowden expresó su entusiasmo por Qubes, un sistema operativo que utiliza VM (virtual machine / máquinas virtuales), una suerte de sistema operativo más pequeño que se ejecuta dentro del sistema operativo real. Muñecas rusas informáticas para potenciar el despiste y ganar en seguridad.

Qubes es de uso gratuito y de código abierto. Sirve para disponer de un entorno informático que permite la creación y gestión de máquinas virtuales aisladas, conocidas como ‘qubes’.

El propio software de Qubes se ejecuta también dentro de las máquinas virtuales. Con este sistema operativo es posible aislar programas, códigos y otras ejecuciones, reduciendo el peligro de dañar el sistema operativo real o la computadora.

“Es un gran paso adelante en términos de cargar al atacante con mayores requisitos de recursos y sofisticación para mantener un compromiso [ataque]. Me encantaría verlos continuar con este proyecto. Me encantaría verlos hacerlo más accesible y mucho más seguro”.

AdBlock

Más que para bloquear los anuncios publicitarios, el experto sugiere el uso del software Adblock “desde una perspectiva de seguridad”.

En ocasiones, determinados tipos de anuncios pueden ser origen de ataques, siendo su bloqueo una pieza de protección y prevención más.

SpiderOak

Snowden ha desaconsejado el uso de Dropbox y sugerido alternativas mejores como SpiderOak, sistema que encripta los archivos x 3: cuando están en los servidores de la compañía, cuando viajan por Internet y mientras están en la computadora.

“Estamos hablando de descartar programas que son hostiles a la privacidad. Por ejemplo, Dropbox. Deshágase de Dropbox, no admite cifrado, no protege sus archivos privados. Y use competidores como SpiderOak, que hacen el mismo servicio exacto pero protegen el contenido de lo que está compartiendo “.

Entrevista The New Yorker Festival – 1:04:55

Implementar mejoras en sistemas operativos como grsecurity

Por otra parte, el experto informático solicita fortalecer los núcleos de cada sistema operativo y pone como ejemplo a grsecurity y su esfuerzo para mejorar la seguridad de Linux.

“Pero desafortunadamente hay una gran brecha de usabilidad entre las capacidades que existen, lo que ahora es posible y lo que es alcanzable para el usuario promedio”.

Te puede interesar: Protectores de la privacidad en línea

Pero no me importa quién ve mis datos…

A menudo considerada un valor esencial para unos, a otros la privacidad en línea no les parece una cuestión tan relevante ni ningún dolor de cabeza.

Otros se sienten impotentes, ya resignados al poder de los ojos de águila que ha concedido la tecnología. Se dicen: Si quieren, pueden verte.

Lo cierto que es cada vez más comunicaciones, transacciones y flujo de datos circulan en el plano digital, por lo que el riesgo corre para todos por igual.

Aunque a uno no le importe en el ámbito personal, conviene sentarse a pensar, por unos segundos, las implicancias de las invasiones a la privacidad para otras personas más allá de uno.

Por ejemplo, para quien su vida corre riesgo.

O comprender la importancia de la privacidad para comunicar datos sensibles entre periodistas, fuentes y activistas.

Además, en regímenes opresivos, donde el control y violaciones en línea son comunes, las amenazas a la privacidad en Internet pueden llevar a la autocensura para no exponerse, impactando en tal caso contra derechos básicos como la libertad de expresión y la libertad de asociación en línea.

Retos de la privacidad en línea

El problema de la confianza y la usabilidad

La ciberseguridad es una rama compleja. Por tal razón, no sería sensato que recaiga en manos del usuario la responsabilidad absoluta de su privacidad en línea.

Si bien esto sería lo ideal, porque podría dar mayor control, para la mayoría de las personas determinadas configuraciones y programas no están al alcance de sus capacidades.

¿Debería entonces entregarse la protección en línea a expertos en ciberseguridad? ¿Invertirse desde ya en educación informática? Parece razonable y costoso.

Para evitar el uso indebido de nuestros datos por parte de terceros, cabe delegar la privacidad en Internet y depender de nuestra confianza casi ciega e ignorante en otros terceros.

Porque rara vez uno sabe qué está utilizando o activando, cómo funciona ni cuáles son sus capacidades y alcances reales.

Uno no puede saberlo ni comprenderlo, menos si se es un simple mortal de Internet como uno y no un experto informático.

Pero por suerte, existen algunos indicadores de confianza.

Por ejemplo, la voz autorizada de otros especialistas del campo informático. O la buena señal que inspira un proyecto de código abierto, ya que significa que otros expertos pueden verlo, revisarlo, ayudar a mejorarlo e incluso alertar al usuario.

Otra seña de confianza podría ser su modo de operación. Algunos sistemas operan en forma descentralizada, es decir sin depender de una única entidad o nodo, lo cual podría reducir ciertos riesgos. Otros requieren que dependas de la calidad de su servicio.

Expertos del campo informático pueden configurar e implementar varios métodos extras para fortalecer su privacidad y seguridad.

Sin embargo, el usuario común no tiene esa posibilidad, ni debe comenzar a estudiar cifrado desde cero, sino utilizar alternativas tecnológicas ya probadas por la comunidad.

Idealmente, lo mejor sería facilitar al usuario el uso de sistemas que protejan su privacidad en modo automático, tal como hacen Signal y Tor.

Esconder la comunicación, pero también el hecho

Para Edward Snowden, uno de los principales retos asociados a la privacidad en Internet es el problema de separar el contenido de la comunicación del hecho de que haya ocurrido.

Es decir, proteger no solo qué se dijo, sino el propio hecho de haber dicho algo a alguien algún día.

“Para tener una verdadera privacidad, debes tener ambos. No solo de lo que hablaste con tu madre, sino del hecho de que hablaste con tu madre. El problema con las comunicaciones de hoy es que el proveedor de servicios de Internet sabe exactamente quién es usted. Saben exactamente dónde vives. Saben cuál es el número de su tarjeta de crédito, cuándo pagó por última vez, cuánto fue”.

Crear protocolos de protección que no nos conviertan en blancos

Edward Snowden resalta la necesidad de que los desarrolladores comprometidos con la creación de sistemas para mejorar la seguridad desarrollen protocolos que no destaquen.

Otro problema paradójico relacionado con la privacidad en línea refiere a que el uso de las tecnologías que mejoran la privacidad pueden poner el ojo de control sobre quien la usa y “seleccionarlo para una vigilancia adicional mediante el ejercicio de medidas represivas”, alerta el ex empleado de la Agencia Central de Inteligencia y de la Agencia de Seguridad Nacional de los EE.UU.

El soporte de la ley

Además de tecnologías que sirvan para consolidar la privacidad en línea, el otro pilar faltante es la creación de un marco legal que la garantice.

Pero tal garantía civil probablemente sea inconveniente para muchos, incluyendo a las empresas y gobiernos que siguen y reconstruyen nuestras huellas digitales.

En EE.UU., por ejemplo, el Congreso habilitó en abril de 2017 a que los ISP (proveedores de servicios de Internet) puedan recopilar y vender datos de navegación de sus clientes.

De ahí que para el veterano Bruce Schneier, criptógrafo y especialista en seguridad informática, la privacidad en Internet debería ser “un problema político”, según expresó en entrevista con Harvard Gazette:

“Desafortunadamente, vivimos en un mundo donde la mayoría de nuestros datos están fuera de nuestro control.

Están en la nube, almacenado por compañías que pueden no tener nuestros mejores intereses en mente.

Por lo tanto, si bien existen estrategias técnicas que las personas pueden emplear para proteger su privacidad, en su mayoría están al límite.

La mejor recomendación que tengo para la gente es involucrarse en el proceso político.

Lo mejor que podemos hacer como consumidores y ciudadanos es hacer de esto un problema político.

Obligar a nuestros legisladores a cambiar las reglas…

… El gobierno no ha logrado proteger a los consumidores de las compañías de Internet y los gigantes de las redes sociales.

Pero esto vendrá. La única forma efectiva de controlar a las grandes corporaciones es a través del gran gobierno…

… La vigilancia es el modelo de negocio de Internet. Todos están bajo vigilancia constante por parte de muchas compañías, desde redes sociales como Facebook hasta proveedores de teléfonos celulares.

Estos datos se recopilan, compilan, analizan y utilizan para tratar de vendernos cosas. La publicidad personalizada es la forma en que estas empresas ganan dinero, y es por eso que gran parte de Internet es gratis para los usuarios. Somos el producto, no el cliente.

Te puede interesar: ¿Qué es el derecho al olvido en Internet?

Violación a la privacidad en 3 ejemplos del presente

2015-2018 – Cambridge Analytica y Facebook

Un sonado escándalo que sirvió de recordatorio de los peligros que engendra el poder que retienen los gigantes, echando en cara la necesidad de interponer una regulación legal que sirva para contener los abusos y usos indebidos de nuestros datos por parte de grandes compañías tecnológicas.

Cambridge Analytica fue una consultora británica que combinaba el análisis de datos a gran escala (data mining, data brokerage y data analysis) con tácticas de comunicación estratégica y marketing durante los procesos electorales.

En 2018 se dio a conocer que la compañía recogió los datos personales de millones de perfiles de Facebook sin su consentimiento con fines de publicidad política.

Un periodista de The Guardian había alertado ya desde 2015 por las técnicas de recopilación de datos ilícitas usadas por Cambridge Analytica, informando que estaba trabajando para el senador de los Estados Unidos, Ted Cruz.

La campaña presidencial de Donald Trump también uso los servicios de datos provistos por Cambridge Analytica, basados en la actividad en línea de un montón de usuarios en Facebook, para así segmentar los anuncios en diferentes plataformas digitales.

Los partidarios de Trump, por ejemplo, recibían mensajes personalizados del candidato ya triunfales. A los indecisos se les mostraba mensajes negativos sobre Hillary.

2020-… Privacidad y Coronavirus

La privacidad en Internet volvió a saltar como foco de interés con la emergencia sanitaria y económica causada por el COVID-19, más conocido como el nuevo coronavirus.

Para tratar de contener la propagación del virus, las autoridades han implementado tecnologías que pueden invadir la privacidad del usuario y seguir siguiéndonos.

Ya hay aplicaciones descargadas en dispositivos de los usuarios, redes de cámaras de vigilancia con reconocimiento facial e imágenes térmicas, drones, entre otros accesos invasivos orientados a identificar, mapear e informar sobre personas que dieron positivo en el test de coronavirus.

Para establecer la proximidad con posibles casos, algunas de estas tecnologías utilizan la ubicación del teléfono.

Por un lado, esto sirve para facilitar el seguimiento de los contactos entre personas, rastreando con quién entran en contacto las personas infectadas, al hacer uso del GPS y otros datos de cada dispositivo.

Sin embargo, esta ventaja de trazabilidad no solo no va a resolver la crisis actual, sino que puede vulnerar la privacidad individual y peligrar hasta la libertad de asociación.

Otras apps utilizan el bluetooth para el rastreo de proximidad. Por medio de la potencia de la señal de bluetooth, se estima la distancia entre los dispositivos móviles.

Es decir, pueden medir si dos personas estuvieron tan cerca como para contagiarse (2 metros), informando del riesgo de infección según la cercanía con alguien infectado con COVID-19, pero sin tener que acudir a la ubicación de las personas.

TraceTogether, app creada para el gobierno de Singapur, es una de las que usa la señal de Bluetooth, además de pedirles a los usuarios compartir su información de contacto con los administradores de la aplicación, alimentando otra base de datos a disposición de las autoridades, bajo la excusa noble del cuidado sanitario.

La EFF viene lanzando muchas advertencias respecto a estas y otras varias tecnologías invasivas usadas para frenar esta pandemia, que puedes leer aquí.

Si bien el organismo acepta que las herramientas basadas en bluetooth parecen ser “el enfoque más prometedor hasta ahora”, se requieren mayores pruebas de seguridad y “minimización de datos”, además de sostener que “nadie debería verse obligado a usarlo”.

Otro efecto secundario del coronavirus en términos de privacidad refiere al mayor uso que hoy reciben ciertas plataformas no tan solidarias con la protección de los datos

Entre ellas, la app Zoom, una solución muy práctica para el ámbito laboral y recreativo en momentos de cuarentenas voluntarias y obligatorias.

A fines de marzo de 2020, el respetado medio digital The Intercept subrayó que Zoom no utilizaba cifrado de extremo a extremo tal como la empresa promete.

Además, Zoom habilita a los propietarios y administradores de cuentas a contar con demasiada información, incluyendo la dirección IP, el sistema operativo, datos de ubicación, la gestión de las grabaciones, entre otros accesos.

The Tor Proyect, fundación a cargo de la creación y difusión de Tor, ha sugerido la plataforma Jitsi Meet como una mejor alternativa a Zoom.

Actualización – Zoom anuncia incorporación de E2EE

2020 – ¿Un antivirus?

Desde hace tiempo, varios expertos han alertado que el usuario se convirtió en un producto.

Una presa tentadora para variados frentes, incluyendo agencias gubernamentales, delincuentes de Internet, empresas de distinto tipo ¿o para hasta un antivirus?

En enero de 2020, un reporte periodístico de Motherboard Vice y PCMag reveló que el antivirus Avast violó la privacidad de sus usuarios, al habilitar el uso de sus datos a Jumpshot (filial de Avast), a cargo de monitorearlos y venderlos a empresas aún más grandes.

A los rastreadores de navegador y otras prácticas de recolección encubierta de datos, ¿se suman rastreadores desde el programa que cuida nuestra seguridad?

En fin. Es normal sentirse desprotegido por todos lados y sospechar con impotencia que la privacidad y seguridad de uno quizá se parezca a un colador.

Guías para defender la privacidad en Internet de la EEF:

‘Surveillance Self-defense – Tips, tools and how-tos for safer online communications’

‘Choosing you tools’