Los peligros del nihilismo criptográfico

Los peligros del nihilismo criptográfico

Martes 24 Nov 2015

El nihilismo criptográfico es la peligrosa idea de que da lo mismo lo que hagas para proteger tu seguridad en Internet, porque total, todo lo que hacemos queda registrado en alguna parte.

No es cierto. Hay varios niveles de seguridad ofrecidos por distintos sitios y aplicaciones:

  • Guardar registros de todo lo que haces y permitir a terceros hacerlo también
  • Guardar registros de todo lo que haces, sin permitir acceso a terceros
  • Guardar registros parciales de lo que haces
  • No guardar registros de lo que haces

Registros públicos o trivialmente accesibles

Sitios como tercera.com registran todo lo que tú haces en sus logs de acceso, y además permiten a terceros observar tu navegación por su sitio web. Esto sucede porque la conexión entre tu navegador y el sitio web que visitas no es automáticamente cifrada o encriptada. Los terceros que pueden observar tu información en tránsito incluyen a tu proveedor de tu conectividad de red local, por ejemplo cualquiera que tenga acceso al router wi-fi. En el caso de una red wi-fi pública, cualquiera conectado a la misma red también puede ver lo que estás haciendo. Finalmente, tu proveedor de Internet y cualquier nodo de Internet en la ruta hacia el sitio que visitas puede observar toda tu actividad en el sitio.

La única solución en este caso es que el sitio web se cambie a https. Hacerlo requiere un certificado SSL, que cuesta unos 70-100 dólares por año, que es una cantidad ínfima para grandes sitios de Internet, pero importante para iniciativas sin fines de lucro. Afortunadamente, desde diciembre de 2015 Let's Encrypt comenzará a ofrecer certificados gratuitos. (Haremos lo posible para migrar ManzanaMecánica a https cuanto antes sea posible.)

Registros privados

Sitios como facebook.com registran todo lo que tú haces, pero no permiten a cualquiera observar tu navegación por su sitio web. Facebook, Google, y muchos otros usan https, que cifra/encripta la conexión entre tu navegador y su sitio web. Estos sitios sí permiten a otras empresas tener acceso a tu navegación mediante "cookies de terceros", es decir, identificadores únicos que son asociados a tu navegador al visitarlos y compartidos entre, por ejemplo, redes de publicidad.

Algo interesante es que hay muchos sitios que ofrecen ambas opciones: una insegura y una segura; por ejemplo el hosting de imágenes de imgur tiene ambos http://imgur.com y https://imgur.com. Se puede hacer que el navegador escoja automáticamente la opción segura instalando en tu navegador la extensión HTTPS Everywhere (para todo tipo de usuario). También es posible bloquear el rastreo por parte de terceros utilizando Adblock Plus (para todo tipo de usuario) o Privacy Badger (para usuarios más avanzados).

Registros parciales

Hay sitios que por política no requieren información privada de sus usuarios. Por ejemplo wikipedia.org tiene la política de que no necesitas entregar ni tu nombre real ni tu dirección de correo para registrarte como editor. Como editor de la Wikipedia, puedes tener una identidad completamente independiente que está descrita por tus contribuciones, y no por quien tú seas fuera de la Wikipedia.

Otros servicios que almacenan registros parciales son los servicios de mensajería cifrada/encriptada punto-a-punto, como Signal. En este caso, el servicio sólo sabe quién se relaciona con quién, pero no puede saber lo que tú escribes. Nubes de almacenamiento de archivos con "conocimiento cero" (zero knowledge) como SpiderOak también tienen registros parciales, porque la clave para acceder a tus archivos nunca abandona tu computador.

Ningún registro

Finalmente, hay sitios que no mantienen ningún registro, punto. El buscador DuckDuckGo está construido expresamente para no almacenar tus búsquedas ni intentar crear un perfil privado de quién tú eres. Todos los proveedores de VPN (red privada virtual) en este listado de TorrentFreak tampoco mantienen registros de tu navegación.

No da lo mismo

Una variante del nihilismo informático, es que tal vez es posible tener seguridad en Internet, pero es muy complicado. Esto tampoco es cierto. Por ejemplo, es imposible evitar que te rompan los vidrios del auto, pero si dejas cosas de valor a la vista y te estacionas en un lugar inapropiado, estás inclinando la balanza fuertemente en tu contra. De la misma manera, en Internet hay hábitos y herramientas de seguridad que puedes ir adquiriendo de a poco, y que no significan que seas paranoico, sino simplemente que valoras tus propios datos y tu propia información.

Yo te sugiero comenzar con cuatro pasos muy sencillos, que no deberían tomarte más de 20 minutos en total y que harán que tu experiencia en Internet sea mucho más segura:

  1. Instala en tu navegador la extensión HTTPS Everywhere (para Firefox, Chrome, Opera o Android)
    • ¿Para qué? Tu navegador automáticamente escogerá la opción https en todos los sitios que dispongan de ella
    • ¿Cómo sé que es seguro? Es una aplicación de código libre y gratis desarrollada por EFF, la organización sin fines de lucro líder en defensa de derechos digitales
  2. Instala en tu navegador la extensión Adblock Plus (para Firefox, Chrome, Safari, Opera, Edge/Explorer o Android)
    • ¿Para qué? Tu navegador automáticamente bloqueará publicidad y rastreadores de terceras partes
    • ¿Cómo sé que es seguro? Es una aplicación de código libre y gratis instalada en millones de computadores y revisada muchas veces
  3. Instala en tu móvil la aplicación de mensajería y telefonía segura Signal (para iOS y Android)
    • ¿Para qué? Tus chats serán cifrados/encriptados punto-a-punto, lo que significa que nadie más podrá leerlos
    • ¿Cómo sé que es seguro? Es la aplicación de código libre y gratis más recomendada por expertos en seguridad y privacidad incluyendo a Bruce Schneier y Edward Snowden
  4. Habilita verificación de dos pasos con mensaje al móvil en Google y Facebook
    • ¿Para qué? Si alguien adivina o roba tu clave, de todas formas no podrá entrar a tu cuenta
    • ¿Cómo sé que es seguro? Ambos servicios son ofrecidos desde hace tiempo y son una forma probada de mejorar la seguridad de una cuenta

¿Debilitar la seguridad para combatir al terrorismo?

Los gobiernos de EEUU, Reino Unido y Francia han planteado que debemos debilitar nuestra ciber-seguridad para combatir el terrorismo

Finalmente, no puedo dejar pasar que las última semanas nos han llevado a una situación absurda, en que los gobiernos de EEUU, Reino Unido y Francia han planteado que debemos debilitar nuestra ciber-seguridad para combatir el terrorismo.

Volviendo a la analogía de los vidrios del auto, es como si dijeran que ahora cada vez que estacionemos tenemos que dejar todas las cosas a la vista y nada en el maletero, porque el maletero se ha usado para esconder bombas. ¿Harías caso de una instrucción así? ¿Cuál sería la consecuencia más obvia? No se reduciría en nada la amenaza de bombas, y al contrario aumentarían un montón los robos a vehículos. Exactamente lo mismo sucedería si la encriptación segura se declarara ilegal: más fraude, más robos de información e identidad, y mucho menos seguridad para todos. Espero que no lleguemos a eso.

Fuentes: Carolina Botero: "En Defensa del Cifrado"), NY Times: "Stopping WhatsApp Won't Stop the Terrorists".

Foto de ChaTo Carlos Castillo @ChaToX PhD en Ciencias de la Computación, investigador en minería de datos y computación social, particularmente en medios sociales durante crisis humanitarias. http://www.chato.cl/