Llegamos a ustedes gracias a:



Reportajes y análisis

¿Están seguros sus datos en la nube?

En el 2012 Google recibió 21.389 solicitudes del gobierno por información de 33.634 cuentas de usuarios.

[22/08/2013] Si bien los servicios de almacenamiento de datos en línea afirman que sus datos están encriptados, no hay garantías. Con las recientes revelaciones de que el gobierno federal americano tuvo acceso a los buscadores de Internet, a los correos electrónicos y a proveedores de servicios de la nube, cualquier mito sobre la privacidad de datos en Internet ya no existe.
  
De esta manera, los expertos afirman que simplemente no hay manera de estar completamente seguro que sus datos van a permanecer seguros una vez que se mude a la nube.
No tiene forma de saberlo. No puede confiar en nadie, señala Bruce Schneider, experto en seguridad. ¿Cómo sabe en qué plataforma confiar? Incluso podrían estar mintiéndole porque el gobierno de los Estados Unidos los ha obligado.
Aunque los proveedores de servicios en la nube, de correo electrónico, chat, y redes sociales a menudo afirman -hasta en sus acuerdos de servicios- que los datos que ellos almacenan están cifrados y son privados, en la gran mayoría de los casos ellos son los que tienen las llaves y no usted. Eso significa que un empleado con malas intenciones o cualquier gobierno que solicite las claves de cifrado, puede legalmente descifrar y ver sus datos.
Aun cuando los proveedores de servicios dicen que solo los clientes pueden generar y mantener sus propias llaves de cifrado, Schneier señala que no hay forma de estar seguros que otros no van a ser capaces de obtener acceso.
Por ejemplo, la plataforma de comunicación de Apple, iMessage, que se asemeja a la de SMS/MMS, afirma que la voz y el texto están cifrados y no pueden ser escuchados o vistos por terceros. Pero, dado que el producto no es de código abierto, no hay manera de que nosotros sepamos cómo funciona, señala Dan Auerbach, tecnólogo de la Electronic Frontier Foundation (EFF). Parece, debido a sus características y a la forma en la que funciona, que sí tienen acceso a ella. Lo mismo pasa con iCloud.
Las solicitudes FOIA (Ley de libertad de Información) realizadas por la Unión Americana de Libertades (ACLU) revelaron, a principios de año, que el gobierno de los Estados Unidos reclama el derecho de leer datos personales en línea sin orden judicial.
Es el caso de todos los países del mundo en los que el gobierno parece creer que si los datos son grabados y están disponibles, ellos deberían poder acceder a ellos, comenta Jay Heiser, uno de los analistas de la firma de investigación Gartner. No sucede solo en los Estados Unidos, a pesar de que éste alardea de ello como ningún otro país.
Además de los metadatos (datos que describen otros datos), que el gobierno de los Estados Unidos ya ha admitido que recoge; Google, Microsoft, Yahoo y otros gigantes del Internet han estado entregando datos durante años, en respuesta a las solicitudes del gobierno.
Google recibe solicitudes periódicamente de los gobiernos y tribunales alrededor de todo el mundo para entregarles los datos de los usuarios. El año pasado, Google dijo que recibió 21.389 solicitudes de los gobiernos por información de 33.634 cuentas de usuarios. Y 66% del tiempo, Google, en respuesta a las solicitudes, proporcionó al menos algunos datos.
Durante el mismo año, Microsoft recibió 70.665 solicitudes por información de 122.015 cuentas - más del triple de las solicitudes que recibió Google. Microsoft solo entregó información al 2,2% de todas las solicitudes; es decir entregó contenido real de aproximadamente 1.558 cuentas. El otro 79.8% de las solicitudes significaron la revelación de información transaccional y de los suscriptores de más o menos 56.388 cuentas.
Las pequeñas industrias y empresas están creciendo alrededor de candados virtuales que los consumidores pueden colocar en los servicios de la nube para que incluso los propios proveedores no puedan acceder a esa información -aún si el gobierno quiere tener acceso.
Nuevos documentos obtenidos por la ACLU del FBI y las oficinas de abogados de Estados Unidos revelan realidades sorprendentes sobre las prácticas de vigilancia de correos electrónicos del gobierno de los Estados Unidos. En marzo, la ACLU también obtuvo documentos que mostraban que el IRS no siempre consigue una orden del tribunal para leer los correos electrónicos de los ciudadanos.
¿Quién le apoya?
Auerback afirmó que en el uso de servicios de nube no todo es 'blanco o negro' en cuanto a qué se puede almacenar ahí confiablemente.
A un montón de gente puede no importarle que la compañía [de servicios en la nube] le pase al gobierno parte de sus datos, comenta Auerbach. Dado que piensan que éstos deben estar interesados en otro tipo de datos y no en los suyos.
Por ejemplo, si es un consumidor y está almacenando fotos, videos, música digital o documentos inocuos en un servicio de almacenamiento en la nube, es posible que no le importe que un hacker o el gobierno obtengan acceso a ella. Asimismo, si tiene una compañía que está archivando registros históricos que no son confidenciales -estados financieros, presentaciones, comunicados de prensa o materiales de marketing- puede que tampoco le importe quien los vea.
Pero siempre es bueno saber si un proveedor de servicios va a tratar de proteger su información contra la intrusión del gobierno.
También hay compañías que tienen políticas más amigables… que demuestran que luchan por los usuarios y tratan de evitar las solicitudes irrazonables de datos por parte del gobierno, señala Auerbach. ¿Quién lo apoya o ayuda? ¿Esta empresa requiere una orden judicial para usar los datos de los usuarios? Nosotros le damos estrellas a las empresas basándonos en si cumplen esos criterios o no.
El EFF, un grupo de defensa de la privacidad, ha presentado una demanda contra el programa de espionaje de la NSA. También ha creado una página web que mide y evalúa el esfuerzo que 19 de las empresas más grandes de Internet hacen para tratar de proteger sus datos. La página web de EFF Who Has Your Back premia a las compañías con estrellas de oro basándose en seis criterios:
* Requieren una orden de contenido.
* Informar a los usuarios sobre las solicitudes de datos que hace el gobierno.
* Publicar informes claros y honestos.
* Publicar pautas generales para la ejecución o aplicación de las leyes.
* Pelear por los derechos de privacidad de los usuarios en los tribunales.
* Luchar por los derechos de privacidad de los usuarios en el congreso.
Por ejemplo, Apple, AT&T y Yahoo recibieron solo una de seis estrellas doradas. Dropbox, LinkedIn y Google recibieron cinco de las seis estrellas doradas. Twitter y ISP Sonic.net se llevaron las seis estrellas doradas por sus esfuerzos por proteger los datos de los usuarios.
Si está realmente preocupado por los datos que pasan a manos del gobierno, debido a los procesos legales simplificados mediante los cuales pueden obtener acceso a sus datos, es bueno para los usuarios mantener los datos almacenados localmente; y en la nube, solo cuando están cifrados, señala Auerbach.
Otro proyecto encaminado a proteger los datos corporativos y de los consumidores es el proyecto Tahoe Least Authority File System (Tahoe-LAFS), un sistema de almacenamiento gratuito creado por el desarrollador Zooko Wilcox-OHearn. Él construyó el servicio de almacenamiento para asegurarse que los datos estén protegidos de fisgones y sean resistentes a la falla del hardware. El servicio está distribuido a través de una malla de múltiples servidores de almacenamiento.
OHearn ha estado trabajando de manera segura para computar o calcular con Dropbox, en el que los datos son cifrados de manera significativa. De esta manera, todos los datos son cifrados y se comprueba la integridad mediante un servidor de gateway, para que los demás servidores no puedan ni leer ni modificar el contenido de esos archivos.
Aún si alguno de los servidores fallara o fuera tomado por un atacante o hacker, todo el sistema de archivos continuaría funcionando correctamente, preservando su privacidad y seguridad, afirma el servicio.
Si está buscando una fuerte solución de almacenamiento en línea, debe considerar realizar una criptografía de extremo a extremo o criptografía total, señala Auerbach. Eso significa que las claves de cifrado solo residen en su servidor privado o computadora.
De esa manera, el proveedor de servicios solo ve basura cifrada e ilegible, agrega.
Para comunicaciones de texto, como la mensajería instantánea, el protocolo OTR (Off the Record) es suficiente para asegurarse de que su comunicación es segura y está protegida, señala Auerbach. El OTR es un protocolo criptográfico que usa una combinación del algoritmo AES, el cambio de clave de Diffie-Hellman y la función hash SHA-1.
Para el correo electrónico, los protocolos Pretty Good Privacy (PGP) y Open PGP cifran los mensajes de correo electrónico a un receptor o destinatario, así que ningún proveedor de servicios puede ver lo que está enviando.
El único problema con el cifrado de los correos electrónicos y textos es que la persona con la que se está comunicando también tiene que tener el protocolo operativo en su sistema, para que pueda compartir con ella la clave pública para descifrar los datos.
Para documentos, TrueCrypt o PGP son algoritmos de cifrado confiables que dan al usuario un control total sobre las claves y son gratuitos. También existen los gestores y generadores de contraseñas, como KeyPass o OnePass, que se aseguran de que su contraseña sea aleatoria, que sea más resistente a los ataques y que esté cifrada.
Una red social privada
Cuando se trata de redes sociales -Facebook, Twitter, LinkedIn, Google+ o Ning- la única protección es la que el proveedor ofrece en la configuración de privacidad o privacy settings. Pero eso no significa que el proveedor del servicio y el gobierno no puedan acceder a sus datos.
Si perdemos nuestra privacidad, entonces ¿para qué sirve la nube?, señala Mark Weinstein, un experto de la privacidad en línea. ¿Cómo se sentiría si todos sus amigos y familiares pudieran ver sus mensajes de texto y correos electrónicos?
Weinstein ha creado una red social privada llamada Sgrouples. Este sitio web ya está creado, pero el servicio de privacidad está todavía en desarrollo y espera poder lanzarlo en el cuarto trimestre.
Las contraseñas y datos de los usuarios son cifradas con el algoritmo de cifrado Bowlfish.
El servicio de la red social va a permitir que grupos o amigos compartan contenido cifrado, y solo los usuarios van a tener las claves para ver las publicaciones de otros. Como en otras redes sociales, ésta permite que los usuarios compartan documentos, videos, y eventos. Puede ser usada en una computadora de escritorio o en una plataforma móvil, y se les ofrece a los usuarios 4GB de espacio de almacenamiento gratis para su contenido.
Sgrouples tiene una carta de derechos de privacidad que promete a los usuarios ser dueños de su propio contenido, nunca tendrá cookies de rastreo, y no va a permitir ni el bullying ni que los usuarios estoqueen a otros.
La carta de derechos del usuario también establece que si alguna vez cambia sus políticas, incluso si otra compañía adquiere el sitio web, debe notificar a sus usuarios y proporcionarles una forma sencilla de borrar sus cuentas si así lo desean.
Si el gobierno viene con una orden judicial que estamos obligados a cumplir; y aunque tenga todas las ganas y buenos deseos de cumplir con el sistema judicial, no tendríamos nada que entregarles, comenta Weinstein.
Cuando hablo con mis amigos, no quiero que ninguna compañía me esté espiando y tampoco quiero que mi abuela esté viendo cada palabra de lo que escribo agrega. Simplemente no creemos que la vida es fundamentalmente pública.
Lucas Mearian, Computerworld (EE.UU.)