Llegamos a ustedes gracias a:



Reportajes y análisis

Yo Privado: Es hora de cifrar todo

cifrar, privacidad

[13/02/2015] Si algo hemos aprendido de los últimos años, es que dada la oportunidad de espiar nuestros datos o nuestros metadatos, los criminales, negocios, y los gobiernos tienen mucho en común. Pueden tener diferentes fines que los impulsan a querer mirar nuestro correo electrónico y las transacciones, escuchar nuestras llamadas telefónicas, realizar un seguimiento para ver con quienes nos comunicamos, y seguir nuestra ubicación, pero todo implica una falta de consentimiento.

Podemos tomar medidas en nuestras manos y rechazar su asalto a nuestra privacidad mediante la encriptación de nuestros datos hasta donde nos sea posible; sobre todo en el tránsito, cuando está en su punto más vulnerable. Las herramientas nunca han sido tan poderosas, y nunca hemos tenido tantas opciones entre las que elegir. Está a punto de ser aún mejor.

El director del FBI, James Comey, se quejó en septiembre pasado, de que iOS 8 y las últimas versiones de Android de Google permiten una encriptación tan fuerte, que el FBI no puede romperla fácilmente o en lo absoluto. Como ocurre tan a menudo y tan tediosamente, Comey señala que atrapa terroristas, pederastas y otros delincuentes -que representan un infinitamente pequeño porcentaje de todos los usuarios móviles- como razón para comprometer la seguridad de todos.

Las agencias de seguridad no están conformes con las medidas de seguridad de Apple iOS 8.
Encriptar, privacidad

Hasta ahora, Apple y Google no se han movido, probablemente debido a que sus usuarios están felices de escuchar ésa postura. Tim Cook habló fuertemente sobre la necesidad que tienen los usuarios de tecnología en controlar qué y cómo sus datos pueden ser accedidos por otros -incluyendo gobiernos.

Pero no hay duda, nada más que podamos hacer. La Internet se ha desarrollado de una manera ridículamente abierta, ya que fue diseñado por y para los académicos, y todavía conserva numerosos vestigios de ese comportamiento. Algo de esto estaba relacionado con la potencia de procesamiento: cifrar y descifrar información en tiempo real, a medida que viajaba entre los dispositivos y a través de los routers fue una vez mucho más caro de lo que es hoy.

Los procesadores y circuitos personalizados, tal como están integrados en el hardware iOS, reducen la sobrecarga de cálculo y el costo. Un gran porcentaje de los servidores web están alojados en un hardware que puede manejar fácilmente todo el tráfico en ejecución a través de HTTPS sin un tirón. Realmente no hay excusa para que un proveedor de información evite ofrecer un método seguro.

Qué puede hacer en este momento

En una Mac o en iOS, tiene muchas opciones de servicio en general.

Use una VPN. Una conexión de red privada virtual pone una capa cifrada en torno a cada bit de datos entre su hardware y un punto en cualquier otro lugar de Internet. Las empresas han utilizado durante mucho tiempo VPNs que terminan dentro de una red corporativa más fuertemente protegida. Sin embargo, cualquier persona puede conectarse con Cloak, TunnelBear, AnchorFree, y muchos otros.

Una VPN es integral, cubre todo su tráfico, pero también es incompleta. Debido a que no está totalmente de extremo a extremo (termina en un centro de datos en alguna parte), es mejor proteger débiles vínculos locales y cercanos, como en cafetería o incluso una ISP local.

Utilice un cifrado de red privada virtual para proteger su navegación por Internet en la cafetería.
Cifrar, privacidad

Utilice el cifrado de cliente a servidor. Recuerdo una época en que era raro y un dolor utilizar el cifrado para recibir y enviar correo electrónico. Ahora, está casi universalmente disponible, y Apple Mail y otros clientes de correo electrónico hacen todo lo posible para establecer una conexión segura por defecto. Para cualquier conexión con el servidor, prefiera o configure los valores para utilizar una opción segura. Con algunos sitios o servicios, puede que tenga que configurar su cuenta primero, y luego usar una preferencia segura para requerir HTTPS o una conexión cifrada. Con el software que utiliza los servicios Web, preferentemente encuentre el punto final HTTPS -puede que tenga que buscarlo- en vez del HTTP plano.

Al igual que una VPN, la encriptación de cliente a servidor tiene un punto de terminación: si el correo, archivos, u otro servidor se ve comprometido por un criminal, un empleado (incluyendo ejecutivos), o las demandas de una agencia gubernamental, su información puede ser interceptada. Los datos han de ser cifrados y descifrados en el servidor, ya sea Dropbox, correo electrónico, o lo que sea. Casi siempre, puede tener tránsito seguro (SSL / TLS, SSH, u otros) y el almacenamiento seguro, pero con una etapa en el medio donde se debe producir el descifrado para transferirlo de ida y vuelta.

En este sentido, hay trabajo sucediendo en la Web: muchos sitios Web pueden y deben usar SSL / TLS, pero el costo y la complejidad técnica de las pequeñas empresas fuera del comercio electrónico, las finanzas y la salud han impedido una adopción a gran escala. La Electronic Frontier Foundation anunció un plan llamado 'Vamos a encriptar' para integrar la creación, instalación y renovación automática del certificado de seguridad para los sitios web que podrían expandir dramáticamente conexiones Web cifradas, manteniendo los hábitos casuales seguros.

Utilice cifrado punto a punto de extremo a extremo. El estándar de oro es tener el software de cliente que permite ningún compromiso entre los usuarios en cada extremo, ofreciendo solo las partes a cada lado para interactuar con los datos que están fluyendo. Esto ha sido relativamente poco común en el pasado, debido a una arquitectura cliente/servidor que permite la heterogeneidad -una forma elegante de decir que usted puede tener un servidor inteligente que habla, ya sea una norma o que puede manejar varios protocolos diferentes, y entonces muchos tipos diferentes de clientes.

La heterogeneidad evita la necesidad de todos por utilizar el mismo software de cliente, y hace que el alcance de un servicio o producto sea mucho más amplio, porque evita el aseguramiento de la plataforma o versión de sistema operativo. Hay miles y miles de clientes de correo electrónico, a pesar de que un puñado son los más utilizados. Del mismo modo, cientos de clientes de Twitter continúan, incluso después de que la firma reforzó sus reglas de acceso hace unos años.

Los clientes peer-to-peer requieren que cualquier persona con quien desea comunicarse instale el mismo software, que podrá limitarse a una o unas pocas plataformas, o que elija entre un conjunto de opciones mucho más restringidas. Eso limita la utilidad, y es lo que ha llevado a la gente a configuraciones cliente/servidor menos seguras. La tendencia está cambiando, aunque, en parte por motivos de seguridad. Skype siempre ha utilizado el cifrado de extremo a extremo, como utiliza iMessage. Pero ambos tienen defectos significativos en la forma en que su integridad es verificada por los usuarios regulares y validado por los forasteros.

ProPublica, una web de periodismo sin fines de lucro, publicó recientemente una evaluación profunda de herramientas de mensajería seguras, señalando un punto por cada una de siete medidas, incluyendo si el código estaba abierto a la auditoría externa. Solo un puñado de sistemas poco usados recibió siete puntos; las herramientas más utilizadas anotaron mucho menos. AIM recibió un punto al igual que Skype, mientras iMessage y FaceTime anotaron cinco cada uno.

WhatsApp abrazó el cifrado de extremo a extremo.
Cifrar, privacidad

Este cuadro de mando cambiará rápidamente. WhatsApp, la popular aplicación de mensajería adquirida por Facebook, anunció que está integrando TextSecure en su cliente de Android para interactuar a través de texto, teniendo conexiones de Android a Android a partir de dos puntos a siete en la escala ProPublic. WhatsApp añadirá iOS y otros tipos de soporte de mensaje en el futuro. Y una empresa fundada por el ex Navy SEALS y gurúes del cifrado, Silent Circle, también anota siete en sus servicios de texto y llamadas telefónicas disponibles a través de aplicaciones iOS y Android.

Puede tener una gran cantidad de sentimientos diferentes acerca de si los órganos de gobierno -con o sin los procesos legales que varían ostensiblemente le garantizan que usted en el país en el que reside- tienen el derecho de escuchar, interceptar o descifrar los datos cuando la seguridad nacional u otros intereses están en juego. Sin embargo, cualquier método por el cual un agente del gobierno puede acceder a nuestros datos también es un conducto para los ladrones, empresas y otros gobiernos. La aplicación de la ley tiene que adaptarse; tenemos que protegernos a nosotros mismos, ya que ellos no pueden.

Glenn Fleishman, Macworld (EE.UU.)