lunes, 14 de marzo de 2016

Una de espías!!

Vuelve el interés por la Seguridad Informática, en este caso tras la entrevista a Edward Snowden por parte de los medios de comunicación La 6 (para su programa El Objetivo) y eldiario.es.

La Seguridad Informática es un tema terriblemente complejo y muy difícil de explicar si no se poseen buenos cimientos técnicos. Se requieren estudios (formales o informales) y muchas prácticas para comprender someramente lo más básico y principal. Además, es uno de los negocios más rentables por sí mismos. Un buen analista de seguridad puede cobrar en un día lo que otros técnicos cobran en un año. Incluso técnicos del sector informático.

Así que es un tema de interés general muy difícil de enfocar para el público general. La mayoría de información que podemos encontrar en la Red al respecto es errónea cuando no deliberadamente falsa, publicada normalmente con el único objetivo de generar tráfico y publicidad gracias a la curiosidad de los usuarios. La entrevista a Snowden no está exenta de un buen montón de incoherencias, producto bien de la necesidad de adaptar la entrevista para el público que la verá o bien porque Snowden da por sentado que sus interlocutores tienen conocimientos que no es posible que posean.

Un caso interesante para ilustrar esto es la mención de la entrevistadora Ana Pastor al caso de Apple contra el FBI que se está dirimiento actualmente en USA. En dicho caso, un juez atiende la petición del FBI y le exige a Apple que proporcione acceso al dispositivo de su marca propiedad de un acusado de terrorismo. La primera incongruencia es que Snowden menciona bastantes veces que permitir o no el espionaje masivo debería de ser una opción de los ciudadanos, y también hace mención en diferentes ocasiones a la necesidad de Leyes y de control judicial.

Bien, en el caso de Apple vs FBI, lo cierto es que hay control judicial. La ley invocada puede ser más o menos justa y los partidarios de la privacidad pueden tener más o menos razón. Pero Snowden invierte mucho tiempo en justificar que esto sea posible -además, no es un caso de espionaje masivo, ya que sólo se trata de un dispositivo concreto, por lo que desde ese punto de vista debería de estar justificado: las leyes en USA pueden ser todo lo malas que quieras e influidas por los lobbies que sean, pero al final se aprueban en un Congreso elegido por los ciudadanos. También es cierto que Apple esgrime argumentos para negarse, y podemos opinar sobre ellos: pero el punto de vista sigue siendo el mismo: este caso tiene control judicial y afecta a un solo usuario.

Snowden elude esta cuestión y comienza afirmando que "algunas compañías jóvenes, como Apple, pueden querer proporcionar más privacidad a sus usuarios (...)" para luego explicar mal en qué consiste tal privacidad. Pero el historial de esta "joven compañía" está muy lejos de una compañía que se rebela contra el sistema para defender la privacidad de sus usuarios, tema que sólo es de su interés desde que un buen montón de celebridades encontaron fotografías "íntimas" suyas compartidas en Internet. Después lo explica mal: Apple no cifra ni puede cifrar las comunicaciones, al menos no de forma diferente a lo que hacen otras empresas como Microsof. Digamos simplemente que el sistema de mensajería de Apple no es Telegram ni otros sitemas más avanzados. De hecho, eso no es relevante en el caso mencionado por Ana Pastor, donde claramente el FBI lo que quiere es acceso al contenido del dispositivo, no a sus comunicaciones.

También se hacen referencias a los "metadatos", que es un nombre ampuloso para referirse a información asociada a un fichero determinado. Snowden utiliza una analogía con una fotografía que no es muy útil para entender el concepto del tratamiento de metadatos. Lo que Snowden menciona realmente son "etiquetas" que pueden o no ser metadatos o pueden ser parte del fichero. Pero los metadatos incluyen a las etiquetas de igual forma que incluyen al contenido del fichero: nadie es tonto, y mejor leer el correo que tratar de adivinar de qué va, y lo mismo para las etiquetas: tienes que poder leerlas en algún lado y ni siquiera tienen por qué existir. Eso podemos verlo si trasladamos nuestras fotos al computador: dependiendo del programa utilizado, incluso de la cámara utilizada, pueden existir o no. Y pueden estar o no acompañados de otras etiquetas, como nombres comunes y propios -lugares, motivos, quienes aparecen en ellas... Pero hay metadatos que siempre existen: la hora de creación del fichero, por ejemplo -en el caso de la foto, la hora en nuestro computador no tiene por qué coincidir con la hora en la que se hizo la foto. En el caso de un correo electrónico, la dirección de envío, de recepción, el asunto, si hay anexos, y un buen puñado de cosas.

Otro aspecto interesante de los metadatos -a diferencia de las etiquetas aludidas por Snowden- es que por sí mismos no tienen ningún valor: los metadatos se convierten en información al ser relacionados con otros metadatos. En el ejemplo de la llamada al ex a las 2 de la mañana, la llamada en sí no tiene mucho valor; incluso que después se encuentren en el mismo hotel puede ser sospechoso pero no más que una coincidencia. Sin embargo, la unión de ambos datos nos proporciona prácticamente una evidencia.

Es algo similar al uso que hace la Agencia Tributaria de Facebook. Bien, que tú poses con tu flamante deportivo no es muy importante para ellos. Pero si pones varios contenidos que den una idea de nivel de vida muy alto, a la par que tienen una declaración tuya en la que figuras como un pobre obrero, bien, digamos que pasas a ser alguien "interesante". Y si una empresa "dudosa" te tiene en sus ficheros, vamos, que más pronto que tarde te va a aparecer un inspector a preguntarte "un par de cosillas".

En mi opinión, el contexto es muy importante para comprender cualquier información. Esto sirve también para los metadatos, que proporcionan un contexto incluso cuando se carece de la información a contextualizar. Siguiendo el ejemplo de Facebook, la empresa no tiene forma de saber que te entusiasma un tipo de coche y que tienes intención de invertir una cantidad de dinero en él. Sólo sabe que 9 de cada 10 enlaces externos que consultas tiene que ver con coches deportivos, y se supone que tal interés es por algo. Incluso si después eres un simple técnico que le gusta estar al tanto de qué coches hay en el mercado, aun así siempre puedes recomendar determinados modelos a determinados clientes. Esto no es muy diferente a que Facebook te haga una encuesta sobre si te gustan los coches y por qué, con la diferencia de que en la encuesta te puedes negar a responder o incluso mentir, mientras que el interés.. vamos, que no consultas esas páginas para que Facebook tenga una imagen errónea de ti.


Un tema diferente es que no tiene tanta utilidad pinchar un cable interoceánico si lo que vas a buscar son los metadatos de las comunicaciones. Al fin y al cabo, las leyes europeas y americanas obligan a los proveedores de acceso a internet a almacenarlos, así que sólo es cuestión de pedírselos o robárselos. En mi opinión, si pinchas un cable es para espiar el contenido de las comunicaciones, aun cuando sea buscando comunicaciones que contengan palabras clave, por ejemplo, o al menos saber cuáles están cifradas. En los casos elegidos, podrías guardar sus contenidos a la espera de que se manifiesten de utilidad. Aquí hay que añadir la participación de las empresas como Facebook, Twitter o Google. Bien, ellos no proporcionan cifrado en las comunicaciones, así que pueden proporcionar tus contenidos al FBI sin problema alguno. Es mucho más sencillo que procesar millones de comunicaciones: básicamente, le dices a otra empresa que haga ella ese proceso.

El contexto también es importante para comprender esto de la Seguridad Informática. Decía Hawkins en su popular obra "Breve Historia del Tiempo" (Hawkins, 1988) que su editor le decía que con cada ecuación perdería la mitad de lectores, pero que tenía que poner al menos la popular E=mc², y que si con eso perdía una mitad... pues ¡qué se le iba a hacer! En el caso de la Seguridad Informática es similar. Puede (y debe) explicarse con muy pocos tecnicismos para sea más accesible. Pero es inevitable tener que comprender un puñado de cosas. En mi opinión, para entender la cuestión deberían tratarse varios aspectos.

El origen de Unix e Internet
El origen de la computadora personal
Qué son los protocolos y puertos informáticos.

Sólo así podremos comenzar a entender la complejidad de una cuestión que a este ritmo en pocos años puede monopolizar nuestras vidas.

Pdata: en el texto no hay un sólo enlace y sólo una referencia a un libro que no tiene que ver con el texto. Bien, si todo el mundo puede publicar así y ser líder de opinión, ¿para qué voy a invertir yo el tiempo? todo lo dicho puede encontrarse en diversas fuentes secundarias, comenzando por la popular Wikipedia ;)

2 comentarios:

  1. A estas alturas tiene importancia la seguridad en internet? para el pueblo desde ya q no la tiene, y lara las grandes empresas o gobiernos si no entran entu pc siempre hay un buchon para comprar..

    ResponderEliminar
    Respuestas
    1. La tiene, como tantas otras cosas. Pero para nada se nace aprendido.

      Eliminar