domingo, 3 de noviembre de 2013

Espionaje

Desde hace meses estamos escuchando noticias del espionaje que hacen principalmente agencias de Estados Unidos (EUA). Lo dirigen contra gobiernos e individuos extranjeros. Aunque también incluye a ciudadanos de ese mismo país. 

Edward Snowden es quien está filtrando la información de los esfuerzos de espionaje norteamericano y al parecer lo seguirá haciendo. Es importante mencionar que varias de sus afirmaciones fueron rechazadas por el gobierno de los EUA.

A pesar de las negaciones de aquel país, la sospecha de espionaje fue sembrada y es frecuente escuchar inconformidades de gobiernos, entre ellos el de México. También hay voces de ciudadanos norteamericanos que están alarmados por esta situación. Desean que cese este espionaje o al menos que se revise y regule.

¿Cómo debe actuar una organización mexicana ante este espionaje? En mi opinión, es importante asumir que estas prácticas están ejecutándose. Por lo tanto es necesario cambiar nuestro modelo de amenaza e incluir a este tipo de actores amenazantes. 

A continuación pongo sobre la mesa una serie de posibles medidas a implementar en una organización en caso de que no estén actualmente en marcha. O en dado caso fortalecerlas.

Almacenamiento en la nube. Es importante saber que los datos enviados a la nube están fuera de nuestro control. Existen diversos servicios en línea que prometen almacenamiento gratuito. O al menos a un bajo costo si se tratan de volúmenes muy altos de información y que probablemente sean servicios orientados a empresas. Es cómodo enviar archivos a esa nube para respaldar. O bien para tener un dato “en todo momento” usando un teléfono inteligente o un navegador con Internet. 

Sin embargo el dueño de la nube tiene el control de esos datos y los puede acceder en todo momento. Hay algunos proveedores de nube que dicen proteger la privacidad de nuestros datos. 

Pero si se enfrentan a una requisición legal, deberán entregarlos a la autoridad de su país. Inclusive hay información que sugiere que el espionaje sucede al momento de que los datos viajan entre los centros de cómputo de grandes compañías de Internet. 

Esto debido a que en un esfuerzo por tener alta disponibilidad de los datos, estas empresas los envían a otras ciudades o países. Y es ahí donde algunas agencias gubernamentales interceptan la información en tránsito.

Solución a la inseguridad del almacenamiento en la nube. Es importante que la solución de almacenamiento en la nube que seleccionemos tenga PIE. Significa Pre Internet Encryption. Es un concepto que significa que los datos se cifran y protegen antes de ser enviados a la nube. El control de los datos lo tiene uno, no los dueños de la nube.

Correo gratuito en la nube. Todos usamos servicios de correo electrónico en la nube. Es conveniente y sin costo. Podemos tener acceso a él en una computadora con Internet o desde nuestros teléfonos inteligentes. Sin embargo es importante mencionar que el envío de correo tiene protecciones limitadas. 

Cuando uno envía correos usando un navegador se habilita el protocolo llamado SSL. Éste protege al email en tránsito entre nuestro equipo y el proveedor del correo gratuito. Una vez que este correo llega a Google o Hotmail, si el correo sale de ahí, irá desprotegido. 

Los protocolos para enviar y recibir correos no tienen seguridad por sí sola. Nacieron sin protección. Es necesario agregarle seguridad.

Solución a la inseguridad del correo gratuito en la nube. La recomendación es usar el correo en la nube para cuestiones triviales. No utilizarlo para transmitir datos importantes. Pero hay ocasiones en que es conveniente usarlo en casos donde hay datos críticos en juego. 

Pues bien, se puede usar cifrando y protegiendo el mensaje. Productos como OpenPGP dan esta protección gratuitamente. WinZip, el programa para reducir el tamaño de archivos, también tiene la funcionalidad de cifrar los datos que son compactados. 

Y claro, existen una diversidad de productos comerciales y empresariales que apoyan en esta labor de proteger correos electrónicos.

Navegación en páginas de Internet. Cuando uno navega por páginas de Internet no es de forma anónima. Si navegamos desde casa, el proveedor de nuestro Internet sabe a dónde vamos. Si navegamos desde la empresa, nuestros administradores de sistemas y el proveedor de Internet de la empresa saben las páginas que visitamos. 

Basta hacer unos clicks por aquí y por allá para saber quién visitó que página y el día y hora que lo hizo. Se pueden hacer estadísticas. Obtener tendencias por individuo, empresa o país. La privacidad en la navegación es inexistente.

Solución a la falta de privacidad al navegar Internet. Existe un producto llamado Tor. Es gratuito. Lo instalamos y navegamos de forma anónima. Existirán algunas ocasiones en que justificadamente necesitemos visitar una página de manera oculta. Tor puede ser una solución.

Uso de redes sociales. Los datos, videos, fotos y comentarios que ponen los usuarios y empresas en redes sociales no son privados. Algunos de estos servicios ofrecen en sus configuraciones opciones para “mantener la privacidad”. 

Efectivamente existe privacidad contra usuarios de la red social que no son nuestros amigos y los que ni siquiera pertenecen a dicha red social. Pero no hay nada oculto para el dueño y los que administran a esa red social. Tomemos a Facebook como ejemplo. Los que administran este servicio tienen acceso total a lo que ahí colgamos. 

Las fotos que tenemos. Los amigos a quien contactamos. Lo que chateamos con nuestras amistades. De hecho este tipo de empresas usan motores automáticos dentro de la red social para “entendernos” y dirigirnos publicidad.  Supongamos que pongo un comentario de “Estoy leyendo el libro de El Evangelio Según Jesucristo de José Saramago y me encanta”. Facebook sabrá que me interesan los libros y en especial de este autor. Me mostrará publicidad de librerías en México que le pagan para ponérmela. Me sugerirá otros libros de este autor. 

Si un amigo mío le da “like” a mi comentario, probablemente también a él le llegará una publicidad similar. Es como generan dinero estas empresas. No hay nada gratuito. En fin, estas empresas están ubicadas obviamente en un país. El gobierno de ese país puede tener peticiones legales para acceder a los datos de un usuario. Y los van a entregar. 

O bien, un gobierno puede intervenir la comunicación de esa empresa (como ya dijimos) al momento de respaldar datos entre centros de cómputo que están ubicados en diferentes regiones geográficas. Y de esta manera interceptan todo de todos.

Solución a la falta de privacidad en redes sociales. No existe una solución real. La naturaleza de las redes sociales es compartir comentarios, videos y fotos. Una solución es pensar dos veces lo que vamos a subir a estas redes. No usarlas para cuestiones empresariales sensibles. 

Y simplemente tener en cuenta que lo que ahí ponemos realmente no es privado.  Por otro lado, dejar de pensar que únicamente uno y sus amigos pueden ver esa información.

Conclusión. Llego a escuchar que “El que nada teme, nada tiene que esconder”. Inmediatamente les pido a estas personas que suban en un sitio público de Internet todos los archivos que tiene su empresa. Todos. 

Para que cualquiera en el mundo los lea. Se quedan pensando y les parece inadecuado. Entonces la cuestión es que el que nada teme, nada tiene que esconder de quien confía (en todo caso). 

El tema no es una macabra práctica de esconder datos, sino ejercer el derecho que tenemos a la privacidad de nuestra información. 

5 comentarios:

Eduardo Esquivel dijo...

Estimado Fausto, me parece muy interesante tu artículo y no me cabe la menor duda que esto de la seguridad informática va más enfocada a la evangelización que ustedes los profesionales de la seguridad pueden realizar con artículos como este.
De nada sirve el definir soluciones en cuanto a cifrado, de nada sirve mejorar las fronteras entre centros de computo y el canal de comunicación, e incluso redefinir protocolos (incluyéndoles seguridad) si no amarramos el eslabón mas débil que es el ser humano.

Fausto Cepeda dijo...

Gracias por tus comentarios Eduardo. Espero que sirvan de algo mis consejos a la comunidad.

el que mira al mar dijo...

Muy buen artículo Fausto. Muchas personas creen que los que estamos en el área de tecnologías somos paranoicos; pero no me canso de escuchar historias espeluznantes por omisiones o falta de conciencia en seguridad de la información -a veces básicas y a veces no tanto-. Es bueno conocer contramedidas de seguridad, pero como en todo, siempre es mejor la prevención. En tw soy @jaimicol, ya hemos charlado.Saludos

el que mira al mar dijo...

Muy buen artículo Fausto. Muchas personas creen que los que estamos en el área de tecnologías somos paranoicos; pero no me canso de escuchar historias espeluznantes por omisiones o falta de conciencia en seguridad de la información -a veces básicas y a veces no tanto-. Es bueno conocer contramedidas de seguridad, pero como en todo, siempre es mejor la prevención. En tw soy @jaimicol, ya hemos charlado.Saludos

Fausto Cepeda dijo...

Muchas gracias por tus comentarios.