Seguridad Digital Desde el nada que esconder hacia el nada que enseñar: Desarrollar juntos prácticas más seguras en Internet
Julie Gommes
Me gusta mucho cuando la gente me dice que no tiene nada que esconder: «Entonces ¿te puedo grabar en la ducha?», mirada estupefacta. ¡Claro que no! «Y sino, ¿puedo grabar cuando roncas durante la noche? O al menos déjame leer tu expediente médico... Ah, ¿no? ¿es que tienes cosas que esconder?»
Siempre habrá aspectos de nuestras vidas que queremos guardar en la intimidad por timidez, miedo, o sencillamente por el placer de tener un jardín secreto y un mundo nuestro. Además, si uno no tiene nada que esconder, esto también quiere decir que nadie quiere confiarle un secreto. Es problemático. ¿Cómo se hace entonces para tener amigos? Esta idea de transparencia radical 1 que promueven los defensores de la web social comercial es una trampa para nuestras libertades individuales.
Tanto más cuando este esfuerzo de transparencia no parece deber aplicarse a nuestros «representantes» políticos, ni a las empresas. Entonces, ¿por qué la ciudadanía debería exponerse de forma continua para probar que no tiene nada (malo) que esconder ?
"La creación activa de espacios de seguridad no puede dejar a un lado las tecnologías digitales e Internet. La seguridad debe pensarse como un conjunto de prácticas que engloba nuestras identidades físicas y electrónicas, las dos caras de la misma moneda. Si la seguridad puede interpretarse como la ausencia de riesgos o como la confianza en algo o en alguien, también debe ser interpretada como un proceso multidimensional. Esta visión significa saber proteger tu cuerpo (¡Dónde sólo tú decides !), tu derecho a expresarte, a la cooperación, al anonimato, pero también tu derecho a aprender de las herramientas y aplicaciones que te protegen. Para esto también hace falta entender qué alternativas existen y cómo puedes usarlas, defenderlas, apoyarlas"
La percepción de seguridad depende de cómo nos conectamos, navegamos e intercambiamos, pero también del tipo de tecnologías que usamos y con quién las usamos. Los sistemas operativos, el tipo de hardware, los XISP, los servidores, los routers cuentan. Nuestras finalidades sociales y políticas también influyen en el tipo de seguridad que necesitaremos y de cómo intentaremos detectar, tapar o exponer nuestra huella. A veces buscaremos el anonimato, la autentificación, la prueba de integridad de las comunicaciones, cifrar los contenidos, y otras veces buscaremos todas estas dimensiones juntas.
Sin embargo, la paradoja de la privacidad nos enseña que las personas generalmente tienen tendencia a afirmar que se preocupan por su intimidad, pero cuando se les pregunta qué medidas toman para protegerla, uno se da rápidamente cuenta de que no toman ninguna o casi ninguna. Al principio de Internet, existía esta idea que podíamos estar allí y adoptar cualquier identidad 2 tal y como lo dibujó Steiner en 1993: On the Internet, nobody knows you're a dog» 3. A día de hoy esta época de Internet ha pasado. Ahora nos etiquetan, nos perfilan, nos monitorizan, nos analizan.
Somos lo que dice nuestro grafo social 4 de nosotros, y aquellos que no desarrollan prácticas para defenderse se encuentran totalmente expuestos. Desnudos en Internet: «Sí, pero bueno... la seguridad, es difícil».
O no, tampoco tanto. Si tomas un mínimo de tiempo para interesarse en el tema, el tiempo de reescribir tu contraseña para impedir que se pueda acceder a tus datos si te roban el ordenador o «smartphone», el tiempo de levantar la cabeza para comprobar si hay una cámara de videovigilancia cerca. El tiempo de formular las buenas preguntas como, por ejemplo, a qué riesgos estas expuesto y cómo se pueden reducir o prevenir. O también, preguntar cómo tus prácticas en línea exponen la vida privada de tus amigos o del colectivo con el cual estás comprometido para cambiar el mundo.
Mejorar sus prácticas en Internet, es también ser más «libre» de sus opiniones y poder expresarlas con seguridad. Más libre de hacer su trabajo cuando uno es periodista, por ejemplo. Me enoja cuando leo «entrevista realizada con Skype» con personas que pueden morir por culpa de lo que llamo una negligencia. Como periodista, y a pesar de toda mi buena voluntad y muchos esfuerzos, también estaba muy equivocada por desconocimiento. Y he descubierto cosas, he leído, he intercambiado con personas que sabían. Hoy, me sorprende cuando la persona con quien estoy hablando no sabe lo que es el Deep Packet Inspection 5, pero para decir la verdad, hace poco más de dos años, tampoco lo sabía. Entonces, lo explicamos, lo repetimos, una y otra vez. Porque tomarse el tiempo para explicar estas nociones y estas herramientas a personas de su entorno, pero también a desconocidos, es una contribución fundamental para fomentar un Internet y una sociedad más justa para todos.
Aprender a protegerse y a no poner a los demás en peligro necesita tiempo y atención, pero otorga automatismos que serán salvadores en lo cotidiano.
Toma de conciencia
Hoy en día, ya no se puede ignorar el espionaje en línea. Tratándose de las revelaciones de Edward Snowden respecto a la NSA o de las detenciones repetidas de opositores políticos, antes y después, de las revoluciones del 2011, ya no podemos ignorar que potencialmente todos podemos estar bajo vigilancia. Esta situación también ocurre offline con la videovigilancia. Si estoy en una gran avenida con amigos cerca de unos comercios, habrá necesariamente una grabación de ese momento, a pesar de que mi imagen, mi sonrisa, este momento de intimidad o de compañerismo no tienen nada que hacer en una base de datos. Es mi vida.
Desdramatizar
La protección de la vida privada no está reservada a una élite de aficionados a la técnica, y pasa muchas veces por pequeños gestos cotidianos y ante todo, por una toma de conciencia. Todos hemos revelado, incluso (y sobre todo) yo, trocitos de nuestra vida en la web, por desconocimiento de las consecuencias. Todos hemos hablado de la vida privada de nuestros amigos, antes de tomar conciencia del daño que les estábamos causando.
Posiblemente hemos colgado fotos nuestras, porque teníamos disfraces guays, porque estábamos felices, porque nos queríamos y no pensábamos que estos momentos acabarían en el despacho de una agencia de marketing o en el dossier de los servicios secretos.
Elegir
No somos apóstoles del hacer bien, vivir mejor, ni los mensajeros de la sagrada protección de los datos. Sólo queremos, con la técnica que conocemos, enriquecidos de los errores cometidos, daros algunos consejos básicos para ayudar a protegeros o por lo menos, haceros reflexionar sobre lo que (no) debéis enseñar. Pronto se darán cuenta que entre comodidad y libertad, habrá que elegir; pero como decía Benjamin Franklin «Un pueblo listo para sacrificar un poco de su libertad a cambio de un poco de seguridad no merece ni una cosa, ni la otra, y acaba por perder las dos».
¡Entonces al trabajo! Para escapar de la vigilancia de manera sencilla y sin dolor, sólo hace falta reemplazar vuestras herramientas cotidianas por herramientas protegidas. PrismBreak 6, da igual el sistema operativo (sí, sí, aunque usemos Windows), propone herramientas que permiten esquivar la vigilancia electrónica. Y para evitar la videovigilancia, el proyecto «bajo vigilancia» 7, lanzado por algunos franceses, les permite consultar los planos de las ciudades donde se encuentran: Minsk, Moscú, Seattle, Montréal, Paris, etc. y así, citarse con sus fuentes, amigos, compañeros de acción donde no hay cámaras y por lo tanto eludir la pesada mirada de Big Brother.
De la importancia de reapropiarse de las herramientas
A cada práctica/persona/necesidad le corresponde una herramienta. Uno no va a anonimizarse de la misma manera si es un docente-investigador que quiere recuperar cursos que si es un adolescente que quiere descargar la música de moda. Interesarse por su ordenador, por cómo funciona es también entender que no hay remedio milagro o herramienta revolucionaria.
Interesarse también quiere decir preguntarse cuáles son los programas que pueden ser maliciosos. Por ejemplo, ¿porqué una aplicación de dibujos en un smartphone pide permiso para tener acceso a mi repertorio o a mis archivos SMS? ¿Porqué una aplicación de notas necesita localizarme? Podemos darnos cuenta muy fácilmente de cómo los creadores de algunas aplicaciones se dan privilegios en nuestras máquinas. Sólo hace falta leer las características antes de hacer clic en «Instalar».
Una vez más, no hace falta competencias técnicas para protegerse, sino una curiosidad hacia las herramientas que usáis.
Disciplina
Podemos aprender a lanzar y usar este u otro software, crear particiones encriptadas con Truecrypt 8, pero si no somos conscientes de los riesgos que hacemos correr a los demás al llamarlos por teléfono o al enviarles un e-mail sin cifrar, la tecnología no sirve de nada. Más allá del difícil aprendizaje de las herramientas, es una disciplina que hay que adquirir, ser consciente de lo que hacemos o de lo que no hacemos y de las consecuencias que pueden acarrear. Es una toma de consciencia cotidiana.
Es importante crear momentos de aprendizaje colectivo, momentos de intercambio, para poder pensar la seguridad en una red personal donde vuestros amigos y parientes adoptan estas prácticas también para crear un círculo virtuoso donde cada uno estimule a los demás. Intercambiar e-mails cifrados, elegir usar una dirección de e-mail que no dependa de una empresa comercial, o trabajar juntos en tutoriales o manuales son buenas dinámicas de apoyo mutuo.
Anonimato ¿Porqué? ¿Cómo?
Mas allá de las soluciones técnicas, el anonimato y el uso de seudónimos pueden también constituir soluciones sencillas a la vigilancia. El uso de seudónimo, es mostrar otra identidad en Internet, ya sea de corta o larga duración, que le sirva para un chat de algunos minutos o para identificarle en forums donde va a participar durante años. El anonimato, es no dejar ninguna huella que permita reconocerle. Unas herramientas sencillas lo permiten. Tor 9, por ejemplo, hace realizar saltos de pulga a vuestra petición de un servidor a otro. ¿El resultado? Es la dirección IP de uno de los servidores la que se guardará, y no la de vuestra conexión.
La encriptación, un juego de niños
Enviar un e-mail «transparente» es lo mismo que enviar una postal. El cartero la puede leer por el camino, ver la foto, puede burlarse, etc. Vuestra postal va por allí sin protección ni contra la lluvia, ni contra las miradas indiscretas. Con vuestros e-mails pasa lo mismo. Salvo si, como en el sistema de correos, se pone el mensaje en un sobre. El sobre digital se obtiene usando encriptación.
Cuando eramos niños, lo hicimos a pequeña escala enviándonos mensajes secretos con los amigos. Al escoger un código tipo «desplazar tres letras», «Adam es guapo» se convertía en «Dgdp hv jxdsr». Hoy en día, somos adultos y no es mucho más complicado. La diferencia es que las máquinas trabajan para nosotros y hacen que la encriptación sea aún más compleja, más difícil de romper, con caracteres especiales, algoritmos que encriptan un mensaje sin ninguna concordancia con el próximo que harán.
De la servidumbre voluntaria
En el caso de los e-mails, cuando hacemos clic en «enviar» el mensaje se almacena en cuatro ejemplares:
El primero en el buzón de envío del remitente, se encuentra fácilmente pulsando en «enviados» con el historial de los otros correos enviados.
El segundo, en el buzón de entrada del destinatario. Hasta ahora, nada anormal, a no ser que...
La tercera copia la almacena un servidor del señor Google, de la señora Yahoo, en fin, según la empresa a la que pertenece la cuenta de e-mail del remitente. Hay que añadir que cualquier persona que tenga acceso a estos servidores, trabaje o no para estas compañías, puede tener acceso a estos correos.
Y no se acaba aquí, ya que la cuarta copia la almacenan la señora Google y el señor Yahoo, de nada importa la empresa que provee el servicio e-mail del destinatario. Entonces cualquier persona que tenga acceso a estos servidores, trabaje o no para estas compañías, puede también tener acceso a estos correos.
Borrar los mensajes del buzón de entrada o del buzón de salida en la interfaz no los borran de los servidores, allí están almacenados y allí se quedan. Aunque todo esto sea muy feo respecto a la vida privada, somos nosotros quienes permitimos que se pueda hacer.
Conclusión
Proteger su vida privada, la de sus contactos, la de sus amigos, no se improvisa, pero no es un desafío insuperable. A veces basta con reflexionar antes de clickar, antes de instalar una aplicación. El resto, sólo es técnica, y también está al alcance de todo el mundo, lo importante es quererla.
Algunas guías y tutoriales para empezar
Security in a box: una guía que os explica qué herramientas usar según la situación concreta. Existe en 13 idiomas: https://securityinabox.org
How to bypass Internet censorship: La explicación paso a paso de la instalación de la mayoría de las herramientas de seguridad, mediante capturas de pantalla. Existe en 9 idiomas: http://howtobypassinternetcensorship.org
Prism Break: protegerse con el móvil y con el ordenador reemplazando sus herramientas por herramientas seguras: https://prism-break.org
Cryptocat: un software de chat seguro a través de su navegador: https://crypto.cat
Julie Gommes, “analista en cyberseguridad” y periodista que codea y habla con su ordenador con lineas de comando. Ha vivido y trabado en Medio oriente y en Asia del sud este. Participa de varios colectivos para defender a neutralidad de la red y luchar contra la sociedad de vigilancia. Su blog en francés: http://seteici.ondule.fr jujusete[at]riseup[point]net PGPD7484F3C y @jujusete
1 http://www.ippolita.net/fr/libro/la-confidentialité-n’est-plus-l’idéologie-de-la-transparence-radicale
2 Ver New Yorker. https://upload.wikimedia.org/wikipedia/en/f/f8/Internet_dog.jpg
3 https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you%27re_a_dog
4 http://es.wikipedia.org/wiki/Grafo_social
5 https://es.wikipedia.org/wiki/Inspección_profunda_de_paquete
6 En 26 idiomas, PrismBreak propone protegerse en el móvil o en el ordenador reemplazando sus herramientas cotidianas por herramientas protegidas: https://prism-break.org/en
7 Cartografía colaborativa de la videovigilancia: http://www.sous-surveillance.net