Tag Archive: Privacidad


unnamed

Mientras este pulso entre ambas partes se mantiene, «The New York Times» ha desvelado este fin de semana cómo la privacidad vuelve a enfrentar al gobierno de Barack Obama con otra gran compañía tecnológica: Facebook, pero esta vez para acceder a las comunicaciones de WhatsApp.

Conviene resaltar que este enfrentamiento no es nuevo pero sí se ha avivado a raíz de la oposición de Apple. Según el diario, «los funcionarios del gobierno están debatiendo en privado cómo resolver este disputa» lo que supone «un nuevo frente en la administración de Obama con Silicon Valley sobre el cifrado, la seguridad y la privacidad».

 Tal y como recuerda «The New York Times», el fundador WhatsApp, Jan Koum, afirma cómo en los inicios de la popular aplicación de mensajería «WhatsApp tenía la capacidad de leer los mensajes a medida que pasaban a través de sus servidores. Eso significaba que podía cumplir con las órdenes de escuchas telefónicas por parte del gobierno». Sin embargo, a finales de 2014, la compañía anunció que mejoraría su cifrado para evitar esta especie de espionaje.

Por esta razón, «WhatsApp no puede proporcionar información que no tenemos», declaró la compañía hace varias semanas después de la encarcelación en Brasil del vicepresidente de Facebook para América Latina, Diego Jorge Dzodan, por no entregar a las autoridades información almacenada por Facebook de dos usuarios con una cuenta en WhatsApp en la que intercambiaban información sobre tráfico de drogas.

El problema es que «desde hace más de medio siglo, el Departamento de Justicia ha hecho de las escuchas telefónicas su herramienta fundamental para combatir el crimen», apunta el diario. Sin embargo, los avances en cifrado que se están dando en los últimos tiempos están provocando que caiga en peligro esta línea de investigación.

WhatsApp es, tal y como ha revelado «The Guardian», una de las compañías que está mejorando su sistema de cifrado de datos. Facebook y Google también trabajan en esta línea y casualmente, todas ellas apoyaron a Apple en su decisión de no claudicar ante el FBI.

James B. Comey, director del FBI, ha defendido ante el Congreso que el cifrado es vital en las comunicaciones y «sin duda hay implicaciones internacionales» pero aboga por encontrar un término medio entre las grandes empresas tecnológicas y las investigaciones policiales.

Fuente | ABC

 

 

e32cc80bf07915058ce90722ee17bb71-snowdens-advice-drop-facebook-google-and-dropbox-for-better-privacy

Hace unos días, Edward Snowden salió de nuevo en público desaconsejando servicios como Dropbox, Google o Facebook si te preocupa tu privacidad. A estas alturas ya todos conocemos el escándalo de la NSA y cómo los tentáculos de la agencia estadounidense llegan a cualquier sitio.

Pero, ¿cuál es la base técnica para esas afirmaciones? ¿Cómo podemos saber si nuestros datos son privados o no, o si alguien más aparte de nosotros puede leerlos? Vamos a tratar de dar respuesta a esas preguntas.

La teoría en este sentido es fácil: si tú no estás cifrando y protegiendo tus datos, entonces alguien más podría leerlos. Si Dropbox no te pide una clave para descifrar tus archivos, entonces es posible que puedan husmearlos. Si puedes enviar un mensaje a través de Gmail sin poner una contraseña de cifrado, entonces alguien más podría leer ese mensaje (y no sólo el destinatario).

Tus datos no son 100%* privados si no tienes tú exclusivamente la clave de cifrado de los mismos

(*) la privacidad dependerá siempre de múltiples factores, es imposible asegurar la seguridad al 100%

Alguno pensará que sí tenemos la clave: al final todas nuestras cuentas tienen una contraseña, ¿no? En realidad, muy pocas veces se usa nuestra contraseña para cifrar los datos. Sólo hay que hacer la prueba: ¿te deja el servicio en cuestión recuperar tu cuenta si has olvidado tu contraseña? Si la respuesta es sí, entonces tus datos no están cifrados con ella. Si lo estuviesen, entonces no podrías recuperar nada (ningún algoritmo de cifrado tiene una opción “He olvidado la clave”).

Por poner un ejemplo de este último caso: mirad las páginas de “Recuperación de cuenta” de Lastpass o Spideroak: hay alguna posibilidad de recuperar tu cuenta si tienes clientes todavía conectados, pero en general, si no hay contraseña, no hay datos.

> Y aparte de la clave, ¿cómo de seguros están nuestros datos?

Este apartado es el que menos dudas nos debería generar. En general, todos los datos que enviamos están cifrados desde nuestro ordenador hasta los servidores de destino. Normalmente la tecnología es HTTPS o TLS si no son páginas web. Cuando navegamos por Facebook, por ejemplo, nadie puede puede ver lo que envías porque la conexión es segura, igual que no podrían ver los archivos que subes a Dropbox, ya que usan conexiones cifradas.

Una vez que tus datos llegan a sus servidores, podemos considerar que están bastante seguros. Cada empresa implementa medidas de seguridad para evitar intrusiones en sus servidores, aparte de cualquier cifrado adicional que pueda haber. Además, tanto Google como Dropbox cifran las conexiones entre sus servidores cuando necesitan mover datos de un sitio a otro. Facebook también lo hace, pero no con todas las conexiones.

> En la práctica: que no cunda la paranoia

Está muy bien que todos nos sepamos la teoría y podamos distinguir cuándo estamos depositando nuestra confianza en un algoritmo criptográfico fiable y cuándo en una empresa que dice proteger nuestros datos. Ahora bien, tampoco debemos ponernos en un estado de paranoia 100% y empezar a buscar alternativas y cifrar nuestros datos por todas partes. Os planteo varias reflexiones:

Primera cuestión

¿De quién quieres proteger tus datos? Si es de los crackers – uno se resiste a hacerle caso a la RAE con este nombre -, tranquilo, estás a salvo. Dropbox, Google, Facebook, Microsoft y similares usan tecnología segura para transmitir tus datos. Y no porque lo diga yo: si no lo hicieran, con la cantidad de gente que hay tratando de buscarles las cosquillas ya nos habríamos enterado.

Segunda cuestión

¿Estás seguro de que los servicios que usas son el eslabón más débil de la cadena? No sirve de nada usar un servicio como SpiderOak si luego tus archivos están guardados en un portátil sin contraseña. Es un ejemplo extremo, pero sirve para ilustrar la idea.

Tercera cuestión

¿Dónde ponemos el límite de la confianza? ¿No nos fiamos de grandes empresas pero creemos que una más desconocida sí va hacer lo que promete? O mejor aún: ¿no nos fiamos de ninguna empresa pero pensamos que nosotros haremos un mejor trabajo manteniendo nuestra propia nube con soluciones como OwnCloud? No quiero arrojar dudas sobre nada, pero desde luego no deberíamos dejarnos llevar por la histeria de X es inseguro sin darle vueltas a las alternativas.

Cuarta cuestión

¿Qué datos estamos compartiendo? Muchas veces no nos importa compartir ciertos datos a cambio de recibir el servicio, y eso no tiene por qué ser necesariamente malo. Por ejemplo, Facebook sabe que vivo en Madrid y que me gustan las matemáticas. ¿Y? El problema no es tanto compartir los datos sino no ser consciente de ello.

Por último, cuando hablamos de nuestra privacidad solemos criticar el poder de ciertos gobiernos para ver nuestros datos sin autorización. En ese caso, la solución no es que nosotros tengamos que cambiar nuestros hábitos, la solución es que los gobiernos estén más controlados. Tener derecho a la privacidad no significa que tengamos que protegernos de ciertas agencias (ni de nadie) para mantenerla.

Fuente | Genbeta

dropbox

En un post de su blog, DropBox ha publicado el fallo de seguridad que le ha llevado a cerrar temporalmente el servicio de compartición de carpetas de forma “Secreta” entre usuarios debido a un par de fallos de seguridad que podrían dejar expuestas todas las cosas que se comparten por Dropbox.

Lo cierto es que la compartición de carpetas Dropbox se basa en que alguien conozca la URL o no, lo que lleva a que si por casualidad, o por una fuga de información, esa URL cae en manos de terceros, toda la privacidad se fue al garete. La cantidad de URLs de carpetas de Dropbox que estaban indexadas en Google por una mala configuración de las etiquetas de indexación en el servicio, que a día de hoy todavía tiene 1.510.000 URLs de carpetas al alcance de cualquiera.

En este caso Dropbox ha reconocido que hay dos situaciones en las que el enlace acaba haciéndose público y ha deshabilitado muchos de los enlaces y cambiado la forma de crear esos enlaces. Estas son las dos situaciones que describe en su post donde podrían quedar expuestos los enlaces.

> Situación 1:

Esta es la situación principal por la que se ha cambiado el sistema y que estaba siendo aprovechada por mucha gente.

– Alguien comparte un carpeta en la que hay un documento, por ejemplo un PDF.
– La persona que recibe en el enlace de la carpeta abre el documento PDF desde la URL compartida.
– En el documento PDF hay un enlace que lleva a http://www.securitcrs.com
– En las estadísticas de http://www.securitcrs.com aparece la URL de la carpeta compartida en Dropbox.

Por seguir el ejemplo genérico, las estadísticas de http://www.securitcrs.com son públicas, y pueden ser indexadas por cualquier buscador, por lo que la URL no solo cae en unas estadísticas privadas, sino que queda expuesta a todo Internet, siendo una causa más de ese 1.510.000 URLs indexadas en Google.

> Situación 2:

La situación 2 es más curiosa y divertida. Consiste en que alguien pone la URL de la carpeta privada de Dropbox en el cuadro de búsqueda de Google en lugar de en la barra de direcciones del navegador.

Pues bien, en ese caso la URL es pasada a los anunciantes, así que todos ellos pueden hacer una búsqueda en sus logs para localizar URLs del tipo dropbox.com/s/* y ver qué ha sido buscado por allí.

> Para terminar

Evidentemente utilizar la URL como forma de protección para compartir documentos de forma secreta no es lo más recomendable ya que al final podría llegar a acabar en manos de cualquiera que hiciera hacking con buscadores. Si haces un uso extensivo de Dropbox tal vez deberías pensar en soluciones de compartición de documentos de forma protegida. Hay hasta soluciones como Prot-ON que permiten aplicar políticas de seguridad a documentos compartidos de forma pública.

Por supuesto, Dropbox debería hacer algunas cosas más para evitar esta indexación masiva de documentos de sus clientes, ya que dependiendo de muchos factores el número de situaciones que pueden darse para que la URL acabe expuesta son muchas. Por eso sería recomendable que DropBox se encargara de:

1) Borrar todas las URLs que están indexadas en los buscadores. No solo el 1.510.000 indexadas en Google, sino las que haya también en Bing donde hay 68.500. No sea que se le olvide como al equipo de Gmail y se deje allí esas URLs.

2) Aplicar la etiqueta Meta HTML NoIndex y NoCache para evitar que el código HTML sea indexado.

3) Poner en las cabeceras de sus servidores web la X-Tag-NoIndex para evitar que se indexen URLs de cualquier otro contenido, como fotos o documentos comprimidos.

Fuente | elladodelmal

 

A %d blogueros les gusta esto: