Por qué seguridad y privacidad no son opuestos

Uno de los grandes engaños tecnológicos que han querido plantar en nuestra cultura diaria es que los problemas de privacidad, uso indebido de datos, y problemas similares que son característicos de empresas como Google, Amazon, Microsoft o Facebook son necesarios para preservar la seguridad de las usuarias.

El sistema operativo Windows tiene una extensa documentación de sus funcionalidades, y sin embargo se mantiene cerrado. Esto quiere decir que el código, el esqueleto y contenido que fundamenta ese sistema es una “receta secreta” de Microsoft. En los últimos años han hecho un gran esfuerzo por ganarse la simpatía de la comunidad de software libre, cuando en su origen se posicionaba de forma antagónica al movimiento, como se explica en éste articulo. Parte de este cambio de dirección tiene que ver con el peso que el desarrollo libre ha tenido en la tecnología actual. Por supuesto que Microsoft se sostiene en muchas más cosas hoy día que su sistema operativo, dado que tienen varios productos tales como la Xbox, Office, Skype, Edge, LinkedIn, Swiftkey, Github y otros. Pero poco a poco han ido implementando el concepto de privacidad  en sus productos, porque poco a poco usuarias y desarrolladoras van adquiriendo conciencia de estas ideas. Sin embargo el peso de la seguridad sigue residiendo en programas de monitorización dedicados y cerrados, más enfocados a otras empresas que a las usuarias individuales. Desde un punto de vista genérico, sin previos conocimientos técnicos, cabe pensar que cuando más secreto sea el contenido de un sistema es más seguro, y a veces incluso a sabiendas de que esto nos es cierto en boca de expertas la preguntá “¿Pero por qué?” surge igualmente.

https://i1.wp.com/www.geekinsydney.com/wp-content/uploads/2016/08/XKCD-privacy_opinions.png?ssl=1
Viñeta de xkcd sobre privacidad

En este caso concreto la cuestión en el aire es la confianza. Sabemos que han surgido varios ataques a veces garrafales en Windows, y aunque éste suele actuar con rapidez publicando información y documentando todo lo necesario para remediar los errores, depende siempre del previo trabajo de las desarrollas de Microsoft que conocen el sistema arreglarlo y actuar. El resto de procedimientos son un salto de fe de las personas que utilizan sus servicios. Cierto es que la mayor parte de los ataques automatizados están diseñados a conciencia contra estos sistemas por su común uso, pero precisamente el hecho de que sea centralizado y cerrado en su naturaleza más básica lo hace un objetivo muy codiciado para las atacantes.

De forma similar la confianza es lo que se requiere de las usuarias de Facebook, que ya ha tenido varios problemas con el uso indebido de datos personales (incluyendo venta de datos a terceros sin consentimiento) y cuya repercusión legal se basa en repetidas disculpas de su CEO. En 2018, Washington Post incluso hizo una recopilación de las veces que Zukerberd había pedido disculpas y desde entonces se han sumado más ocasiones.

De los recursos de código abierto y código libre se exige, sin embargo transparencia. Este concepto es difuso y puede llevar a desconfianza como concepto, pero tan sólo porque está deliberadamente mal explicado en la cultura popular. Con frecuencia los sistemas privativos exigen datos y transparencia de sus usuarios, pero ésta no es una relación horizontal. De este modo existe una barrera de información, en la cual los datos de las usuarias y el contenido de sus vidas es expuesto a un tratamiento basado en la “fe” (pues no hay repercusión legal real sobre el incumplimiento de los términos y condiciones). Cuando se habla de transparencia en sistemas libres se habla de transparencia en tratamiento, en la forma de gestionar los datos y en su funcionamiento, y que el peso del negocio (si es que lo hay) recaiga en el servicio. Los datos que se almacenan, los justos y necesarios, son cifrados de manera unidireccional (HASH) y no se liberan, si no que se almacenan. Su gestión si puede y debe ser liberada (la lógica mediante la cual se manipulan esos datos) al igual que la información acerca de qué datos se almacenan. Puede que muchas usuarias no sepan manejarse por los servicios libres o no tengan los conocimientos técnicos suficientes para juzgarlos, pero sabiendo que son libres, pueden informarse para buscar una serie de investigadoras o grupos de investigación en los que confíen (basándose en datos objetivos) para que lo revisen. La sutil pero esclarecedora diferencia entre confiar en un sistema cerrado que ha sido vulnerado repetidamente o en un grupo de investigación con documentación y fuentes objetivas externas, es que aunque en ambos casos hay que aplicar confianza, en el último caso sabemos que no hay conflicto de intereses, y hay muchas más fuentes donde comparar.

Por otro lado nada es “inh-ackeable”, como presume Google con frecuencia que sin embargo tiene abierto varios programas de BugBounty, es decir pagar a cambio de vulnerabilidades encontradas en sus sistemas. Tener un BugBounty es la forma más sana y transparente de revisar la seguridad junto a la contratación de equipos especializados, sin embargo ni eso ni nada hace a un sistema in-hackeable. Siempre hay huecos de seguridad porque las tecnologías no son perfectas, ni lo son las personas que las utilizan. Pero si que es mucho más fácil localizar y gestionar esos huecos cuanto más transparente sea la lógica del sistema.

 

En resumen:

  • Los datos personales se almacenan cifrados, o debería ser así. Si no se almacenan de este modo en todas sus fases de tratamiento, puede estar infringiéndose la Ley de Protección de Datos.
  • Los datos personales no forman parte de la liberación de código.
  • La seguridad por ofuscación no es seguridad, porque eventualmente puede romperse, mientras que lo transparente evoluciona.
  • La confianza sin base crítica provoca un retraso en el avance de la tecnología y provoca fake news y conceptos falsos que calan en nuestra cultura popular.
  • Gran parte de las profesionales de ciberseguridad utilizan Linux y programas abiertos, a la vez que perfiles falsos y ruido de datos.
Compartir

2 Comentarios

  1. Puff que maravilla de reflexiones como siempre un lujazo poder contar con tus artículos por aquí :) Para mi esta claro los secretos tecnológicos de las grandes empresas como microsoft solo hacen que los «malos» vayan por delante, hoy en dia es imposible crear secretos tecnológicos,porque las herramientas son tas buenas y los ordenadores tan potentes que tarde o temprano se rebelan aunque sea por ingeniería inversa, y eso hace que al final los PoC vayan por delante de los parches para tapar las vulnerabilidades en la mayoría de los casos, permitiendo atacar infraestructuras criticas para la sociedad como hemos visto.

    1. Muchas gracias!! Si, el ritmo de la ciberseguridad es brutal, no te puedes hacer una idea, es una carrera constante por proteger a la usuarias. Hay que adaptarse lo mejos posible!

      Un saludo.

Deja una respuesta

Your email address will not be published. Required fields are marked *