Hablemos de privacidad, pero antes entendamos qué es y qué no es. El problema es que muchas personas piensan que la seguridad y la privacidad son lo mismo o casi lo mismo. Pongamos un ejemplo: en la actualidad existen vidrios blindados y hasta a prueba de balas que se utilizan para proteger espacios importantes. Por ser a prueba de balas, es definitivamente seguro, aunque sigue siendo un vidrio; es decir, es transparente. Ahora bien, para un baño realmente no buscamos que la puerta sea blindada. Más bien, una de las características necesarias es que ésta no sea transparente. Es decir, que brinde privacidad. Y este es el punto: aunque la privacidad y la seguridad son dos cosas diferentes deben ir de la mano cuando hablamos del mundo cibernético.
El simple hecho de que una aplicación, sistema en línea o programa de mensajería sea seguro, no quiere decir que sea privado. En otras palabras, aunque tal vez para los cibercriminales no sea tan fácil tener acceso a nuestros datos porque el programa es seguro, hay otro grupo de personas que podría tener acceso total a nuestra información para estudiarla, y así, adoctrinar a sus usuarios analizando sus hábitos y comportamientos impulsivos que, al final, resultan, incluso, en conocer su estado emocional al enviar mensajes o dar clics. El tema de la privacidad es bastante complejo ya que entran en juego muchos factores, por ejemplo: el fabricante de la aplicación, el país donde vivimos y si leemos o no los acuerdos de uso de las apps.
Por diseño, varias aplicaciones jamás serán privadas. Aunque sean gratuitas y extremadamente populares, su modelo de negocios es consumir la información de los usuarios nutriendo al fabricante con estos datos que son tan valiosos. Luego, esos datos son utilizados para publicidad dirigida, e incluso para compartirla con sus “socios” que, aunque de forma directa no están relacionados con la aplicación, se nutren también de esos datos. Sucede también que nuestros datos pueden ser simplemente comercializados a terceros y utilizados con fines de lucro, políticos y otros.
Desafortunadamente, según estadísticas del estudio reciente de Kaspersky Digital Iceberg, la cultura en línea de los usuarios latinoamericanos, facilita el objetivo de estas empresas.
De acuerdo al informe, el 81% de los mexicanos aceptaría exponer sus perfiles en redes sociales para encontrarse con amigos de toda la vida. El 68% lo haría sin problemas, si la finalidad es conseguir descuentos en compras en línea. De hecho, la mayoría dice que no le importa la falta de privacidad, si a cambio obtiene acceso a experiencias exclusivas (62%). Además, el 25% no tendría problema si el gobierno rastrea las actividades en redes sociales para mantener seguros a los ciudadanos.
81% de los mexicanos aceptaría exponer sus perfiles en redes sociales.
Si al leer esto piensas: “Yo no tengo nada que ocultar y no tengo ningún problema en compartir mis datos”, pues entonces probablemente deberías preguntarte por qué al entrar al baño cierras la puerta o por qué cierras las cortinas en casa, o si te sentirías cómodo al saber que alguien tiene la capacidad de leer tus pensamientos. La realidad es, que aunque nadie lo diga en voz alta, esto es precisamente lo que están haciendo. Hay que tener claro que la privacidad es algo que todos necesitamos y que, de hecho, es un derecho básico.
Ahora que hemos definido lo que es la privacidad y lo que es la seguridad, sería apropiado hablar de las soluciones y las prácticas que debemos usar en Internet para que nuestra vida digital cuente con ambas. Para hacerlo, me gustaría simplificar nuestras actividades en tres principales categorías: navegación en Internet y su uso general, envío y recepción de mensajes de correo electrónico y, finalmente, el uso diario de los programas de mensajería instantánea. En algunos casos, voy a referirme específicamente a soluciones mientras que en otros me gustaría ofrecer una guía que sirva para elegir una solución apropiada.
Navegación y el uso general del Internet
En los inicios del Internet, la privacidad no estaba en la lista de prioridades. Por esto, algunos de los protocolos esenciales, como el de la resolución de nombres de dominios a IP, conocido como DNS, no emplean técnicas de ofuscación de datos. Es decir, quien tenga acceso a las resoluciones DNS de la persona sabe exactamente qué páginas estás visitando. Para resolver este problema, como una medida mínima, hay que usar el “DNS mediante HTTPS”. Los navegadores modernos ya lo soportan. También se pueden instalar aplicaciones especializadas que harían que todo el tráfico DNS de nuestro equipo, no solo del navegador, vaya a través del HTTPS. Esta es una excelente medida, ya que también protege contra varios ciberataques como el secuestro de DNS a nivel del ruteador de nuestra casa o hasta todo un ISP. Sin embargo, si queremos lograr un nivel de seguridad mayor junto con la privacidad es recomendable usar una conexión VPN. Actualmente, hay muchísimas ofertas de servicios VPN, sin embargo, es esencial destacar que la gran mayoría no cumplen con estándares de privacidad elevados.
Un buen proveedor de VPN tiene que cumplir mínimamente con estos tres criterios:
- No realizar registros o logs de la actividad de sus usuarios. Muchos proveedores dicen que no lo hacen, pero la realidad es otra, por ello, no debe darse por hecho solo porque el fabricante hace esta afirmación en su página web.
- Manejar en sus servidores la tecnología de “Secreto perfecto hacia adelante”. Esto es esencial tanto para el proveedor de VPN como para sus clientes.
- De preferencia, no utilizar discos duros. En su lugar, todos los sistemas deben correr solamente en la memoria RAM.
Esto son solamente algunos elementos, ya que para cubrir todos los aspectos de una buena VPN tendríamos que dedicar todo un artículo a este tema.
Finalmente, es importante utilizar un buen navegador configurado para manejar la privacidad de manera adecuada, ya que no todos los navegadores protegen la privacidad de los usuarios. Es esencial elegirlo cautelosamente y evaluar su configuración.
Correo electrónico
Un buen correo electrónico es aquel en el que el proveedor, ni siquiera a nivel técnico, tiene la capacidad de acceder al buzón de sus usuarios. Esto es imposible, a menos que el proveedor maneje el cifrado del tipo “Zero-knowledge”, donde cada usuario tiene su propia llave de cifrado. Es decir, cada buzón está cifrado con la clave que solamente el usuario tiene. Existen varios proveedores que ofrecen ese servicio, incluso de forma gratuita, para buzones de un tamaño limitado. En todo caso, es un excelente inicio para tener un correo realmente privado. Adicionalmente, un correo electrónico moderno, seguro y privado es aquel que soporta autenticación de dos pasos e integra de forma nativa el soporte de PGP. De esta forma se puede garantizar la seguridad de mensajes, incluso con aquellos servidores de correo que no manejan el cifrado adecuado.
Mensajería instantánea
Este campo es probablemente el más vital. Según estadísticas, las personas prefieren servicios de mensajería instantánea para realizar llamadas, así como también para compartir fotos, videos y otros datos, en vez de enviar un e-mail. Lamentablemente, las plataformas más populares, a pesar de ser gratuitas, generan ingresos para sus dueños por medio de los datos personales de sus usuarios. Recientemente, Apple obligó a todos los fabricantes de software a exponer los datos personales que conservan, lo que produjo una alerta entre los usuarios a pesar de que este tipo de abuso a la privacidad ha existido siempre. Entonces, ¿cómo elegir una buena aplicación de mensajería que se pueda considerar tanto segura, como privada? A continuación, les comparto la receta simplificada de las características necesarias:
- Que no se solicite ni se recopilen metadatos personales (número de teléfono, e-mail, nombre, etc.). Es decir, todo lo que es personal y está asociado con nosotros.
- Que no guarde registros ni copias de respaldo en los servidores del proveedor.
- Que cuente con cifrado de extremo a extremo.
- Que ofrezca una política de privacidad fácil de entender.
- Que no entregue información a terceros.
- El código fuente de la aplicación debe ser abierto y estar disponible para que pueda ser verificado.
- Que cuente con una infraestructura de red descentralizada.
Conocer la diferencia entre seguridad y privacidad es un buen comienzo. Ahora que nuestra sociedad se ha trasladado en su mayor parte a Internet, todos somos ciudadanos digitales y cada uno de nosotros debe tener una participación activa en la protección y el resguardo de nuestra información. Esto incluye la adopción de hábitos como proteger nuestros dispositivos conectados con una solución antimalware robusta, leer los términos de privacidad de cada app que descargamos para determinar si los datos o accesos que recopilan son los adecuados para el funcionamiento de tal aplicación, asegurarnos que los servicios y las herramientas que utilicemos en realidad ofrezcan privacidad, y evitar compartir información personal en redes sociales y sitios de comercio electrónico. Solo por medio de la concientización y la práctica de buenos hábitos digitales podremos evitar perder el control sobre nuestros datos personales.
Sobre el autor...
Dmitry Bestuzhev, es director para América Latina Equipo Global de Investigación y Análisis Kaspersky
Supervisa el trabajo de los analistas de seguridad de la región. Dmitry se especializa en el análisis de grandes incidentes de malware, ciber espionaje y ataques dirigidos, al igual que el crimen cibernético (de componentes humanos y electrónicos) que emplea la ingeniería social avanzada y que tiene como objetivo ataques a la banca en línea y la fuga de información.
Dmitry se integró a Kaspersky en el 2007 como Analista de Malware, donde era responsable de monitorear el entorno de las amenazas locales y de ofrecer análisis preliminares. En el 2008 se convirtió en Investigador Regional Senior para Latinoamérica y en el 2010 fue nombrado a su cargo actual.
Además de supervisar el desarrollo del trabajo anti-malware, Dmitry también desarrolla reportes de inteligencia y pronósticos para la región y frecuentemente colabora con los medios de comunicación y entidades públicas y privadas a nivel global como experto en temas de seguridad informática. Adicionalmente, Dmitry participa en varias iniciativas educativas a través de Latinoamérica.
Dmitry cuenta con más de 20 años de experiencia en seguridad TI, obtenida por medio de la diversidad de cargos en los que se ha desempeñado, y habla inglés, español y ruso.
