PrivacyTools.io

Desmontar un servicio de privacidad: ¿qué hay de verdad bajo la alfombra?

Desmontar un servicio de privacidad: ¿qué hay de verdad bajo la alfombra?

A estas alturas, la esperanza es que de verdad hayas empezado a examinar los servicios que usas a diario. Quizá hayas hecho algunas pruebas SSL en los sitios web en los que inicias sesión, o hayas revisado algunas políticas de privacidad para ver cómo tratan tu información, o incluso hayas llegado a contactar con ellos para conocer detalles sobre los estándares de cifrado que emplean. Sea como sea, estás empezando a desmontar los servicios que usas para ver qué hay de verdad bajo la alfombra. Otra forma realmente estupenda de hacerlo es no acudir directamente a la empresa, sino a otras fuentes de internet. Por lo general, y con razón, estarán sesgadas a favor de su propio servicio, sobre todo si eso significa que podrían sacarte algo de dinero. Así que esas empresas quizá no sean del todo sinceras. Una pequeña mentira piadosa de vez en cuando nunca le ha hecho daño a nadie, ¿verdad? ¡Falso! Te está haciendo daño a ti. Así que acude a las empresas para los pequeños detalles, pero luego recurre a internet para hacerte una idea más grande y amplia de qué hay de verdad bajo la alfombra. Escribe “is [AQUÍ LA EMPRESA/SERVICIO] safe” en Google y mira qué aparece. Aquí tienes uno como ejemplo: https://www.google.com/search?q=is+bitlocker+safe. El primer enlace que aparece cuando hago clic ahí se titula “Can the NSA Break Microsoft’s BitLocker?”.

No todas las empresas que usas van a ser perfectas al 100 % a la hora de proteger tu identidad en línea, mantener privadas tu información, tus datos y tus comunicaciones, o darte un escudo completo de anonimato. Pero aun así deberías preocuparte por las empresas que afirman hacer justo eso. Fíjate en Wickr y Signal, por ejemplo. Son ejemplos de manual de empresas muy proactivas a la hora de proteger nuestro derecho a la privacidad en línea, pero que tienen algunos “defectos” que solo se ven de verdad cuando levantamos la alfombra. Para empezar, Wickr no es de código abierto. Lo cual, en sí mismo, es el mayor defecto de la empresa. No puedes verificar que no hayan instalado una puerta trasera para un tercero. No puedes confirmar que el cifrado que usan sea tan fuerte como afirman. Y no puedes dar fe de sus motivaciones al mismo nivel que con una empresa como Open Whisper Systems, que gestiona y desarrolla Signal. Pero, por otro lado, Signal tampoco es un producto milagroso. Salta obstáculos y escala montañas para mantener nuestras comunicaciones seguras y privadas, tiene una columna vertebral de cifrado tremenda Y está comprometida con un modelo de empresa de código abierto. Sin embargo, con toda esa privacidad y seguridad, el anonimato que necesitamos se pierde en el momento en que tenemos que introducir nuestro número de teléfono y usarlo como forma de que otras personas nos contacten de manera segura. Eso significa que tendría que publicar mi número de móvil de forma pública, por ejemplo en mi sitio web o en mi biografía de Twitter, para que alguien me escribiera por Signal. Eso no va a pasar, jamás. Mi número de móvil no es algo que deba ser de conocimiento público. Si lo fuera, mi identidad en línea y mi seguridad personal quedarían por los suelos.

Privacidad por diseño, por decisión, ¿o ambas?

Una vez que empieces a desmontar las empresas que usas o las que estás pensando usar en el futuro, deberías empezar a formarte una idea de qué empresas construyen sus productos para que sean seguros, privados y anónimos por diseño, qué empresas los construyen para que sean seguros, privados y anónimos, pero por decisión propia de no divulgar información, y cuáles hacen ambas cosas. Wickr sería una empresa que lo hace por decisión, ya que parece completamente dedicada a defender nuestro derecho a la privacidad, pero no puede demostrarlo al 100 % porque le falta un producto de código abierto. ProtonMail sería una empresa que hace ambas cosas. Ha diseñado un servicio que es seguro por diseño y elige defender valores y principios que protegen nuestra privacidad en el mundo digital.

Lo ideal es elegir productos y servicios que hagan ambas cosas. Quienes trabajan entre bastidores tienen que fabricar ya productos que sean seguros por diseño. Me gusta el término que se usó en el reciente enfrentamiento entre el FBI y Apple por el teléfono de San Bernardino:

No puedo asegurar quién fue, pero en mi feed de Twitter surgió el término “Warrant Proof” y, madre mía, cómo me encanta. La idea de fondo tras esa expresión es que una empresa desarrolla algo que ni siquiera una orden judicial va a poder romper. Lo cual es realmente magnífico, porque demuestra tanto el compromiso de la empresa por construir un dispositivo en el que ni ellos mismos pueden entrar, como su entrega a defender buenos principios que se esfuerzan por proteger a sus clientes y usuarios.