Durante los años 2016, 2017 y la mitad del 2018 viví en Buenos Aires donde estudié una Maestría en Seguridad Informática. Durante estos dos años y medio, a más de la maestría tuve la posibilidad de conocer la vida en Buenos Aires. Unos años muy intensos, donde conocí a gente a mucha gente copada (chévere) y de donde tengo muchas anécdotas que contar. Espero buscar el tiempo para escribir sobre las mismas; las que se pueda contar claro

Hoy hablaré sobre porque decidí estudiar seguridad informática y lo que más me gustó de la maestría. Desde finales de 2011 cuando Wikileaks publicó los Spyfiles entendí cuan vulnerable es nuestra privacidad en Internet. En el año 2012 mis charlas de “Software Libre y Comunidad” de a poco se convirtieron en “Privacidad con Criptografía y Software Libre”. En junio de 2013 Edward Snowden publica documentos secretos que muestran cuan vigilados somos todos en Internet.

Durante ese tiempo mucha gente pensó que yo era un experto en seguridad informática. Yo no me consideraba uno y como no quería decepcionarlos decidí buscar una Maestría en Seguridad Informática; por otro lado quería estar seguro de que las herramientas criptográficas que recomendaba eran las correctas.

Gracias al activismo por el por el software libre viajé por Latinoamérica y siempre quise conocer más de los países que visité por pocos días. Busque maestrías en seguridad informática y me encontré con la maestría en la Universidad de Buenos Aires – UBA. Pasaron algunos años hasta que, juntos con mi familia, emprendimos el proyecto de vivir en Buenos Aires. (Mucho más que una maestría, pero eso queda para otros posts)

La maestría tiene tres pilares: criptografía, seguridad en redes y gestión. Esta pensada para alguien que quiera ser el responsable de seguridad informática de una organización. No era exactamente mi caso, yo quería entender como la seguridad informática se puede utilizar para proteger la privacidad de las personas. Creo que una maestría como la que quería estudiar no existe. Sin embargo, considero que lo aprendido me ha servido de mucho, incluso de las clases que no disfruté.

Lo que más me gustó de la maestría, es lo que más me costó. Se nos pidió realizar dos trabajos importantes para poder graduarnos: el primero fue el trabajo final de especialización para obtener el título de «Especialista en Seguridad Informática»; el segundo fue el «Trabajo Final de Maestría» para obtener el título de «Master en Seguridad Informática». A diferencia de mis compañeros, estos dos trabajos fueron los que más motivaron. (Igual creo que el trabajo de Especialización debería ser opcional para los que quieran obtener solamente el título de especialista)

Fui a estudiar la maestría porque quería entender como funciona la vigilancia en Internet y qué se puede hacer para protegerse. Es por esto que para mi trabajo final de especialización me propuse leerme los documentos de Snowden para saber que mismo dicen. Eran demasiados documentos y muchas historias que entender y contar; por lo que me propuse entender como la NSA recolecta información, como la procesa y ver algunas operaciones que se han revelado. El resultado final lo defendí en diciembre de 2017 con el título: “La NSA Según las Revelaciones de Snowden”.

Mientras me encontraba desarrollando este trabajo, Hugo Pagola, mi profesor de Seguridad en Redes me sugirió que escriba un paper con los avances de mi trabajo para el Congreso Iberoamericano de Seguridad Informática – CIBSI 2017, que se realizó en Buenos Aires en noviembre de 2017. Así lo hice, el paper: «Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden» fue aprobado y tuve la oportunidad de presentarlo en el congreso.

Se podría decir que mi “Trabajo Final de Especialización” fue el diagnóstico sobre la vigilancia, entonces mi trabajo “Trabajo Final de Maestría” sería la medicina para proteger la privacidad. Para el mismo me propuse saber si dos o más personas se pueden comunicar en Internet sin que nadie sepa de que hablaron, pero incluso sin que nadie sepa que se comunicaron. El trabajo lo terminé en diciembre de 2018 y se tituló “Comunicaciones Secretas en Internet”, el mismo lo defenderé a mediados de febrero y lo publicaré en este blog una vez que este aprobado.

No fue fácil ir a vivir en otro país por dos años y medio, pero valió la pena. Aprendí mucho en la maestría y estoy ansioso de defender mi tesis en febrero.

El resumen del trabajo:

En 2013, Edward Snowden filtró miles de documentos de la Agencia Nacional de Seguridad de los Estados Unidos (NSA por sus siglas en inglés) a los periodistas Glenn Greenwald y Laura Poitras. Desde entonces se han publicado decenas de reportajes periodísticos a nivel mundial que revelan programas de vigilancia masiva de alcance global.
Las filtraciones muestran que esta agencia tiene la capacidad de recolectar las comunicaciones de Internet. Cables de fibra óptica, comunicaciones satelitales y telefonía celular son algunas de los medios sobre los que la agencia recolecta información. Las grandes empresas de Internet entregan los datos sus usuarios a esta agencia. Si esto no es suficiente se recurre a los ataques informáticos para buscar la información restante.
Las comunicaciones recolectadas son procesadas en sistemas sofisticados. Los mismos permiten a los analistas de la NSA encontrar información a través de buscadores similares al de Google o DuckDuckGo que operan sobre las comunicaciones privadas de quiénes usan Internet.
Si bien la NSA sostiene que los programas de vigilancia se realizan con el fin de combatir el terrorismo. Se revelaron operaciones que muestran espionaje político y a sectores estratégicos de países alrededor del mundo. En este trabajo se enfatiza el caso de América Latina.

El documento completo se lo puede descargar acá:

• Biblioteca Digital Facultad de Economía UBA (pdf)
• La NSA Según las Revelaciones de Snowden (pdf)
• La NSA Según las Revelaciones de Snowden (odt)
• Archive.org en varios formatos
• Torrent

Un documento más corto lo publiqué en CIBSI y lo pueden descargar acá.

Mi primer trabajo consistió en un estudio sobre los documentos revelados por Snowden. Se han publicado varios artículos de prensa sobre estos documentos de  2013 a la fecha, pero existen pocos trabajos que realicen un análisis general para tener una visión sistémica del funcionamiento de la NSA. Básicamente intento explicar las capacidades de la NSA para recolectar y analizar información, así como también, muestro algunas operaciones de espionaje realizados por esta agencia.

Información dispersa

Hugo Pagola, mi profesor de la maestría, me recomendó que escriba un artículo sobre los documentos de Snowden para el IX Congreso Iberoamericano de Seguridad de la Información (CIBSI) que se realizó del 1 al 3 de noviembre de este año en la Universidad de Buenos Aires. Me encantó la idea, asumí el reto y el artículo fue aceptado.

El artículo fue publicado junto a las actas de CIBSI y ahora esta disponible para descarga bajo licencia Creative Commons:

• Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden (PDF)
• Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden (ODT)

Dentro del mismo hay una sección donde se habla sobre aspectos legales. Tuve el gusto de conocer a Rodrigo Iglesias a quién realicé una entrevista sobre privacidad y aspectos legales en Argentina.

Rodrigo es un abogado «hacker» (en el mejor sentido de la palabra) con conocimientos de seguridad informática. Esta día jueves 26, en conjunto con HackanCuba, darán una conferencia en la Ekoparty sobre los nodos de salida Tor y la justicia Argentina. Los 2 tienen una historia una historia de miedo con final feliz, que  podré escucharla este día jueves.

Sin más, les dejo la entrevista:

¿Esta protegida legalmente la privacidad de las comunicaciones en Argentina?

Existen varias regulaciones en la materia. En primer lugar esta el artículo 18 de la Constitución Nacional que habla de la protección al correo epistolar. La Corte Suprema de Justicia entendió al Correo Electrónico como correo epistolar. Por este motivo se entiende que las comunicaciones vía Internet se encuentran protegidas (como el total de las comunicaciones).

Además tenemos la Ley Federal de Telecomunicaciones indica que cualquier violación de las comunicaciones es competencia de los tribunales Federales. En base a ésta ley es que la Corte Suprema de Justicia, siguiendo el dictamen del Procurador General Eduardo Casal .

Por otro lado, existe un fallo de Corte Suprema de Justicia que por decreto emitido por Néstor Kirchner donde se indicaba a las empresas de telecomunicaciones que resguarden todas las comunicaciones de sus clientes por 10 años. Además, esto implico una acción de amparo de clase que generó un fallo muy importante. El Dr Halabi entiende, con el cual estoy de acuerdo, que las comunicaciones entre un abogado y su cliente deben ser privadas. Por lo tanto discriminar cual es una comunicación con su letrado hace que se viole la privacidad de la misma. La Corte entendió el planteo de forma tardía ya el mismo ex presidente había emitido un nuevo decreto dejando sin efecto el anterior.

Este caso aclaró que las comunicaciones gozan de garantías constitucionales y que las excepciones deben ser a pedido de Fiscal y con autorización del Juez. (Como lo indica, por ejemplo, el artículo 117 del Código de Procedimiento Penal de la Ciudad Autónoma de Buenos Aires) Se deben establecer plazos y formas. En el caso de CABA existe un plazo de 30 días ampliable a 15, llegando a un máximo de 45.

El artículo 75 inciso 22 de la Constitución Nacional, reconoce distintos Tratados Internacionales de Derechos Humanos con jerarquía Constitucional. Con lo cual estos instrumentos indican, que no solo la Libertad de Expresión, sino el derecho a la privacidad como el reverso de la misma moneda. Esto se entiende así y es resguardado en la propia Constitución Nacional en el articulo 19.

Por lo tanto la protección legal a la privacidad esta contemplado en el ordenamiento jurídico argentino. El mismo reconoce al derecho internacional que le abarca y lo hace norma fundamental del País, por consiguiente el derecho a la privacidad de las comunicaciones se encuentra incluido en él y el tribunal máximo del País no solo entendió la problemática de forma correcta sino que dio tratamiento a los Fueros Federales.

Para que no exista el riesgo fundamental de entender una cosa distinta por cada provincia, dado que las telecomunicaciones son de carácter “transfronterizo” se eliminando así un problema enorme. Sin embargo, se crea otro a futuro (la falta de Juzgados Federales para la cantidad de causas que va a generar este tipo de reglamentaciones, existen muchísimos delitos que bajo este fallo se encuentran afectados a Juzgados Federales).

Recientemente el gobierno de Argentina firmó un acuerdo con Amazon para proveer servicios en la nube. ¿ Este acuerdo respeta la ley de Argentina de protección de datos ?

El memorandum de entendimiento entre la Empresa Amazon y el Ministerio de Modernización es no vinculante (dado que no es una acuerdo sino un principio de entendimiento), con lo cual no expresa que no será cumplido, todo indicaría que va a ser implementado. Se incumple con la actual y vigente ley de protección de datos personales en dos puntos, primero en que los datos deben encontrarse en territorio argentino o en un «País Seguro» esto implicaría que no deberían ser alojados en Países que tengan una normativa menor a la implementada por Argentina, por ejemplo USA. También la disposición 60-E/2016 establece que la jurisdicción, normativa y juez deben ser argentinas y la principal autoridad debe ser el Director de la Dirección Nacional de Protección de Datos Personales, entonces surgen dos problemas:

1) Amazon no tiene sede legal en Argentina, con lo cual caemos en que USA no reconoce tribunales internacionales (sic). Para dejarlo en claro: Amazón nunca sería responsable legal ante cualquier inconveniente.

2) No por nada en el Boletín Oficial ya plantearon remover al director de la Dirección Nacional de Protección de Datos Personales a la de

Acceso a la Información, uno se puede preguntar si vengo diciendo estas cosas. Claro que sí claro

Cabe destacar que podrían decir que los servidores se encuentran en Brasil, quien estaría en condiciones legales de alojar esta información, el problema es que esta información se encuentra en varios lugares al mismo tiempo (backup) y entre ellos Amazon utiliza servidores en USA (entre otros claro), también es mucho más sencillo eliminar información de forma segura en un servidor en otro País (de hecho se contratan por módico precio empresas para realizar un borrado seguro de información en la nube). Si uno ve estas cosas y como viene todo ¿qué se puede esperar?

Además se infringe la ley de acceso a la información pública, dado que el memorandum dicta de forma expresa la confidencialidad de las comunicaciones y oscurecer un proceso que debería ser transparente por ley es por lo menos falto de ética para un Ministerio de Modernización.

Otro problema es que Amazon debería no vender, ceder, etc los datos entregados a un tercero y debe quedar expreso, nada de esto se encuentra en el memorandum y si en la normativa vigente. Como se ve problemas hay varios, pero por último:

¿Va a estar toda la información del País menos de la Provincia de Santa Fe? porque tenemos una ley de Software Libre y si bien no se encuentra reglamentada, la ley esta vigente y debe informarse porque no se puede realizar este servicio de forma local, con software libre y con desarrollo argentino.

¿La vigilancia masiva que realiza el gobierno de Estados Unidos a través de la NSA viola el artículo 12 de la declaración Universal de la Declaración Universal de los Derechos Humanos de Naciones Unidas?

En realidad todos los Estados tienen regulado el Espionaje a nivel Interno, y ninguno a nivel externo. Para ejemplificar, nos esta penado realizar tareas de espionaje a nuestros ciudadanos, pero no nos esta penado realizarlo a personas que habiten tierra Uruguaya. Lo mismo pasaba con la NSA.

¿Los Estados Unidos tienen obligación de cumplir los derechos Humanos?

No, esta es una de las grandes mentiras de los defensores de los DDHH tradicionales, más precisamente de los organismos de derechos humanos como la ONU, OEA, etc. En la ONU existe el Consejo de Seguridad, donde 5 Países tienen carácter de miembros permanentes y con derecho a veto (esto significa que en cualquier votación, quien no este de acuerdo o simplemente no emita voto sobre cualquier normativa la decisión queda vetada, ya lo vivimos en la época de la Guerra Fría), además de esta discriminación dentro de del Consejo de Seguridad, USA nunca reconoció jurisdicción de ningún Tribunal Internacional en su territorio, con esto no solo existe el problema de la NSA, sino: guerras, Guantanamo, invasiones, etc etc, etc.

¿Se puede hacer algo desde la legislación para proteger la privacidad de las personas?

Desde la legislación se encuentran varias opciones ya cubiertas, todo a nivel local, de Países en particular. Falta trasladar a organismos internacionales la facultad de hacer cumplir los tratados u obligar a que Estados mejoren sus legislaciones en materia de privacidad.

En nuestro País se debe modificar la ley de protección de datos personales para aumentar el nivel y volver a encontrarnos acordes a la normativa de la Unión Europea. Lamentablemente en el anteproyecto de ley observamos que el consentimiento informado podría pasar a ser tácito con esto no solo no estaríamos en los parámetros de la normativa Europea sino que bajamos los niveles de la actual ley de protección de datos personales. Además la Dirección Nacional de Protección de Datos Personales se encuentra con un presupuesto precario (por decirlo de alguna forma), siempre fue ineficiente y los directores son designados o removidos por el Poder Ejecutivo. Esto a tornando el cargo en un «Puesto Político» y nunca la Dirección Nacional de Protección de Datos Personales realizó una inspección a un ente Estatal (hasta llegaron a decir que la ley no es para el Estado). Esto, más allá de que debería ser un ente autónomo y descentralizado de cualquier administración pública.

Todo esto, más allá de que nuestro País se encuentre en momentos de violación a la privacidad e intimidad a niveles aun mayores desde hace muchos años, como SIBIOS, Proyecto X etc (pero el gobierno actual empeoró estas condiciones a extremos muy peligrosos, hoy el Presidente puede ver tus datos biométricos, o una secretario de una municipalidad de algún lugar recóndito del País).

¿Es obligación de cada país hacer respetar hacer cumplir los derechos humanos a sus ciudadanos?

Con la Excepción de los Países que integran el consejo de seguridad de forma permanente y de USA en particular al desconocer jurisdicción de los tribunales internacionales, todos los países que aceptaron ingresar a ONU, OEA etc tienen el deber y la obligación de respetar y hacer cumplir con los derechos humanos a sus ciudadanos.

¿Es suficiente la legislación?

Podría ser mejorada, suficiente nunca puede ser una legislación sino no existirían los legisladores. Pero sí debería interpretarse muchas leyes de forma distinta o global (como todo, siempre es perfectible), pero si empezáramos a entender que el big data, IoT, Mineria de datos, etc pueden estar en colisión con la normativa vigente del País o que las reformas de leyes deben tener en cuenta estas cosas (un claro ejemplo es el secreto del voto y el voto electrónico). Mucho dinero y recursos podrían destinarse a otras áreas que al final de cuentas vemos que implementar tecnología para reparar problemas inexistentes es tener una solución en búsqueda de problemas cuando debería ser totalmente al revés.

Juan conoció a Adriana en la facultad. Ella es de Ecuador y le contó sobre las maravillas que hay en el país de la mitad del mundo. Los volcanes activos, glaciares, cálidas playas, las selvas y su gente. Juan se entusiasmó y decidió escaparse del frío del invierno de Buenos Aires y viajar a Ecuador en julio.

Para esto, Juan fue a su computadora, abrió Gmail y escribió a Adriana para pedirle recomendaciones sobre Ecuador. Ella le respondió y le contó sobre el Volcán Cotopaxi, la reserva Ecológica del Cuyabeno, la Isla de la Plata, el centro histórico de Quito, el mercado artesanal de Otavalo, y algunas otras maravillas de este pequeño país.

Cuando Juan recibió el correo, notó algo interesante. A la derecha del mismo había publicidad sobre hoteles en varios lugares turísticos de Ecuador. “¡Qué conveniente!” – pensó Juan. Sin embargo, para armar su presupuesto, necesitaba conocer el costo de los pasajes de avión y la publicidad del correo no proporcionó esta información.

Entonces Juan abrió el buscador de Google y empezó a investigar costos de pasajes entre Buenos Aires y Quito. Terminado el trabajo se fue a dormir. Al día siguiente, cuando abrió la prensa digital para leer las noticias se encontró con otra sorpresa. La publicidad del periódico mostraba promociones para viajar a Ecuador. Era como si alguien supiera lo que Juan estaba pensando y le ayudaba a comprar lo que necesitaba. “¡Qué conveniente!” – pensó Juan.

Pasó el tiempo, el frío cada vez era más fuerte en Buenos Aires y Juan se preparaba para escaparse a la tierra del sol. Fue cuando Adriana añadió a Juan al grupo de WhatsApp de “Deportes de Aventura en Ecuador”. Este grupo lo creó Adriana junto a sus amigos para organizar viajes a la montaña, rafting en la amazonía, paseos en bicicleta y otras aventuras que se pueden organizar cerca de Quito. Juan estaba fascinado leyendo como se organizaban los paseos y esperaba sumarse apenas llegue a Ecuador.

Luego de interactuar un tiempo en el grupo de WhatsApp, Juan abrió Facebook para actualizarse sobre la vida de sus amigos. Algo raro pasó, Facebook empezó a recomendar nuevos amigos a Juan. Algunos eran conocidos de Adriana, pero otros no. Juan se puso a ver quiénes eran esas personas y se dio cuenta de algo interesante. Todos forman parte del grupo, “Deportes de Aventura en Ecuador” de WhatsApp al que se había unido solo unos días atrás. “¡Qué conveniente!” – pensó Juan.

Al poco tiempo Juan viajó a Ecuador y tuvo unas mágicas vacaciones llenas de aventuras.

II Privacidad

Si bien la historia de Juan es ficticia hay dos verdades en la misma. La primera es que Ecuador es un país chiquito lleno de diversidad y magia al que vale la pena visitar. La segunda es que empresas de Internet como Google, Facebook u otras saben de nosotros más de lo que podríamos imaginarnos. En la historia de Juan se mencionan a 2 empresas, pero no son las únicas.

Muchos piensan que los clientes de Facebook o Google son sus usuarios pero esto no es así. Los clientes son las empresas o personas que compran publicidad para ofertar sus productos o servicios a los usuarios de Google o Facebook. Se dice que “sino pagas por el servicio eres el producto”.

Facebook compró WhatsApp por 22 mil millones de dólares en el año 2014. Eso podría ser el presupuesto anual de un país pequeño. Considerando que WhatsApp es un servicio gratuito con alrededor de mil millones de usuarios en el mundo, debería llamarnos la atención qué una empresa pagó tanto dinero por otra que aparentemente no recibe nada. Tal vez la base de datos de teléfonos de mil millones de personas en en el mundo y sus interacciones sociales le podría resultar útil a Facebook. Quizás ese fue el motivo por el cuál Facebook le recomendó a Juan los contactos del grupo de WhatsApp.

Las hoteles que publicaron anuncios ofertando servicios en los correos de Juan pagan a Google por cada click que alguien hace en sus publicidades. El problema no es que los hoteles de un país anuncien publicidad a alguien que quiere visitar ese país. El problema es que para que esto suceda, Google debe leer los correos electrónicos de todos sus usuarios. Para ilustrar mejor la idea, imaginemos el sistema de correo tradicional. ¿Estaríamos dispuestos a que las empresas de correo abran los sobres, lean las cartas y pongan publicidad relacionada con el contenido de las mismas? ¿Podría prestarse esto para el abuso? ¿Qué pasaría si los Estados tuvieran acceso a esta información?

En junio de 2013, gracias a Edward Snowden, se empezó a publicar gran cantidad de documentos secretos de la Agencia de Seguridad Nacional de Estados Unidos (NSA por sus siglas en inglés). Estos documentos demuestran que de manera voluntaria o no, empresas como Google, Facebook, Microsoft, Skype, Youtube, Apple, entre otras, entregan la información de sus usuarios al gobierno de Estados Unidos. Los únicos que tienen alguna protección legal son los ciudadanos de Estados Unidos. El resto de nosotros no tenemos ninguna garantía que nuestra información no pueda ser espiada.

En realidad, no es la NSA y las grandes empresas de Internet las únicas que pueden saber mucho de nosotros a través de Internet. Somos nosotros los que entregamos nuestra información privada en redes como Facebook a cambio de estímulos sociales como “likes” u otros. Cuando era pequeño, recuerdo que nos decían que no hablemos con extraños en la calle. Hoy en día los padres, con la ilusión de compartir momentos con sus seres queridos comparten fotos de sus hijos en Internet. ¿Se han puesto a pensar quién puede ver las fotos que subimos a Facebook? ¿Conocemos en persona a todos nuestros contactos de Facebook? ¿Deberíamos pedir permiso a nuestros hijos antes de subir una foto de ellos a Internet? ¿Deberíamos subir fotos de nuestros hijos a Internet?

El artículo 12 de La Declaración Universal de Derechos Humanos defiende expresamente el derecho a la privacidad: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia…”. Sin embargo, en Internet estamos regalando nuestra privacidad a cambio de conveniencia.

Diapositiva del proyecto secreto PRISM de la NSA donde se ve a la izquierda las empresas que entregan información al gobierno de Estados Unidos y a la derecha la información que proveen.

Nota: Este artículo lo escribí para la revista que circula en la escuela donde estudian  mis hijas.

Foto tomada por Soledad Quiroga para Tiempo Argentino

El martes 7 de marzo Wikileaks empezó a publicar información de la CIA sobre las herramientas que esta organización tiene para realizar espionaje electrónico. Debido a esto el diario Tiempo Argentino me hizo una entrevista. En la misma dije esta dije WhatsApp es más seguro que Telegram y me gustaría profundizar en el porque de esta afirmación.

WhatsApp y Telegram

Afirmé que WhatsApp es más seguro que Telegram a pesar de que el de Telegram es libre y el de WhatsApp no. WhatsApp cifra los chats fin a fin automáticamente incluyendo los de grupo, mientras que Telegram hay que activar la opción de chat secreto manualmente y no cifra fin a fin los chats en grupo. Esto quiere decir que en teoría WhatsApp no puede leer el contenido de las conversaciones, mientras que Telegram puede leer siempre que no sean conversaciones «secretas». Como WhatsApp es cerrado se podría pensar que tenga una puerta trasera, mientras que en el caso de Telegram hay la certeza de que hay una puerta frontal.

Lo que sí sabe WhatsApp es los metadatos de sus usuarios. Considerando este servicio tiene 900 millones de usuarios a nivel mundial esa información es valiosísima. ¿Por qué Facebook compró WhatsApp por 21 mil millones de dólares por un servicio gratuito? Además si se suma la información que Facebook tiene de sus usuarios en Facebook y la puede relacionar con la de WhatsApp. Además no hay que olvidar que Facebook colabora con la NSA en el programa PRISM.

En una entrevista que se le realizó a Snowden previo a la publicación de los documentos afirmó que a la NSA le interesa más los metadatos que los datos. Gracias a los metadatos se puede saber donde están los datos interesantes para buscar.

Considero que para que las comunicaciones respeten nuestra privacidad deben permitir ocultar tanto metadatos y contenido. En el caso de PC se puede lograr esto fácilmente con aplicaciones como Ricochet. En el caso de celular, tanto Telegram, WhatsApp y Signal son servicios centralizados que concentran los metadatos de muchísimas personas en un solo sitio. En su lugar recomiendo usar Conversations con XMPP y si es posible combinarlo con Orbot. Pero esto es motivo para otro post.

Por otro lado están los metadatos que son datos que describen a los datos. En el caso de un correo electrónico, por ejemplo, los metadatos son el remitente, el destinatario, la hora en el que correo electrónico fue enviado, la dirección de ip, etcétera. Información similar se podría obtener de llamadas telefónicas, chats o cualquier tipo de comunicación.

A simple vista los metadatos podrían parecer inofensivos, sin embargo almacenados durante mucho tiempo dicen mucho de una persona. El proyecto Immersion del Instituto Politécnico de Massachussetts permiten visualizar nuestra red de contactos a trevés de los metadatos que tienen empresas como Google, Yahoo o Microsoft. Solamente con la información de origen, destino y fecha en la que se enviaron los correos generó el siguiente gráfico de mi red social. Los círculos grandes son las persona con las que más me comuniqué (cuando usaba GMAIL). Si tienen una cuenta de Gmail, Yahoo o MS Exchange, les invito a que hagan la prueba y visualicen lo que saben de ustedes estas empresas. Eso sí, al hacer esto estarán dando acceso a sus datos al MIT. Ellos dicen no hacer nada con los mismos y dan la opción de borrar. Igual no queda más que confiar ya que el software corre en sus servidores. En caso que no lo quieran hacer pueden probar el demo sin ningún riesgo.

Dice el viejo refrán: «dime con quién andas y te diré quién eres«. Deberíamos preguntarnos cuánto puede saber de nosotros empresas como Google, Microsoft, Yahoo o Facebook por nuestros datos. Además recordar que gracias a Snowden ahora sabemos que las empresas que mencioné dan acceso de nuestros datos a la NSA:

Documento filtrado por Snowden, parte de una presentación del programa PRISM

• Subgraph OS – ODT
• Subgraph OS – PDF

El conocimiento debe ser accesible para la mayor cantidad de persona, por lo que comparto este documento con licencia Creative Commons Compartir igual por si alguien quiere mejorarlo.

Una forma fácil de hacerlo es utilizando la herramienta OnionShare. Es una herramienta súper sencilla que funciona para Linux, Windows y Mac. Lo único que se requiere tener instalado es el navegador Tor tanto en la máquina que envía y recibe el archivo.

En el caso de Debian, la instalación se la hizo directo desde repositorio. Cuando se ejecuta el programa por primera vez se tiene la siguiente pantalla:

En esta pantalla se añade archivos ya sea arrastrando (1), de forma individual (2) o toda una carpeta (3). Una vez que todo esta listo se enciende el servidor y se generará un url accesible desde el navegador Tor similar a este: http://2j2abk2pytphpahu.onion/7x7at2z7hlqhus4d67vztm35pi

Para que esto funcione es importante correr el navegador Tor en la máquina local, sino aparecerá el siguiente mensaje.

Una vez que se tiene el navegado funcionando se genera la url que mencioné antes y bastará con copiarlo al navegador Tor de las personas que deseen descargarlo.

Una vez que alguien inicie una descarga, OnionShare nos avisará con una o varias barras de estado:

En «1» se tiene la opción de copiar el url para compartirlo con otras personas. En «2» se tiene la opción de ver el estado de las descargas. «3» permite apagar automáticamente el servicio OnionShare una vez que se terminaron las descargas evitando que otras puedan acceder al archivo.

Eso es todo, fácil, sencillo. Además se comparte el archivo de forma anónima y cifrada a través de un servicio oculto de Tor.

Diapositiva sobre la nube de Google:

Carita Feliz donde dice que se añade o se quita la criptografía. Fuente: Washington Post

Sobre los usuarios de Iphone

Sobre como pueden usar  los servicios de localización de Apple para espiar a sus usuarios. Se burlan de los usuarios de Iphone porque ellos son quienes compran el dispositivo para ser espiados. Fuente: Spiegel

El Gran Hermano

Para la NSA, Steve Jobs era el Gran Hermano. Fuente: Spiegel

Apple y 1984

Hacen referencia a un comercial de 1984 que decía como gracias a Apple 1984 no sería como lo predecía Orwell. ¿Quién diría que ahora Apple ayuda a construir una sociedad Orwelliana. Fuente: Spiegel