Jornada 25 Aniversario Asociacion de Internautas


opinión de Pablo F. Iglesias

Transparencia digital frente a ataques de "state sponsored"


Es curioso que en este último mes varias de las grandes compañías de servicios digitales hayan desarrollado algún tipo de notificación dirigida a clientes que podrían estar siendo víctimas de un ataque patrocinado por algún gobierno.




Los ataques de "state sponsored" vienen a ser ataques dirigidos que habitualmente tienen el objetivo de exponer parte de la información de un usuario para fines de inteligencia/seguridad nacional.

Es por tanto un tipo de ataque en el que de una u otra forma el gobierno está involucrado (bien sea porque este se realiza por parte de la agencia de inteligencia oportuna, bien sea porque el ataque proviene de algún grupo habitualmente asociado al mundo gubernamental), y digo que es curioso que haya ahora este tipo de movimientos ya que como veremos, vienen acompañados de una incertidumbre difícil de solucionar.

El timeline de las notificaciones de ataques patrocinados por gobiernos
  • La primera de las grandes compañías que ha habilitado algún tipo de alerta frente a este tipo de ataques fue Google en 2012 (EN), mediante una pequeña notificación justo debajo de su barra de búsqueda en GMail.
  • En Octubre de este mismo año, Facebook se sumaba a la iniciativa (EN), informando de esta manera a usuarios que podrían estar siendo vigilados por algún gobierno.
  • A mediados de Diciembre, tanto Twitter (EN) como Yahoo (EN) hacían lo propio. La primera sin previo aviso, simplemente enviando un email a unos cuantos supuestos objetivos. La segunda, con un artículo en el que explicaba algunas de las recomendaciones a seguir a partir de entonces.
  • Por último, Microsoft, el 30 de diciembre, mediante un artículo en su blog (EN).
La respuesta frente a un abuso gubernamental

El movimiento parece ser uno más de esa estrategia que lleva a una compañía de servicios a hacer frente a las aspiraciones de monitorización masiva de los gobiernos, principalmente después de los acontecimientos desvelados por Snowden.

Hay que comprender que para una compañía digital, uno de sus bienes más valiosos es precisamente la confianza que el usuario puede depositar en la herramienta.

Si ese usuario confía en la buena fe de la compañía, será más proclive a ser cliente de sus servicios de pago y/o pasar más tiempo usándolos (ergo más información, ergo más $$$).

Pero después de conocer que la mayoría de estas grandes compañías estaban ofreciendo acceso a sus bases de datos al gobierno de turno, y principalmente, a la paulatina maduración de la sensibilidad ante estos temas por parte de los usuarios, estamos viviendo un momento en el que como en su día dije la seguridad y privacidad de los datos es un activo de valor que hay que "vender" de cara al cliente.

Lo veíamos con la decisión de Twitter y FB de dividirse en dos, tratando en suelo europeo los datos de sus usuarios europeos, y exponiéndose por tanto a la legislación europea, mucho más comedida que la americana.

Lo vemos en esa decisión de cifrar cualquier dato que una compañía como Apple o Google tiene de nosotros, de forma que la clave pública dependa única y exclusivamente del usuario y no de la compañía. Al separar estos dos elementos, lo que se obtiene es una herramienta que funciona en automático, en la que los datos están cifrados y por ende, no quedarían expuestos ni ante la decisión de la compañía de aceptar la petición gubernamental de lectura de los mismos, ni ante esas supuestas puertas traseras que los gobiernos habrían desarrollado sin el consentimiento de la compañía para pinchar las comunicaciones.

Movimientos que ponen en peligro la persistencia de estas compañías en algunos países que se han posicionado abiertamente a favor de este tipo de medidas, como China, con su reciente ley antiterrorista (EN), que entre sus numerosas medidas (merece la pena echarle un ojo), está la de que cualquier compañía digital que opere en territorio chino debe ofrecer al gobierno acceso a las claves privadas y contraseñas de usuarios marcados como potencialmente peligrosos.

La segunda razón, además del ya comentado compromiso con el usuario, cae de cajón: El ofrecer a un tercero acceso a los datos de la compañía es abrir una puerta que otro podría aprovechar.

Permitir que nuestro sistema tenga puertas traseras es abrir nuevos vectores de ataque que en algún momento un grupo de cibercriminales o la competencia podría aprovechar para poner en jaque a la compañía. Y esto va en detrimento de la misma, pero también de la seguridad y privacidad de los datos de los propios usuarios a los que el gobierno de turno supuestamente, con esta medida, intenta proteger.

Descontando que la exposición de estos datos podría servir el día de mañana (por no decir hoy mismo) para la persecución de minorías sociales (sea por raza, por cultura, por religión, por política,.), como YA HA OCURRIDO, e incluso plantea grandes problemas de cara a la legislación en materia de propiedad intelectual y derechos de autor que podrían quedar expuestos en ese ataque.

Pasa entonces de ser un pilar del negocio a ser además un elemento que pone en peligro todo el negocio de la compañía. A ser algo que hace más débil el sistema que da de comer a la empresa.

Algo que contraviene la misión de cualquier corporación, y que además, su contramedida cuenta con el beneplácito de los usuarios (de los que vive), la Declaración Internacional de los Derechos Humanos y el propio sentido común.

La incertidumbre frente al conocimiento del ataque

Por otro lado, el que el usuario sea consciente de que puede estar siendo monitorizado o directamente atacado por la inteligencia gubernamental plantea varios retos:

  • El primero, es ¿qué hacer al respecto? La mayoría de compañías recomiendan securizar el servicio lo máximo posible, implantando una doble autenticación y revisando el historial, por si encontramos algo fuera de lo común.
  • El segundo, viene acompañado del primero, y es que por la propia idiosincracia de la mayoría de estos ataques (y si me apura, por los intereses cruzados que hay al respecto), el usuario habitualmente solo tiene constancia de que es víctima de un ataque, pero ni sabe de dónde viene ni hasta qué punto ha sido expuesta su cuenta.

La incertidumbre posterior parece que está empujando a muchas de estas víctimas a abandonar esos servicios. Un problema por tanto para la compañía, que esperemos encuentre la manera de ofrecer mayores garantías para recuperar esa confianza.

En todo caso, un movimiento más en pos de dotar de mayor poder e información al ciudadano, al igual que veíamos recientemente con la oficialización del error 451.

Son pequeños pasos, pero que juntos suman, dibujando un escenario en el que se anteponen los derechos humanos frente a las aspiraciones gubernamentales. Frente a esa Era de la Tranquilidad que hace tiempo exponía como utópica, y a la que lamentablemente parece que nos dirigimos.

Reproducido del blog de PabloYglesias


pdfprintpmail