En los artículos anteriores vimos cómo, en determinadas situaciones, nuestros datos confidenciales o privados enviados a través sitios web supuestamente seguros, pueden ser fácilmente interceptados, vimos que existe software preparado para esa actividad disponible para descarga en la red, y vimos también cómo verificar si nuestra conexión está siendo espiada.
¿Pero quién podría interceptarnos? ¿Con qué fin alguien espiaría a un don nadie como cualquiera de nosotros? ¿Y suponiendo que querramos prevenirnos, cómo podemos hacerlo?
El hecho es que lo hacen. No importa cuán insignificante te parezca tu uso de la red, hay personas que quieren saber que estas enviando. ¿Quienes pueden hacerlo? Cualquiera que administre una red a través de la cuál accedemos a Internet, y existen infinidad de casos, algunos muy conocidos, otros que nunca se conocerán. El problema es que Internet es una red de redes, y eso significa que siempre accedemos a Internet a través de la red de algún intermediario. Por ejemplo:
La red de tu trabajo
Si estás en relación de dependencia o trabajas en las oficinas de un cliente, por ejemplo. Existen casos documentados de espías en redes de empresas, se vende software específico para eso. Por ejemplo, el software de servidores de acceso a internet de Microsoft incluye una opción para que los administradores puedan inspeccionar el tráfico https.
Y ya hemos mostrado en el primera artículo un software libre que permite hacer eso mismo. Personalmente trabajé en una institución pública donde controlabamos la navegación de los empleados e informábamos sobre acceso a sitios de pornografía en horario laboral, sobre todo porque consumían demasiado ancho de banda y ralentizaban el uso normal de la red. En ese caso no necesitabamos interceptar comunicaciones https, pero lo hubieramos podido hacer, lo doy como ejemplo casos en los que legítimamente una organización puede controlar el uso de la red.
Locutorio o cybercafés
¡Es taaaan simple robar contraseñas de webmails y redes sociales en los locutorios! Los locutorios son especialmente vulnerables por varios motivos sociales y económicos, porque muchas veces los márgenes de ganancia son bajos, los dueños no suelen tener conocimientos técnicos, contratan jóvenes que tampoco son especialistas sino amateurs, y pagan poco, por lo que no pueden elegir a los mejores, ni con las mejores referencias. Si bien la mayoría de los técnicos de locutorios que he conocido eran jóvenes que, con poca formación y mucha garra, se ganan la vida de la mejor manera, con esfuerzo, dedicación y honestidad, lo cierto es que los locutorios son vulnerables, porque los dueños y los clientes no suelen tener los elementos mínimos para asegurar la salud de la red y las PCs, entonces cuando por esas cosas de la vida, caen en manos de un delincuente común, ni siquiera se enteran que esta persona tiene acceso a los datos cientos o miles de clientes.
Wifi libre
¿Estás contento porque los wifi han proliferado y siempre encuentras uno al cuál conectarte gratuitamente? Bravo! Somos fervientes defensores de dejar los wifi sin clave y compartir públicamente el acceso a Internet! Eso sí, ¡los wifi libres son tan riesgosos como los locutorios! Es que además de estar mantenidos por los mismos técnicos en muchos casos, incluso a veces nos conectamos a routers wifi que ni siquiera sabemos en qué local, oficina o vivienda están colocados! Piénsenlo, hay un mínimo riesgo en interceptar las comunicaciones en un locutorio o una empresa, si ustedes lo descubren pueden hacer un lindo barullo e incluso a veces un reclamo legal. ¿Pero qué harían si les roban la contraseña de sus webmail, o peor aún los datos de la tarjeta de crédito, por usarlos mediante un wifi abierto que no saben cuál de los edificios cercanos puede estar ubicado? ¿A quién reclamar?
Proveedores de internet ISP
Los proveedores de acceso a internet (Speedy, Arnet, etc) están en la situación ideal para interceptar conexiones y almacenar información privada de los usuarios, porque todas las conexiones a internet, absolutamente, pasan sus redes. Muchos ISP entregan a sus clientes CDs o pendrives (los 3G) con software útil, incluyendo navegadores web, que la gente instala sin averiguar si son los originales distribuidos por el desarrollador, o si son modificados por la empresa antes de entregarlos.
Proveedores de telefonía celular
Ha habido casos en los que los proveedores de teléfonos celulares interceptaban las comunicaciones cifradas con buena intención, como lo hacía Nokia, con el objetivo de comprimir los datos y optimizarlos para el acceso mas ágil a través de las redes celulares.
Los proveedores de teléfonos celulares también están en una situacion privilegiada para interceptar comunicaciones cifradas, ya que todo el software instalado en los teléfonos lo han instalado ellos mismos antes de venderlo, o lo distribuyen a través de sus propios sitios web, como el Nokia OVI Store, el Google Play para Android o el Apple IPhone ITunes. En general, ya sea con Software Libre o con software privativo, es una práctica bastante extendida la de instalar la propia PC, en cambio, salvo una mínima proporción de usuarios experimentadores, casi nadie instala el sistema operativo de su smartphone, por lo tanto nadie tiene el mínimo control sobre él. Ha habido casos en los que los proveedores de teléfonos celulares interceptaban las comunicaciones cifradas con buena intención, como lo hacía Nokia, con el objetivo de comprimir los datos y optimizarlos para el acceso mas ágil a través de las redes celulares. Esto se dejó de hacer, por un lado generaba susceptibilidades lógicas, y por otro lado las redes celulares 3G y 4G son tan rápidas que ya no es necesario comprimir tanto los datos como hace algunos años. Tambien el navegador Opera tenía una funcionalidad similar, que era opcional.
Gobiernos
En nuestro país, el gobierno sancionó en 2007 y modificó en 2011 la ley antiterrorista de manera tal que muchas actividades sociales podrían mañosamente encuadrarse dentro de esa ley.
Existe legislación en la mayoría de los paieses que habilita a las agencias de control social o seguridad de los gobiernos, como la SIDE o el FBI, a interceptar comunicaciones. Generalmente la legislación se aprueba utilizando la excusa de la lucha contra el terrorismo, por ejemplo en nuestro país, el gobierno sancionó en 2007 y modificó en 2011 la ley antiterrorista de manera tal que muchas actividades sociales podrían mañosamente encuadrarse dentro de esa ley. La manera más fácil para los gobiernos de implementar este control, consiste en obligar a las empresas proveedoras de Internet para que hagan la intercepción y almacenamiento de datos. En general, las empresas ISP han resistido los intentos de los gobiernos por obligarles a guardar excesivos datos de navegación de las personas, ya que para ellas implica con un costo significativo, además de roces con los clientes, pero guardar secretamente algunos datos especialmente interesantes, como las conexiones cifradas para acceder a los webmails, no es algo tan caro y puede ser muy redituable, sobre todo si en algún momento llega al poder algún partido de corte autoritario.
Más allá del justificado temor que genera el control por parte de empresas y gobiernos, lo cierto es que sin ir tan lejos, delincuentes comunes constantemente roban contraseñas de correos y datos bancarios, casi todos conocemos a alguien que ha perdido su contraseña de Hotmail o Facebook en manos de algún desconocido y tuvo que gestionar para recuperar su cuenta. Aunque más no sea por esos vándalos (ese es el nombre correcto, dejen de llamarlos hackers) vale la pena que prestemos un poquito de atención al modo en que usamos la web.
¿Cómo podemos dificultarles a los intermediarios el acceso a nuestros datos privados?
La primer precaución a tomar es no navegar sitios confidenciales y privados, como el HomeBanking, los ecommerce y los webmails o redes sociales, desde computadoras donde no tienes el control del software instalado. Eso incluye los smartphones, lamentablemente. Pero si lo haces, al menos utiliza el método que describimos el artículo anterior para verificar si la conexión está siendo interceptada.
En segundo término, si puedes descarga el software que usarás desde fuentes confiables, es decir desde el sitio web original de los desarrolladores del navegador. NUNCA instales software de sitios de descargas operados por terceros, existen miles y aparecen rápidamente en los buscadores, algunos de los más conocidos son Softonic o Cnet, y los hay peores, como los de intercambio genérico de archivos, tipo 4share, sharefile, mediafire y similares. Sencillamente no se puede confiar en ellos porque los hasta los propios operadores de esos sitios desconocen el origen de los archivos compartidos allí.
Te recomendamos descargar Mozilla Firefox por varios motivos, está disponible para casi todos los sistemas operativos, incluso los telefonos celulares, además es Libre y desarrollado por una comunidad de hackers con el más alto nivel técnico que existe en el mundo, y por si fuera poco, existen addons, que son programitas añadidos al navegador, que son desarrollados específicamente para facilitar a las personas el manejo de la seguridad de sus datos personales. Lo puedes descargar para cualquier sistema operativo desde aquí:
https://www.mozilla.org/
(Verifiquen que la huella digital obtenida sea correcta, contrastándola con la obtenida mediante grc.com)
Una vez instalado, les recomendamos instalar algunas extensiones o addons que pueden encontrar en los siguientes enlaces. Las extensiones se instalan accediendo a los enlaces desde el Firefox, por lo tanto primero tienen que instalar el navegador y luego acceder aquí:
HTTPS Everywhere
Activa el uso de cifrado siempre que sea posible y verifica automáticamente las claves utilizando la base de datos del Observatorio de Electronic Frontier Fundation.
https://www.eff.org/https-everywhere
Perspectives
Previene los ataques de intermediarios MitM verificando las claves por medios alternativos.
https://addons.mozilla.org/es/firefox/addon/perspectives/
CertPatrol
Ayuda a identificar cuando los certificados de las claves son válidos y cuando no lo son, entre otras cosas.
https://addons.mozilla.org/es/firefox/addon/certificate-patrol/
Web Of Trust WOT
Muestra una valoración informativa sobre cuán seguro es cada sitio web, basándose en los reportes de los usuarios.
https://addons.mozilla.org/es/firefox/addon/wot-safe-browsing-tool/
Y hay muchas más extensiones relacionadas con la seguridad que, con un poquito de espíritu hacker, pueden investigar aquí:
https://addons.mozilla.org/es/firefox/extensions/privacy-security/
En el próximo artículo, vamos a ir un poquito más allá y nos vamos a meter en el terreno de la conspiranoia (¿o es que ya nos hemos metido allí?) En fin, hasta la próxima, tiemblen!!!