¿Cuanto falta para llegar a 1984?

Últimamente estoy bastante preocupado por la privacidad en el mundo actual, cada día que pasa me meto mas y más en el tema y continuamente veo ejemplos por todo el mundo que me llevan a pensar que todo esto va camino de ser un lugar mucho peor, como nunca hemos imaginado.

Hace meses empecé a leer el libro de 1984 con un ojo en el mundo que describe y otro en la sociedad actual y poco a poco el mundo se está viendo representado en ese libro escrito hace casi 70 años.

“El nuevo oro son los datos”

Vivimos en la época de la información y en el mundo de los datos, todo a nuestro alrededor recopila información en tiempo real:

Suena el despertador del móvil que sabe a que hora te despiertas y guarda el histórico de tus despertares. Has desbloqueado el móvil por lo que automáticamente tus aplicaciones se conectan y sincronizan y hasta tu operador de telefonía se da cuenta que vuelve a haber actividad después de 6 horas de descanso, parece que últimamente duermes menos de lo habitual.

Te metes en la ducha esa nueva que te has comprado que tiene Spotify incorporado mientras suena la playlist “Mañaneo” con esa música de los 90 que tanto te gusta y por el medio se escucha un anuncio de auriculares Bose, que raro, justo llevas dos semanas dudando si comprar por Amazon esos o los Sony que son más baratos.

Una vez vestido sales de casa y Google te informa que te quedan 25 minutos para llegar al trabajo, sabe que estás de camino. La pulsera que usas para mejorar tu estado de forma y que llevas todo el día puesta, detecta que acabas de echar un sprint, te has parado repentinamente y de repente vas a unos 60 km/h, Fitbit se acaba de enterar de que casi pierdes el autobús urbano.

Pagas el bus con tu tarjeta personal de transporte que guarda el momento exacto y el bus que coges para luego sacar estadísticas de uso, mientras lees ese periódico de izquierdas y compartes sus noticias en una red social, está claro a quién vas a votar en las próximas elecciones.

En el trabajo abres Whatsapp Web todas las mañanas y sueles hablar con dos contactos femeninos, con uno de ellos sueles hacerlo durante bastante tiempo, incluso de madrugada desde el móvil y a veces mandas gifs de gatos a través de un grupo, tiene pinta que son tus colegas, mucho trabajo no debes de tener.

También pasas bastante tiempo en LinkedIn en tu horario laboral, parece que buscas ofertas de trabajo como programador en tu ciudad, no estas muy contento en tu puesto actual.

A las 18 se cierran tus conexiones de Slack, Outlook y Whatsapp Web y a los 20 minutos tu IP vuelve a ser la misma que tenía tu móvil al levantarte, has vuelto a casa y estás viendo Twitter, Facebook y Medium. Compartes muchas cosas, parece que te gustan el baloncesto, la música de los 90 y debes ser un lider bastante potente porque mucha gente comparte las noticias y posts que publicas con un fuerte tono antisistema,

Después de ver tu serie favorita en Netflix durante 50 minutos y mientras tu aspiradora robot recorre y guarda el mapa de tu casa para “limpiar mejor la próxima vez”, a la 1 de la mañana se apagan tus conexiones, es hora de dormir.

Nos espían

El ejemplo anterior puede reflejar un día normal de cualquier persona y nos permite ver que estamos siendo observados en todo momento por miles de empresas, grupos y gobiernos.

Las páginas webs insertan pequeños datos en nuestro navegador para mejorar nuestra experiencia de usuario (para mantenernos logueados, guardar nuestro carrito de la compra aunque cierres la pestaña…), las famosas cookies pero que también permiten rastrearnos y que cualquier web vea las cookies que tenemos y sepa las páginas que hemos visitado anteriormente.

Visualización de 2 minutos de navegación en Lightbeam

Estos datos se venden entre empresas, hay un plugin muy chulo para Firefox que te permite visualizar las relaciones entre páginas y a donde se venden los datos de tus cookies, Lightbeam.

Tus apps también te espían, muchas piden demasiados permisos, por ejemplo el otro día buscando una app de linterna me encontré con una que quería acceder a mi ubicación y fotos, ¿para qué? si solo necesita encender la luz del flash. La respuesta es, para vender tus datos y hacer negocio con ellos.

Papeleras wifi instaladas durante los JJOO de Londres

Hasta las papeleras te espían, pasó en Londres con unas papeleras con wifi que fueron instaladas durante los juegos olímpicos para dar servicio y poner publicidad dirigida en ellas. Roomba, la popular marca de aspiradoras, también se ha lanzando a vender los planos de tu casa y hasta Disney espía a tus hijos a través de los juegos para móvil que usan.

Un caso interesante fue el de Malte Spitz que pidió a su compañía telefónica todos los datos que tenían sobre él, le dieron los últimos 6 meses asique cruzó esos datos con sus redes sociales y encargó la realización de la siguiente visualización en la que puedes seguir toda su vida, donde ha estado, las llamadas que ha hecho, los sms, etc. Un poco creepy todo!

Para qué?

  • Control político: Venezuela, Ucrania, Turkía, China, Rusia…

Muchos de los asistentes a las manifestaciones de Ucrania recibieron sms diciéndoles que el gobierno sabía que habían participado en las manifestaciones ilegales y amenazándoles, algo parecido también paso en Venezuela durante las manifestaciones de este último año.

Manifestación en Ucrania

Otros países como China han llegado a crear su propio gran hermano dando puntos a sus usuarios según su comportamiento y su obediencia al estado para luego darles acceso a préstamos, escuelas de mayor categoría y por supuesto castigos, llegando incluso a obligar por ejemplo a sus ciudadanos musulmanes a instalar spyware en sus equipos para comprobar que no son disidentes.

  • Manipulación del comportamiento.

Empresas como Google o Facebook están haciendo pruebas para influir en el comportamiento de las personas, por ejemplo en sus sentimientos, según ellos para mejorar tu estado de ánimo cuando estas triste o para evitar que el ISIS reclute nuevos adeptos.

  • Negocio, tu eres el producto

De qué viven todas las empresas que hay detrás de estas Apps que son gratuitas, antes tenías que pagar por las aplicaciones, ¿que ha cambiado? Básicamente el modelo de negocio, ahora vender tus datos y tus patrones de comportamiento es lo que da beneficio.

Nunca sabes qué datos te la pueden jugar

Antes de la ascendencia de los Nazis al poder, el gobierno germano llevaba un registro sobre qué personas pertenecían a qué religiones para ver como distribuir los presupuestos para darle a dichas comunidades, algo que parecía un dato inofensivo y pensando para algo bueno, fue un buen regalo para el nazismo que le facilitó en buena parte su trabajo de buscar a personas con ascendencia judía.

Algo que ya está pasando en muchos países es la detención de lideres de movimientos por sus conexiones con la gente, cuantos más contactos tengas en Whatsapp, Twitter… puede significar que eres una persona que juega un rol de líder para mucha gente y detenerte puede ser muy interesante para frenar voces opositoras.

Otros ejemplos mas de andar por casa pueden ser conocer tu afiliación política para entrar en una universidad privada que tenga una marcada ideología o tu afición a practicar deportes extremos para denegarte un seguro de salud o un crédito.

¿Qué podemos hacer nosotros?

Individualmente. Herramientas libres para aumentar mi privacidad

Usa aplicaciones libres que se preocupen por tu privacidad, fundamental que sean software libre porque no te puedes fiar de lo que hacen las propietarias, si no puedes ver el código y cómo están echas, desconfía.

  • Sistema operativo. Usa GNU Linux, está comprobado que Microsoft tiene puertas traseras en sus sistemas para darle barra libre a la NSA.
  • Navegador web. TOR es una buena idea como navegador, pero para usar a diario igual es matar moscas a cañonazos. Menos paranoia es usar Firefox con una VPN (Yo tengo ProtonVPN) e instalar los siguientes plugins en tu navegador Privacy Badger y HTTPSEverywhere, van muy bien y no molestan nada ;)
  • Chat/videoconferencia. Pásate a mensajería cifrada, las típicas como Telegram o Signal están bien pero el código del servidor no es libre asique a saber lo que hacen. Mas interesantes están Matrix (descentralizado), Wire (que puedes instalar tu propio server) o también Jitsi como sustituto de Skype.
  • Buscador. Google te trackea y mucho, si has leído el articulo que he puesto antes (este) estarás pensando seriamente en dejarlo, la alternativa es DuckDuckGo, al principio se hace raro pero le coges cariño a sus bangs y a sus resultados sugeridos de stack overflow.

Y todo lo que puedas, trata de tenerlo controlado, tus archivos, contactos, calendario… puedes tenerlos en tu propio Nextcloud Box enchufado en el router de tu casa.

Muy interesante seguir también a la Electronic Frontier Foundation, de donde podemos sacar muchos y muy buenos consejos.

Por cierto, para buscar alternativas a software típico: alternativeto

Móvil

Suele ser complicado, escapar de las garras de Google o Apple, pero unas recomendaciones básicas:

  • Desactiva la localización, bluetooth y wifi siempre que no lo uses y evita darles permisos a tus apps para usarlas.
  • No uses wifis públicas que no son WPA.
  • Activa donottrack en el navegador web (también vale para el navegador de escritorio).
  • Limita los permisos de tus Apps al máximo.
  • Encripta todo discos duros, móviles, comunicaciones…

Profesionalmente. Como puedo dar privacidad a mis clientes

En nuestro trabajo diario como desarrolladores o empresas, también podemos contribuir a mejorar un poco la privacidad de nuestros clientes sin tampoco hacer un esfuerzo tremendamente brutal:

  • Reducir los datos que guardamos: logs, IPs, datos de localización… Puede que no los necesitemos para nada.
  • Anonimizarlos. Por ejemplo, en los logs podemos sustituir nombres de usuario por IDs, a nosotros nos valdrá igual y si una agencia gubernamental nos pide los logs, necesitará también la base de datos para saber la identidad de las personas.
  • Quitar el acceso directo a los logs, por ejemplo acceder a través de ElasticSearch.
  • Pensar qué vamos a hacer con el almacenamiento a largo plazo. Programar borrados frecuentes de la información sensible, como pueden ser los logs de accesos.
  • Cifra todo lo que puedas y usa buenos cifrados. Los backups también puedes cifrarlos.
  • Pensar qué hacer con los datos del backup cuando un usuario deje la plataforma, igual podemos borrarlos en algún momento.
  • Descentralizar todo lo que puedas. Cuanto más distribuido esté el sistema, más difícil es de rastrear y de conseguir toda la información.
  • Utiliza servidores en lugares en donde la ley protege la privacidad, por ejemplo Suiza.
  • Libera el código de tus aplicaciones para que tus clientes puedan estar seguros de lo que haces.
  • Asegúrate de que los servicios de terceros que estés utilizando respeten también la privacidad.
  • No uses cloud (AWS, Azure. Google Cloud…). Esto es cada día mas difícil, pero montar todo en tus servidores propios ayuda mucho, no te puedes fiar de las grandes corporaciones.
  • Obliga al cliente a que mantenga tus aplicaciones actualizadas, le va a molestar y le dará mas trabajo pero así evitas problemas de seguridad.
  • Para nota: Ofrece tus servicios como .onion services

Muchas veces no hay una buena solución, quizás lo mejor es encontrar un punto medio balanceado pero depende de cada caso, por ejemplo:

  • Muchas veces es interesante tracear a tus atacantes, pero recuerda que tracear a quien ataca tu sistema es bastante parecido a tracear a tus usuarios asique piensa hasta que punto quieres hacerlo.
  • Usar el segundo factor de autenticación está bien porque dificulta el acceso de personas no deseadas pero al mismo tiempo es la máquina perfecta para poder tracear a la gente por su número de teléfono móvil. Lo dicho, no hay solución perfecta.

Y para mi lo mas importante es ser transparente, cuéntale a tus clientes lo que haces en lugar de esconderlo en unos términos de uso ilegibles. Un ejemplo de buen uso es Politibot.

También puedes publicar las peticiones de información que recibas de gobiernos u otras instituciones y quién lee tus logs. Ej: Protonmail o Open Whisper Systems y trata de seguir los principios de LeanData de Mozilla.

Unos links extra interesantes

Y para terminar aprovecho para dejar un par de cosillas interesantes, la primera es una charla de Marta Peirano para concienciar a la gente de que debe preocuparse de la privacidad, muy top para enseñar a amigos y vecinos.

El segundo es un documental interactivo sobre la privacidad, la pega es que está en inglés pero si puedes, por favor, no dejes de verlo!

Y por último un post muy interesante de Rubén Martín, al que aprovecho para dar un poco de crédito ya que de él he sacado parte también de la información que en este post podéis leer.

EDITO:

Una brutal recopilación de herramientas para mejorar tu privacidad!!