Preocupaciones acerca del mundo digital

2 de Julio de 2015
En este artículo Hugo Scolnik analiza los peligros inherentes derivados del uso indiscriminado de Internet

Es una obviedad decir que el uso masivo de los medios digitales afecta, directa o indirectamente, a casi todas las actividades humanas, y en general destacamos sus beneficios. Pero lo que no es tan obvio es considerar los peligros inherentes derivados del uso indiscriminado de, por ejemplo Internet, por el común de las personas.

El hecho de que acceder a la web nos permite informarnos, entretenernos, realizar operaciones bancarias y financieras, comunicarnos con el mundo, etc., es el equivalente a "poner todos los huevos en una misma canasta". En otras palabras, si nos hackean podemos perder al mismo tiempo aspectos importantes de nuestra vida privada, nuestras finanzas, etc., algo que no sucedía antiguamente. Pero dado que el camino de la progresiva digitalización de nuestras vidas es inevitable, parece conveniente plantear cuáles deberían ser las recomendaciones básicas para los usuarios sin formación técnica que eviten –en la medida de lo posible– situaciones de vulnerabilidad.

Consideremos a una persona que quiere comenzar a usar computadoras. La propaganda masiva en los medios le ofrecerá diversas alternativas, usando normalmente una jerga incomprensible, no solamente hablando de características técnicas (RAM, Gb, modelo de procesador) sino evitando especificar las implicaciones de diversas alternativas. La persona termina decidiendo por precio y por financiación, lamentándose luego de la lentitud de su equipo pues se lo vendieron con escasa memoria para abaratar la oferta. Tampoco sabe qué implica el hecho de que quizás el equipo estuvo meses en un depósito, o sea que hay que instalar actualizaciones. Además elegir antivirus, firewall, etc., temas totalmente desconocidos para él.

La experiencia muestra que muchas personas adoptan la actitud de decir: ¿para qué me van a hackear si no tengo nada importante? Esto es un error, porque lo que tienen es algo importante: poder computacional. O sea que su equipo puede pasar a formar parte de una Botnet, potencialmente utilizable con fines criminales.

Cuando comience a navegar quizás tome conciencia de cuán afectada está su privacidad. Si busca hoteles en alguna parte le comenzarán a llover ofertas de distintos sitios que consiguieron en forma ilegal información sobre su búsqueda. Si tiene activado el GPS de su smartphone, sus movimientos detallados estarán en la web. Quizás le pregunten si acepta cookies, pero no sabe lo que son. El resultado final podrá ser que el uso ilegal por parte de terceros de información privada termine en sistemas de scoring que decidirán, bien o mal, si se le puede dar una tarjeta de crédito o un préstamo. Lo que se llama Data Surveillance combinada con Data Mining pueden constituir una combinación muy peligrosa si llegan a crear perfiles de una persona a través de correlaciones espurias que no son apelables.

Los mitos

Hay muchos mitos en estos temas, como ser: Linux no tiene virus, el software libre es una garantía de que no tiene errores porque mucha gente lo revisa, Windows es el sistema operativo más vulnerable, si un sitio de e-commerce tiene un certificado SSL (Secure Socket Layer) es seguro, si se encripta un archivo entonces es inviolable, etc.

Veamos algunos hechos:

  1. Es cierto que históricamente Windows ha sido mucho más vulnerable a los virus, pero Linux en sus diversas versiones tiene los suyos (basta buscar en la web)
  2. Hay muchos casos donde la existencia de código abierto no ha garantizado la ausencia de errores porque en particular es necesario auditarlo. Un caso paradigmático fue el bug en Debian hallado por el argentino Luciano Bello
    https://www.schneier.com/blog/archives/2008/05/random_number_b.html
    http://www.lnds.net/blog/lnds/2008/5/16/luciano-bello-encuentra-falla-de-seguridad-en-sistema-operativo-debian-ubuntu,
    que condujo a encontrar diversos problemas de seguridad en Debian.
  3. Es realmente Windows el sistema operativo más vulnerable? Ver http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014
  4. Un mito que puede traer consecuencias graves para el e-commerce es hablar de "certificados digitales SSL" como si fuesen todos iguales. De hecho existen los DV (domain validated), OV (organization validated) y EV (extended validation). Y el único que genera algún grado de diferenciación a nivel de browser es el EV. En general los comerciantes en línea (y los usuarios, fundamentalmente) no entienden la diferencia entre una comunicación encriptada y el estar seguros respecto de quién es el receptor de esa comunicación. En definitiva, cuando están comprando, ¿quién es efectivamente el vendedor? En USA más del 50% de los sitios de comercio electrónico hoy están cubiertos por certificados DV (un hacker puede pedir todos los que quiera, simplemente registrando un dominio e invirtiendo algunos pocos dólares). La preocupante conclusión es que muchos sitios de e-commerce piden los datos de las tarjetas de crédito de los compradores a través de páginas web inseguras.
  5. Se puede encriptar de muchas maneras y por eso cabe hacerse muchas preguntas, como ser: ¿cuál es el origen del software de encripción? ¿Qué método implementa? ¿Quién lo auditó para ver si tiene backdoors?

Muchos problemas de seguridad se originan en el uso de conexiones P2P o en la descarga “atractiva” de productos gratuitos que justifican a menudo el refrán de que lo barato sale caro.

En definitiva, existe una enorme brecha entre lo que el usuario no técnico debería conocer y su realidad cotidiana. Un camino posible es disponer de servicios confiables de cloud computing a los cuales la gente podría conectarse sabiendo que del otro lado hay técnicos capaces que van a salvaguardar sus activos.