Feb 28 2016
¿Están nuestros datos seguros?
La privacidad de nuestros datos. ¿Pueden leer nuestros datos los organismos gubernamentales?
Últimamente están corriendo ríos de tinta sobre la polémica entre Apple y el FBI por el desbloqueo de un iphone apresado a un terrorista implicado en varios asesinatos. No voy a valorar el hecho de si Apple debe colaborar o no con el FBI abriendo una puerta trasera en su sistema operativo para facilitar el acceso de los datos de sus dispositivos a los organismos gubernamentales que lo requieran. El objeto de este post va más allá de este caso en particular y pretende ser una reflexión sobre la privacidad de nuestros datos.
Mucha gente utiliza a diario los servicios en la nube pero no se para a pensar quién custodia esos datos. Aquellos que en su día guardaron sus datos en MegaUpload seguro que sí se han planteado esta reflexión ya.
Muchos de los servicios de almacenamiento en la nube como Dropbox, Google Drive, One Drive de Microsoft, Amazon, etc,… están alojados en servidores en EEUU.
Deja que te haga una pregunta. ¿Dejarías tu dinero metido en un banco que estuviera fuera de tu país?.
Por si no lo sabías hay una ley en EEUU que se llama Patrot Act (acta patriótica) por la que el gobierno norteamericano puede acceder a los datos de cualquier servidor alojado en territorio norteamericano en caso de amenaza terrorista. Pero quien dice atentado terrorista… elige tú la excusa que quieras.
Microsoft lanzó una oferta de almacenamiento ilimitado en One Drive y al poco tiempo la retiró porque alegó que había usuarios que hacían un uso incorrecto del servicio. Según Microsoft se vieron obligados a cambiar las condiciones porque algunos usuarios habían estado almacenando colecciones completas de vídeo o todos los archivos de varios ordenadores. ¿Pero eso cómo lo podían saber?¿No habíamos quedado en que los datos eran confidenciales y que Microsoft no tiene acceso y no los lee?¿Cómo sabe que eran vídeos o que pertenecían a ordenadores distintos?. La respuesta es obvia, estaba monitorizando todo el tráfico que la gente sube a sus servidores.
Como también es bien sabido, Google lee todos los correos que la gente envía a través de Gmail y luego trafica comercialmente con esos datos. El negocio de Google eres tú y tus datos, es la mayor empresa de publicidad del mundo.
Para solucionar parte de estos problemas Europa está obligando a estas grandes empresas a montar centros de almacenamiento en territorio europeo para evitar que ciertos datos estén en suelo norteamericano y estén sujetos a la Patriot Act. Para mi esto no es de gran consuelo porque el que piense que que un gobierno europeo actuaría de distinta manera que uno norteamericano es un iluso.
Volviendo al ejemplo del banco. ¿Meterías tu dinero en un banco que está controlando tus gastos y sabe en qué estás gastando tu dinero en cada momento y que por si fuera poco le diera esos datos a Hacienda o al gobierno de turno?. Yo no.
No es cuestión de tener datos comprometedores o no. Yo no tengo datos sensibles que puedan tambalear las Bolsas o poner en jaque a ningún Gobierno, pero son mis datos y es mi privacidad.
Ya hay muchas empresas que están recurriendo a montar su propia nube y su propio servicio de correo electrónico para no depender de servicios de terceros y tener un control absoluto de sus datos.
Poco a poco este compromiso está llegando al uso doméstico porque el usuario cada vez está más concienciado de la privacidad de sus datos. En este sentido los NAS han llegado para quedarse, porque aunque el uso multimedia, el gestor de descargas y los backups son el uso más generalizados en estos dispositivos, el poder crear y gestionar tu propia nube privada fuera del alcance de curiosos va a ser una función cada vez más importante y demandada.
Piensa en esto y dime si no tengo un poquito de razón.
febrero 28, 2016 @ 2:19 pm
Igual te voy a romper el alma un poquito tu banco, ese Español de toda la vida, donde tienes tus dineros sabe más que tú sobre qué haces con él, y no sabe aún más no por qué no quiera sino por qué los bancos y la tecnología parecen repelerse. Lo peor de todo que además se lo cuenta casí todo a la Dirección General de Tributos y te cobra por ello.
Aparte de Apple, la otra compañía que me fío en cuanto a los datos (salvo en que puedan pasar a manos del gobierno) es Google.
Google a diferencia del mito que circula no usa mis datos para investigarme a mí especifícame, como hace mi banco y otras compañías que tiene datos personales míos y no revelan que hacen con ellos.
Google se limita a estudiar a personas con mi mismo de perfil estadístico de forma agregada e intentar predecir nuestro comportamiento en base al análisis de la información extractada del conjunto. Salvo en el caso de los anuncios dirigidos que tienen una memoria muy corta de mis intereses particulares y una mucho más larga del perfil de mi segmento que evoluciona con el tiempo.
Google tiene todos mis datos desde la beta de gmail, pasando por la beta de Google Apps, que es con lo que trabajo ahora, y podrían utilizarlos para lo que quisieran, pero su negocio se basa en tener dados, segmentarlos y agregarlos estadísticamente y cada vez que la compañía es más exitosa haciendo esto, más improbable es que un día cambien de idea y se expongan a destruir un negocio extremadamente rentable por dedicarse a sacar un dudoso partido de la información personal con carácter individualizado.
Por otro lado y frente a terceros, Google es hoy en día la compañía más segura de internet, simplemente por los enormes recursos que tiene a su disposición para asegurarse de que así sea. No es casualidad que sea de las pocas compañía qué nunca ha sufrido un ataque masivo contra sus servidores o las cuentas de usuario con éxito.
Que conste que mi hardware (Mac Pro, MacBookAir, Mac Book Pro, iPad Mini Retina, iPad Air, iPad Pro y iPhone 6s) y sistemas operativos son de Apple anunque de AWS sí que no me fío un pelo, pero todos mis servicio en la nube están en Google for Work, con excepción de Photos que está en iCloud.
Mis equipos OSX tienen firevault habilitada, los iOS encriptación habilitada, borrado al 10 intento, claves alfanuméricas de más de 20 dígitos minúsculas, mayúsculas, símbolos y números y borrado remoto.
Todas mis cuentas tiene como mínimo claves únicas de 36 dígitos minúsculas, mayúsculas, símbolos y números y borrado remoto y 2FA activado (y estoy migrando a FIDO U2F).
Para aquellas que tienen correo de recuperación este es un correo específico para esta función que no está vinculado con mi persona y su único uso es este.
Además a las compañías prestadoras de servicios de carácter económico o de información les he prohibido expresamente por escrito certificado que revelen, cambien o de cualquier otra forma alteren cualquier dato relativo a la cuenta por cualquier vía que no sea la propia web previa autentificacion completa y correcta.
Como verás me preocupo bastante de la seguridad de mis datos en relación con las amenazas reales y no de paranoias sin sentido.
enero 23, 2017 @ 6:40 am
Veo que te tomas en serio la seguridad. La verdad es que prefiero hacer como tú y ser un poco paranoico a quedarme corto y luego que lleguen los sustos.
Yo por supuesto que no me fío de los bancos, hacienda e infinidad de servicios pero tampoco termino de fiarme de Google, tienen demasiada información y debo suponer que hacen buen uso de ella pero nadie me lo puede asegurar.
Un saludo y gracias por tu comentario.
marzo 2, 2016 @ 4:05 pm
El FBI o cualquier centro de inteligencia accederá antes a tu NAS que a un servidor «tocho».
Todo lo que esté conectado en la red, está al alcance de todos.
Me quedo con el NAS por comodidad, rapidez y multimedia, pero me temo que no por seguridad.
marzo 5, 2016 @ 7:01 pm
Por supuesto que si el FBI quiere acceder a un NAS puede acceder porque aunque se lo pongas difícil tienen expertos en eso. También puedes encriptar los datos sensibles pero a lo que me refiero es al hecho de que los datos están bajo tu protección y no en un servidor ajeno que no sabes si los leen y si venden tu información al mejor postor. Ya sabes lo que se dice: si no pagas por un producto, entonces el producto eres tú.
octubre 29, 2016 @ 11:52 am
Abetancort como gestionas todas esas claves ?