Fin del secreto, comienza la privacidad

220px-Alan_Turing_Aged_161969, GCHQ: El centro del criptoespionaje británico, los herederos del mítico Benchley Park donde Alan Turing desarrollara veinticinco años antes las bases de la computación y creara en 1948 el primer ordenador, Colossus. El centro europeo del secreto.

James Ellis pasa ya de los cuarenta, es matemático e investigador. Funcionario de la agencia, excéntrico que es la forma british de decir rarito, lleva unos años recolocado en el CESG. Un grupo dedicado a la investigación criptográfica de máximo nivel. Lo mejor que la comunidad del secreto puede ofrecer. El mejor lugar disponible en 1969 para un hacker académico de los criptosistemas. Eso o la NSA. No hay criptomundo al margen. Desde la guerra todo lo relacionado con ésta rama de la matemática aplicada y las comunicaciones seguras es considerado secreto de estado. Los análisis teóricos tienen tratamiento de armas de destrucción masiva. No pueden publicarse sin censura previa de la agencia (que siempre la ejerce), no pueden compartirse con otros colegas de otros países (sería una exportación ilegal). No puede hablarse, leerse, publicarse ni discutirse nada. El estado es el gran monopolista del secreto. En lo referente a éstos temas funciona como la IBM: todo dentro de casa, nada público. La producción de teoría criptográfica se realiza con los parámetros de una gran fábrica de conocimiento: Nómina, horario y jerarquía.

Un artículo de Ellis yace sobre la mesa de su superior: el jefe de matemáticos Shawn Willie. Ellis sabe que es probablemente lo más importante que ha escrito en su vida. El tipo de papel que no te dejará dormir por las noches en los próximos veinte años. Se titulaba La posibilidad de encriptación segura no secreta. Una aparente contradicción que rompía toda la tradición criptográfica. Desde tiempo inmemorial los sistemas habían tenido un esquema sencillo: al mensaje (texto plano) se le aplicaba una clave obteniendo el texto cifrado. El receptor aplicaba la misma clave y volvía a obtener el texto plano. Todo lo demás, toda la investigación era puro barroquismo matemático sobre los algoritmos con los que se elaboraba la clave. La base era la misma: emisor y receptor – y sólo ellos – debían conocer previamente la clave.

La comunicación segura sin conocimiento previo de las claves simplemente no se consideraba. Ni siquiera se sabía si era teóricamente posible. Esa posibilidad era la que acababa de demostrar Ellis. “Desgraciadamente no he podido encontrar ningún fallo en el esquema” escribió en un informe Willie. Lo que tenía sobre la mesa era el esquema teórico de la criptografía asimétrica (que implica la convivencia de claves públicas – conocidas por todo el mundo – y privadas – sólo conocidas por sus dueños tanto en el lado del emisor como en el del receptor). El mismo tipo de cifrado invisible al usuario que hoy usamos para sacar dinero en el cajero, ver la tele por satélite, comprar en la web, pagar en la autopista y proteger nuestro correo o nuestras llamadas telefónicas.

Faltaba implementar el sistema. Encontrar funciones no invertibles con una serie de propiedades que permitiesen el cifrado y descifrado. Un joven brillante recien llegado a la agencia, Clifford Cocks, lo conseguiría en una tarde. Había creado un equivalente al hoy omnipresente algoritmo RSA, descubierto cuatro años después por un equipo de matemáticos del MIT.

Bletchley_Park_Mansion.jpgEstamos en noviembre de 1973 De los chicos de Benchley Park (que ahora ocupaban otras oficinas) no saldría nada al mundo. El sistema se consideró poco práctico, algo inevitable en este tipo de descubrimientos… y se dejó ahí. Con la jerarquía preocupada en otras cosas. Sin posibilidad de publicar más que internamente, ni Cocks ni Allis volvieron a tratar el tema. Con su silencio se retrasaba uno de los descubrimientos matemáticos más importantes del siglo XX. El viejo sistema de la fábrica de secretos se hundía poco después.

El responsable Whitfield Diffie, un joven matemático que había recorrido Estados Unidos buscando y atando pistas sueltas sobre la evolución [secreta] de la criptografía desde el estallido de la guerra mundial. Entrevistando veteranos, peinando bibliotecas y memorias, fue creando el mapa fragmentario de un mundo oculto. Nadie le financiaba. Diffie lo hacía por puro placer del conocimiento. Era un hacker de pura cepa. Seguramente el primer hacker de la Sociedad de la Información.

Cuando en 1970 Diffie consigue que le presten una casa en la Costa Oeste y se entrevista con un joven profesor neoyorquino de segunda fila que se había negado a trabajar para la NSA, nace la nueva comunidad criptográfica. De momento son dos personas Wihtfield y Marty. El nombre de un algoritmo: Diffie-Hellman.

Juntos generarían la masa crítica de conocimiento necesaria para el salto cuántico que la matemática aplicada estaba pidiendo a gritos. El salto que el desarrollo de las telecomunicaciones y el mundo digital de los siguientes treinta años necesitarían como precondición básica: la criptografía de clave pública.

Era 1975 y el primer papel de Hellman y Diffie es rechazado, como lo había sido antes el de sus secretos colegas ingleses. Sin embargo, la idea está ya en el circuito académico. Despierta pasiones. Partidarios y adversarios. Ha nacido la comunidad criptográfica libre: Hackers y académicos.

Antes de un año todos los fundamentos serán publicados y discutidos hasta la saciedad. En los siguientes 10 años la disciplina avanzará más que en toda la Historia de las matemáticas. La joven comunidad se enfrentará al estado, a IBM, a las leyes de la guerra fría… e inevitablemente contagiará a la naciente industria del software y la tecnología hasta derrumbar completamente en la época Clinton todo el sistema legal e industrial que constreñía su desarrollo.

Había muerto la fábrica de secretos. Había nacido la comunidad de la privacidad. El poder había pasado de manos de las estructuras militarizadas de la inteligencia estatal y las grandes corporaciones a una comunidad abierta y libre de académicos, hackers y empresarios tekis como Mitch Kapor (quien incluiría por primera vez encriptación asimétrica en un producto comercial). ¿Cómo podía haber llegado a pasar? ¿Cómo quince años antes de caer el muro de Berlín pudo escapársele al sistema burocrático científico más paranoide de la Historia algo tan importante como la posibilidad del cifrado asimétrico seguro? ¿Cómo pudieron colárseles unos cuantos hippies y desmontar el poder de las hasta entonces todopoderosas agencias? ¿Cómo se le escapó a IBM?. Lo que había pasado, era sólo un anuncio del mundo por venir. La respuesta es sencilla: la lógica del sistema de incentivos. Como diría cualquier economista, simplemente los incentivos que el viejo sistema cerrado podía producir no se alineaban con los nuevos objetivos a conseguir. Era cuestión de tiempo que apareciera un Diffie.

Durante la Segunda Guerra Mundial la criptografía había avanzado como nunca. Pero entonces, merced a la concentración masiva de recursos y la movilización de todo matemático relacionado con el tema en el esfuerzo de guerra, la comunidad del secreto y la comunidad investigadora eran la misma cosa. Los incentivos de una y otra se fundían y alineaban. No quedaba nada fuera. Tras la guerra en cambio, el suicidio inducido de Turing (castrado por homosexual) marca el fin de la comunidad única. Los chicos de Benchley Park o los de la NSA podrán fichar a todos los chicos brillantes que un presupuesto militar sin límites pueda pagar. Pero ya no es cuestión de dinero. El conocimiento necesita libertad, debate público, contraste, anticonvencionalismo para dar saltos cualitativos. Desde 1948 el sistema del secreto sólo dará barroquismo teórico.

Cuando alguien como Ellis propone un salto cualitativo queda enfangado en las rutinas burocráticas y se ahoga. La crisis del sistema del secreto de la guerra fría y el nacimiento de la comunidad criptográfica de la privacidad que darán paso a la primera gran batalla de la Sociedad de la Información, es la primera falla que se abre entre el viejo y el nuevo mundo, simplemente porque la forma de organización del conocimiento heredada del modelo industrial ya no servía para abastecer al mundo de las nuevas tecnologías que necesitaba. Como ironiza Pekka Himanen, ¿Cómo podría Einstein haber llegado a la fórmula E=mc 2 si su actividad se hubiera dado en el caos de grupos de investigadores autoorganizados? ¿Acaso no opera la ciencia con una jerarquía tajante, liderada por un empresario en Ciencia, con directores de división para cada disciplina? Esto es lo realmente importante. La guerra legal y política era una consecuencia tan inevitable como el triunfo antes o después del sistema hacker de organización del trabajo creativo sobre el secretismo y la cerrazón de la fábrica de conocimiento monopolista. La épica de la batalla, los personajes de ésta primer gran combate han sido minuciosamente descritos por Steven Levy en Cripto. En su párrafo final relata un único encuentro telefónico de Ellis y Diffie en 1997:

Ustedes hicieron con ella más de lo que hicimos nosotros” dijo el padre de la criptografía no secreta, al padre de la criptografía de clave pública. Y siguió guardando su secreto.. Mientras las aportaciones del hacker se extendían por el mundo como una enredadera imprevisible, el viejo guardián del secreto seguía viéndolo como un desarrollo lineal de alternativas definidas. Como un árbol que echa sus raíces.

HAL ha muerto, viva el PC

En el viejo mundo los informáticos llevaban bata blanca. Eran la más pura representación de la tecnocracia. Encarnación del mito popular del científico nacido de la gran guerra y cultivado por el pulp de los cincuenta.

Sus arquitecturas podían entenderse como una gran metáfora del estado socialista ideal. Un centro todopoderoso y benevolente atendido por sacerdotes/científicos en salas acondicionadas. Para los mortales, terminales tontos en fósforo verde. No se exige etiqueta ni bata. Todos iguales, todos acceden, de manera limitada y acotada por la autoridad central, a la info que se procesa en el Sancta Sanctorum. Todos son iguales… menos los que no lo son.

Creo que queríais desconectarme, pero me temo que no puedo permitir que eso suceda”. Dice HAL, la supercomputadora inteligente de 2001: Una odisea en el espacio. Cuando se lleva al cine la novela de Kubrick, es 1968. El Dr Chandra, entrenador de HAL, resulta un personaje muy creíble.

Antes de un año los Estados Unidos enviarán los primeros humanos a la Luna. Las macroinversiones necesarias para este subproducto de la carrera de armamentos permitirán a los ordenadores ser más rápidos, más potentes, almacenar sistemas de memoria e interconectarse. En la borrachera del avance rápido muchos compartirán la fantasía de la inteligencia artificial. De HAL, símil y proyecto de todo un mundo de felices e incuestionables burócratas del conocimiento que trabajaban en sitios como Bell Labs o IBM. Arthur C. Clark se permite la broma ASCII: H+1=I; A+1= B; L+1= M; HAL = IBM+3 en tres décadas más de carrera espacial IBM lanzaría computadores inteligentes. Pensaban en la IA como un mero desarrollo lineal, como un árbol más fuerte cuanto más crece… hasta que las máquinas llegaran a pensar o cuando menos pasar el test de Turing, hacerse indistinguibles de un humano en una conversación a ciegas.

1975, Los Altos, California: Una imagen tópica. Dos hackers comparten taller en el garage. Fabrican y venden Blue Boxes: circuitos que conectados al teléfono engañan a las centralitas de la Bell y permiten hablar sin pagar. Eran Steve Jobs y Steve Wozniac. Wozniac presenta el proyecto de construir un ordenador para uso personal en el Homebrew center, un club de hackers de la electrónica. Jobs tiene una idea: venderá su camioneta si Woz vende su calculadora (entonces aún son caras) y juntos montan un taller de ensamblado en su garaje. Pero Jobs trabaja en HP. Su contrato le obliga a ofrecer a la empresa cualquier desarrollo antes de hacerlo por cuenta propia. Solicitan una reunión y plantean la idea. La respuesta es la esperada: los ordenadores sirven para gestionar grandes procesos sociales, requieren potencia, más que la que una pequeña máquina podría ofrecer sin servir además nada que la gente quiera tener en casa, un ordenador personal sería como un bonsai con dificultades para arraigar ¿quién podría querer algo así?.

Y efectivamente, el Apple I no era un derroche de potencia: 4Kb ampliable a cuatro más y con almacenamiento en cinta de caset opcional… Pero fue el primer paso para desconectar a HAL. En abril del 77 se presenta Apple II y en el 79 Apple III que ya tiene 48Kb.

Ya nadie tiene que explicar qué es o para qué sirve un ordenador personal. En las universidades la naciente comunidad hacker sigue el ejemplo y monta ordenadores por componentes. Un modelo que seguirá IBM el año siguiente cuando diseñe su IBM PC. Un intento por liderar los nuevos tiempos.

La idea no era mala. Suponía vender, ensamblar y diseñar en arquitectura abierta un ordenador de componentes baratos fabricados por otros. Utilizar todo el poder de marca de IBM bastaría, suponían, para merendarse el naciente mercado doméstico y mantener en segmentos específicos a los posibles licenciadores y fabricantes de clónicos…

Pero no fue así, las cosas habían cambiado. IBM pensaba en sus máquinas como sustitutos relativamente autónomos de los tradicionales terminales tontos. Pensaba en el PC como en una pieza dentro de la vieja arquitectura centralizada, ramas más gruesas para sus árboles. Al tener un modelo universal de arquitectura abierta los hackers de la electrónica pudieron empezar a construir sus propias máquinas compatibles por componentes… e incluso venderlas luego mucho más baratas que los originales del gigante azul. El sueño del hacker, vivir de ello, se hacía realidad. Los hackers de la electrónica de los setenta acabaron montando PCs por su cuenta en tallercitos, tiendas y garages… Sin valedores tekis, Apple desaparecería hasta del underground, pero el PC se separaría progresivamente de IBM. Pero cuando en casa tienes más de un ordenador, aunque sea porque lo montes para otros, es inevitable la tentación de comunicarlos y ponerlos en red. Cuando tus amigos tienen modem y puedes dedicar un ordenador sólo a compartir con ellos, es inevitable – sobre todo donde las llamadas locales son gratuitas – dejarlo conectado todo el día para que entren cuando quieran. Cuanto más potentes se hacían los PCs más potentes se hacían también las arquitecturas de red de los hackers. Como una enredadera que brota sobre un árbol, el uso de un nuevo tipo de herramientas irá creciendo y diferenciandose poco a poco a lo largo de los 80. Están naciendo las estructuras que darán forma al nuevo mundo. Son los tiempos de las redes LAN caseras, de las primeras BBS, del nacimiento de Usenet. La Internet libre y masiva se acerca. Eran inventos diferentes, hechos por gente diferente, con motivaciones diferentes. Era lo que pedían los tiempos… aunque ellos, los hacker de entonces, ni siquiera lo sabían todavía, expresaban no sólo su forma de organizarse y representar la realidad, sino la arquitectura completa de un nuevo mundo que debía representarse y organizarse reticularmente para poder funcionar y dar cabida a un nuevo tipo de incentivos. Pronto, una enredadera cada vez más densa de pequeños ordenadores bonsai cubriría a HAL hasta desconectarlo para siempre…

 

Anuncios

PGP de Nuevo

fsf

El 29 de mayo publiqué un artículo de la EFF sobre ciertas vulnerabilidades de PGP, la FSF ha respondido a este artículo y resulta conveniente su publicación. El problema parece que no es un defecto en GPG y no hay necesidad de dejarse arrastrar por el pánico o dejar de utilizar GPG, incluido el firmado de correos electrónicos, ni cifrar y descifrar archivos fuera de tu cliente de correo. Aquí están los hechos..

duduCómo defender tus correos electrónicos cifrados contra miradas indiscretas

por Georgia Young – Publicado el Jun 07, 2018 03:03 PM

En mayo, un borrador técnico publicado en efail.de recomendó que la gente dejara de usar los plugins GPG para encriptar su correo electrónico. Al mismo tiempo, la Electronic Frontier Foundation (EFF) dio la alarma sobre supuestas nuevas vulnerabilidades en GPG (GNU Privacy Guard), haciéndose eco de las recomendaciones del documento. Otros redujeron aún más esta recomendación a una simple abreviatura: deje de encriptar su correo electrónico, porque no es seguro. (la EFF ha modificado sus recomendaciones desde entonces, dependiendo del cliente de correo y del plugin GPG que se use, y con advertencias que coinciden con algunas de las sugerencias que haremos aquí).

Mucha de esta información no es nueva. El problema no es una falla en GPG, y no hay necesidad de asustarse o descontinuar el uso de GPG, incluyendo la firma de correos electrónicos o el cifrado y descifrado de archivos fuera de tu cliente de correo electrónico. He aquí los hechos:

El documento EFAIL describe varios métodos de ataque: “EFAIL abusa del contenido activo de los emails HTML, por ejemplo, imágenes o estilos cargados externamente, para extraer texto plano a través de URLs solicitadas.” El atacante accede a los correos electrónicos cifrados, “escuchando oculto el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de copia de seguridad u ordenadores cliente. Los correos electrónicos podrían haber sido recogidos hace años“. El atacante cambia el correo electrónico cifrado, lo envía al destinatario, y si el cliente de correo del destinatario descifra ese mensaje y carga automáticamente cualquier contenido externo, o los usuarios hacen clic en los enlaces HTML, el texto sin formato del correo electrónico es visible para el atacante.

Werner Koch, autor principal de GPG, describe la situación aquí. Diciendo que las advertencias para que se deje de usar GPG “son exageradas”, Koch señala que el verdadero problema es que HTML se puede explotar en los correos electrónicos. Esto no es un bug de GPG.

¡Trabajemos juntos para que el correo electrónico sea más seguro!

Esta información ha estado disponible durante mucho tiempo, pero vale la pena repetirlo: si tu cliente de correo renderiza HTML o carga automáticamente imágenes y otros medios remotos, eres más vulnerable. Los exploits EFAIL no sólo aprovechan el HTML en el correo electrónico, sino que el HTML en tu cliente de correo puede permitir que otros te sigan la pista. La explotación de este defecto puede ser tan simple como ver si has leído un correo electrónico en particular, o tan perjudicial como estafarte, tal vez fingiendo ser su banco u otro comerciante con el que haces negocios, lo que le lleva a proporcionar información personal o pago a un atacante.

Estás mejor protegido si tu cliente de correo no renderiza imágenes HTML o de carga automática y otros medios remotos. Además, no hagas clic en los enlaces de los mensajes de correo electrónico HTML directamente, cópialos y pégalos para que puedas ver cuáles son primero, y si son enlaces ofuscados o acortados, no los visites a menos que tengas mucha confianza en la fuente. Es importante animar a tus compañeros a seguir estas prácticas también, porque los ataques EFAIL pueden afectarle a pesar de las precauciones que hayas tomado, si alguien que está registrado en el correo electrónico no ha tomado las precauciones adecuadas.

Además, asegúrate de que tu cliente de correo, o cualquier plugin de cifrado que utilices, es resistente a esta vulnerabilidad. Por ejemplo, Enigmail, un plugin GPG que funciona con Thunderbird, se actualizó poco después de que se hiciera público el informe EFAIL, y se puede encontrar una explicación de los cambios realizados aquí — ten en cuenta que Enigmail recomienda desactivar también HTML renderizado. Busca información sobre cómo tu cliente de correo o plugin de encriptación está tratando esta situación, y envínos un correo electrónico a campaigns@fsf.org para compartir lo que encuentre. Podemos enlazar esa información aquí.

Por ahora, en lugar de renunciar a la encriptación, tómatee el tiempo de consultar con las personas con las que deseas intercambiar correos electrónicos. Empieza enviando un claro mensaje de texto diciendo:

  • Me gustaría enviarte un mensaje usando GPG, pero primero quiero asegurarme de que has actualizado tu versión de Enigmail, debido al potencial de explotación de clientes de encriptación defectuosos que aquí se describe: https://www.efail.de/. ¿Puedes confirmarlo? Además, deshabilitar HTML y la carga remota de medios, en tu correo electrónico ayuda a evitar la explotación del correo electrónico: https://www.fsf.org/blogs/community/how-to-defend-your-encrypted-emails-against-prying-eyes. Si todo el mundo toma estas medidas para que su propio correo electrónico sea más seguro, todos nos beneficiaremos de unas comunicaciones más seguras. Gracias por ayudarnos a asegurarnos de que nuestros correos electrónicos se mantengan privados.

Este tipo de ataque sólo funciona cuando el atacante se te dirige de forma individual o si está escribiendo a alguien que es el objetivo y está utilizando un cliente de correo no parcheado. Si tienes razones para creer que, como individuo, podrías ser un objetivo, es posible que necesites tomar medidas adicionales a las que se describen aquí. Pero para la mayoría de la gente, todavía tiene sentido utilizar el cifrado GPG para reducir drásticamente la probabilidad de que cualquier atacante pueda leer su correo electrónico, y para ayudar a aumentar la cantidad total de tráfico de correo electrónico cifrado en Internet – una táctica que ayuda a proteger a los denunciantes, periodistas, y otros cuyo tráfico de correo electrónico es probable que sea objeto de explotación.

¿Quieres empezar a encriptar tu correo electrónico, pero no sabes por dónde empezar, o ayudar a tus amigos a empezar por primera vez? Hemos creado Email Self Defense para ayudarte a comienzar con el cifrado GPG. La guía se mantiene actualizada con las respuestas a las demandas como las planteadas en el informe EFAIL, para garantizar que sepas exactamente cuál es la mejor manera de mantener seguras tus comunicaciones por correo electrónico.

 

¡4 días para salvar nuestra libertad en la red!

Nos dice Julia Reda, eurodiputada por el Partido Pirata:

ue1

Situación actual: ANTES DEL PLENO

ue2

 

Resumen de 3 minutos

  • Günther Oettinger presentó una propuesta de reforma de los derechos de autor de la UE poco antes de dejar su puesto de Comisario Digital.
  • Las propuestas pretenden limitar nuestra capacidad de participar activamente en línea para beneficiar a los modelos de negocio de los conglomerados de medios de comunicación: “Las máquinas de censura” para las plataformas de Internet, un “impuesto de enlace” para el contenido de las noticias y una excepción muy limitada para la minería de texto y datos limitarían la forma en que podemos compartir enlaces, cargar medios y trabajar con datos.
  • Los gobiernos de los Estados miembros de la UE aprobaron los planes (con ligeros cambios) en el Consejo. Sólo el Parlamento puede detenerlos ahora.
  • La Comisión de Asuntos Jurídicos aprobó por unanimidad los planes (con ligeras modificaciones).
  • Luego, todo el Parlamento votará el 5 de julio de 2018 si aprueba o no el resultado del comité. Si no lo hace, el debate se reabre, y hay una oportunidad más de hacer cambios a las propuestas en la próxima reunión plenaria en septiembre.
  • Tras unas negociaciones de compromiso a puerta cerrada entre las instituciones, el Parlamento tendrá que aprobar el resultado por última vez.

Lo que se está debatiendo

 copyright-icon-extracopyright  Artículo 11: Derechos de autor adicionales para los sitios de noticias¿Todo uso de contenido periodístico en línea, incluso cuando sólo se describe un enlace, requerirá una licencia del editor? Leer más
 copyright-icon-uploadmonitoring  Artículo 13: Máquinas de censura¿Las plataformas de Internet en las que los usuarios pueden subir contenido se verán obligadas a supervisar el comportamiento de los usuarios para identificar y evitar la infracción de los derechos de autor? Leer más
 copyright-icon-tdm  Artículo 3: Excepción de Texto y Data Mining de alcance limitado¿Se limitará a las instituciones de investigación un nuevo permiso a escala de la UE para realizar investigaciones utilizando la extracción de textos y datos? Leer más
 copyright-icon-creativity  Posibles adiciones: Contenido generado por el usuario / Excepción de Remezclado, Libertad de Panorama,…¿Se legalizará la cultura creativa actual de Internet? Leer más

Lo que puedes hacer

Actuar:

 actua  Pantallazo-2018-06-20 15-15-55
 Llama a un europarlamentario Llama/escribe/tuieta a un parlamentario

guiki

 reda

Estos son los eurodiputados españoles que votaron a favor de la horrible directiva europea de copyright:

PP, PSOE, UPyD (1/4), el nuevo psoe se parece mucho al viejo psoe.

 La eurodiputada Julia Reda nos informa de los resultados y nos recuerda que en septiembre hay que volver a la lucha. Pues esto solo ha sido un aplazamiento.

En contra: UPyD (2/4), Cs, Podemos, IU, PNV, CiU, ERC, Equo,

Abstenciones: UPyD (1/4)

No se mojaron: BNG

almaina

 

Hay que volver a hablar sobre el repulsivo libro de cara

Facebook confirma que hace un seguimiento de la forma en que mueves el ratón en la pantalla del ordenador.

ella
Shweta Ganjoo
New Delhi

La seguridad de los datos es un mito de la era moderna. En los últimos tiempos, los gigantes de la tecnología, en particular Facebook, han sido acusados de aprovecharse de manera agresiva y ampliamente de los datos de los usuarios. Y ahora Facebook acaba de admitir lo eficiente que es en la tarea.

El gigante de los medios sociales, en un documento de 225 páginas que responde a un conjunto de 2.000 preguntas del Comité Judicial del Senado de Estados Unidos, ha admitido que recopila información sobre ordenadores, teléfonos y dispositivos conectados, incluido el ratón, que los usuarios utilizan con sus diversos servicios y que combina esta información para “ofrecer a los usuarios un contenido personalizado“.

Facebook dijo que rastrea los movimientos del ratón para ayudar a su algoritmo a distinguir entre humanos y bots. El seguimiento de los movimientos del ratón también ayuda al gigante de los medios sociales, que ha sido objeto de críticas por sus prácticas de privacidad de datos, a determinar también si la ventana está en primer plano o en segundo plano.

Recopilamos información de y sobre los ordenadores, teléfonos, televisores y otros dispositivos conectados a Internet que utilizan los usuarios y que se integran con nuestros productos, y combinamos esta información a través de los diferentes dispositivos que utilizan los usuarios“, escribió Facebook en el documento añadiendo que la información recopilada se utiliza para “personalizar mejor el contenido (incluidos los anuncios), para medir si tomaron medidas en respuesta a un anuncio que les mostramos en su teléfono“.

La plataforma de redes sociales también admitió que recopila información sobre los sistemas operativos, el hardware, las versiones de software, los niveles de batería, la intensidad de la señal, el espacio de almacenamiento disponible, las señales Bluetooth, los nombres y tipos de archivos, las identificaciones de los dispositivos, los complementos del navegador y del navegador mismo (que es casi toda la información disponible en el dispositivo y sobre el mismo), desde los teléfonos de los usuarios, el televisor y otros dispositivos conectados.

La compañía también admitió haber recopilado información sobre lo que los usuarios ponen, las personas que los usuarios han eliminado de su lista de amigos y todos los anuncios en los que el usuario ha hecho clic.

eseEs interesante notar que el fundador de Facebook, Mark Zuckerberg, durante una audiencia en el Congreso al margen del escándalo de Cambridge Analytica, dijo que la aplicación no usa los micrófonos para espiar a sus usuarios. Sin embargo, una patente de la empresa afirma que la aplicación de Facebook utiliza un algoritmo de reconocimiento de voz, que utiliza audio grabado por los micrófonos, para modificar la clasificación de las puntuaciones de las historias en las noticias de los usuarios.

Aunque el documento publicado por Facebook podría estar de acuerdo con el testimonio de Zuckerberg en abril, arroja luz sobre el grado de escrutinio de datos al que están sometidos los usuarios de Facebook e incluso las personas de su lista de amigos. También muestra los métodos que utiliza la empresa para realizar un seguimiento de sus usuarios y de su actividad. Aunque el cofundador de Facebook podría no haber admitido haber grabado fragmentos de audio, a la luz de la información reciente que ha divulgado, especialmente la parte relativa al seguimiento de los movimientos del ratón, la empresa parece estar a un paso de admitir lo mismo.

Si aún no te has borrado de Facebook, ¿qué esperas?

Propuesta de la UE sobre derechos de autor

La propuesta de la UE sobre derechos de autor es una noticia extremadamente mala para todos, incluso (¡especialmente!) Wikipedia.

sffrobot

By Cory Doctorow

7 de junio de 2018

Se va a someter a votación en comisión la actualización pendiente de la Directiva sobre derechos de autor de la UE el 20 o 21 de junio y en el Parlamento a principios de julio o finales de septiembre. Si bien la directiva soluciona algunos problemas, crea otros mucho más grandes: problemas tan grandes que amenazan con hacer naufragar la propia Internet.

De conformidad con el artículo 13 de la propuesta, los sitios que permitan a los usuarios publicar textos, sonidos, códigos, imágenes fijas o en movimiento u otras obras protegidas por derechos de autor para consumo público tendrán que filtrar todas las presentaciones de sus usuarios en una base de datos de obras protegidas por derechos de autor. Los sitios tendrán que pagar por la licencia de la tecnología para hacer coincidir las presentaciones con la base de datos, y para identificar las coincidencias cercanas, así como las exactas. Se requerirá que los sitios tengan un proceso que permita a los titulares de derechos actualizar esta lista con más trabajos con derechos de autor.

Incluso en las mejores circunstancias, esto presenta enormes problemas. Los algoritmos que hacen coincidir el contenido son francamente terribles. La versión hecha en EE.UU. de esto es el sistema de identificación de contenido de YouTube, que marca incorrectamente las obras legítimas todo el tiempo, pero aún así recibe críticas de las compañías de entretenimiento por no hacer más.

Hay muchas razones legítimas para que los usuarios de Internet suban obras protegidas por derechos de autor. Puede subir un clip de un club nocturno (o una protesta, o una presentación técnica) que incluya música con derechos de autor de fondo. O puedes estar usando una camiseta con la portada de tu álbum favorito en tu perfil de Tinder. Puede subir la portada de un libro que está vendiendo en un sitio de subastas en línea o puede publicar una foto de su sala de estar en el anuncio de alquiler de su piso, incluyendo los carteles en la pared y la foto en el televisor.

Los wikipedistas tienen razones aún más especializadas para subir material: fotos de celebridades, fotos tomadas en eventos de interés periodístico, etc.

Pero los robots que el Artículo 13 ordena no serán perfectos. De hecho, por diseño, serán salvajemente imperfectos.

El artículo 13 castiga a cualquier sitio que no bloquee la violación de los derechos de autor, pero no castiga a las personas que abusan del sistema. No hay penalidades por reclamar falsamente los derechos de autor sobre el trabajo de otra persona, lo que significa que alguien podría subir toda la Wikipedia a un sistema de filtrado (por ejemplo, uno de los muchos sitios que incorporan el contenido de Wikipedia en sus propias bases de datos) y luego reclamar la propiedad sobre el mismo en Twitter, Facebook y WordPress, y todo el mundo se vería impedido de citar Wikipedia en cualquiera de esos servicios hasta que resolviera las reclamaciones falsas. Será mucho más fácil hacer estas afirmaciones falsas que será para averiguar cuáles de los cientos de millones de afirmaciones con derechos de autor son reales y cuáles son bromas o engaños o intentos de censura.

El artículo 13 también te deja fuera cuando tu propio trabajo es censurado gracias a un mal funcionamiento del bot de copyright. Su única opción cuando sea censurado es presentar una objeción a la plataforma y esperar que ellos lo vean a su manera; pero si no le dan una consideración real a su petición, usted tiene que ir a la corte para defender su caso.

El Artículo 13 hace que Wikipedia vaya y venga: no sólo crea oportunidades para que personas sin escrúpulos o incompetentes bloqueen el compartir el contenido de Wikipedia más allá de sus límites, sino que también podría requerir que Wikipedia filtre los envíos a la enciclopedia y sus proyectos circundantes, como Wikimedia Commons. Los redactores del Artículo 13 han tratado de sacar a Wikipedia de la regla, pero gracias a una redacción descuidada, han fracasado: la exención se limita a la “actividad no comercial“. Todos los archivos de Wikipedia tienen licencia para uso comercial.

Luego están los sitios web en los que Wikipedia se basa como referencia. La fragilidad e impermanencia de los enlaces es ya un grave problema para las cruciales notas a pie de página de Wikipedia, pero después de que el artículo 13 se convierta en ley, cualquier información alojada en la UE podría desaparecer -y los enlaces a espejos de EE.UU. podrían convertirse en una infracción- en cualquier momento gracias a un bot de copyright demasiado entusiasta. Por estas razones y muchas más, la Fundación Wikimedia ha tomado una posición pública condenando el Artículo 13.

Hablando de referencias: los problemas con la nueva propuesta de derechos de autor no se detienen ahí. Con arreglo al artículo 11, cada Estado miembro podrá crear un nuevo derecho de autor sobre las noticias. Si se aprueba, para enlazar a un sitio web de noticias, tendrá que hacerlo de una manera que satisfaga las limitaciones y excepciones de las 28 leyes, o tendrá que obtener una licencia. Esto es fundamentalmente incompatible con cualquier tipo de wiki (obviamente), mucho menos con Wikipedia.

También significa que los sitios web en los que Wikipedia confía para sus enlaces de referencia pueden enfrentarse a obstáculos de licencia que limitarían su capacidad de citar sus propias fuentes. En particular, los sitios de noticias pueden tratar de retener las licencias de vinculación de los críticos que quieren citarlas para analizar, corregir y criticar sus artículos, lo que hace mucho más difícil para cualquier otra persona averiguar dónde están las posiciones en los debates, especialmente años después del hecho. Esto puede no importarle a la gente que sólo presta atención a las noticias del momento, pero es un golpe a los proyectos que buscan presentar y preservar registros a largo plazo de controversias dignas de mención. Y como cada estado miembro tendrá que hacer sus propias reglas para citar y enlazar, los posts de Wikipedia tendrán que satisfacer un mosaico de reglas contradictorias, algunas de las cuales ya son tan severas que prohibirían cualquier ítem en una lista de “Lecturas Adicionales” a menos que el artículo las mencione o critique directamente.

Las medidas controvertidas de la nueva directiva ya se han intentado antes. Por ejemplo, los impuestos sobre los enlaces fueron probados en España y Alemania y fracasaron, y los editores no los quieren. De hecho, el único país que ha adoptado esta idea como viable es China, donde los robots de aplicación obligatoria de los derechos de autor se han convertido en parte del conjunto de herramientas nacionales para controlar el discurso público.

Los artículos 13 y 11 están mal pensados, mal redactados, son impracticables y peligrosos. El daño colateral que impondrán en todos los ámbitos de la vida pública no puede ser exagerado. Después de todo, Internet está indisolublemente ligada a la vida cotidiana de cientos de millones de europeos y el artículo 13 afectará negativamente a toda una constelación de sitios y servicios. Europa no puede permitirse el lujo de poner la educación, el empleo, la vida familiar, la creatividad, el entretenimiento, los negocios, la protesta, la política y mil otras actividades a merced de filtros algorítmicos inexplicables. Si eres un europeo preocupado por estas propuestas, aquí tienes una herramienta para contactar con tu eurodiputado y/o también firmar aquí:

salvar

efe

 rif  kaos
 bell-razan-e1528569277272  BELLTOONTHURSDAY070618adj

Vulnerabilidades en PGP

captura-de-pantalla-110117-201846

Investigadores han desarrollado un código que explota varias vulnerabilidades en PGP (incluyendo GPG) para el correo electrónico, y han teorizado muchas más sobre los otros que podrían hacerse. Para los usuarios que tienen pocas o ninguna alternativa en el cifrado de extremo a extremo, las noticias de estas vulnerabilidades pueden dejar muchas preguntas sin respuesta.

Los expertos en seguridad digital, denunciantes, periodistas, activistas, criptógrafos, industria y organizaciones sin fines de lucro han confiado en PGP durante 27 años como una forma de proteger las comunicaciones por correo electrónico de los espias y garantizar la autenticidad de los mensajes. Si eres como nosotros, es probable que hayas recomendado PGP como una solución de correo electrónico encriptado de extremo a extremo en talleres, charlas, guías, cryptoparties, y encuentros sobre claves. Puede ser difícil imaginar un flujo de trabajo sin PGP una vez que uno le ha dedicado tiempo para aprenderlo e incorporarlo en sus comunicaciones.

Hemos intentado, a continuación responder algunas preguntas importantes sobre el estado actual de la seguridad del correo electrónico PGP.

correo

¿A quién afecta y por qué debería importarme?

Dado que PGP se utiliza como herramienta de comunicación, el envío de mensajes a otras personas con clientes no parcheados también pone en riesgo sus mensajes. El envío de mensajes PGP a otras personas también aumenta el riesgo de que se dirijan a un cliente vulnerable para descifrar estos mensajes. Hasta que se reparen suficientes clientes de forma fiable, el envío de mensajes cifrados con PGP puede crear incentivos adversos en el ecosistema para que otros los descifren. Equilibrar los riesgos de continuar usando PGP puede ser difícil, y dependerá en gran medida de su propia situación y la de sus contactos.

¿Es suficiente con deshabilitar HTML?

Desactivar el envío de correo electrónico en HTML no evitará este ataque. Para algunos ataques publicados, desactivar la visualización de correo electrónico HTML puede proteger los mensajes que se filtran en un atacante. Sin embargo, dado que el correo electrónico PGP está cifrado tanto para el remitente como para cada destinatario, no se protegerá estos mensajes si son filtrados por cualquier otra persona con la que te hayas comunicado. Además, es posible que la desactivación del correo electrónico HTML no proteja estos mensajes frente a futuros ataques que se descubran y que se basen en las vulnerabilidades actuales.

Desactivar la lectura de correo electrónico HTML mientras se siguen enviando mensajes cifrados PGP anima a otros a leerlos con sus propios clientes potencialmente vulnerables. Esto promueve un ecosistema que pone en riesgo el contenido de estos mensajes (así como cualquier mensaje pasado que sea desencriptado por ellos).

Utilizo software verificado con una firma PGP. ¿Se puede confiar en él?

Si! Verificar el software firmado con PGP no es vulnerable a esta clase de ataque. Los sistemas de gestión de paquetes que hacen cumplir la verificación de firmas (como algunas distribuciones de Linux) tampoco se ven afectados.

¿Cuáles son las vulnerabilidades?

Hay dos ataques preocupantes demostrados por los investigadores:

1. “Ataque de “exfiltración directa”:

Esto aprovecha los detalles de cómo los clientes de correo eligen mostrar HTML al usuario. El atacante crea un mensaje que incluye el antiguo mensaje encriptado. El nuevo mensaje se construye de tal manera que el software de correo muestra todo el mensaje descifrado -incluido el texto cifrado capturado- como texto no cifrado. A continuación, el analizador HTML del cliente de correo electrónico envía o “extrae” inmediatamente el mensaje descifrado a un servidor que controla el atacante.

2. Ataque de modificación de texto cifrado:

El segundo ataque abusa de la subespecificación de ciertos detalles en el estándar OpenPGP para no filtrar el contenido del correo electrónico al atacante, modificando un correo electrónico encriptado previamente obtenido. Esta segunda vulnerabilidad aprovecha la combinación de la falta de verificación de integridad obligatoria de OpenPGP combinada con los analizadores HTML integrados en el software de correo. Sin verificación de integridad en el cliente, el atacante puede modificar los textos cifrados capturados de tal manera que tan pronto como el software de correo muestra el mensaje modificado de forma descifrada, el analizador HTML del cliente de correo electrónico envía o “extrae” inmediatamente el mensaje descifrado a un servidor que controla el atacante. Para una seguridad adecuada, el software nunca debería mostrar la forma de texto plano de un texto cifrado si la comprobación de integridad no se realiza. Dado que el estándar OpenPGP no especificaba qué hacer si la comprobación de integridad no se comprueba, algún software muestra el mensaje de todos modos de forma incorrecta, habilitando este ataque. Además, este estilo de ataque, si se combina con un canal de exfiltración apropiado para el contexto, no puede limitarse al contexto del correo electrónico con formato HTML.

Hay más detalles sobre los detalles específicos de las vulnerabilidades y sobre las mitigaciones.

¿Qué dice el artículo sobre mi cliente de correo electrónico?

Algunos clientes de correo electrónico se ven más afectados que otros, y los equipos que están detrás de esos clientes están trabajando activamente para mitigar los riesgos presentados. El documento describe tanto la salida directa (tabla 4, página 11) como los canales posteriores (tabla 5, página 20) para los principales clientes de correo electrónico. Incluso si tu cliente ha parcheado las vulnerabilidades actuales, es posible que se produzcan nuevos ataques.

Pero uso[insertar software de correo electrónico aquí] y no está en la lista afectada. ¿Debería importarme?

Aunque es posible que no te afecte directamente, los otros participantes en tus conversaciones encriptadas sí. Para este ataque, no es importante si el remitente o cualquier receptor del mensaje secreto original es el objetivo. Esto se debe a que un mensaje PGP está encriptado en cada una de sus claves.

El envío de mensajes PGP a otras personas también aumenta el riesgo de que sus destinatarios se dirijan a un cliente vulnerable para descifrar estos mensajes. Hasta que se reparen suficientes clientes de forma fiable, el envío de mensajes cifrados con PGP puede crear incentivos adversos en el ecosistema para que otros los descifren.

¿Significa esto que PGP está roto?

Las debilidades en el estándar OpenPGP subyacente (específicamente, la falta de verificación de integridad obligatoria de OpenPGP) permiten uno de los ataques dados en el documento. A pesar de sus debilidades preexistentes, OpenPGP todavía se puede utilizar de forma fiable con unas limitaciones. Cuando se utiliza PGP para cifrar o descifrar archivos en reposo, o para verificar el software con un estricto control de firmas, PGP sigue comportándose de acuerdo con las expectativas.

OpenPGP también utiliza criptográficas subyacentes primitivas como SHA-1 que ya no se consideran seguras y que carecen de las ventajas del cifrado autenticado (AE), y las firmas se pueden eliminar de los mensajes. Con el tiempo, habrá que desarrollar nuevas normas que aborden estos problemas más fundamentales en la especificación. Desafortunadamente, la introducción de correcciones para introducir cifrado autenticado sin rotar las claves para hacer cumplir estrictamente las restricciones de uso hará que OpenPGP sea susceptible a ataques de compatibilidad con versiones anteriores. Esto tendrá que abordarse en cualquier norma futura.

En resumen, se puede confiar en OpenPGP hasta cierto punto. Para la seguridad a largo plazo de las comunicaciones confidenciales, sugerimos que se migre a otra plataforma encriptada de extremo a extremo.

¿Qué debo hacer con el software PGP en mi ordenador?

En general, mantener PGP (o GPG) en su sistema debe estar a salvo de los exploits conocidos, siempre y cuando esté desconectado del correo electrónico como se describió anteriormente. Algunos sistemas Linux dependen de GPG para la verificación del software, y PGP sigue siendo útil para la verificación manual del software. Desinstalar su software PGP puede hacer que sus claves sean inaccesibles e impedirle descifrar mensajes pasados en algunos casos también.

¿Pueden mis correos electrónicos anteriores ser leídos por un atacante?

Si  se envía el contenido encriptado PGP de correos electrónicos anteriores en correos electrónicos nuevos y abres ese correo electrónico en un cliente de correo electrónico no parcheado con el software PGP habilitado, entonces sí. Para ver el archivo de correos electrónicos cifrados, recomendamos utilizar la línea de comandos.

¿Qué pasa si sigo recibiendo correos electrónicos PGP?

Puedes descifrar estos correos electrónicos a través de la línea de comandos . Si prefieres no hacerlo, notifica a tus contactos que PGP, por el momento, ya no es seguro para usarse en clientes de correo electrónico y decidir si se puede continuar la conversación a través de otra plataforma encriptada de extremo a extremo, como Signal.

 

En el futuro, ¿qué debo tener en cuenta?

Seguiremos de cerca esta cuestión en las próximas semanas. Los autores de clientes de correo electrónico y plugins PGP están trabajando activamente para parchear esta vulnerabilidad, por lo que es de esperar que se produzcan actualizaciones próximamente. Para las últimas actualizaciones, puede seguir https://sec.eff.org/blog o https://www.eff.org/issues/security.

¿Existe un reemplazo para el envío de mensajes encriptados de extremo a extremo?

En correo electrónico no hay ninguna sustitución segura comprobada para PGP.

Sin embargo, existen otras herramientas de mensajería segura de extremo a extremo que proporcionan niveles de seguridad similares: por ejemplo, Signal.. Si necesitas comunicarte con seguridad durante este período de incertidumbre, te recomendamos que consideres estas alternativas.

No tengo otras opciones de mensajería encriptada de extremo a extremo disponibles. PGP es mi única opción. ¿Puedo seguir usándolo?

Desafortunadamente, no podemos recomendar el uso de PGP en clientes de correo electrónico hasta que no hayan sido parcheados, tanto en tu dispositivo como en el del destinatario. El plazo para estos parches varía de un cliente a otro. Recomendamos desconectar PGP de tu cliente de correo electrónico hasta que se hayan liberado los parches adecuados. Permanece atento a https://sec.eff.org/blog o https://www.eff.org/issues/security para más información.

No quiero usar la línea de comandos. Seguramente hay una alternativa utilizable. ¿No puedes recomendarme otra cosa?

Es muy difícil evaluar nuevas configuraciones de software en tan poco tiempo. Algunos clientes de correo electrónico son más vulnerables a este ataque que otros. Sin embargo, el uso de estos clientes de correo electrónico puede tener el efecto de poner en riesgo a otros. Sugerimos descifrar los correos electrónicos archivados con la línea de comandos y pasar a otra plataforma de extremo a extremo para las conversaciones, al menos hasta que estemos seguros de que el ecosistema de correo electrónico PGP ha vuelto a su anterior nivel de seguridad.

Sólo uso PGP en la línea de comandos. ¿Me afecta?

Sí y no. Como entendemos actualmente, si estás utilizando PGP únicamente para el cifrado de archivos, sin correo electrónico, no hay canales de salida conocidos para enviar el contenido del archivo a un atacante. Sin embargo, el contenido puede haber sido modificado en tránsito de una manera que no necesariamente podrás ver, dependiendo de cómo el implementador del software PGP específico eligió hacer las cosas. Esto se debe al aspecto de degradación de la integridad de la vulnerabilidad.

Además, si utilizas PGP para cifrar un mensaje enviado por correo electrónico y el destinatario utiliza un cliente de correo electrónico vulnerable, tu correspondencia corren el riesgo de ser descifradas. Como es probable que muchas personas utilicen un cliente de correo electrónico para acceder a mensajes de correo electrónico cifrados con PGP, es importante aclarar con los destinatarios que también han desactivado PGP en sus clientes de correo electrónico o están utilizando un cliente no afectado.

Si tienes que continuar con las correspondencias confidenciales, te recomendamos encarecidamente que cambie a una herramienta de cifrado de extremo a extremo comprobada.

UUEE: No a la censura y a los impuestos en Internet

captura-de-pantalla-110117-201846

Internet no sería lo que es sin plataformas como Reddit, Medium, Soundcloud,  DeviantArt y miles más que permiten a los usuarios acceder y compartir contenido  creativo y noticias. La Directiva europea sobre el mercado único digital (Europe’s Digital Single Market Directive) podría cambiar para siempre su funcionamiento.

Tal como está propuesta, la Directiva introduciría dos cambios peligrosos en la forma en que nos comunicamos y compartimos información en línea. En primer lugar, impediría que los sitios web reproduzcan extractos breves de artículos de noticias junto con enlaces a esos artículos, a menos que paguen un “impuesto de enlace” obligatorio al editor de noticias.

unnamed

En segundo lugar, las plataformas tendrían que poner en marcha nuevas y costosas herramientas de censura que les permitieran husmear en todo lo que subes, y bloquear esas subidas si detectan lo que creen que es contenido que infringe los derechos de autor.

En conjunto, estas medidas crearían enormes obstáculos para que las plataformas web sirvieran como centros de intercambio de conocimientos, haciendo de Internet un lugar menos interactivo.

La Comisión de Asuntos Jurídicos del Parlamento Europeo podría votar sobre estas medidas en cuestión de semanas. Después de eso, será mucho más difícil detenerlos antes de que se conviertan en ley.

Afortunadamente, aún hay tiempo para detenerlo. Necesitamos urgentemente tu ayuda, como uno de los valiosos miembros europeos del FEP, para convencer a tus representantes de que voten en contra de estas medidas equivocadas y para preservar lo que ha hecho de Internet un entorno abierto e innovador para todos.

Cuando hagas clic en el botón de abajo, serás redirigido al sitio web de la campaña de nuestro socio Mozilla. Allí podrá llamar a tu representante y pedirle que vote no a los filtros de carga obligatorios que censurarían Internet, y no a un impuesto de enlace obligatorio para los editores.

digitral