gemini://sl1200.dystopic.world/art/seguridad_y

Puede que a muchos las ganas de aprender sobre seguridad y privacidad informática les venga por vocación, a otros puede que les venga por una necesidad laboral o por estudios. En mi caso las ganas me vinieron tras recibir una amenaza por email, una forma de empezar con una afición que no le recomiendo a nadie pero que me forzó a meterme de lleno en un tema en el que de otro modo me temo que jamás le hubiera dedicado ni un segundo.

Fue hace unos cuatro o cinco años, no lo recuerdo con exactitud porque borré cualquier rastro de aquella pesadilla. Un buen día nada más desayunar me puse a consultar el email y, ¡sorpresa!, tenía un email inesperado de un desconocido. En él el remitente me informaba de que tenía el control de mi PC, que sabía que visitaba sitios de pornografía y me amenazaba con decírselo a mi mujer si no le pagaba unos 500.-Euros en Bitcoin. Como prueba de que lo que decía era cierto me mostró una de las contraseñas que solía utilizar para algunos servicios.

En aquel momento debo confesar que un escalofrío recorrió mi cuerpo y el terror se apoderó de mi, un miedo indescriptible a que toda mi vida online estuviera siendo perfectamente monitorizada y registrada por un desconocido y a que pudiera exponer mi privacidad, robarme o quien sabe, incluso contactar con mi mujer para indicarle que su marido accedía a webs pornográficas, tal y como decía en el email.

Enseguida le pasé el antivirus al PC, comprobé que estaba limpio y me puse a cambiar todas las contraseñas de las decenas de servicios, tiendas, bancos y medios de pago que utilizaba. Estudié en detalle cada movimiento bancario y de tarjetas de crédito, cada email, cada sms de los meses anteriores, todo lo que pude, esperando encontrar algún signo de haber sido víctima de una estafa, pero no encontré nada.

Después me puse a intentar averiguar qué había pasado, cómo habían podido descubrir una de mis contraseñas, y leyendo por aquí y por allá dí con los servicios de ';--have i been pwned? y de Firefox Monitor, donde introduciendo mi email pude comprobar que en 2012 Last.fm sufrió una brecha de datos en la que se vieron comprometidas direcciones de email, contraseñas, nombres de usuario y otros datos. Tras ver que se trataba de un servicio sin importancia y que afortunadamente aquella contraseña no había sido utilizada en ningún servicio delicado ya me quedé más tranquilo pero seguí investigando. Descubrí la existencia de servicios como BrowserLeaks que te indican la ubicación de los dominios, introduje el del email que me amenazaba y resulta que procedía de China. En total fueron varios días durante los cuales lo pasé francamente mal, levantándome incluso durante la noche para hacer comprobaciones de todo tipo que se me ocurrían y sobretodo revisar una y otra vez cada email, ya dudaba de todo.

Respecto a la pornografía y la amenaza de que el ciberdelincuente contactara con mi mujer, en pocos días me dí cuenta de que era una amenaza ridícula puesto que por pura probabilidad esa misma amenaza habría funcionado prácticamente con todo hombre con pareja y que accediera a ese tipo de webs, es decir, la mayoría de hombres se habrían sentido aludidos por esa misma amenaza, por lo tanto era absurdo preocuparse por el tema. Además, mi mujer ya sabía que yo había consumido ese tipo de contenidos en alguna ocasión.

Lo problemático fue que posiblemente debido a esa brecha de datos, a partir de entonces la bandeja de spam de mi email se convirtió en una colección de intentos de estafa y suplantación de identidad, recibía decenas de ellos cada semana y ciertamente muchos de esos emails estaban muy bien elaborados, constituían prácticamente un nuevo género literario, al que bien se podría denominar como el "genero literario del príncipe nigeriano". Debo confesar que mi email era tan poco imaginativo como nombreapellidos@gmail.com, por lo que muchos estafadores se podían dirigir a mi con mi nombre real. Un consejo, nunca crees un email que dé datos tuyos, ni tu nombre, ni fechas de nacimiento, nada. Lo más jodido fue que muchos de esos emails no llegaban a ser filtrados como spam por Google y acababan en la bandeja de entrada mezclados con el resto de emails legítimos, ocasionando que mi email llegara a ser prácticamente inutilizable.

Llegados a este punto ya había empezado a estudiar un poco en serio sobre privacidad y seguridad y si algo me había quedado claro es que depositamos demasiada confianza en servicios de terceros que no cifran de extremo a extremo nuestros datos, así que busqué servicios de email con cifrado de extremo a extremo y cree varias cuentas en Tutanota y Protonmail con las que al menos tengo la certeza de que si esos proveedores de email sufren una brecha de datos nadie se hará con mis datos personales, o al menos eso quiero creer porque es el servicio que ofrecen. Los servicios de email y nube que no usan cifrado de extremo a extremo son un peligro, una auténtica bomba de relojería. Sólo el usuario debería tener acceso a esos datos y, sin embargo consentimos que parte del negocio de las GAFAM sea precisamente acceder a ellos y analizarlos junto a los datos que guardan sobre nuestras visitas web, para segmentar al usuario como target de posteriores campañas de *publicidad dirigida* y peor todavía, de *publicidad programática*.

Por aquel entonces todavía utilizaba Google, Youtube y Twitter como principales fuentes de información sobre cualquier tema, pero los abandoné, no me parecía razonable confiar en empresas que tienen la minería y explotación de datos privados como modelo de negocio, así que fui buscando alternativas y acabé en el Fediverso y en salas de chat XMPP, donde descubrí toda una comunidad de usuarios concienciados sobre seguridad y privacidad informática dispuestos a entregar sus conocimientos de forma completamente altruista para mejorar la vida en la red de los demás. Destacaría por haber tenido un contacto más estrecho con ellos a @c3po, @ferrebam, @renor, @notxor, @moribundo, pero son, somos, cientos o miles los usuarios del Fediverso, en todas las lenguas y de todos los países, que estarán dispuestos a dedicar tiempo a los nuevos interesados en estos temas.

Los usuarios de la web son, en general, unos completos "iletrados" en seguridad y privacidad informática, convirtiéndose en víctimas de las GAFAM, y sólo dejarán de ser víctimas si los que saben del asunto les dedican tiempo. Al respecto me gustó mucho este artículo o manifiesto escrito por Dave Lane:

O cada uno de nosotros hacemos en nuestro entorno un poco de proselitismo antiGAFAM y sobre seguridad y privacidad informática o no esperemos que nadie lo haga por nosotros, cada vez estaremos más sumidos en esa "edad oscura digital".

En todo este proceso de aprendizaje he ido asimilando muchos conceptos sobre informática y creo que he aprendido a protegerme a mi y a mi familia. Algunas de las conclusiones que he extraído acerca de cómo está el mundo del software, la seguridad y privacidad informática son:

No parece haber un adecuado tratamiento jurídico, de responsabilidad civil y *penal* en la retención y uso de datos personales. No esperemos que la administración pública o un cambio legislativo nos salve de brechas de datos y de como se utilicen posteriormente esos datos. Cada día vemos casos y no parece pasar nada o sus consecuencias legales son muy limitadas. Nosotros acabamos siendo los únicos responsables de qué datos privados facilitamos en tiendas, servicios y redes sociales.

Como usuarios no deberíamos tener la idea equivocada de que los servicios a los que accedemos estén correctamente implementados, sean seguros y de que los técnicos sepan lo que hacen. Muchos desarrolladores no tienen un conocimiento absoluto de los sistemas que implementan, profesan una fe ciega y prácticamente temeraria en decenas e incluso centenares de paquetes de terceros de los que en muchas ocasiones desconocen exactamente su código, su funcionamiento y su situación de mantenimiento. Os invito a seguir publicaciones sobre seguridad y a literalmente alucinar con el desmadre y cachondeo que hay con el asunto.

La web es excesivamente complicada, y esa complejidad lleva a la imposibilidad de que sea segura. Además se prima en general mucho más la funcionalidad y el aspecto que la seguridad. La privacidad parece algo muy secundario, sobretodo si precisamente el modelo de negocio del servicio está fundamentado en la explotación de tus datos.

Esa complejidad cada vez mayor de la web, promovida en gran medida por las GAFAM, sólo les beneficia a ellos, haciendo que cada vez sea todo más difícil de implementar y mantener, aumentando la dependencia de los desarrolladores hacia "soluciones" fáciles e imposibilitando cada vez más el "empoderamiento" del usuario. Por eso es muy importante promover soluciones y protocolos que reduzcan esa complejidad, como es el caso de #gemini y en general de lo que se denomina small web.

No hay nada gratis, debemos intentar comprender el modelo de negocio de cada servicio que usamos. Si no lo comprendemos es que el producto somos nosotros mismos y nuestros datos.

Hay que desconfiar de todo software privativo, si ni tan quiera se publica el código, vete a saber qué hace ese software, prácticamente se podría calificar al software privativo de malware, a menos que demuestren lo contrario. Pero eso no implica que el software libre sea la solución simplemente por ser libre. La falta de mantenimiento y descontrol de mucho software libre lleva a muchos problemas de seguridad. Sólo hay que estudiar el vergonzante caso de loj4java para hacerse a la idea de cómo funciona el mundo del software...¿de verdad un paquete utilizado por miles de compañías, entre las cuales incluso Google, Amazon y Microsoft, era mantenido por una sola persona, en sus ratos libres y de forma gratuita?...sin comentarios.

Os invito a suscribiros a medios en los se publican las vulnerabilidades y ataques que van apareciendo y a seguir alguna de las guías de seguridad y alternativas a las GAFAM que hay publicadas, vale la pena.

Finalmente, creo que si tuviera la oportunidad de conocer a la persona que me intentó chantajear por email se lo agradecería, gracias a él me vi forzado a adentrarme en este mundo de la seguridad y privacidad y quien sabe, igual si no hubiera sido por él podría haber acabado siendo víctima de alguna estafa o de verdad se habría visto comprometida toda mi vida online. En todo caso hay que estar alerta, el mundo de la informática y la web es un puñetero caos, una pesadilla distópica.

Mi afición por la seguridad y privacidad informática, los inicios, aprendizaje y algunas conclusiones.