Así que ahora la cuestión no es si las autoridades estadounidenses pueden acceder a todos tus datos en Google, Facebook, Evernote o cualquier otro servicio desarrollado en el país, sino si los servicios especializados que quedan son de fiar. Por servicios especializados, nos referimos a esos que garantizan un total anonimato y seguridad, cifrado mediante.
Aquí en MuySeguridad hemos hablado en varias ocasiones, por ejemplo, de SpiderOak o LastPass. El primero viene a ser una alternativa a Dropbox, mientras que el segundo es, posiblemente, el gestor de contraseñas más popular del mercado. En lo que coinciden ambos productos es en publicitarse como servicios totalmente seguros y privados, en los que la contraseña del usuario, que solo éste conoce, cifra todos sus datos, y ni siquiera los empleados del servicio puede acceder a ellos.
Ahora bien, ¿son de fiar este tipo de servicios? Todo parece indicar que no. El ejemplo más claro lo tenemos con Lavabit, cuyo responsable se resistió hasta cierto punto a las presiones para proteger a sus usuarios y, como dice él mismo, a la Constitución de los Estados Unidos.
La orden que le llegó a Levinson -el fundador de Lavabit- no dejaba lugar a dudas: le reclamaban todos los datos asociados a los usuarios del servicio, incluyendo direcciones IP y claves criptográficas, y ni una palabra a los usuarios de que iban a ser espiados, o, como se suele decir, todo el peso de la “justicia” caería sobre él. La historia se resolvió a medias, de aquella manera.
Lavabit, no obstante, no ha sido el único ni será el último servicio de este tipo en caer. Silent Circle, otro proveedor de correo electrónico privado, cerró sus puertas por el mismo motivo de fondo, negarse a doblegarse ante las autoridades que demandaban, con la ley en la mano (o eso dicen), acceso a los datos cifrados de sus clientes.
Ha vuelto a pasar. En esta ocasión se trata de la firma CryptoSeal, cuyo negocio se basa en ofrecer redes privadas virtuales (VPN) para conectarse a Internet de forma opaca. A continuación puedes leer parte de su comunicado:
Ser obligados a entregar las claves criptográficas de nuestro sistema a la fuerza por una orden de registro no es razonable en nuestra opinión, es casi inconstitucional, pero hasta que no se resuelva este asunto, no podemos continuar con nuestro servicio.
Para cualquier que opere una VPN, correo u otro proveedor de comunicaciones en los Estados Unidos, creemos que sería prudente evaluar si una orden de registro de llamadas puede utilizarse para obligar a divulgar las claves SSL que protegen el contenido del mensaje, y si es así, tomar las medidas adecuadas acción.
En otras palabras, que se cuiden los que operan esta clase de servicios en Estados Unidos, pero que se cuiden más si cabe los clientes de esta clase de servicios radicados en el país. Así, la premisa en este supuesto es sencilla de extraer:
- La NSA y demás autoridades estadounidenses espían todo lo que se mueve a través de Internet, y, con excepciones, solo el cifrado parece detenerles.
- Están cayendo las compañías de servicios de cifrado que no se doblegan ante esta situación. Por lo tanto…
- ¿Qué sucede con las compañías de cifrado que siguen operando con normalidad, como SpiderOak, LastPass y otras tantas que no hemos nombrado? ¿Son de fiar?
Es imposible de verificar. Tal vez y solo tal vez, un salto hacia soluciones Open Source podría devolverles algo de credibilidad, pero en la mayoría de casos no están por la labor. Por continuar con los ejemplos dados, SpiderOak desarrolla Crypton de acuerdo con el modelo Open Source, pero se niegan a liberar el código de su cliente de escritorio. Por otra parte, LastPass, que al igual que muchos servicios de criptografía se basa en gran parte en software Open Source, no está interesado en adoptar ese modelo.
A pesar de todo, este no es un problema que deba preocuparle en exceso al usuario medio, ese que vive en las redes sociales la mayor parte del tiempo que pasa conectado en Internet, pues sus datos están vendidos desde hace mucho y si no lo han detenido ya, es que no hay razones para ello. En cualquier caso, no está de más la queja pacífica por los derechos vulnerados.
Sin embargo, otro tipo de usuario, como el disidente político, el científico destacado, el alto ejecutivo o político… Ése, que se lo piense antes de conectarse a nada que pase por un servidor en USA, porque lo tiene crudo.
Aunque si Estados Unidos no es de fiar, tampoco lo son otros territorios como China o… ¿Europa? Esto sí sería más sorprendente, pero no por las diferencias políticas con la potencia norteamericana, sino por ver cómo han hecho para ponerse de acuerdo en ese circo llamado Parlamento Europeo. Porque que cada país lo intenta a su manera, eso tampoco sería de extrañar. Otra cosa es que lo puedan llevar a cabo al mismo nivel.
Fuente: muyseguridad
