Darknet, ¿por qué es tan difícil atacarla?

Es muy habitual la metáfora en la que internet se representa como un iceberg: el usuario medio tan solo conoce la punta. Una porción menor al 10% en la que se encuentra la parte indexada de la red. Aquello a lo que Google, Yahoo!, Bing y compañía llegan. Bajo el mar se encuentra lo que muchos denominan Deep Web. El resto del iceberg, el no comercial y no indexado. Y más abajo aún de esa enorme masa de datos se encuentra Darknet.

Podríamos definirlo como un conjunto de tecnologías y redes superpuestas que tienen como fin proteger el anonimato de sus usuarios. El peaje por esta oscuridad es que puede que tengan que conectarse a un servidor privado o cumplir unos requisitos específicos como tener instalado un software determinado.

De facto esto hace que los buscadores “tradicionales” no puedan rastrear sus contenidos y, además, tanto el origen como el destino de los datos permanece oculto. Todo el proceso de la red es invisible. Esto hace que sea el emplazamiento perfecto para contenidos de seguridad, datos de administraciones, etc. Pero también permite que se lleven a cabo en este espacio operaciones ilícitas. En cualquier caso, todo atisbo de ciberataque es prácticamente inútil puesto que se trata de una zona de la red “impenetrable”.

¿Por qué? Al fin y al cabo, sobre el papel, si sabemos “dónde está” deberíamos poder atacarla -si así quisiéramos-. Un estudio publicado en la revista Physical Review E ha averiguado que Darknet es capaz de autoprotegerse y corregir por sí misma agresiones de forma espontánea. En él Manlio De Domenico y Alex Arenas, del Departamento de Ingeniería Informática y Matemáticas de la Universidad Rovira y Virgili y Tarragona concluyen que la clave está en su “particular topología más descentralizada que el resto de la red”.

Para poder constatar esto los autores de la investigación crearon un modelo que explica cómo se transmite la información en la Darknet y descubrieron que no emplea una distribución homogénea de conexiones sino que se va encriptando en distintas capas.

Una vez hecho esto simularon tres tipos de ataques: dirigidos contra un nodo en concreto; contra varios de forma aleatoria y otros diseñados para provocar una cascada de fallos y propagarse por la red (el modelo). El resultado es que concluyeron que para atacar Darknet es necesario atacar cuatro veces más sus nodos que los del resto de internet. Y esto tan solo provocaba ciertas perturbaciones. Además, su propia estructura permite solucionar de forma autónoma los problemas y neutralizar los fallos en cascada.

Esto hace que, a pesar de que se considere más ineficiente que la red superficial -la información emplea algoritmos criptográficos más complejos y va de nodo en nodo aleatoriamente en vez de directamente al destinatario- haya una pequeña base de fieles que hayan construido una zona libre informativa en la que están apartados del resto de la red. Con todo lo bueno y todo lo malo que esto trae.

Protección de datos, Europa toma la delantera

Por fin el trabajo de años del Parlamento Europeo ha llegado a buen puerto en materia de protección de datos. Hace poco más de una semana la legislación de 1995 fue actualizada a la era digital para dar más herramientas a las autoridades para poder plantar cara a las empresas que infrinjan las leyes y vulneren los derechos individuales de los ciudadanos al respecto de sus datos.

Entre las normas más aplaudidas se encuentra la garantía la Derecho al Olvido y la obligatoriedad a agilizar la portabilidad de datos así como un refuerzo al consentimiento explícito de los usuarios para el tratamiento de sus datos utilizando -por fin- un lenguaje claro que no deja espacio a las ambigüedades en el que todas las cláusulas sobre privacidad quedan lejos de posibles interpretaciones.

Según los comisarios europeos Frans Timmermans y Vera Jourová “las nuevas normas garantizan que el derecho fundamental a la protección de datos personales están disponibles para todos los ciudadanos”. Además, “ayudan a estimular el mercado digital único europeo mediante el fomento de la confianza de los consumidores en los servicios en línea”.

De esta forma el Reglamento General de Protección de Datos endurece las penas para las empresas que se salten las normas con multas que pueden alcanzar el 4% de su facturación global de modo que no puedan saltarse nunca el consentimiento “claro y afirmativo” de cada persona en cada caso.

Las grandes empresas, además, tendrán que designar un “oficial de protección de datos” si tratan datos sensibles a escala y estarán obligadas a informar si sufren alguna filtración durante las 72 horas siguientes al problema. Además, la responsabilidad de la misma se extenderá a cualquier procesador de datos que haya estado relacionado con la misma.

El Derecho al Olvido, además, pasa a convertirse en una Ley, del mismo modo que la portabilidad de datos para que pasen de un proveedor a otro de datos debe facilitarse siempre que así lo desee el propietario de los mismos. En caso de que se trate de datos de menores o de que estos hayan cedido datos a redes sociales, los mismos quedarán a merced de lo que decidan hacer con ellos sus tutores legales siendo una autoridad única la que puede tomar decisiones al respecto de las quejas que surjan por su uso.

La legislación continental entrará 20 días después de su publicación y todos los Estados miembros sin excepción tendrán un plazo máximo de dos años para implementarla en su respectiva legislaciones nacionales.

Cifrado en WhatsApp, en qué consiste y qué protege

La era de la conectividad, las redes sociales y los dispositivos móviles es también la era de la privacidad. Cada vez son más las personas que se preguntan si tiene sentido disfrutar de todas estas comodidades (para algunos nos hacen esclavos de la propia sociedad) si a cambio hemos de pagar cediendo una parcela tan importante como nuestra privacidad.

La pelea entre Apple y el FBI por ceder un acceso a su sistema operativo y poder revisar los contenidos del smartphone de un terrorista son solo el penúltimo capítulo de escándalos de espionaje, filtraciones de información y ataques a la privacidad de los individuos. Por eso las plataformas de referencia en comunicación han decidido tomar cartas en el asunto.

Hace pocos días que los mil millones de usuarios comenzaron a recibir un mensaje en sus chats como el que abre el post de hoy. La aplicación de mensajería más popular del planeta propiedad de Facebook decidía cifrar las conversaciones de sus usuarios (llamadas y mensajes) para que nadie que no formara parte de las mismas pudiera acceder a sus contenidos.

El cifrado parece ser la última barrera para que propios (autoridades) y extraños (hackers) puedan acceder libremente a nuestras vidas cuando les plazca. Pero, ¿en qué consiste el cifrado para ser tan eficaz? Básicamente se trata de crear una clave temporal que solo puede descifrar el smartphone del receptor. Cuando escribimos algo el contenido sale de nuestro smartphone hasta los servidores de WhatsApp ya encriptado y allí se rebota hasta el destinatario. De esta forma nadie, ni siquiera WhatsApp, puede acceder al contenido de la mensajería.

Con este cifrado las conversaciones se vuelven más parecidas a las que mantenemos en persona: nadie excepto los interlocutores cara a cara pueden saber el contenido de una charla. Esto también hace más seguras a las llamadas que se hagan a través de la aplicación ya que garantizan que “ni las autoridades ni hackers ni organizaciones criminales podrán pinchar” las mismas.

La idea de la empresa ahora propiedad de Mark Zuckerberg es restablecer la confianza con los usuarios que después de algunos escándalos de filtraciones quedó muy dañada. El sistema, que ya lo emplean otras plataformas de mensajería puede ser el espaldarazo definitivo para colocar a la famosa plataforma de mensajería como la referencia de un mercado en el que cada vez quedan menos alternativas importantes y las seguras son muchas veces nichos minoritarios.

¿Qué no protege WhatsApp?

Sin embargo, como en todo contrato hay letra pequeña. La web Livemint advertía que la plataforma “puede retener la fecha y el sello de tiempo de la información asociada a los mensajes entregados con éxito y los números de teléfono que intervienen en los mensajes así como cualquier otra información que WhatsApp esté legalmente obligado a recoger”.

De esta forma, aunque el contenido sea privado, los números de teléfono y las horas y fechas de los mensajes sí se almacenarán en los servidores de la empresa para que las autoridades puedan obtenerlos cuando los necesiten.

Además, son varios los medios que han acudido a expertos para saber si, realmente, nuestra mensajería está protegida de los temidos hackers. Y la respuesta es la esperada: por mucho que lo garantice la empresa, los mensajes pueden caer en manos de terceros siempre que estos infecten nuestro smartphone con un troyano. WhatsApp no puede hacer nada contra esto. “Solo” puede protegernos del pirateo directo mediante WiFi y redes 3G y 4G.

Apple y FBI, ¿cuál es el problema?

Como hemos dicho muchas veces, las nuevas tecnologías suponen nuevos retos para la sociedad, sobre todo en materia de legislación. Y el último enfrentamiento entre Apple y el FBI parece estar haciendo temblar los mismísimos cánones de Silicon Valley. Mientras algunas empresas como Google y Facebook se alinean con los de Cupertino en defensa de la privacidad de sus usuarios (curioso después de las revelaciones de Edward Snowden o los casos de espionaje de la NSA), otros pesos pesados como Bill Gates piden a la empresa de Tim Cook que colaboren con las autoridades. ¿Cuál es el problema?

Ante los recientes atentados acaecidos en San Bernardino, California, Apple decidió ceder unos ingenieros de su plantilla para ayudar al FBI con la investigación de cómo pudo ocurrir el acto terrorista. Sin embargo, no tardó en surgir un problema cuando la agencia estadounidense pidió a los de Cupertino crear una versión de iOS que se salte el actual cifrado del sistema operativo para que el FBI (de momento) pueda acceder cuando quiera a los contenidos de los iPhone.

Es cierto que los de Washington DC ha pedido que esta versión de iOS solo se instale en el terminal del terrorista pero el problema -que no solo lo ve Apple- es que crear esta vulnerabilidad permitiría replicarla en cualquier otro dispositivo con lo que se crearía una puerta de atrás en uno de los SO más seguros del mercado.

El problema se incrementó cuando Apple publicó una carta en la que explicaba los motivos de la negativa. Ésta rezaba que:

“El FBI puede usar las palabras que quiera para definir esta herramienta, pero no cabe lugar a error. Construir una versión de iOS que se salte la seguridad de esta manera crearía una puerta trasera. El Gobierno puede alegar que su uso estará limitado solo a este caso, pero no hay ninguna manera de garantizar ese control.

El Gobierno sugiere que esa herramienta solo se puede usar una vez y en un único terminal, pero eso simplemente no es cierto. Una vez la creemos, la técnica podría usarse las veces que se quiera y en cualquier dispositivo. En el mundo real sería el equivalente a una llave maestra capaz de abrir cientos de millones de cerraduras. Nadie en su juicio puede encontrar esa petición aceptable.”

Según los de Cupertino es la primera vez que se pide a una compañía hacer algo similar y su negativa -que prometen mantener “hasta las últimas consecuencias”- pretende evitar un precedente. Precisamente por eso Google, su gran rival, y Facebook, una de las empresas que más datos tiene de personas en todo el planeta, la han apoyado desde el primer momento para intentar hacer un frente más fuerte frente a la agencia de seguridad.

Curiosamente, la sorpresa ha saltado de la mano de Bill Gates quien considera que Apple debería colaborar con las autoridades puesto que se trata de un caso específico y que no difiere en nada a cuando se pide la colaboración de un banco o a una operadora de telefonía.

Para el fundador de Microsoft Apple solo está ganando tiempo hasta que un tribunal superior le diga qué debe hacer y cómo debe hacerlo. Además, considera que el verdadero debate es si el Gobierno y sus agencias deben o no tener el poder de solicitar información de este tipo en este tipo de casos. Si bien al principio la de Gates parecía una voz discordante a lo largo de los días el apoyo público ha pasado de estar claramente alineado con Apple a estar mayoritariamente (un 51%) a favor de la colaboración con el FBI (según una encuesta del Centro de Investigaciones Pew).

Bill Gates dejó claro que “defiende la privacidad” pero entiende que las fuerzas de seguridad y el Gobierno no “deberían trabajar a ciegas en casos tan extremos como el terrorismo”. En definitiva, un nuevo debate ético en el que hemos de poner en la balanza si la seguridad está por encima de la privacidad y las libertades individuales. La duda que nos gustaría plantearle a Gates es dónde se traza la línea roja que marca si un caso es “extremo” o no lo es.

WhatsApp, un paso más en su integración con Facebook

Hace tiempo que la versión beta de la nueva edición de WhatsApp está disponible en su web. El objetivo es, como siempre, encontrar puntos débiles y posibilidades de mejora antes de que ésta llegue al mercado. El mayor programa de mensajería instantánea de Occidente lleva unas semanas anunciando novedades -no volverá a ser de pago ni en la descarga ni en la renovación- ya que es consciente de que la competencia es cada vez mayor y ofrece opciones más tentadoras para sus clientes.

Normalmente, estas versiones de prueba -que suele pasar por las manos de curiosos pero que está dedicada a la comunidad más “avanzada”- suele dejarnos rumores y guiños de hacia dónde va la aplicación. Sin embargo, hace pocos días, Javier Santos, un estudiante español de ingeniería informática, descubrió algo más: el programa tendrá una total vinculación a Facebook y compartirá datos entre ambas plataformas.

Después de pagar unos 19.000 millones de dólares por WhatsApp hace dos años, muchos analistas se preguntaron qué buscaba exactamente Zuckerberg. A diferencia de lo que hizo con Instagram (vincularlo desde el primer momento, introducir poco después publicidad e inyectarle millones de dólares para convertirlo en la segunda red social por delante de Twitter) WhatsApp quedó ligeramente al margen. Funcionaba bien y había que ser cauto ante la competencia y ante millones de clientes que desconfiaban de lo que pudiera ocurrir con su privacidad.

Esto colocaba a la red social como una de las empresas más arriesgadas de Silicon Valley a la hora de adquirir otras start ups. Y también sembraba la duda de cuál sería el siguiente movimiento de los californianos. Desde el primer momento se garantizó que nunca habría publicidad, que nunca habría juegos y que serían dos aplicaciones independientes.

Ahora se ha anunciado que, si bien no habrá publicidad, las empresas podrán acceder a WhatsApp para crear sus propias líneas de comunicación con sus clientes. Sobre el papel la idea es que el usuario pueda comunicarse directamente con los negocios y empresas que él elija -no al revés-. La misma información que ahora se puede recibir por SMS (descuentos o retrasos de una aerolínea) solo que unificado en WhatsApp para que sea más sencillo.

Es una forma sutil de decir que siguen pensando que el cliente es el usuario y no la empresa. Que quien se descarga WhatsApp no pasa a ser un producto que empaquetar con otros y que se vende al mejor postor para hacer campañas publicitarias específicas en un nuevo formato.

Ahora -quien quiera por el momento- tendrá la opción de vincular totalmente las cuentas de WhatsApp y Facebook para mejorar la experiencia en ambos. Quien no lo desee podrá seguir teniéndolas estancas y la primera seguirá sin saber nada de nosotros que no queramos que sepa (dirección, edad, trabajo, email, etc.). Sin embargo, el objetivo es claro: la plataforma ha superado los 1.000 millones de usuarios y la red social los 1.500 millones. ¿Un golpe definitivo para ponerse a la altura de Google en el negocio de la publicidad digital?