Soy Javier Ramírez, experto en privacidad y seguridad informática. Pregúntame

Enviado por rameerez el 16 de junio de 2020

Soy Javier Ramírez, experto en privacidad y seguridad informática. Creador de Guard (useguard.com), una inteligencia artificial que lee y analiza políticas de privacidad por ti y detecta los riesgos de privacidad en ellas. Llevo los últimos 5 años creando y vendiendo software, tanto como cofounder en startups, como freelancer, como de manera independiente.

Jueves, 18 de junio, a partir de las 17:30.



#8 Protogenes

Buenas, te tengo tres preguntas sobre "opinones de":

A) ¿qué opinión tienes de programas como firejail usado en navegadores, cuando, supuestamente, firefox y chrome ya tienen un modo sandbox activado? ¿Crees que son necesarios para el usuario común?

B) ¿Qué opinión tienes de Pihole? Me refiero a alguien que lo use únicamente dentro de su red wifi (en su casa, no fuera), y descontando la parte de bloquear ads (cosa que se puede hacer en navegadores con uBlock Origin).

Y por último, esta es más fácil, creo: C) ¿Qué te parece que el WPS venga activado el 99% de las veces en los routers, con el coladero para la seguridad que es?

¡Muchas gracias!

A) En mi opinión, demasiado complejo para el usuario común. Creo con que el usuario común usara Firefox en lugar de Chrome el salto de privacidad ya sería enorme.

B) Bien, útil, pero es un rollo. Es el tradeoff que comentaba en #53: guay si estás dispuesto a asumir el coste. En Pihole usas heurísticas que no siempre son correctas (ej.: decido bloquear dominios de Sony porque me parece por la razón X que es poco privacy-friendly pero de repente mi hermano se queja de que la PlayStation no le funciona y tengo que entrar, debuggear y whitelistear, lo que es una molestia y me consume tiempo; y así con cada cosa que deje de funcionar y con cada nueva persona que entre en la red con su set particular de preferencias / servicios que usa). Creo que es difícil alinear las preferencias de privacidad de muchas personas para hacerlo realmente cómodo, pero si eres solo tú puede ser un buen aliado.

C) Pues qué puedo decir... si construyes un bunker pero te dejas la puerta abierta, la gente va a entrar igual.


#7 SiempreAContracorriente

¿Crees que sirve para algo la normativa de las cookies? Y que todas las webs saquen el famoso anuncio para que la mayoría pulse "Acepto todo" sin mirar

En mi opinión, es un absoluto fracaso. La definición de ineficiencia. Algo que nadie quiere poner ni nadie quiere leer. Entorpece más la experiencia de usuario de lo que la ayuda. A nivel regulación sería otro tema a tratar, pero a nivel implementación y usabilidad, mal. Es precisamente el punto de partida y un poco problema que quiero resolver con Guard.


#6 albertiño12

¿Cuáles crees que son las principales medidas de seguridad que debemos tomar los ciudadanos de a pie en nuestro día a día?

Ese tipo de cosas con las que un experto en seguridad se tira de los pelos cada vez que se entera de que alguien no las realiza?

Una de las cosas que más me fascina ver es gente que apunta contraseñas de sus servicios en texto plano, esto es: abren un archivo de Word, o una nota de la típica app de notas, y apuntan ahí contraseñas. Creo que un buen gestor de contraseñas es básico, incluso usar contraseñas generadas que ni tú mismo sepas (otra cosa que me fascina es la gente que usa la misma contraseña para absolutamente todo).

Luego cosas como nunca usar WiFis abiertas… sé que hay momentos tipo aeropuertos o cafés en los que tienes que sacar el portátil para trabajar y “no te queda otra” pero ahí casi siempre merece más la pena montarte un punto de acceso con tu móvil y tirar de datos. Rápido, en 30 segundos tienes internet y te quitas de un montón de riesgos de a saber lo que tienen montado en el WiFi de turno. Tampoco entiendo bien la gente que da sus datos de gratis a este tipo de WiFis, en plan “¡Danos tu email, fecha de nacimiento, cuenta de Facebook, Twitter y Google y quizá hasta te dejemos usar nuestro WiFi durante 30 minutos!”. Es que, incluso aunque estés dispuesto a dar todo eso, no creo que ni la transacción merezca la pena. Si no te queda otra, siempre intentar dar datos falsos o cuentas de email “throwaway”.

En esta misma línea, también es muy de tirarse de los pelos ver a alguien dar sus datos personales sin ningún tipo de reparo, a cualquier web que se lo pida: desde ecommerces a blogs a cualquier página de dudosa reputación.

Y por último, para no extenderme mucho, porque el comentario podría ser infinito y seguro que me dejo cosas importantes fuera, ser muy conscientes de lo que usamos y lo que publicamos. “La nube”, “los servicios” son solo sinónimos para decir “el ordenador de otra persona”. Publicar una foto en Instagram es el equivalente digital de coger una foto, imprimirla / fotocopiarla y enviársela por correo postal a Mark Zuckerberg. Una vez en su poder, él puede hacer las copias que le dé la gana o publicarla en (casi) cualquier sitio. Una vez enviado pierdes el control sobre lo que publicas, por mucho que la interfaz ofrezca un botón de “borrar”, nadie garantiza que esos datos son realmente borrados y no ocultados, o que han sido eliminados de todas las copias de seguridad / copias distribuidas, o que no han sido vendidos ya (agregados o en bruto). Y esto no solo aplica a fotos y cosas así “públicas”, aplica a cualquier servicio que te ofrezca algo privado “en la nube”: usar Spreadsheets (el “Excel” de Google) significa que Google tiene copia de todos esos datos, por muy privado que parezca el dashboard. No digo que sea bueno o malo, o que debamos evitar unos servicios u otros, solo que deberíamos ser muy conscientes de cada vez que le damos al botón de “upload” o “new”, porque es a partir de ahí donde realmente perdemos el control.


#5 Cart

Si tan experto en seguridad informática eres, ¿Como explicas tener tu contraseña en un post-it en la pantalla y que además sea '1234qwerty'?

Vaya, así que eres tú el que ha entrado en mi email y se ha puesto a enviar correos spam.


#1 disconubes

Directo y al grano, no como las políticas de privacidad: ¿la tortilla con cebolla, no?
Gracias por venir por aquí

Como te diría cualquier persona de bien... ¿acaso sabe a algo sin cebolla?


#13 Lok0Yo

Hola.

Si tuvieras que recomendar medidas de seguridad para las personas de a pie con varios niveles cual seria siguiento estos criterios.

1- Pocos conocimientos, poca inversion
2-Gastos medio , poco conocimiento
3- Conocimientos medios y gastos medios
4- Disponibilidad d etiempo conocimientos y dinero

Siempre antendiendo a mejor relacion calidad precios.

no se si esto preguntando una chorrada, pero siempre que me quiero lanzar me da pereza y no se por donde empezar.

Quizá en lugar de atendiendo a nivel de conocimientos e inversión te lo puedo responder en función del nivel de “paranoia” que estés dispuesto a asumir, que al final es directamente proporcional al nivel de conocimientos y recursos invertidos. Algo como:

0 - Usuario normal despreocupado
1 - Tener cuidado con qué servicios usas y cuáles no, no dar tus datos por todas partes, no publicar todo en todas partes, no publicar en TW/IG con geolocalización activada, no usar WiFis públicas, etc.
2 - Empezar a usar servicios privacy-friendly. Usar Firefox en lugar de Chrome, Telegram en lugar de Whatsapp, etc. Empezar a dejar de usar servicios fácilmente reemplazables.
3 - Bloquear trackers (uBlock Origin, Privacy Badger), usar servicios de VPNs, montar alguna solución tipo PiHole, etc.
4 - Dejar de usar servicios “críticos” aunque no haya buen equivalente “privacy-friendly” (la definición de crítico varía de persona a persona, pero cosas como borrarse Gmail, Facebook, Twitter, Instagram, salirse por completo de redes sociales, etc.)
5 - Compartimentalizar tipos de tráfico en distintos navegadores: usar Firefox para el trabajo, Brave para navegación normal, otro navegador solo para cosas bancarias, etc.
6 - Instalar Linux de cero en tu ordenador y configurarlo con las máximas restricciones de privacidad y seguridad + instalar alguna distro privacy-friendly de Android en tu móvil, también configurada para privacidad, y usar solo estos dispositivos.
7 - Tener varios ordenadores con Linux instalado completamente montados y configurados desde cero para máxima privacidad, cada uno para un tipo de navegación en particular, ordenadores que vas rotando cada poco y borrando / reinstalando / reconfigurando periódicamente.
8 - Dejar de usar smartphone, usar solo un móvil viejo, potencialmente con una SIM que no esté ni a tu nombre, tener este móvil apagado el 90% del tiempo y solo encenderlo cuando quieras comunicarte.
9 - Desaparecer del mapa por completo, dejar de usar tecnología completamente.


#3 zcully

Hola! Suelo navegar con el vpn Private Internet Access. Que opinión te merece? Otra cosa. Qué te parece más privado? Un vpn con una buena configuración de cifrado o usar Tor ? Imagino que me dirás qué depende de donde esté el servidor vpn o la sede de la empresa.... En fin no tengo mucha idea. Gracias.

Lo que te diría cualquier pragmático de la privacidad es que ningún servicio de VPN te garantiza en realidad privacidad: no tienes control sobre lo que pasa en sus servidores. Esencialmente, le estás “regalando” todo tu tráfico a un tercero sobre el que confías en que no lo loguee, no haga analíticas de uso sobre él, no te restrinja tu ancho de banda, no te trackee, no te perfile (cosas como hábitos de uso, IP...): en fin, confías en que no harvestee tus datos y los revenda al mejor postor / los use para otros fines… por no hablar de que incluso podrían hacerte instalar malware y comprometer más tu seguridad de lo que la solucionan. Lo más privado, seguramente, sería montar tu propia VPN en un servidor / VPS / instancia / whatever en la nube, donde al menos tendrías control sobre todo lo que pasa hasta que el tráfico sale del servidor VPN.

Esta es la respuesta en “modo full paranoico”. Lo que te diría yo como persona de a pie es que seguramente tanta paranoia sea contraproducente. La pregunta siempre está en cuánto tiempo y recursos estás dispuesto a invertir en montar contramedidas y sobre qué potenciales ataques las estás montando, para evaluar si tiene sentido invertir tiempo en ello. Muchas veces no tiene sentido comerse la cabeza e invertir semanas e incluso meses en montar contramedidas desproporcionadas. Para el usuario medio de internet, el que no quiere comerse la cabeza configurando instancias Linux para montar VPNs propias, seguramente un servicio de VPN como el que comentas sea más que suficiente. Para quien nos esté leyendo, alguien que se esté planteando de nuevas qué VPN usar, una buena heurística para elegir VPN sea podría ser que si es gratis casi seguro que es mala y está revendiendo tus datos; así que casi siempre la mejor opción es coger una de pago.

Sobre este servicio en concreto que comentas sí que parece que se escuchan cosas buenas pero personalmente no lo he probado así que no te puedo decir mucho más. Si tú lo has investigado, te funciona bien y confías en él, en principio adelante.

Sobre Tor, efectivamente es bastante más difícil que una sola persona o entidad consiga identificarte, perfilarte ni trackearte al enrutar tu tráfico a través de muchos nodos distintos, pero esto también viene con un coste: la velocidad de la navegación se vuelve lenta, casi inusable. Lo que comentaba antes: seguramente no tenga sentido ponerse en modo “100% paranoico” para hacer navegación “normal”: encuentra un compromiso con la solución que funcione para ti y que tenga un coste (monetario, tiempo, recursos) que estés dispuesto a asumir y funciona con ello hasta que deje de servirte.


#17 angelitoMagno

Hola, en la cuenta de una asociación sin ánimo de lucro estamos recibiendo por Paypal donaciones de menos de 5 céntimos. Personas distintas, nombres nacionales y extranjeros, algunos repetidos, no contestan a los emails. Es muy raro y sólo viene pasando desde hace unas semanas. La cuenta y la tarjeta están en varias páginas de internet desde hace años, es accesible a cualquiera (vivimos de las donaciones). ¿Algún consejo sobre estos temas?

Gracias, un saludo

¿Dejan algún comentario en las donaciones? ¿Los emails son de un proveedor de emails "genérico" (tipo Gmail) o de algún dominio peculiar?


#2 Hil014

Me gustaria que contaras un poco como fue y como se solucionó (si se hizo) el tema de las escuchas en la aplicación de la FIFA para detectar bares que no pagaban la subscripción especial.

Saludos!!

La verdad es que no me gusta nada (pero nada de nada) el fútbol y aunque he escuchado de refilón el tema no conozco los detalles del caso. Con decirte que hasta hace bien poquito creía que Casillas seguía en el Madrid…


#9 boidmain

¿Cuáles son los datos más sensibles que una página web puede recoger vía Javascript (o como sea) solo por el hecho de entrar? ¿Qué extensión recomiendas para evitar que se recolecten estos datos en el navegador?

Por ponernos catastrofistas: por poder, se puede recoger todo. Desde lo que estás viendo exactamente hasta inferir a qué parte concreta de la pantalla están mirando tus ojos (parece que el movimiento del ratón correlaciona con el movimiento de los ojos)... hasta registrar prácticamente cada pulsación de una tecla que hagas (desde contraseñas a notas personales, mensajes privados...), tipo Grammarly (aunque esto es una extensión y tiene otros matices). Esencialmente, cuando visitas una página es como si estuvieras entrando en una que no es de tu propiedad, y que tiene cámaras en cada esquina. Esta es la versión catastrofista. Lo más típico, sin embargo es que se registren cosas menos perniciosas: qué páginas visitas, con qué frecuencia, etc.

La solución más radical es bloquear por completo la ejecución de Javascript en todo el navegador. Esto no elimina por completo todos los problemas (el servidor puede seguir trackeando las páginas que sirve, e incluso hay maneras de trackear cargando imágenes en HTML o incluso CSS), pero la mayoría de trackers comerciales se caerían. Por contrapartida, la mitad de internet dejaría de funcionarte bien

Esto es una medida quizá desproporcionada. Lo que se suele usar a nivel de usuario son extensiones tipo uBlock Origin, Privacy Badger, o incluso uMatrix para usuarios un poquito más avanzados. También recomiendo usar un navegador que respete la privacidad por defecto, tipo Firefox. Creo que esto debería ser suficiente para la mayoría de usuarios.


#39 Zurditorium

¿Usas WhatsApp? ¿Tienes cuenta de Google?

Sí, ambas. Como digo en #53, siempre hay un tradeoff entre comodidad y privacidad. En #51 detallo los niveles de "paranoia" que creo que existen. Yo personalmente soy de la opinión de que es difícil "salirse del sistema" completamente, y que hacerlo tiene más desventajas que ventajas: y personalmente necesito estar conectado con un montón de personas que solo usan WhatsApp así que es algo que no puedo eliminar completamente de mi vida. Lo que sí que intento es reducir superficie de ataque y minimizar riesgo. Apenas uso WhatsApp (para que te hagas una idea, tengo conversaciones sin leer desde hace meses), el 95% de mis comunicaciones con amigos, familia y grupos son vía Telegram. Uso un navegador concreto solo para navegar por redes sociales / usar servicios de Google, etc. No es un sistema perfecto pero dentro de esa escala de grises que comentaba en #53 que es la privacidad yo he encontrado mi balance personal vida/privacidad en este punto.


#18 Kircheis

Buenas tardes. Cuando intento convencer a amigos y familiares para que cambien el uso de unos servicios por otros menos invasivos con su privacidad me suelen comentar que lo que más les importa es la funcionalidad y la facilidad de uso, y por eso prefieren seguir usando lo que ya usaban. ¿Qué argumentos podría darles para que cambiasen su opinión?

Por otra parte, ¿el método para frenar la difusión del coronavirus descrito en la imagen podría realmente funcionar sin afectar a la privacidad?

¡Gracias!

Siempre hay un balance entre comodidad y privacidad y es muy difícil, por no decir imposible, alcanzar un nivel muy grande de privacidad con soluciones que sean cómodas para el usuario. Siempre va a ocurrir que tengas pasos extra, que tengas que sacrificar funcionalidad, que tal o cual cosa vaya más lenta, etc.

Este tradeoff es un problema enorme y la realidad es que la mayoría de los usuarios están dispuestos a dar muy poco a cambio de tener más privacidad.

Creo que hay poco que puedas hacer sin ser el típico amigo brasas que te intenta convencer sobre la causa de turno (yo lo soy, y es un suplicio para mis amigos, pero poco a poco vamos migrando grupos de amigos de Whatsapp a Telegram... pequeñas batallas ganadas). Como en otros movimientos (como la lucha contra el plástico), creo que va a ser algo que llevará mucho tiempo y esfuerzo hasta que cale en la opinión general. La parte positiva es que poco a poco parece que el interés sobre la privacidad empieza a crecer (ya es uno de las grandes razones por las que los usuarios deciden entre servicios en internet), muchos usuarios usan blockers (que es de lo que menos esfuerzo y sacrificio requiere para el beneficio que te da) y cada poco salta alguna noticia que hace ganar más adeptos.

Como argumentos a decir, quizá poner de manifiesto cosas que los servicios que usamos a diario dicen que hacen. Leerse las propias políticas de privacidad es una aventura en sí mismo y te puedes encontrar con perlitas que decirles, en plan: "¿sabías que Tinder potencialmente puede compartir tus matches y conversaciones, así que nada de lo que digas dentro de la app es privado?".
También dejarles claro que esto de la privacidad no es un blanco o negro, sino una escala enorme de grises. No hay que hacerse privado de entrada, no hay que implementar toda medida posible de primeras. Tampoco hay que borrarse Instagram de entrada. Es todo una cuestión de dar un primer pasito y empezar a cogerle el gustillo al sentimiento de no sentirse observado. Migrar de Chrome a Firefox puede ser un buen primer paso, y te puede servir para al menos hacerte consciente de tu identidad digital y el rastro que vas dejando por el mundo. Pero eso, es una escala de grises amplísima y encontrar el punto de esa escala en el que te sientes cómodo es todo un viaje. Creo que encontrar el paso inicial de mínima fricción es importante para ayudar a una persona a ser más privada.

Sobre el método del coronavirus: no parece mal approach si no existe una entidad central o mecanismo que pueda relacionar cada mensaje emitido con cada usuario concreto, desvelando así la identidad de cada usuario y si está infectado o no.


#56 angelitoMagno

No dejan comentarios, siempre correos de gmail y hotmail). Y es una transferencia "para amigos y familiares" (lo sé porque en estas no hay comisión de Paypal). Te paso una imagen de uno de esos movimientos por si ves algo. Dos detalles que se repiten, los únicos: pago mediante móvil (en otros sin comisión aparece Tipo de pago: Pago personal pero no creo que sea indicador de nada, no?) y abajo del todo aparece Personalizar y un número que en el resto de pagos no veo (no sé qué es). Muchas gracias :)

Pues la verdad es que me suena haber leído sobre un caso parecido por alguna parte pero ahora no lo encuentro y no recuerdo dónde lo vi... si me acuerdo o me lo reencuentro vuelvo por aquí para publicarlo!