Mercè Molist
La figura del espía sentado
en un banco, con la cara tapada por un periódico que no está
leyendo y los ojos fijos en las acciones de alguien se está quedando
galopantemente obsoleta, ante las posibilidades abiertas por las nuevas
tecnologías. Primero fueron los datos personales almacenados en
grandes bases, algunas públicas y otras privadas (empresas y gobiernos).
Después, programas de inteligencia artificial que permiten todo
tipo de búsqueda, cruce y rastreo de estos datos (desde el número
de la targeta de crédito y los lugares donde ha sido usada hasta
la propia cara, registrada por cámaras en lugares públicos
y analizada y archivada por un sistema de reconocimiento facial). Y, por
fin y paralelamente, Internet, convertida en centro de recolección
de todo tipo de datos, territorio comanche donde es mejor pensar dos veces
antes de hacer cualquier movimiento. "La información personal se
está convirtiendo en la moneda del ciberespacio. Aquí es
capturada, comparada, permutada y vendida", aseguraba John Markoff en un
reciente artículo titulado "The Rise of Little Brother"
La histeria desatada por las recientes noticias sobre el número identificador que llevan incorporado los chips Pentium III y algunos II, y el descubrimiento que Microsoft ha estado recolectando los datos de las máquinas en que se ha instalado Windows 98, sin el consentimiento de los usuarios, es sólo un capítulo más de la carrera hacia la aniquilación del antaño sublimado anonimato en la red. Una carrera que levanta gran escandalera pero no ceja en su empeño, amparada por un contrasentido: aunque en todas las encuestas la privacidad se desvela como la preocupación número uno de los cibernautas, pocos le prestan atención en la práctica, por desidia y desconocimiento. Como dice Jaime Agudo, del Computer Emergency Response Team español, "el problema es que los interesados en disponer de información pueden ahora utilizar muchos datos de usuarios sin conocimientos de seguridad y no parece que exista un movimiento civil para democratizar herramientas ya disponibles".
Así, la recolección de
datos sin el consentimiento ni, usualmente, el conocimiento del usuario
es hoy una práctica común en la red, donde la mayoría
de sitios ni tan sólo informan de qué van a hacer con ellos.
El más importante es la dirección IP (Internet Protocol):
para conectarse, todos los ordenadores necesitan tener un número
que les identifique, a veces fijo o, más usualmente, aleatorio,
dentro de un rango de direcciones propiedad del proveedor o la red de acceso.
La dirección IP aparece en todas las cartas que enviamos, es visible
cuando se está conectado a IRC e ICQ y la registran todos los lugares
que se visitan en la World Wide Web o al hacer un FTP. A partir de este
número, cualquiera puede deducir el proveedor y país del
cibernauta e incluso, afirma Marck Collado, consultor independiente de
seguridad, "analizando las huellas o logs es posible localizar desde qué
número de teléfono se ha hecho la llamada, día y hora,
en caso de un acceso por módem y, si es a través de una red,
se puede saber exactamente qué máquina es". La policía,
además, con una consulta al proveedor -que muchas veces ni tan sólo
pide autorización judicial- consigue saber nombre y dirección
de la persona investigada.
Pero la dirección IP no es lo
único que puede descubrirse de los navegantes, aunque sí
lo más peligroso para que su identidad real salga a la luz. Sea
por fallos de los navegadores Netscape y Explorer, por llevar activada
la opción de acceptar Java, Javascript, ActiveX y "cookies", o por
haber rellenado en el navegador todas las casillas en las que se piden
datos personales, los sitios visitados en la web pueden saber las direcciones
que ha visitado anteriormente el cibernauta, las páginas que mira,
el tiempo que está en una página, los enlaces que sigue,
el nombre y tipo de ordenador, el sistema operativo, el contenido de su
disco duro, el tipo de navegador, las características de la pantalla,
su dirección de correo, su nombre, su empresa e incluso alguien
malintencionado puede no quedar satisfecho con toda esta información
que se le regala inadvertidamente y coger algún archivo del ordenador
del visitante, engañarle con un botón trampa que ejecute
programas maliciosos en su ordenador o con una página falsa o un
javascript para que revele su contraseña de acceso al banco.
Las posibilidades de recolección de información personal en la red no acaban aquí. La dirección de correo electrónico, a no ser que se usen direcciones anónimas, es un dato tan importante como la dirección IP para llegar a la persona real. También su participación en foros electrónicos donde, a partir de búsquedas en Dejanews o sencillamente por participar en el mismo foro, cualquiera puede llegar a saber de su vida, hábitos, gustos, lugar de residencia, etc, o bien enviarle "spam". Y, aunque no se diga ni mú, el simple hecho de apuntarse a una lista de correo es anti-anonimato, ya que el administrador puede no tener desactivada la opción "who", con la cual es posible saber las direcciones de todas las personas suscritas a la lista enviando un simple mensaje al programa gestor. Se han dado casos también de administradores que guardaban en lugares inseguros las direcciones de los suscritos, con el consiguiente robo de éstas para fines comerciales, bromistas o vandálicos. Aunque no se tiene porque ir tan lejos para recopilar direcciones: sólo es necesario acceder a alguno de los grandes repositorios como los buscadores WhoWhere, Four11 y Internet Adress Finder, sin mencionar lo que deben estar haciendo con los datos personales servicios de redireccionamiento de correo como Bigfoot, Geocities, Iname y otros.
Hablando de archivos robados y ya en
plan paranoico total, la privacidad tampoco está asegurada a nivel
de proveedor de acceso. Sea porque la empresa no cuenta con un especialista
en seguridad o por desidia del administrador, sea por las decenas de fallos
en programas que se descubren cada día y que dejan puertas abiertas
a los intrusos, sea porque el servicio de atención al cliente no
está entrenado contra la ingeniería social, cualquier hacker
malicioso o espía del CESID puede robar y descifrar fácilmente
las contraseñas de uno o todos los usuarios y acceder a su correo
electrónico o leerlo si no utiliza criptografía. La mayoría
de veces, esto sucede por fallos en los programas que, como aseguran en
el CERT, "sean intencionados o no, son una amenaza para la seguridad",
mientras los fabricantes eluden toda responsabilidad. La red está
repleta de historias no confirmadas de supuestos errores para uso y disfrute
del Gran Hermano y contra la privacidad de los usuarios. Se dice que Sun
vende máquinas a China con puertas abiertas para que cierta información
se envíe automáticamente a los Estados Unidos. La última
va sobre el juicio a Microsoft: el gobierno estaría buscando un
pacto con la empresa para que se comprometa a controlar a los usuarios
con sus programas.
En este ambiente, los casos Intel y
Microsoft han caido como bombas, aunque algunos, como Xavier Perramon,
también del CERT, piensen que "se le ha dado mucha importancia pero
en realidad no es nada extraordinario", refiriéndose al número
identificador de los chips Pentium, cuando él hace tiempo que trabaja
con máquinas que llevan chips Sparc, cada uno con número
propio que el usuario puede conocer fácilmente. También los
iMac, tarjetas como las SCSI y Ethernet o los teléfonos móviles
se identifican con un número, el problema viene porque, como dice
José Luís Martín, flamante presidente de Fronteras
Electrónicas, "esta vez estamos hablando de Intel, que controla
casi todo el mercado de procesadores. Imagínate que nos implantaran
a todos un GPS en el cuerpo que dijera en todo momento donde estamos",
y le ayuda José Manuel Gómez, quien afirma en el último
número de "Kriptópolis": "Dada la previsible futura conexión
de todos los electrodomésticos a redes IP, si no hacemos algo
pronto, alguien podrá saber, en algún sitio, a qué
hora se levanta usted y calienta su café, cuándo ve la televisión,
qué programas y -si se descuida- casi hasta el día en que
llenó por última vez su nevera".
¿SEGURIDAD? PARA NADA
Aunque la introducción de números
identificativos en los ordenadores se haga en aras de una mayor seguridad
en la red, son precisamente los expertos en seguridad informática
los primeros en poner en duda su utilidad. Por una parte, por ser fácilmente
falsificables, como ya está sucediendo con los números de
las máquinas conectadas a una red Ethernet: "Hay casos de tarjetas
de red clónicas, "made in Taiwan", todas con el mismo identificador",
asegura Marck Collado, consultor independiente de seguridad, y añade:
"Suponiendo que todos los procesadores llevasen un número universal,
lo único que podrías localizar seria el ordenador, no la
persona. En una empresa hay muchos ordenadores, existen los cibercafés
y otros locales públicos para conectarte a la red. Además,
con suficientes conocimientos se podría crear un programario que
diese un número falso o aleatorio, no tiene ninguna utilidad para
lo que es realmente necesario: la autentificación, la capacidad
de asegurar y verificar quien decimos ser".
En el CERT español se comparte
esta opinión: "La dirección IP sí es de gran utilidad
para identificar un ordenador en Internet, pero un número identificador
sólo tendría interés para el programario que se ejecuta
en la máquina, nunca para aumentar la seguridad. Existen ya en los
ordenadores varios números que juntos identificarían a la
máquina, por ejemplo la versión de CPU más el número
de placa más el número de serie del disco duro. Un identificador
único no sirve para nada. En cambio, un usuario no experto podría
enviar este número a la red sin su control, con cualquier prográma
malévolo", explica Jaime Agudo, quien rompe además una lanza
al asegurar: "Para conseguir la seguridad se necesita lo contrario, la
anonimidad. Un número fijo nunca debería estar unido a una
identidad, debería ser diferente para cada uso: uno para mi banco,
otro para mi librería..".
A pesar de esto, la tendencia es clara
hacia una mayor identificación de los ordenadores conectados a la
red, no precisamente por el éxito que pueda tener la innovación
de Intel sino por el futuro protocolo IPv6 que ya contempla, entre otras
prestaciones pensadas para una mayor seguridad, que los paquetes IP contengan
la dirección única de cada máquina, con lo cual, según
Agudo, si se activa esta función "se puede saber el tipo de ordenador,
la marca y adicionalmente versiones de programas y fabricantes. Cruzando
esta información se pueden obtener muchos datos de la identidad".
**********************************************************
GUÍA DE SUPERVIVENCIA
Precisamente fue de Intel de donde salió la célebre frase "Sólo los paranoicos sobreviven" y, realmente, la paranoia es ya un estilo de vida obligado en el ciberespacio, donde existen bastantes alternativas para eludir el control sobre la propia identidad.
CORREO ELECTRÓNICO. Utilizar
servicios de correo gratuito basado en la web, para no dejar trazas ni
tan sólo de la dirección IP, ya que la que se muestra en
el mensaje es la del servidor. Para acceder al servicio de correo, puede
hacerse a través de un proxy: la huella que quedará será
la dirección del proxy y no la propia. Como explica Marck Collado,
así es casi imposible descubrir quién envió la carta:
"Primero, se tendrían que obtener los registros de acceso a Hotmail,
con la de accesos que tienen estos servidores. Una vez localizada la dirección
del proxy, entre millones, se deberían conseguir los registros de
accesos del proxy, que muy probablemente, si es un proxy anonimizador,
no los guarda". Para paranoicos totales, "remailers" (http://www.iec.csic.es/criptonomicon/remailers.html
y http://www.arnal.es/free/cripto/anon/rem-faq.htm) o los programas Private
Idaho (http://www.eskimo.com/~joelm/pi.html) y Freedom (http://www.zero-knowledge.com).
WORLD WIDE WEB. Navegar a través de proxies (el del propio proveedor o proxies anónimos), anonimizadores (http://www.anonymizer.com) o Private Idaho y Freedom. Desactivar las "cookies", Java y Javascript. No escribir nada que no se quiera que se sepa, en las preferencias del navegador. Mejor usar las últimas versiones de los navegadores.
GENERAL. Ser sanamente paranoicos.
Investigar un poco, antes de meterse en proveedores, listas y directorios,
sobre el uso que hacen de los datos (http://www.ag-protecciondatos.es/recomen.html).
Cuidado con la información personal que se envía por correo
electrónico. Usar criptografía en caso de duda. Cuidado también
a la hora de rellenar formularios que piden demasiados datos y, si se tercia,
mejor dar información falsa. Más consejos en http://www.iec.csic.es/criptonomicon/consejos.html.