Objetivo, proteger nuestros smartphones
En los últimos años ha estado embarcado en un proyecto igualmente ambicioso: la creación de un smartphone seguro que permita utilizar servicios de comunicación en los que la salvaguardar la privacidad es uno de los objetivos fundamentales. Su actual empresa, Silent Circle, trabajó codo con codo con la empresa española Geeksphone para lanzar al mercado el año pasado el BlackPhone, un smartphone que pudimos conocer en detalle durante el Mobile World Congress de 2014 y que ya lleva unos meses a la venta.
Durante ese encuentro en el que pudimos entrevistar a los responsables de Geeksphone también tuvimos la ocasión de asistir a la presentación que Phil Zimmermann ofreció como parte del lanzamiento, y ya entonces dejó claros los riesgos que asumimos al utilizar un smartphone y como la propuesta conjunta de ambas empresas estaba orientada a proporcionar una solución para todo tipo de usuarios.
Un año después y con motivo del Día Internacional de la Privacidad de Datos tuvimos la ocasión de hablar con Zimmermann por teléfono, una oportunidad que aprovechamos para preguntarle sobre el estado actual del proyecto BlackPhone, pero sobre todo sobre sus impresiones sobre el estado de nuestra privacidad actualmente.
Las empresas, cada vez más interesadas
Empezamos preguntándole al Sr. Zimmermann por el estado de las ventas del BlackPhone, pero no pudo darnos datos concretos aunque sí indicó que “todo lo que hemos fabricado se ha vendido“. Eso puede significar muchas cosas, por supuesto, pero lo que sí era destacable era el interés de las empresas por este terminal y por los servicios asociados a él.
El Blackphone, nos explicaba lo venden “a operadoras, y ellas venden a las empresas. Aunque los clientes particulares pueden comprarlos igualmente, son las empresas las que parecen tener más interés“. En ese creciente interés por parte de usuarios profesionales ha habido incidentes que han ayudado a que todo el mundo -empresas y particulares- sean más conscientes de las amenazas a su privacidad. Y entre esos riesgos estaba por supuesto el escándalo de los ciberataques a Sony.
“Nos embarcamos en este proyecto para proteger la privacidad de los individuos, y con el tiempo nos hemos dado cuenta de que proteger la privacidad de los individuos en su trabajo es la mejor forma posible de seguridad corporativa
El propio Phil Zimmermann ha redactado una carta abierta dirigida a los CEOs de todo tipo de empresas en los que les insta a seguir políticas de privacidad y seguridad más férreas. El foco actual deben ser de hecho los smartphones, asegura, sobre todo teniendo en cuenta que cada vez más usuarios utilizan de forma indistinta el smartphone del trabajo en su vida personal, y viceversa. Como explicaba en esa carta,
El cifrado funciona, pero el correo electrónico es difícil de proteger
Las constantes noticias que se reciben sobre ciberataques no dejan muy claro si los actuales mecanismos de cifrado que muchas entidades aseguran usar nos protegen o no. El Sr. Zimmermann aclaraba la cuestión: “el cifrado funciona si tienes protocolos cifrados bien diseñados“, afirmaba, y aquí quiso dar un ejemplo relacionado con los documentos filtrados por Edward Snowden.
En una de aquellas filtraciones se hablaba de los esfuerzos por romper la seguridad de los sistemas de cifrado utilizados en Internet, y en los correos que intercambiaron en la NSA se hablaba por ejemplo del Zfone. Ese software fue creado por Phil Zimmermann para comunicaciones seguras a través de protocolos VoIP, y en el correo se mostraba un título revelador “Esto no puede ser bueno“, en referencia a la calidad del cifrado que se utilizaba en dicho sistema y que por lo visto suponía una barrera especialmente compleja de superar por parte de estos programas de monitorización y espionaje masivos.
Que se utilice cifrado, aclaraba el Sr. Zimmermann, no significa necesariamente que la comunicación sea totalmente segura. Ocurre por ejemplo con el correo electrónico, que como nos explicaba, “involucra el uso claves que se utilizan a largo plazo“, y no claves de sesión como las utilizadas en una llamada de teléfono cifrada. Estas últimas claves se utilizan durante la llamada, pero luego desaparecen, pero en el correo electrónico esto no es así.
Big Data y el síndrome de Diógenes
En la última parte de la entrevista hablamos de otro de los temas candentes estos últimos tiempos: la relevancia del Big Data y cómo eso puede afectar a la privacidad de los usuarios y de las empresas. El Sr. Zimmermann nos recordaba el caso que salió a la luz hace ya tres años, y en el cual la cadena de tiendas Target estuvo implicada.
Para los que no lo recordéis -yo desde luego no lo hacía ayer-, esta cadena tiene incluido el servicio de farmacia, y como parte del servicio se envían ciertos correos a los clientes en base a la información que el sistema recolecta de ellos. Ocurrió que un padre se quejó a la cadena de tiendas por unos correos que le habían llegado a su hija. “Aún está en el instituto, ¿y le estáis enviando cupones para ropa de niño y para cunas? ¿Estáis tratando de animarla a quedarse embarazada?”
El encargado de la tienda se disculpó y unos días más tarde volvió a llamar al padre para repetirle que no volvería a ocurrir y que aceptara de nuevo sus disculpas. La respuesta le dejó impávido: “He tenido una charla con mi hija. He descubierto que han tenido lugar ciertas actividades en mi casa de las que no me había enterado. Va a dar a luz en agosto“.
El sistema de recolección de datos de Target había detectado que esta chica estuviese embarazada antes de que la familia lo supiera, algo que dio lugar a una situación incómoda. Los riesgos de filosofías como los del Big Data quedan patentes, pero también ese ansia por almacenar datos que marca esta tendencia tan de moda y que según Zimmermann es errónea: “guardamos demasiados datos simplemente porque podemos hacerlo“.
Esa política de las empresas de almacenarlo todo por tiempo ilimitado es a juicio del Sr. Zimmermann un verdadero problema, como ha demostrado el caso de los ciberataques de Sony en el que salieron a la luz correos que se habían almacenado sobre las conversaciones privadas de actores, productores, directores o ejecutivos de las productoras de Hollywood con comentarios que han dado lugar a todo tipo de escándalos. Y lo que es cierto para Sony lo es para todo tipo de empresas y agencias gubernamentales, que precisamente podrían verse comprometidos por esa misma información que guardan con tanto celo de forma perpetua.
“Guardamos demasiados datos simplemente porque podemos hacerlo”
Aquí la reflexión coincide con la que hace poco publicó en Ars Technica Bruce Schneier, otro de los grandes referentes en el mundo de la seguridad. Schneier indicaba lo importante que es borrar datos antiguos y obsoletos y cómo esa mentalidad de que “el almacenamiento es barato, ¿por qué no salvaguardarlo todo?” puede llevar al desastre. El, como él mismo decía, un riesgo más a la seguridad: el riesgo a la exposición.
Fuente: http://www.xataka.com