Pregúntame: encuentros digitales
58 meneos
25151 clics

Soy Javier Ramírez, experto en privacidad y seguridad informática. Pregúntame

Soy Javier Ramírez, experto en privacidad y seguridad informática. Creador de Guard (useguard.com), una inteligencia artificial que lee y analiza políticas de privacidad por ti y detecta los riesgos de privacidad en ellas. Llevo los últimos 5 años creando y vendiendo software, tanto como cofounder en startups, como freelancer, como de manera independiente.

Jueves, 18 de junio, a partir de las 17:30.

| etiquetas: privacidad , seguridad , términos de uso , pregúntame
41 17 1 K 30
41 17 1 K 30
Directo y al grano, no como las políticas de privacidad: ¿la tortilla con cebolla, no?
Gracias por venir por aquí {0x1f609}
#1 Como te diría cualquier persona de bien... ¿acaso sabe a algo sin cebolla? ;)
Me gustaria que contaras un poco como fue y como se solucionó (si se hizo) el tema de las escuchas en la aplicación de la FIFA para detectar bares que no pagaban la subscripción especial.

Saludos!!
#2 La verdad es que no me gusta nada (pero nada de nada) el fútbol y aunque he escuchado de refilón el tema no conozco los detalles del caso. Con decirte que hasta hace bien poquito creía que Casillas seguía en el Madrid…
#2 querrás decir la App de LaLiga.
Hola! Suelo navegar con el vpn Private Internet Access. Que opinión te merece? Otra cosa. Qué te parece más privado? Un vpn con una buena configuración de cifrado o usar Tor ? Imagino que me dirás qué depende de donde esté el servidor vpn o la sede de la empresa.... En fin no tengo mucha idea. Gracias.
#3 Lo que te diría cualquier pragmático de la privacidad es que ningún servicio de VPN te garantiza en realidad privacidad: no tienes control sobre lo que pasa en sus servidores. Esencialmente, le estás “regalando” todo tu tráfico a un tercero sobre el que confías en que no lo loguee, no haga analíticas de uso sobre él, no te restrinja tu ancho de banda, no te trackee, no te perfile (cosas como hábitos de uso, IP...): en fin, confías en que no harvestee tus datos y los revenda al mejor postor / los use para otros fines… por no hablar de que incluso podrían hacerte instalar malware y comprometer más tu seguridad de lo que la solucionan. Lo más privado, seguramente, sería montar tu propia VPN en un servidor / VPS / instancia / whatever en la nube, donde al menos tendrías control sobre todo lo que pasa hasta que el tráfico sale del servidor VPN.

Esta es la respuesta en “modo full paranoico”. Lo que te diría yo como persona de a pie es que seguramente tanta paranoia sea contraproducente. La pregunta siempre está en cuánto tiempo y recursos estás dispuesto a invertir en montar contramedidas y sobre qué potenciales ataques las estás montando, para evaluar si tiene sentido invertir tiempo en ello. Muchas veces no tiene sentido comerse la cabeza e invertir semanas e incluso meses en montar contramedidas desproporcionadas. Para el usuario medio de internet, el que no quiere comerse la cabeza configurando instancias Linux para montar VPNs propias, seguramente un servicio de VPN como el que comentas sea más que suficiente. Para quien nos esté leyendo, alguien que se esté planteando de nuevas qué VPN usar, una buena heurística para elegir VPN sea podría ser que si es gratis casi seguro que es mala y está revendiendo tus datos; así que casi siempre la mejor opción es coger una de pago.

Sobre este servicio en concreto que comentas sí que parece que se escuchan cosas buenas pero personalmente no lo he probado así que no te puedo decir mucho más. Si tú lo has investigado, te funciona bien y confías en él, en principio adelante.

Sobre Tor, efectivamente es bastante más difícil que una sola persona o entidad consiga identificarte, perfilarte ni trackearte al enrutar tu tráfico a través de muchos nodos distintos, pero esto también viene con un coste: la velocidad de la navegación se vuelve lenta, casi inusable. Lo que comentaba antes: seguramente no tenga sentido ponerse en modo “100% paranoico” para hacer navegación “normal”: encuentra un compromiso con la solución que funcione para ti y que tenga un coste (monetario, tiempo, recursos) que estés dispuesto a asumir y funciona con ello hasta que deje de servirte.
#46 muchas gracias por tu tiempo :-)
Buenos días! Yo tengo una pregunta: si pides la eliminación de tu cuenta en un foro de Internet, ¿Se deberían borrar también los mensajes de dicho usuario? Gracias
#4 Me uno a la pregunta. Hace años que tengo esa duda. Hay legislación de "Derecho al olvido", pero desconozco como se aplica en foros/comentarios o si es solo para buscadores, si solo aplica cuando te vincula de una manera directa... es.wikipedia.org/wiki/Derecho_al_olvido
#4 Se puede hacer. Hubo un foro en el que pedí que se borrara todo mi contenido y lo hicieron. Y en reddit existe un script que permite, no borrar, pero si sobreescribir todos tus comentarios con nada o con un mensaje de despedida como paso previo a darte de baja. En reddit no hay plazo límite para modificar tus comentarios.
#15 la pregunta no es si se puede. Es más bien a si tienes derecho a pedirlo.
#16 Imagino que dependerá de las condiciones que hayas aceptado al registrarse en dicho foro ya que no creo que haya legislación específica para ello, así que en cada casa sus normas...

Por supuesto, nada te impide pedirlo y, en caso de que te lo denieguen, denunciarlo a instancias superiores, los cuales estimarán si entra dentro del derecho o se vulnera alguna ley....
#19 Las normas del foro dan igual. La duda, como he dicho, es si el usuario tendría derecho a solicitarlo y el foro la obligación de hacerlo para cumplir con la ley.
#20 Mientras se respete los datos personales, es el usuario quien aporta al sitio web. Salvo que hayan datos que justifiquen su borrado, esos datos anominizados son del foro.
Cuando vendes en Amazon y das de alta un producto nuevo, el listing del artículo pasa a ser de amazon, a pesar que pierdas tu tiempo dándolo de alta e incorporando una descripción y contenido multimedia. Y de poco sirve darse de baja que el artículo no se borra.
#16 en mi caso, ese foro (creo que era de algo de narrativa fanfic) lo que hice fue recurrir a nombrarles la ley de protección de datos. Y me borraron todos mis post y comentarios.
Si tan experto en seguridad informática eres, ¿Como explicas tener tu contraseña en un post-it en la pantalla y que además sea '1234qwerty'?
#5 Vaya, así que eres tú el que ha entrado en mi email y se ha puesto a enviar correos spam.
¿Cuáles crees que son las principales medidas de seguridad que debemos tomar los ciudadanos de a pie en nuestro día a día?

Ese tipo de cosas con las que un experto en seguridad se tira de los pelos cada vez que se entera de que alguien no las realiza?
#6 Una de las cosas que más me fascina ver es gente que apunta contraseñas de sus servicios en texto plano, esto es: abren un archivo de Word, o una nota de la típica app de notas, y apuntan ahí contraseñas. Creo que un buen gestor de contraseñas es básico, incluso usar contraseñas generadas que ni tú mismo sepas (otra cosa que me fascina es la gente que usa la misma contraseña para absolutamente todo).

Luego cosas como nunca usar WiFis abiertas… sé que hay momentos tipo aeropuertos o cafés en los que tienes que sacar el portátil para trabajar y “no te queda otra” pero ahí casi siempre merece más la pena montarte un punto de acceso con tu móvil y tirar de datos. Rápido, en 30 segundos tienes internet y te quitas de un montón de riesgos de a saber lo que tienen montado en el WiFi de turno. Tampoco entiendo bien la gente que da sus datos de gratis a este tipo de WiFis, en plan “¡Danos tu email, fecha de nacimiento, cuenta de Facebook, Twitter y Google y quizá hasta te dejemos usar nuestro WiFi durante 30 minutos!”. Es que, incluso aunque estés dispuesto a dar todo eso, no creo que ni la transacción merezca la pena. Si no te queda otra, siempre intentar dar datos falsos o cuentas de email “throwaway”.

En esta misma línea, también es muy de tirarse de los pelos ver a alguien dar sus datos personales sin ningún tipo de reparo, a cualquier web que se lo pida: desde ecommerces a blogs a cualquier página de dudosa reputación.

Y por último, para no extenderme mucho, porque el comentario podría ser infinito y seguro que me dejo cosas importantes fuera, ser muy conscientes de lo que usamos y lo que publicamos. “La nube”, “los servicios” son solo sinónimos para decir “el ordenador de otra persona”. Publicar una foto en Instagram es el equivalente digital de coger una foto, imprimirla / fotocopiarla y enviársela por correo postal a Mark Zuckerberg. Una vez en su poder, él puede hacer las copias que le dé la gana o publicarla en (casi) cualquier sitio. Una vez enviado pierdes el control sobre lo que publicas, por mucho que la interfaz ofrezca un botón de “borrar”, nadie garantiza que esos datos son realmente borrados y no ocultados, o que han sido eliminados de todas las copias de seguridad / copias distribuidas, o que no han sido vendidos ya (agregados o en bruto). Y esto no solo aplica a fotos y cosas así “públicas”, aplica a cualquier servicio que te ofrezca algo privado “en la nube”: usar Spreadsheets (el “Excel” de Google) significa que Google tiene copia de todos esos datos, por muy privado que parezca el dashboard. No digo que sea bueno o malo, o que debamos evitar unos servicios u otros, solo que deberíamos ser muy conscientes de cada vez que le damos al botón de “upload” o “new”, porque es a partir de ahí donde realmente perdemos el control.
¿Crees que sirve para algo la normativa de las cookies? Y que todas las webs saquen el famoso anuncio para que la mayoría pulse "Acepto todo" sin mirar
#7 En mi opinión, es un absoluto fracaso. La definición de ineficiencia. Algo que nadie quiere poner ni nadie quiere leer. Entorpece más la experiencia de usuario de lo que la ayuda. A nivel regulación sería otro tema a tratar, pero a nivel implementación y usabilidad, mal. Es precisamente el punto de partida y un poco problema que quiero resolver con Guard.
Buenas, te tengo tres preguntas sobre "opinones de":

A) ¿qué opinión tienes de programas como firejail usado en navegadores, cuando, supuestamente, firefox y chrome ya tienen un modo sandbox activado? ¿Crees que son necesarios para el usuario común?

B) ¿Qué opinión tienes de Pihole? Me refiero a alguien que lo use únicamente dentro de su red wifi (en su casa, no fuera), y descontando la parte de bloquear ads (cosa que se puede hacer en navegadores con uBlock Origin).

Y por último, esta es más fácil, creo: C) ¿Qué te parece que el WPS venga activado el 99% de las veces en los routers, con el coladero para la seguridad que es?

¡Muchas gracias!
#8 A) En mi opinión, demasiado complejo para el usuario común. Creo con que el usuario común usara Firefox en lugar de Chrome el salto de privacidad ya sería enorme.

B) Bien, útil, pero es un rollo. Es el tradeoff que comentaba en #53: guay si estás dispuesto a asumir el coste. En Pihole usas heurísticas que no siempre son correctas (ej.: decido bloquear dominios de Sony porque me parece por la razón X que es poco privacy-friendly pero de repente mi hermano se queja de que la PlayStation no le funciona y tengo que entrar, debuggear y whitelistear, lo que es una molestia y me consume tiempo; y así con cada cosa que deje de funcionar y con cada nueva persona que entre en la red con su set particular de preferencias / servicios que usa). Creo que es difícil alinear las preferencias de privacidad de muchas personas para hacerlo realmente cómodo, pero si eres solo tú puede ser un buen aliado.

C) Pues qué puedo decir... si construyes un bunker pero te dejas la puerta abierta, la gente va a entrar igual.
#61 ¡Muchas gracias por tus respuestas! Coincido con las tres, (con la B ya es depende del uso de productos, de la familia, etc.)
¿Cuáles son los datos más sensibles que una página web puede recoger vía Javascript (o como sea) solo por el hecho de entrar? ¿Qué extensión recomiendas para evitar que se recolecten estos datos en el navegador?
#9 Por ponernos catastrofistas: por poder, se puede recoger todo. Desde lo que estás viendo exactamente hasta inferir a qué parte concreta de la pantalla están mirando tus ojos (parece que el movimiento del ratón correlaciona con el movimiento de los ojos)... hasta registrar prácticamente cada pulsación de una tecla que hagas (desde contraseñas a notas personales, mensajes privados...), tipo Grammarly (aunque esto es una extensión y tiene otros matices). Esencialmente, cuando visitas una página es como si estuvieras entrando en una que no es de tu propiedad, y que tiene cámaras en cada esquina. Esta es la versión catastrofista. Lo más típico, sin embargo es que se registren cosas menos perniciosas: qué páginas visitas, con qué frecuencia, etc.

La solución más radical es bloquear por completo la ejecución de Javascript en todo el navegador. Esto no elimina por completo todos los problemas (el servidor puede seguir trackeando las páginas que sirve, e incluso hay maneras de trackear cargando imágenes en HTML o incluso CSS), pero la mayoría de trackers comerciales se caerían. Por contrapartida, la mitad de internet dejaría de funcionarte bien :-P

Esto es una medida quizá desproporcionada. Lo que se suele usar a nivel de usuario son extensiones tipo uBlock Origin, Privacy Badger, o incluso uMatrix para usuarios un poquito más avanzados. También recomiendo usar un navegador que respete la privacidad por defecto, tipo Firefox. Creo que esto debería ser suficiente para la mayoría de usuarios.
#9 Te puedes aburrir de instalar extensiones para evitarlo, tengo casi 20 extensiones por algún tema de privacidad. La paradoja es que esas extensiones ponen más en peligro la privacidad y seguridad :shit:
#41 Muchas hacen prácticamente lo mismo y seguramente tengas un overlap tremendo entre todas ellas. Sobre que las hay que ponen más en peligro de lo que te solucionan: las hay, pero no creo que las más conocidas lo sean. Por ejemplo, "uBlock", que muy astutamente se han puesto prácticamente el mismo nombre que "uBlock Origin", es algo completamente no relacionado con ellos, algo a evitar y algo que de hecho la mayoría de blockers bloquean. Creo que con el pack básico de Firefox + uBlock Origin + Privacy Badger + uMatrix cubres el 90% del espectro y te evitas tener 20 instaladas.
#50 Te listo las que tengo relacionadas con la privacidad

- AudioContext Fingerprint Defender
- Browser Plugs Fingerprint Privacy Firewall
- Canvas Fingerprint Defender
- ClearURLs
- Cookie AutoDelete
- CSS Exfil Protection
- Decentraleyes
- Don't track me Google
- Don't touch my tabs! (rel=noopener)
- Font Fingerprint Defender
- HTTPS Everywhere
- Random User-Agent
- Redirect AMP to HTML
- Toggle Referrer
- uBlock origin
- uMatrix
- WebGL Fingerprint Defender

Se que algunas extensiones podría quitarlas y configurarlas a mano en el about:config o incluso con otras extensiones, pero tenerlas así me facilita poder desactivarlas en un momento dado sin volverme loco. A mi no me sobra ninguna.
Me gustaría conocer tu opinión al respecto de la noticia en que un reconocido restaurante de Madrid va a exigir pruebas de Covid previo al acceso a su restaurante y que además las ofrece un situ.
www.meneame.net/story/fernando-simon-atonito-ante-pregunta-no-parece-n
Hola, pues yo tengo dos preguntas, la primera es ¿Que libros, cursos etc recomendarias para formarse en ciberseguridad o crees que es mejor formarse practicando?.

La segunda es una duda un tanto profesional: el tema es para hacer un sistema de login seguro de verdad, yo tengo hecho para una aplicación, algo con cierta seguridad pero basico, más que nada porque estoy haciendolo sin servidor que guarda en github y no es un programa que guarde información sensible, así que tengo una clave en un…   » ver todo el comentario
#11 ¿Y por qué tienes un apartado de recordar contraseña en lugar de generar una clave nueva al usuario que olvide la suya? Guardar las contraseñas en claro siempre es un riesgo de seguridad elevado, que la mayoría de las veces no vale la pena correr.
#31 Hola, el motivo que tenga un recordar contraseña, es porque no es una aplicación para "uso diario" es una aplicación para planificar partidas de rol, y prepararlas, si no tienes partida en meses como puede pasarle a varias personas por ocupaciones o x, es muy probable que no recuerden bien la contraseña y no quiero estar haciendoles constantemente cambiar de contraseña porque no se acuerden si no quieren usar la "de siempre", era como lo tenia enfocado aunque también me plantee lo que dices, solo que considero que pueden entonces llegar a ver la aplicación como una molestia más que una ayuda
#11 perdona que me meta... seguro que #0 te puede contestar mejor a la segunda cuestión pero es que me ha llamado la atención. Si por la opción de recordar los datos te refieres a esos checis de "recordarme en este equipo" y similares, que sepas que normalmente lo que se hace en ese caso no es guardar los datos de inicio de sesión en local, si no, en el lado del servidor, crear una sesión sin caducidad para ese equipo (que identificarás por cookies o lo que sea) pero no guardas los…   » ver todo el comentario
#28 Hola, se trata del primer caso es decir tipica ventana para introducir usuario y contraseña y un check de recordar contraseña, la verdad que me has ayudado bastante, como suponia lo mejor es algún tipo de token, o como tu dices unas cookies para que el servidor identifique al usuario, lo que ocurre es que supongo, que con esa configuración lo que pasaría es que el usuario se autologuearia.

Mi intención de primeras era tener como muchos juegos y otros programas que te aparece ya el usuario…   » ver todo el comentario
Hola buenas, gracias por ofrecerte a responder. Mi pregunta es simple: Con la tecnología actual y los recursos de los grandes actores ¿crees que la lucha por la privacidad está perdida?

El cifrado del email (p.e. gpg) se perdió. La lucha por ocultar los metadatos en las comunicaciones entre personas es algo casi inexistente a nivel práctico. Los sistemas federados son casi anecdóticos y se pasa a sistemas propietarios, casi todos bajo un mismo gobierno (EE.UU). La batalla del cifrado DNS se…   » ver todo el comentario
#12 gpg no esta perdido. Tampoco tox.
Hola.

Si tuvieras que recomendar medidas de seguridad para las personas de a pie con varios niveles cual seria siguiento estos criterios.

1- Pocos conocimientos, poca inversion
2-Gastos medio , poco conocimiento
3- Conocimientos medios y gastos medios
4- Disponibilidad d etiempo conocimientos y dinero

Siempre antendiendo a mejor relacion calidad precios.

no se si esto preguntando una chorrada, pero siempre que me quiero lanzar me da pereza y no se por donde empezar.
#13 Quizá en lugar de atendiendo a nivel de conocimientos e inversión te lo puedo responder en función del nivel de “paranoia” que estés dispuesto a asumir, que al final es directamente proporcional al nivel de conocimientos y recursos invertidos. Algo como:

0 - Usuario normal despreocupado
1 - Tener cuidado con qué servicios usas y cuáles no, no dar tus datos por todas partes, no publicar todo en todas partes, no publicar en TW/IG con geolocalización activada, no usar WiFis públicas, etc.
2 - Empezar a usar servicios privacy-friendly. Usar Firefox en lugar de Chrome, Telegram en lugar de Whatsapp, etc. Empezar a dejar de usar servicios fácilmente reemplazables.
3 - Bloquear trackers (uBlock Origin, Privacy Badger), usar servicios de VPNs, montar alguna solución tipo PiHole, etc.
4 - Dejar de usar servicios “críticos” aunque no haya buen equivalente “privacy-friendly” (la definición de crítico varía de persona a persona, pero cosas como borrarse Gmail, Facebook, Twitter, Instagram, salirse por completo de redes sociales, etc.)
5 - Compartimentalizar tipos de tráfico en distintos navegadores: usar Firefox para el trabajo, Brave para navegación normal, otro navegador solo para cosas bancarias, etc.
6 - Instalar Linux de cero en tu ordenador y configurarlo con las máximas restricciones de privacidad y seguridad + instalar alguna distro privacy-friendly de Android en tu móvil, también configurada para privacidad, y usar solo estos dispositivos.
7 - Tener varios ordenadores con Linux instalado completamente montados y configurados desde cero para máxima privacidad, cada uno para un tipo de navegación en particular, ordenadores que vas rotando cada poco y borrando / reinstalando / reconfigurando periódicamente.
8 - Dejar de usar smartphone, usar solo un móvil viejo, potencialmente con una SIM que no esté ni a tu nombre, tener este móvil apagado el 90% del tiempo y solo encenderlo cuando quieras comunicarte.
9 - Desaparecer del mapa por completo, dejar de usar tecnología completamente.
#39 Sí, ambas. Como digo en #53, siempre hay un tradeoff entre comodidad y privacidad. En #51 detallo los niveles de "paranoia" que creo que existen. Yo personalmente soy de la opinión de que es difícil "salirse del sistema" completamente, y que hacerlo tiene más desventajas que ventajas: y personalmente necesito estar conectado con un montón de personas que solo usan WhatsApp así que es algo que no puedo eliminar completamente de mi vida. Lo que sí que intento es reducir superficie de ataque y minimizar riesgo. Apenas uso WhatsApp (para que te hagas una idea, tengo conversaciones sin leer desde hace meses), el 95% de mis comunicaciones con amigos, familia y grupos son vía Telegram. Uso un navegador concreto solo para navegar por redes sociales / usar servicios de Google, etc. No es un sistema perfecto pero dentro de esa escala de grises que comentaba en #53 que es la privacidad yo he encontrado mi balance personal vida/privacidad en este punto.
#51 Estoy a medias entre la 8 y la 9: no tengo smartphone, mi correo está en un servidor que yo administro,no usos sistemas operativos privativos ¿debo alegrarme o tal vez ya es momento visitar al psiquiatra? xD
Hola, en la cuenta de una asociación sin ánimo de lucro estamos recibiendo por Paypal donaciones de menos de 5 céntimos. Personas distintas, nombres nacionales y extranjeros, algunos repetidos, no contestan a los emails. Es muy raro y sólo viene pasando desde hace unas semanas. La cuenta y la tarjeta están en varias páginas de internet desde hace años, es accesible a cualquiera (vivimos de las donaciones). ¿Algún consejo sobre estos temas?

Gracias, un saludo
#17 ¿Dejan algún comentario en las donaciones? ¿Los emails son de un proveedor de emails "genérico" (tipo Gmail) o de algún dominio peculiar?
#52 No dejan comentarios, siempre correos de gmail y hotmail). Y es una transferencia "para amigos y familiares" (lo sé porque en estas no hay comisión de Paypal). Te paso una imagen de uno de esos movimientos por si ves algo. Dos detalles que se repiten, los únicos: pago mediante móvil (en otros sin comisión aparece Tipo de pago: Pago personal pero no creo que sea indicador de nada, no?) y abajo del todo aparece Personalizar y un número que en el resto de pagos no veo (no sé qué es). Muchas gracias :)  media
#56 Pues la verdad es que me suena haber leído sobre un caso parecido por alguna parte pero ahora no lo encuentro y no recuerdo dónde lo vi... si me acuerdo o me lo reencuentro vuelvo por aquí para publicarlo!
#56 que interesante... Y bueno... Me parece una put....

No hagas caso a lo que digo... Pero a mí me parece que usan vuestra cuenta para verificar que funciona algo. Y me da que ese código identifica algo del que envía el dinero. Y suena turbio.

No me extraña que estéis preocupados.

Si PayPal permite la devolución de forma gratuita, yo lo devolvería, para dejar claro que no se tiene relación con esa transferencia.

Valorad en añadir otra dirección de correo a esa cuenta de PayPal e ir dejando de usar el viejo poco a poco.
#17 siguen algún patrón? A lo mejor es alguien que usa vuestra cuenta para probar su sistema de transferencias. Os pusisteis en contacto con PayPal? Las demás transferencias siguen llegando como de costumbre?
#34 Ningún patrón ni de días ni de horas, unos por 1 céntimo, otros por 3, otros por 40. El resto llegan bien, no nos han hecho ninguna reclamación ni se han puesto en contacto con nosotros. Paypal dice que son transferencias correctas y no puede hacer nada ni darnos más datos

(Te comento que esto no me está pasando a mi, sino a una amiga que no tiene cuenta en Menéame y me ha pedido que pregunte por ella)
Buenas tardes. Cuando intento convencer a amigos y familiares para que cambien el uso de unos servicios por otros menos invasivos con su privacidad me suelen comentar que lo que más les importa es la funcionalidad y la facilidad de uso, y por eso prefieren seguir usando lo que ya usaban. ¿Qué argumentos podría darles para que cambiasen su opinión?

Por otra parte, ¿el método para frenar la difusión del coronavirus descrito en la imagen podría realmente funcionar sin afectar a la privacidad?

¡Gracias!  media
#18 Siempre hay un balance entre comodidad y privacidad y es muy difícil, por no decir imposible, alcanzar un nivel muy grande de privacidad con soluciones que sean cómodas para el usuario. Siempre va a ocurrir que tengas pasos extra, que tengas que sacrificar funcionalidad, que tal o cual cosa vaya más lenta, etc.

Este tradeoff es un problema enorme y la realidad es que la mayoría de los usuarios están dispuestos a dar muy poco a cambio de tener más privacidad.

Creo que hay poco que puedas hacer sin ser el típico amigo brasas que te intenta convencer sobre la causa de turno (yo lo soy, y es un suplicio para mis amigos, pero poco a poco vamos migrando grupos de amigos de Whatsapp a Telegram... pequeñas batallas ganadas). Como en otros movimientos (como la lucha contra el plástico), creo que va a ser algo que llevará mucho tiempo y esfuerzo hasta que cale en la opinión general. La parte positiva es que poco a poco parece que el interés sobre la privacidad empieza a crecer (ya es uno de las grandes razones por las que los usuarios deciden entre servicios en internet), muchos usuarios usan blockers (que es de lo que menos esfuerzo y sacrificio requiere para el beneficio que te da) y cada poco salta alguna noticia que hace ganar más adeptos.

Como argumentos a decir, quizá poner de manifiesto cosas que los servicios que usamos a diario dicen que hacen. Leerse las propias políticas de privacidad es una aventura en sí mismo y te puedes encontrar con perlitas que decirles, en plan: "¿sabías que Tinder potencialmente puede compartir tus matches y conversaciones, así que nada de lo que digas dentro de la app es privado?".
También dejarles claro que esto de la privacidad no es un blanco o negro, sino una escala enorme de grises. No hay que hacerse privado de entrada, no hay que implementar toda medida posible de primeras. Tampoco hay que borrarse Instagram de entrada. Es todo una cuestión de dar un primer pasito y empezar a cogerle el gustillo al sentimiento de no sentirse observado. Migrar de Chrome a Firefox puede ser un buen primer paso, y te puede servir para al menos hacerte consciente de tu identidad digital y el rastro que vas dejando por el mundo. Pero eso, es una escala de grises amplísima y encontrar el punto de esa escala en el que te sientes cómodo es todo un viaje. Creo que encontrar el paso inicial de mínima fricción es importante para ayudar a una persona a ser más privada.

Sobre el método del coronavirus: no parece mal approach si no existe una entidad central o mecanismo que pueda relacionar cada mensaje emitido con cada usuario concreto, desvelando así la identidad de cada usuario y si está infectado o no.
Buenas, muchas gracias por tu tiempo. ¿Como acercarías o que recursos conoces para introducir a chavales de secundaria en el importante mundo de la privacidad?
#21 Creo que la wiki del subreddit de Privacy (www.reddit.com/r/privacy/wiki/index) es un muy buen punto de partida al mundo de la privacidad que además tiene una intro con preguntas y respuestas bastante amenas que te pueden servir para despertar el interés de chavales de secundaria.

Si fuera yo (y siempre con las restricciones de tiempo, ganas y conocimientos, claro), quizá haría en clase una "demo" en vivo de cómo se puede descubrir qué está viendo una persona en su móvil y vulnerar completamente su privacidad. Se me ocurre algo como montar un punto de acceso wifi en clase con un router, dejar que algunos chavales se conecten con el móvil a ese WiFi y pedirles que naveguen – y tú desde un portátil conectado a la misma red, con alguna distro tipo Kali, hacer algún ataque MITM, inspeccionar paquetes con Wireshark, descubrir qué están visitando, potencialmente descubrir alguna contraseña si alguna web la envía en plano o si consigues hacer SSL stripping, etc. Sé que es complejo pero si tienes los conocimientos y el tiempo puede ser una demo muy vistosa para que entiendan que cualquier persona con un portátil conectada al mismo WiFi que ellos les potencialmente puede comprometer sus conversaciones privadas o sus sesiones de stalkear a un crush.
#54 Muchisimas gracias! Se podría planificar con el departamento de informática, que seguro que hay gente que tiene algo más de experiencia, aunque ciertamente puede ser un proyecto de investigación y aprendizaje muy interesante.
Hola Javier,

Aceptarías una pregunta sobre telefonía móbil?

Recientemente me encontré con este enlace (blog.torproject.org/mission-impossible-hardening-android-security-and-) donde habla de la falta total de control (privacidad) en telefonía movil.

Parece que el problema viene realmente de abajo (hardware, firmware, protocolos de comumicación movil, etc...) www.osnews.com/story/27416/the-second-operating-system-hiding-in-every .
He visto tu pagina de…   » ver todo el comentario
Dónde estan las condiciones de uso de Guard?
#23 useguard.com/blog/privacy-policy/

Ehhh, todo correcto.

- If you play our experiment located at privacyreader.useguard.com/play, we anonymously collect the result each pair match. We do not collect or store any data that will link this data to your identity. Optionally, we ask for you to provide some demographics and personal data, and this is stored independently from the rest of the data we collect, and it’s used only to ensure we’re ethically training the AI by not having any significant bias in the data we feed it.

- Right now we’re using the infamous Google Analytics to measure the health of our website.

Además del uso de fuentes localizadas en servidores de Google.
#43 Pero no lo cortes en lo interesante, hombre:

Right now we’re using the infamous Google Analytics to measure the health of our website. (...) Not having any analytics would make us blind. Google Analytics’ privacy policy applies. If you have any tracker blocker, such as UBlock Origin, you should be good and no data will be collected. We don’t send any kind of personally-identifiable event, though. We know GA is not the best option to track web usage, but it’s the only one that’s free and easy enough to use we’ve found so far. If you know of any better service we might use, please reach us at (...)
#55 No me parece justificado el uso de GA, que es muy cómodo, muy bonito, gratuito, con muchísima información... si, pero es lo opuesto a la privacidad y en una web enfocada a la privacidad me parece como defender la paz siendo fabricantes de armas bélicas. Excusarse en que pueblo bloquearlo tampoco me vale, también puedo bloquear el tracking de Google y muchos servicios con prácticas poco éticas.
Tienes herramientas como Awstats que toma las métricas del log del servidor y es infinitamente más…   » ver todo el comentario
#23 desde luego que es curioso, ni un check de aceptación de condiciones para suscribirse a la newsletter tienen
¿Cuál es más seguro Windows 10 o Fedora?
Gracias por venir. Un par de preguntas:
- ¿ En qué rangos de salarios se mueve un profesional de seguridad informática, si es que lo sabes ?
- ¿ Existen herramientas de inteligencia artificial que ayuden en la seguridad informática o es más una cosa de futuro ?
¿Que opinas sobre el hardware libre y su fomento a la seguridad al incorporar drivers libres?
Buenas Javier ¿Cuál es el nombre de tu primera mascota?
#30 Buenas Javier ¿Cuál es el nombre de la ciudad en la que naciste?
#37 Si pones tu contraseña en un comentario de Menéame, el sistema automáticamente la detecta y la convierte en asteriscos. ¡Es fantástico, probadlo! Mirad: mi contraseña es ****************


(No, no hagáis esto, esto es una broma, ya he visto en otros foros gente que no entendía que esto era una broma y lo hacía así que me parece imporante romper la magia de la broma poniendo este aviso para futuros navegantes)
#58 buenas Javier, ¿cuál es el apodo de tu infancia?
Hola Javier

Me interesa bastante el tema de la seguridad y entrar en él y me gustaría tener la opinión de alguien que ya esté dentro.

He estado mirando tu perfil y veo que tienes bastantes referencias sobre emprendimiento y formación a nivel de bootcamp, pero no veo que tengas demasiada experiencia ciberseguridad. También he mirado rameerez.com, pero tampoco saco en claro gran cosa.

- ¿Con qué experiencia y formación cuentas como para avalar ser experto en seguridad? No quiero…   » ver todo el comentario
#38 Hola @rameerez ,

entiendo que el hecho de que alguien pueda poner en duda tu perfil puede resultar incómodo, pero afrontar estas cosas con tranquilidad y poner los argumentos encima de la mesa es muestra de profesionalidad. Todos sabemos que hay gente que responde a determinados perfiles y el tuyo en principio para el del "emprendedor" que tanto se ha comentado en meneame, pero me parece que lo justo es darte la oportunidad de demostrarnos que mis dudas son infundadas.
¿Usas WhatsApp? ¿Tienes cuenta de Google?
(duplicado, perdón)
comentarios cerrados

menéame