edición general
rameerez

rameerez

Me encanta crear cosas molonas. Hago productos digitales como gohustl.co o goedit.me – y también soy creador de Guard (useguard.com), una inteligencia artificial que lee y analiza políticas de privacidad por ti y detecta los riesgos de privacidad en ellas.

En menéame desde junio de 2020

9,08 Karma
2.933 Ranking
Enviadas
Publicadas
Comentarios
Notas

Soy Javier Ramírez, experto en privacidad y seguridad informática. Pregúntame [72]

  1. #56 Pues la verdad es que me suena haber leído sobre un caso parecido por alguna parte pero ahora no lo encuentro y no recuerdo dónde lo vi... si me acuerdo o me lo reencuentro vuelvo por aquí para publicarlo!
  1. (duplicado, perdón)
  1. #8 A) En mi opinión, demasiado complejo para el usuario común. Creo con que el usuario común usara Firefox en lugar de Chrome el salto de privacidad ya sería enorme.

    B) Bien, útil, pero es un rollo. Es el tradeoff que comentaba en #53: guay si estás dispuesto a asumir el coste. En Pihole usas heurísticas que no siempre son correctas (ej.: decido bloquear dominios de Sony porque me parece por la razón X que es poco privacy-friendly pero de repente mi hermano se queja de que la PlayStation no le funciona y tengo que entrar, debuggear y whitelistear, lo que es una molestia y me consume tiempo; y así con cada cosa que deje de funcionar y con cada nueva persona que entre en la red con su set particular de preferencias / servicios que usa). Creo que es difícil alinear las preferencias de privacidad de muchas personas para hacerlo realmente cómodo, pero si eres solo tú puede ser un buen aliado.

    C) Pues qué puedo decir... si construyes un bunker pero te dejas la puerta abierta, la gente va a entrar igual.
  1. #7 En mi opinión, es un absoluto fracaso. La definición de ineficiencia. Algo que nadie quiere poner ni nadie quiere leer. Entorpece más la experiencia de usuario de lo que la ayuda. A nivel regulación sería otro tema a tratar, pero a nivel implementación y usabilidad, mal. Es precisamente el punto de partida y un poco problema que quiero resolver con Guard.
  1. #37 Si pones tu contraseña en un comentario de Menéame, el sistema automáticamente la detecta y la convierte en asteriscos. ¡Es fantástico, probadlo! Mirad: mi contraseña es ****************


    (No, no hagáis esto, esto es una broma, ya he visto en otros foros gente que no entendía que esto era una broma y lo hacía así que me parece imporante romper la magia de la broma poniendo este aviso para futuros navegantes)
  1. #39 Sí, ambas. Como digo en #53, siempre hay un tradeoff entre comodidad y privacidad. En #51 detallo los niveles de "paranoia" que creo que existen. Yo personalmente soy de la opinión de que es difícil "salirse del sistema" completamente, y que hacerlo tiene más desventajas que ventajas: y personalmente necesito estar conectado con un montón de personas que solo usan WhatsApp así que es algo que no puedo eliminar completamente de mi vida. Lo que sí que intento es reducir superficie de ataque y minimizar riesgo. Apenas uso WhatsApp (para que te hagas una idea, tengo conversaciones sin leer desde hace meses), el 95% de mis comunicaciones con amigos, familia y grupos son vía Telegram. Uso un navegador concreto solo para navegar por redes sociales / usar servicios de Google, etc. No es un sistema perfecto pero dentro de esa escala de grises que comentaba en #53 que es la privacidad yo he encontrado mi balance personal vida/privacidad en este punto.
  1. #43 Pero no lo cortes en lo interesante, hombre:

    Right now we’re using the infamous Google Analytics to measure the health of our website. (...) Not having any analytics would make us blind. Google Analytics’ privacy policy applies. If you have any tracker blocker, such as UBlock Origin, you should be good and no data will be collected. We don’t send any kind of personally-identifiable event, though. We know GA is not the best option to track web usage, but it’s the only one that’s free and easy enough to use we’ve found so far. If you know of any better service we might use, please reach us at (...)
  1. #21 Creo que la wiki del subreddit de Privacy (www.reddit.com/r/privacy/wiki/index) es un muy buen punto de partida al mundo de la privacidad que además tiene una intro con preguntas y respuestas bastante amenas que te pueden servir para despertar el interés de chavales de secundaria.

    Si fuera yo (y siempre con las restricciones de tiempo, ganas y conocimientos, claro), quizá haría en clase una "demo" en vivo de cómo se puede descubrir qué está viendo una persona en su móvil y vulnerar completamente su privacidad. Se me ocurre algo como montar un punto de acceso wifi en clase con un router, dejar que algunos chavales se conecten con el móvil a ese WiFi y pedirles que naveguen – y tú desde un portátil conectado a la misma red, con alguna distro tipo Kali, hacer algún ataque MITM, inspeccionar paquetes con Wireshark, descubrir qué están visitando, potencialmente descubrir alguna contraseña si alguna web la envía en plano o si consigues hacer SSL stripping, etc. Sé que es complejo pero si tienes los conocimientos y el tiempo puede ser una demo muy vistosa para que entiendan que cualquier persona con un portátil conectada al mismo WiFi que ellos les potencialmente puede comprometer sus conversaciones privadas o sus sesiones de stalkear a un crush.
  1. #18 Siempre hay un balance entre comodidad y privacidad y es muy difícil, por no decir imposible, alcanzar un nivel muy grande de privacidad con soluciones que sean cómodas para el usuario. Siempre va a ocurrir que tengas pasos extra, que tengas que sacrificar funcionalidad, que tal o cual cosa vaya más lenta, etc.

    Este tradeoff es un problema enorme y la realidad es que la mayoría de los usuarios están dispuestos a dar muy poco a cambio de tener más privacidad.

    Creo que hay poco que puedas hacer sin ser el típico amigo brasas que te intenta convencer sobre la causa de turno (yo lo soy, y es un suplicio para mis amigos, pero poco a poco vamos migrando grupos de amigos de Whatsapp a Telegram... pequeñas batallas ganadas). Como en otros movimientos (como la lucha contra el plástico), creo que va a ser algo que llevará mucho tiempo y esfuerzo hasta que cale en la opinión general. La parte positiva es que poco a poco parece que el interés sobre la privacidad empieza a crecer (ya es uno de las grandes razones por las que los usuarios deciden entre servicios en internet), muchos usuarios usan blockers (que es de lo que menos esfuerzo y sacrificio requiere para el beneficio que te da) y cada poco salta alguna noticia que hace ganar más adeptos.

    Como argumentos a decir, quizá poner de manifiesto cosas que los servicios que usamos a diario dicen que hacen. Leerse las propias políticas de privacidad es una aventura en sí mismo y te puedes encontrar con perlitas que decirles, en plan: "¿sabías que Tinder potencialmente puede compartir tus matches y conversaciones, así que nada de lo que digas dentro de la app es privado?".
    También dejarles claro que esto de la privacidad no es un blanco o negro, sino una escala enorme de grises. No hay que hacerse privado de entrada, no hay que implementar toda medida posible de primeras. Tampoco hay que borrarse Instagram de entrada. Es todo una cuestión de dar un primer pasito y empezar a cogerle el gustillo al sentimiento de no sentirse observado. Migrar de Chrome a Firefox puede ser un buen primer paso, y te puede servir para al menos hacerte consciente de tu identidad digital y el rastro que vas dejando por el mundo. Pero eso, es una escala de grises amplísima y encontrar el punto de esa escala en el que te sientes cómodo es todo un viaje. Creo que encontrar el paso inicial de mínima fricción es importante para ayudar a una persona a ser más privada.

    Sobre el método del coronavirus: no parece mal approach si no existe una entidad central o mecanismo que pueda relacionar cada mensaje emitido con cada usuario concreto, desvelando así la identidad de cada usuario y si está infectado o no.
  1. #17 ¿Dejan algún comentario en las donaciones? ¿Los emails son de un proveedor de emails "genérico" (tipo Gmail) o de algún dominio peculiar?
  1. #13 Quizá en lugar de atendiendo a nivel de conocimientos e inversión te lo puedo responder en función del nivel de “paranoia” que estés dispuesto a asumir, que al final es directamente proporcional al nivel de conocimientos y recursos invertidos. Algo como:

    0 - Usuario normal despreocupado
    1 - Tener cuidado con qué servicios usas y cuáles no, no dar tus datos por todas partes, no publicar todo en todas partes, no publicar en TW/IG con geolocalización activada, no usar WiFis públicas, etc.
    2 - Empezar a usar servicios privacy-friendly. Usar Firefox en lugar de Chrome, Telegram en lugar de Whatsapp, etc. Empezar a dejar de usar servicios fácilmente reemplazables.
    3 - Bloquear trackers (uBlock Origin, Privacy Badger), usar servicios de VPNs, montar alguna solución tipo PiHole, etc.
    4 - Dejar de usar servicios “críticos” aunque no haya buen equivalente “privacy-friendly” (la definición de crítico varía de persona a persona, pero cosas como borrarse Gmail, Facebook, Twitter, Instagram, salirse por completo de redes sociales, etc.)
    5 - Compartimentalizar tipos de tráfico en distintos navegadores: usar Firefox para el trabajo, Brave para navegación normal, otro navegador solo para cosas bancarias, etc.
    6 - Instalar Linux de cero en tu ordenador y configurarlo con las máximas restricciones de privacidad y seguridad + instalar alguna distro privacy-friendly de Android en tu móvil, también configurada para privacidad, y usar solo estos dispositivos.
    7 - Tener varios ordenadores con Linux instalado completamente montados y configurados desde cero para máxima privacidad, cada uno para un tipo de navegación en particular, ordenadores que vas rotando cada poco y borrando / reinstalando / reconfigurando periódicamente.
    8 - Dejar de usar smartphone, usar solo un móvil viejo, potencialmente con una SIM que no esté ni a tu nombre, tener este móvil apagado el 90% del tiempo y solo encenderlo cuando quieras comunicarte.
    9 - Desaparecer del mapa por completo, dejar de usar tecnología completamente.
  1. #41 Muchas hacen prácticamente lo mismo y seguramente tengas un overlap tremendo entre todas ellas. Sobre que las hay que ponen más en peligro de lo que te solucionan: las hay, pero no creo que las más conocidas lo sean. Por ejemplo, "uBlock", que muy astutamente se han puesto prácticamente el mismo nombre que "uBlock Origin", es algo completamente no relacionado con ellos, algo a evitar y algo que de hecho la mayoría de blockers bloquean. Creo que con el pack básico de Firefox + uBlock Origin + Privacy Badger + uMatrix cubres el 90% del espectro y te evitas tener 20 instaladas.
  1. #9 Por ponernos catastrofistas: por poder, se puede recoger todo. Desde lo que estás viendo exactamente hasta inferir a qué parte concreta de la pantalla están mirando tus ojos (parece que el movimiento del ratón correlaciona con el movimiento de los ojos)... hasta registrar prácticamente cada pulsación de una tecla que hagas (desde contraseñas a notas personales, mensajes privados...), tipo Grammarly (aunque esto es una extensión y tiene otros matices). Esencialmente, cuando visitas una página es como si estuvieras entrando en una que no es de tu propiedad, y que tiene cámaras en cada esquina. Esta es la versión catastrofista. Lo más típico, sin embargo es que se registren cosas menos perniciosas: qué páginas visitas, con qué frecuencia, etc.

    La solución más radical es bloquear por completo la ejecución de Javascript en todo el navegador. Esto no elimina por completo todos los problemas (el servidor puede seguir trackeando las páginas que sirve, e incluso hay maneras de trackear cargando imágenes en HTML o incluso CSS), pero la mayoría de trackers comerciales se caerían. Por contrapartida, la mitad de internet dejaría de funcionarte bien :-P

    Esto es una medida quizá desproporcionada. Lo que se suele usar a nivel de usuario son extensiones tipo uBlock Origin, Privacy Badger, o incluso uMatrix para usuarios un poquito más avanzados. También recomiendo usar un navegador que respete la privacidad por defecto, tipo Firefox. Creo que esto debería ser suficiente para la mayoría de usuarios.
  1. #6 Una de las cosas que más me fascina ver es gente que apunta contraseñas de sus servicios en texto plano, esto es: abren un archivo de Word, o una nota de la típica app de notas, y apuntan ahí contraseñas. Creo que un buen gestor de contraseñas es básico, incluso usar contraseñas generadas que ni tú mismo sepas (otra cosa que me fascina es la gente que usa la misma contraseña para absolutamente todo).

    Luego cosas como nunca usar WiFis abiertas… sé que hay momentos tipo aeropuertos o cafés en los que tienes que sacar el portátil para trabajar y “no te queda otra” pero ahí casi siempre merece más la pena montarte un punto de acceso con tu móvil y tirar de datos. Rápido, en 30 segundos tienes internet y te quitas de un montón de riesgos de a saber lo que tienen montado en el WiFi de turno. Tampoco entiendo bien la gente que da sus datos de gratis a este tipo de WiFis, en plan “¡Danos tu email, fecha de nacimiento, cuenta de Facebook, Twitter y Google y quizá hasta te dejemos usar nuestro WiFi durante 30 minutos!”. Es que, incluso aunque estés dispuesto a dar todo eso, no creo que ni la transacción merezca la pena. Si no te queda otra, siempre intentar dar datos falsos o cuentas de email “throwaway”.

    En esta misma línea, también es muy de tirarse de los pelos ver a alguien dar sus datos personales sin ningún tipo de reparo, a cualquier web que se lo pida: desde ecommerces a blogs a cualquier página de dudosa reputación.

    Y por último, para no extenderme mucho, porque el comentario podría ser infinito y seguro que me dejo cosas importantes fuera, ser muy conscientes de lo que usamos y lo que publicamos. “La nube”, “los servicios” son solo sinónimos para decir “el ordenador de otra persona”. Publicar una foto en Instagram es el equivalente digital de coger una foto, imprimirla / fotocopiarla y enviársela por correo postal a Mark Zuckerberg. Una vez en su poder, él puede hacer las copias que le dé la gana o publicarla en (casi) cualquier sitio. Una vez enviado pierdes el control sobre lo que publicas, por mucho que la interfaz ofrezca un botón de “borrar”, nadie garantiza que esos datos son realmente borrados y no ocultados, o que han sido eliminados de todas las copias de seguridad / copias distribuidas, o que no han sido vendidos ya (agregados o en bruto). Y esto no solo aplica a fotos y cosas así “públicas”, aplica a cualquier servicio que te ofrezca algo privado “en la nube”: usar Spreadsheets (el “Excel” de Google) significa que Google tiene copia de todos esos datos, por muy privado que parezca el dashboard. No digo que sea bueno o malo, o que debamos evitar unos servicios u otros, solo que deberíamos ser muy conscientes de cada vez que le damos al botón de “upload” o “new”, porque es a partir de ahí donde realmente perdemos el control.
  1. #5 Vaya, así que eres tú el que ha entrado en mi email y se ha puesto a enviar correos spam.
  1. #3 Lo que te diría cualquier pragmático de la privacidad es que ningún servicio de VPN te garantiza en realidad privacidad: no tienes control sobre lo que pasa en sus servidores. Esencialmente, le estás “regalando” todo tu tráfico a un tercero sobre el que confías en que no lo loguee, no haga analíticas de uso sobre él, no te restrinja tu ancho de banda, no te trackee, no te perfile (cosas como hábitos de uso, IP...): en fin, confías en que no harvestee tus datos y los revenda al mejor postor / los use para otros fines… por no hablar de que incluso podrían hacerte instalar malware y comprometer más tu seguridad de lo que la solucionan. Lo más privado, seguramente, sería montar tu propia VPN en un servidor / VPS / instancia / whatever en la nube, donde al menos tendrías control sobre todo lo que pasa hasta que el tráfico sale del servidor VPN.

    Esta es la respuesta en “modo full paranoico”. Lo que te diría yo como persona de a pie es que seguramente tanta paranoia sea contraproducente. La pregunta siempre está en cuánto tiempo y recursos estás dispuesto a invertir en montar contramedidas y sobre qué potenciales ataques las estás montando, para evaluar si tiene sentido invertir tiempo en ello. Muchas veces no tiene sentido comerse la cabeza e invertir semanas e incluso meses en montar contramedidas desproporcionadas. Para el usuario medio de internet, el que no quiere comerse la cabeza configurando instancias Linux para montar VPNs propias, seguramente un servicio de VPN como el que comentas sea más que suficiente. Para quien nos esté leyendo, alguien que se esté planteando de nuevas qué VPN usar, una buena heurística para elegir VPN sea podría ser que si es gratis casi seguro que es mala y está revendiendo tus datos; así que casi siempre la mejor opción es coger una de pago.

    Sobre este servicio en concreto que comentas sí que parece que se escuchan cosas buenas pero personalmente no lo he probado así que no te puedo decir mucho más. Si tú lo has investigado, te funciona bien y confías en él, en principio adelante.

    Sobre Tor, efectivamente es bastante más difícil que una sola persona o entidad consiga identificarte, perfilarte ni trackearte al enrutar tu tráfico a través de muchos nodos distintos, pero esto también viene con un coste: la velocidad de la navegación se vuelve lenta, casi inusable. Lo que comentaba antes: seguramente no tenga sentido ponerse en modo “100% paranoico” para hacer navegación “normal”: encuentra un compromiso con la solución que funcione para ti y que tenga un coste (monetario, tiempo, recursos) que estés dispuesto a asumir y funciona con ello hasta que deje de servirte.
  1. #2 La verdad es que no me gusta nada (pero nada de nada) el fútbol y aunque he escuchado de refilón el tema no conozco los detalles del caso. Con decirte que hasta hace bien poquito creía que Casillas seguía en el Madrid…
  1. #1 Como te diría cualquier persona de bien... ¿acaso sabe a algo sin cebolla? ;)
« anterior1

menéame