2012/11/27

Cómo proteger nuestro webmail cuando el jefe de la CIA no pudo hacerlo

Consejos para evitar exponer la privacidad de una casilla de correo, como ocurrió en el escándalo que le costó a David Petreus su puesto como director de la Agencia Central de Inteligencia de Estados Unidos.
Si David Petraeus, siendo director de la Agencia Central de Inteligencia (CIA), no pudo evitar que su amorío fuera descubierto por ojos inquisitivos , entonces ¿como va a mantener un secreto el estadounidense común? En el pasado, el jefe de espías podría haber colocado una maceta con una bandera roja en su balcón o puesto una marca en la página 20 del diario de su amante. En cambio Petraeus usó Gmail. Y fue descubierto.
Es cierto que la mayoría de la gente no tiene al FBI mirando sus correos electrónicos, pero los expertos en privacidad dicen que la gente subestima de modo grosero lo transparentes que se han vuelto sus comunicaciones digitales.
"Lo que la gente no advierte es que el hackeo y el espionaje se volvieron cosas habituales hace una década" dijo Dan Kaminsky, un investigador de seguridad de Internet. "Creen que el hackeo es algo difícil. Mientras tanto todos leen los correos electrónicos de los demás -las novias leen los de sus novios, los jefes los de sus empleados- porque es demasiado fácil".

"Lo que la gente no advierte es que el hackeo y el espionaje se volvieron cosas habituales hace una década" dijo Dan Kaminsky, un investigador de seguridad de Internet

Sépalo: no importa lo que trate de ocultar en su bandeja de entrada de correo electrónico o su carpeta de mensajes de texto -se trate de una relación extramarital o secretos comerciales de su compañía- es posible que alguien se entere. Si se trata de actividades criminales o juicios legales, hay más probabilidades de ello, porque el gobierno tiene poderes de búsqueda y requisa que pueden ser usados para obtener cualquier información, esté guardada en su computadora o, como es más probable en estos tiempos, en la Nube. Y los abogados de la otra parte en un juicio pueden obtener parvas de documentos con una orden de la corte.
¿Aún sigue decidido? Me imaginaba. Y por cierto no está solo, ya que hay razones legítimas por las que la gente quiere mantener en privado todo tipo de información y comunicaciones que no son sospechosas (como el contenido de su testamento, por ejemplo, o una enfermedad crónica). En ese caso, estas son las mejores alternativas para ocultar sus esqueletos en su armario digital.

CONOZCA A SU ADVERSARIO

En términos técnicos, lo que acabó con Petraeus no fue la relación extramarital en sí misma; fue que malinterpretó la amenaza. Junto con su amante/biógrafa, Paula Broadwell , pueden haber creído que la amenaza eran sus cónyuges investigando sus correos electrónicos, no el FBI revisando servidores de correo electrónico de Google.
"Comprender la amenaza es siempre la parte más difícil de la seguridad en tecnología", dijo Matthew Balze, profesor adjunto de ciencias de la computación e informática de la universidad de Pennsylvania y especialista en seguridad y criptografía. "Si hubiesen creído que la amenaza era un estado con la capacidad de obtener sus registros de ingresos de un proveedor de servicios, no simplemente sus cónyuges, quizás hubiesen actuado de otro modo". Para ocultar su amorío de sus cónyuges los dos limitaron sus comunicaciones a una cuenta de Gmail compartida. No enviaban correos electrónicos sino que guardaban mensajes en la carpeta de borradores, ostensiblemente para evitar dejar una huella digital. Es improbable que sus cónyuges pudieran haberlos visto.
David Petraeus, un militar de carrera con una trayectoria en Irak y Afganistán, debió resignar a su cargo en la CIA por un escándalo que develó una serie de comunicaciones que registró en una casilla de Gmail. Foto: AP

Pero ninguno de los dos adoptó las medidas necesarias para ocultar la dirección IP de sus computadoras. Según las versiones publicadas del amorío, Broadwell expuso el subterfugio cuando usó la misma computadora para enviar correos electrónicos con amenazas a una mujer en Florida, Jill Kelley, que los envió a un amigo en el FBI.
Las autoridades cotejaron el rastro digital de los correos recibidos por Kelley -algunos habían sido enviados vía redes de Wi-Fi de hoteles- con las listas de pasajeros de hoteles. Cruzando los datos con las listas de pasajeros de hoteles, llegaron a Broadwell y su computadora, lo que los llevó a más cuentas de correo electrónico, incluyendo la que compartía con Petraeus.

OCULTE SU LOCACIÓN

Los dos podrían haber ocultado sus direcciones de IP usando Tor , una herramienta popular de privacidad que permite navegar en forma anónima por la red. También podrían haber usado una red virtual privada, que agrega una capa de seguridad a las redes públicas de Wi-Fi como la de su cuarto de hotel.
Al no hacerlo, dijo Balze "cometieron un error bastante elemental". Los proveedores de servicios de correo electrónico como Google y Yahoo llevan registros que revelan las direcciones IP, y los guardan por 18 meses, durante los cuales fácilmente pueden ser requisados. La Cuarta Enmienda de la Constitución de EE.UU. requiere que las autoridades obtengan una orden de allanamiento de un juez para realizar búsquedas en propiedades físicas.
Las reglas que gobiernan las búsquedas de correos electrónicos son mucho más laxas: bajo la Ley de Privacidad de las Comunicaciones Electrónicas de 1986 no se requiere una orden de allanamiento para correos electrónicos de seis meses de antigüedad o más. Aunque los correos sean más recientes, el gobierno federal necesita una orden de allanamiento solo para correo no "leído", según el manual del Departamento de Justicia para búsquedas electrónicas. El resto solo requiere una orden simple de la corte. Google informó que entes de seguridad de Estados Unidos requirieron datos de 16281 cuentas desde enero a junio de este año y la empresa cumplió en 90 por ciento de los casos.

NO REGISTRAR

Como mínimo escoja la alternativa de que Google Talk, el cliente de mensajes instantáneos de Google, no registre sus intercambios, lo que asegura que nada de lo escrito sea guardado o pueda ser encontrado en la cuenta de Gmail de cualquiera de los que intervienen en el intercambio.

ENCRIPTE SUS MENSAJES

Los servicios de encriptado de correo electrónico, como PGP, ayudan a proteger los secretos digitales. Sin una clave de encriptado, cualquier mensaje en una carpeta de entrada o que se encuentre en la nube, se vera como una jerigonza. El que envía el mensaje debe obtener una clave del receptor para enviarle un mensaje encriptado. El problema es que el manejo de esas claves puede ser complicado. Y de últimas, aunque sea imposible leer el contenido de un mensaje, la frecuencia de la comunicación no lo es. Y eso genera sospechas.
Wickr , una aplicación para celulares, realiza un servicio similar para teléfonos inteligentes, encriptando video, fotos y texto y borrando definitivamente los archivos descartados. Comúnmente los metadatos de archivos descartados quedan registrados en el disco duro del teléfono, donde especialistas y hackeadores hábiles pueden reconstruirlos. Wickr borra esos archivos sobrescribiendo cosas ininteligibles.

FIJE LA HORA DE SU RELOJ DE AUTO DESTRUCCIÓN

Servicios como 10 Minute Mail permiten a los usuarios abrir un correo electrónico y enviar un mensaje y la dirección se autodestruye 10 minutos más tarde. Wickr también permite a los usuarios utilizar un reloj de autodestrucción para comunicaciones móviles de modo de controlar cuanto tiempo un receptor puede ver un archivo antes de que desaparezca. Pero siempre está la posibilidad de que su receptor haya hecho una réplica electrónica del contenido de la pantalla.

NO USE LA CARPETA DE BORRADORES

Puede sonar inteligente, pero guardar correos en una carpeta de borradores compartida no es más seguro que transmitirlos. Christopher Soghoian, analista de políticas de la Unión de Libertades Civiles de Estados Unidos, señaló que esta táctica fue usada mucho tiempo por terroristas -entre ellos Khalid Shaikh Mohammed , el que ideó los ataques del 11 de septiembre de 2001 y Richard Reid , que intentó llevar a cabo un atentado con zapatos bombas. Los correos guardados en la carpeta de borradores están en la Nube. Aunque sean borrados, se puede obligar al servicio de correo a entregar copias.

USE SOLO UN SERVICIO DESIGNADO

Los expertos en seguridad sugieren usar un dispositivo por separado para comunicaciones delicadas. Por supuesto, pocas cosas delatan más a un tramposo o un narcotraficante que tener un segundo celular. (Vea Breaking Bad )

TENGA UN SEUDÓNIMO

Pero está el problema obvio de tener que explicarle a alguien porque lleva un bíper o de pronto sabe tanto sobre tecnologías de encriptado. "Cuanto más sigilosa sea un apersona, tanto más rara se la ve" dijo Kaminsky.

NO COMETA ERRORES

Es difícil hacer bien una sola de estas cosas, no se hable ya de hacer varias de ellas todo el tiempo. Basta un error -olvidarse de usar Tor, dejar sus claves de encriptado donde alguien pueda encontrarlas, conectarse con un Wi-Fi de aeropuerto una vez- para hundirse.
"Existen herramientas robustas para la privacidad y el anonimato, pero no están integradas de un modo que las haga fáciles de usar" alertó Blaze. "Todos hemos cometido el error de seleccionar por error la opción responder a todos . Bueno, si usted trata de ocultar sus correos o una cuenta o su dirección de IP, hay miles de errores que puede cometer".
Al fin de cuentas, señaló Kaminsky, si el FBI está buscando sus correos, encontrará la manera de leerlos. En ese caso cualquier intento de impedirlo puede simplemente darle una falsa sensación de seguridad.
Alguna gente cree que si algo es difícil de hacer "tiene beneficios de seguridad, pero eso es mentira, todo queda registrado" dijo Kaminsky. "En verdad si no quiere que algo aparezca en la primera plana de The New York Times , entonces no lo diga".