Difference between revisions of "Cómo escoger herramientas digitales seguras"
| Line 87: | Line 87: | ||
No vamos a clavarnos aún con esto, pero sería interesante levantar un grupo de investigación para estudiar esta comparativa, traducirla y probar herramientas. Básicamente destaca que la mayoría de las herramientas, incluso las que se están reconociendo como "supuestamente seguras" no cumplen con uns requisitos más integrales de seguridad y autonomía. | No vamos a clavarnos aún con esto, pero sería interesante levantar un grupo de investigación para estudiar esta comparativa, traducirla y probar herramientas. Básicamente destaca que la mayoría de las herramientas, incluso las que se están reconociendo como "supuestamente seguras" no cumplen con uns requisitos más integrales de seguridad y autonomía. | ||
| + | = Introducción = | ||
| + | |||
| + | No existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos. | ||
| + | Quienes atacan tu seguridad digital siempre buscarán el elemento más débil de tus prácticas de seguridad. | ||
| + | Cuando utilizas una nueva herramienta segura, debes pensar en cómo su uso podría afectarte y en qué otras formas podría convertirte en blanco. Recuerda tu modelo de amenazas. No necesitas comprar un sistema de telefonía cifrado caro que dice ser "a prueba de la NSA" si tu mayor amenaza es la vigilancia física de un investigador privado sin acceso a las herramientas de vigilancia digitales. Alternativamente, si estás enfrentando un gobierno que encarcela a los disidentes regularmente porque utilizan herramientas de cifrado, tiene entonces sentido usar trucos más simples - como un conjunto de códigos preestablecidos-, en lugar de arriesgarte a dejar en evidencia que utilizas un programa de cifrado en tu computadora portátil. | ||
| + | |||
| + | = Criterios = | ||
| + | |||
| + | Generalmente, las herramientas suelen tener página web oficial. Desde ahí pueden obtener información para revisarlo bajo los siguientes criterios: | ||
| + | |||
| + | == ¿Qué tan transparente es? == | ||
| + | |||
| + | Cuando estés considerando el uso de una herramienta, debes comprobar si el código fuente está disponible, y si tiene una auditoría de seguridad independiente (es decir, que alguna entidad externa calificada) para confirmar la calidad de su seguridad. | ||
| + | |||
| + | Código libre = permite que otrxs puedan examinarlo, modificarlo y compartirlo =buscar fallas de seguridad, y ayudar así a mejorar el programa. | ||
| + | |||
| + | Para ello, puedes fijarte si la licencia es libre. Suele aparecer en la descripción del software/herramienta o a pie de página en la web de la herramienta/software. Si tardas más de 5 minutos en encontrar la [[Licencia]], mala señal. | ||
| + | |||
| + | == Lee los Términos de Servicios y Políticas de Privacidad == | ||
| + | |||
| + | ¿Qué tipo de cláusulas estipula la herramienta? ¿Qué pretenden hacer con tus datos? ¿Cuáles son las condiciones de usar la herramienta? | ||
| + | |||
| + | == ¿Cuán claros son lxs desarrolladorxs acerca de las ventajas y desventajas? == | ||
| + | |||
| + | * Ningún programa ni hardware es totalmente seguro. | ||
| + | * Honestidad acerca de las limitaciones. | ||
| + | |||
| + | == Actualizaciones & Documentación == | ||
| + | |||
| + | ¿Tiene actualizaciones e información para corregir nuevas vulnerabilidades? Una herramienta desactualizada es una herramienta insegura. También que haya documentación, manuales acerca de cómo funciona y cómo usar el software. | ||
| + | |||
| + | == Posicionamiento político: ¿Qué sucede si lxs desarrolladorxs se ven comprometidos? == | ||
| + | |||
| + | Los fabricantes de herramientas de seguridad deben tener un modelo de amenaza clara. | ||
| + | |||
| + | Descripción explícita en la documentación frente a qué tipo de atacantes pueden protegerte más eficientemente. | ||
| + | |||
| + | ¿Si ellxs mismxs se ven comprometidos o deciden atacar a sus propios usuarios?. | ||
| + | Por ejemplo, si un tribunal o gobierno obliga a una empresa a ceder los datos personales o a crear una "puerta trasera" que eliminará todas las protecciones de la herramienta ofrece. | ||
| + | |||
| + | Es posible que desees considerar la jurisdicción (es) donde los fabricantes se basan. Si tu amenaza proviene del gobierno de Irán, por ejemplo, una empresa con sede en los Estados Unidos será capaz de resistir a las órdenes judiciales iraníes, incluso si debe cumplir con las órdenes de EE.UU. | ||
| + | |||
| + | Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales. | ||
| + | |||
| + | == ¿A qué lógica responde? == | ||
| + | |||
| + | ¿Sigue un modelo empresarial? ¿Puede una herramienta con enfoque empresarial asegurar una privacidad en el sentido amplio? | ||
| + | |||
| + | Ejemplo: https://www.ghostery.com/en/ | ||
| + | ''Ghostery ® is a global technology company that provides solutions for online transparency and control to individuals and businesses.'' | ||
| + | |||
| + | |||
| + | == ¿Conoces a otrxs que utilizan la misma herramienta? == | ||
| + | |||
| + | Mantenerse al día con las últimas noticias de una herramienta en particular es un trabajo enorme para una sola persona, si tienes colegas que usan un producto o servicio en particular, trabaja con ellos para estar al tanto de lo que está pasando. Busca reseñas y críticas en hacklabs, redes y plataformas hacktivistas confiables | ||
| + | |||
| + | Como ya se ha comentado, no existe una "verdad" sobre la privacidad y nadie te la asegura. Se requiere de una dosis de crítica y construir círculos de confianza para determinar qué proceso de seguridad digital es la que más te conviene. | ||
| + | |||
| + | Checa referencias en: | ||
| + | |||
| + | https://prism-break.org/es/ | ||
| + | http://wiki.hackcoop.com.ar | ||
| + | http://tacticaltech.org | ||
| + | |||
| + | = Debate = | ||
| + | |||
| + | Hace unos meses, a través de una lista de correos "Unlike Us", se problematizó el [https://www.eff.org/secure-messaging-scorecard ranking] que había hecho "Electronic Frontier Foundation" sobre aplicaciones "seguras". | ||
| + | |||
| + | Las principales críticas fueron: | ||
| + | |||
| + | * que no distingue entre código privativo y código libre. Esto de hecho contradice con los puntos anteriores que vienen de un proyecto de documentación sobre autodefensa digital de la EFF. | ||
| + | |||
| + | * la auditoría del código por una entidad externa es ambigua (en casos no es externa a la empresa desarrolladora) y no especifica que este examen sea desvinculado a organismos de vigilancia y control. Además, hay una cuestión de poder en la medida que hay desarrolladores que no tienen dinero para pagar una consultoria externa y la EFF tiene un criterio oficialista y formal sobre qué tipo de auditorías puede ser. Ponen el ejemplo de Snapchat. | ||
| + | |||
| + | * que de todas maneras, después de la auditoría, el gobierno o x pueden obligar a la empresa a introducir una "puerta trasera" en el código. | ||
| + | |||
| + | * no incluye que se almacenen metadatos (criterio fundamental en según E.Snowden). | ||
| + | |||
| + | Frente a "auditoría" se puede adoptar el término "peer reviewed" (revisado entre pares). | ||
| + | |||
| + | Una alternativa más crítica a la propuesta por EFF es la [http://secushare.org/comparison comparación realizada en Secushare.] | ||
| + | |||
| + | |||
| + | No vamos a clavarnos aún con esto, pero sería interesante levantar un grupo de investigación para estudiar esta comparativa, traducirla y probar herramientas. Básicamente destaca que la mayoría de las herramientas, incluso las que se están reconociendo como "supuestamente seguras" no cumplen con uns requisitos más integrales de seguridad y autonomía. | ||
| + | |||
| + | |||
| + | = Algunos casos-ejemplo = | ||
| + | |||
| + | == Ghostery == | ||
| + | |||
| + | [[Archivo:Ghostery.jpg|700px|center| Capturación de la web de Ghostery]] | ||
| + | |||
| + | Claramente, en la imagen podemos observar que se trata de una empresa, que si bien el software de Ghostery está sujeto a una licencia , es un producto creado por Ghostery Inc, una ..... . <ref name="ghostery-inc-wikipedia"> [https://en.wikipedia.org/wiki/Ghostery,_Inc Ghostery Inc: Artículo Wikipedia] </ref> para consumidores. | ||
| + | |||
| + | |||
| + | Ghostery explica que a cambio de ofrecer una herramienta "gratuita", pide que "donemos un poco de nuestros datos" (esta donación lo denomina "Ghost Rank"). Aclara que son datos no son "sobre nosotrxs" sino sobre los rastreadores <ref name="ghostery-explica-ghostrank"> [https://www.ghostery.com/en/how-we-make-money Cómo hacems dinero en Ghostery] </ref> . En concreto: | ||
| + | |||
| + | * el rastreador identificado por Ghostery. | ||
| + | * la página de la cual procede el rastreador. | ||
| + | * el protocolo de la página de la cual procede el rastreador. | ||
| + | * información sobre si el rastreador fue bloqueado. | ||
| + | * el url del rastreador en cuestión. | ||
| + | * el tiempo que tarda la página y el rastreador en cargar. | ||
| + | * la posición del rastreador en la página. | ||
| + | * el navegador que estás usando. | ||
| + | * información sobre la versión de Ghostery. | ||
| + | * información estándar de acceso al servidor web como dirección IP, cabeceros HTTP (aclaran que no almacenan estas direcciones IP). | ||
| + | |||
| + | |||
| + | === Auditoría de código === | ||
| + | |||
| + | Debido a qué el código está bajo una licencia que contempla el poder examinarlo, hemos podido saber que existe una función que | ||
| + | manda información sobre tu dirección IP, entre otros rastreadores, en teoría para medir cuántos "usuarios" están usando su herramienta <ref name="ghostery-init-function"> Mail por carlo von lynX envíado a la lista de correos "Liberationtech" </ref> para consumidores. Esto independientemente si aceptaste o no a enviar estos datos (te da la opción de escoger aunque vemos que a la hora de verdad sólo es para hacerte creer que estás diciendo). Lo que plantea carlo von lynX en este mail es si bien puede ser comprensible que bajo un modelo empresarial haya un interés en cuantificar y operativizar usuarixs, qué tanto podemos confiar en cuestión de seguridad y privacidad a una empresa. | ||
| + | |||
| + | <div class="center" style="width: auto; margin-left: auto; margin-right: auto;">''"Desafortunadamente, el problema con los modelos empresariales es que pareciera difícil que encajen con la cuestión de privacidad. Así que, de nuevo, una herramienta de privacidad que te está protegiendo de gente muy malvada, se toma excepciones hacia si misma."''</div> | ||
| + | |||
| + | <div class="center" style="width: auto; margin-left: auto; margin-right: auto;">carlo von lynX - Liberationtech- Ghostery, NoScript.. add-ons frequently phone home</div> | ||
| + | |||
| + | |||
| + | Es decir, ¿qué tan necesario es que una herramienta de seguridad requiera de tus datos? ¿Existen otras vías de retroalimentación? | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | Ghostery is owned by Evidon, a company that collects and provides data to advertising companies. It has a feature called GhostRank that you can check to "support" them. The problem is, Ghostery blocks sites from gathering personal information on you—but Ghostrank will take note the ads you encounter and which ones you block, and sends that information back to advertisers so they can better formulate their ads to avoid being blocked. The data is anonymous, and Ghostery still does everything it promises to do to protect your privacy. | ||
| + | |||
| + | |||
| + | https://www.ghostery.com/en/how-we-make-money | ||
| + | |||
| + | |||
| + | == Hushmail == | ||
| + | |||
| + | |||
| + | |||
| + | https://en.wikipedia.org/wiki/Hushmail#Compromises_to_email_privacy | ||
| + | |||
| + | |||
| + | == Firechat == | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | = Referencias = | ||
| + | |||
| + | [https://ssd.eff.org/es/module/eligiendo-tus-herramientas "Autodefensa Digital ante la Vigilancia" de la EFF (Electronic Frontier Foundation).] | ||
| + | |||
| + | [https://www.eff.org/secure-messaging-scorecard Ranking herramientas seguras de la EFF] | ||
| + | |||
| + | [http://secushare.org/comparison Secushare.] | ||
| + | |||
| + | |||
| + | [[Categoría:Autodefensa y cuidados colectivos digitales]] | ||
= Referencias = | = Referencias = | ||
Revision as of 14:55, 28 April 2015
Contents
- 1 Introducción
- 2 Criterios
- 2.1 ¿Qué tan transparente es?
- 2.2 Lee los Términos de Servicios y Políticas de Privacidad
- 2.3 ¿Cuán claros son lxs desarrolladorxs acerca de las ventajas y desventajas?
- 2.4 Actualizaciones & Documentación
- 2.5 Posicionamiento político: ¿Qué sucede si lxs desarrolladorxs se ven comprometidos?
- 2.6 ¿A qué lógica responde?
- 2.7 ¿Conoces a otrxs que utilizan la misma herramienta?
- 3 Debate
- 4 Introducción
- 5 Criterios
- 5.1 ¿Qué tan transparente es?
- 5.2 Lee los Términos de Servicios y Políticas de Privacidad
- 5.3 ¿Cuán claros son lxs desarrolladorxs acerca de las ventajas y desventajas?
- 5.4 Actualizaciones & Documentación
- 5.5 Posicionamiento político: ¿Qué sucede si lxs desarrolladorxs se ven comprometidos?
- 5.6 ¿A qué lógica responde?
- 5.7 ¿Conoces a otrxs que utilizan la misma herramienta?
- 6 Debate
- 7 Algunos casos-ejemplo
- 8 Referencias
- 9 Referencias
Introducción
No existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos. Quienes atacan tu seguridad digital siempre buscarán el elemento más débil de tus prácticas de seguridad. Cuando utilizas una nueva herramienta segura, debes pensar en cómo su uso podría afectarte y en qué otras formas podría convertirte en blanco. Recuerda tu modelo de amenazas. No necesitas comprar un sistema de telefonía cifrado caro que dice ser "a prueba de la NSA" si tu mayor amenaza es la vigilancia física de un investigador privado sin acceso a las herramientas de vigilancia digitales. Alternativamente, si estás enfrentando un gobierno que encarcela a los disidentes regularmente porque utilizan herramientas de cifrado, tiene entonces sentido usar trucos más simples - como un conjunto de códigos preestablecidos-, en lugar de arriesgarte a dejar en evidencia que utilizas un programa de cifrado en tu computadora portátil.
Criterios
Generalmente, las herramientas suelen tener página web oficial. Desde ahí pueden obtener información para revisarlo bajo los siguientes criterios:
¿Qué tan transparente es?
Cuando estés considerando el uso de una herramienta, debes comprobar si el código fuente está disponible, y si tiene una auditoría de seguridad independiente (es decir, que alguna entidad externa calificada) para confirmar la calidad de su seguridad.
Código libre = permite que otrxs puedan examinarlo, modificarlo y compartirlo =buscar fallas de seguridad, y ayudar así a mejorar el programa.
Para ello, puedes fijarte si la licencia es libre. Suele aparecer en la descripción del software/herramienta o a pie de página en la web de la herramienta/software. Si tardas más de 5 minutos en encontrar la Licencia, mala señal.
Lee los Términos de Servicios y Políticas de Privacidad
¿Qué tipo de cláusulas estipula la herramienta? ¿Qué pretenden hacer con tus datos? ¿Cuáles son las condiciones de usar la herramienta?
¿Cuán claros son lxs desarrolladorxs acerca de las ventajas y desventajas?
- Ningún programa ni hardware es totalmente seguro.
- Honestidad acerca de las limitaciones.
Actualizaciones & Documentación
¿Tiene actualizaciones e información para corregir nuevas vulnerabilidades? Una herramienta desactualizada es una herramienta insegura. También que haya documentación, manuales acerca de cómo funciona y cómo usar el software.
Posicionamiento político: ¿Qué sucede si lxs desarrolladorxs se ven comprometidos?
Los fabricantes de herramientas de seguridad deben tener un modelo de amenaza clara.
Descripción explícita en la documentación frente a qué tipo de atacantes pueden protegerte más eficientemente.
¿Si ellxs mismxs se ven comprometidos o deciden atacar a sus propios usuarios?. Por ejemplo, si un tribunal o gobierno obliga a una empresa a ceder los datos personales o a crear una "puerta trasera" que eliminará todas las protecciones de la herramienta ofrece.
Es posible que desees considerar la jurisdicción (es) donde los fabricantes se basan. Si tu amenaza proviene del gobierno de Irán, por ejemplo, una empresa con sede en los Estados Unidos será capaz de resistir a las órdenes judiciales iraníes, incluso si debe cumplir con las órdenes de EE.UU.
Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales.
¿A qué lógica responde?
¿Sigue un modelo empresarial? ¿Puede una herramienta con enfoque empresarial asegurar una privacidad en el sentido amplio?
Ejemplo: https://www.ghostery.com/en/ Ghostery ® is a global technology company that provides solutions for online transparency and control to individuals and businesses.
¿Conoces a otrxs que utilizan la misma herramienta?
Mantenerse al día con las últimas noticias de una herramienta en particular es un trabajo enorme para una sola persona, si tienes colegas que usan un producto o servicio en particular, trabaja con ellos para estar al tanto de lo que está pasando. Busca reseñas y críticas en hacklabs, redes y plataformas hacktivistas confiables
Como ya se ha comentado, no existe una "verdad" sobre la privacidad y nadie te la asegura. Se requiere de una dosis de crítica y construir círculos de confianza para determinar qué proceso de seguridad digital es la que más te conviene.
Checa y contrasta referencias. No te quedes con una sola versión. Algunas fuentes pueden ser:
http://wiki.hackcoop.com.ar
https://tacticaltech.org
https://eff.org
https://prism-break.org/es/
https://riseup.net
Debate
Hace unos meses, a través de una lista de correos "Unlike Us", se problematizó el ranking que había hecho "Electronic Frontier Foundation" sobre aplicaciones "seguras".
Las principales críticas fueron:
- que no distingue entre código privativo y código libre. Esto de hecho contradice con los puntos anteriores que vienen de un proyecto de documentación sobre autodefensa digital de la EFF.
- la auditoría del código por una entidad externa es ambigua (en casos no es externa a la empresa desarrolladora) y no especifica que este examen sea desvinculado a organismos de vigilancia y control. Además, hay una cuestión de poder en la medida que hay desarrolladores que no tienen dinero para pagar una consultoria externa y la EFF tiene un criterio oficialista y formal sobre qué tipo de auditorías puede ser. Ponen el ejemplo de Snapchat.
- que de todas maneras, después de la auditoría, el gobierno o x pueden obligar a la empresa a introducir una "puerta trasera" en el código.
- no incluye que se almacenen metadatos (criterio fundamental en según E.Snowden).
Frente a "auditoría" se puede adoptar el término "peer reviewed" (revisado entre pares).
Una alternativa más crítica a la propuesta por EFF es la comparación realizada en Secushare.
No vamos a clavarnos aún con esto, pero sería interesante levantar un grupo de investigación para estudiar esta comparativa, traducirla y probar herramientas. Básicamente destaca que la mayoría de las herramientas, incluso las que se están reconociendo como "supuestamente seguras" no cumplen con uns requisitos más integrales de seguridad y autonomía.
Introducción
No existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos. Quienes atacan tu seguridad digital siempre buscarán el elemento más débil de tus prácticas de seguridad. Cuando utilizas una nueva herramienta segura, debes pensar en cómo su uso podría afectarte y en qué otras formas podría convertirte en blanco. Recuerda tu modelo de amenazas. No necesitas comprar un sistema de telefonía cifrado caro que dice ser "a prueba de la NSA" si tu mayor amenaza es la vigilancia física de un investigador privado sin acceso a las herramientas de vigilancia digitales. Alternativamente, si estás enfrentando un gobierno que encarcela a los disidentes regularmente porque utilizan herramientas de cifrado, tiene entonces sentido usar trucos más simples - como un conjunto de códigos preestablecidos-, en lugar de arriesgarte a dejar en evidencia que utilizas un programa de cifrado en tu computadora portátil.
Criterios
Generalmente, las herramientas suelen tener página web oficial. Desde ahí pueden obtener información para revisarlo bajo los siguientes criterios:
¿Qué tan transparente es?
Cuando estés considerando el uso de una herramienta, debes comprobar si el código fuente está disponible, y si tiene una auditoría de seguridad independiente (es decir, que alguna entidad externa calificada) para confirmar la calidad de su seguridad.
Código libre = permite que otrxs puedan examinarlo, modificarlo y compartirlo =buscar fallas de seguridad, y ayudar así a mejorar el programa.
Para ello, puedes fijarte si la licencia es libre. Suele aparecer en la descripción del software/herramienta o a pie de página en la web de la herramienta/software. Si tardas más de 5 minutos en encontrar la Licencia, mala señal.
Lee los Términos de Servicios y Políticas de Privacidad
¿Qué tipo de cláusulas estipula la herramienta? ¿Qué pretenden hacer con tus datos? ¿Cuáles son las condiciones de usar la herramienta?
¿Cuán claros son lxs desarrolladorxs acerca de las ventajas y desventajas?
- Ningún programa ni hardware es totalmente seguro.
- Honestidad acerca de las limitaciones.
Actualizaciones & Documentación
¿Tiene actualizaciones e información para corregir nuevas vulnerabilidades? Una herramienta desactualizada es una herramienta insegura. También que haya documentación, manuales acerca de cómo funciona y cómo usar el software.
Posicionamiento político: ¿Qué sucede si lxs desarrolladorxs se ven comprometidos?
Los fabricantes de herramientas de seguridad deben tener un modelo de amenaza clara.
Descripción explícita en la documentación frente a qué tipo de atacantes pueden protegerte más eficientemente.
¿Si ellxs mismxs se ven comprometidos o deciden atacar a sus propios usuarios?. Por ejemplo, si un tribunal o gobierno obliga a una empresa a ceder los datos personales o a crear una "puerta trasera" que eliminará todas las protecciones de la herramienta ofrece.
Es posible que desees considerar la jurisdicción (es) donde los fabricantes se basan. Si tu amenaza proviene del gobierno de Irán, por ejemplo, una empresa con sede en los Estados Unidos será capaz de resistir a las órdenes judiciales iraníes, incluso si debe cumplir con las órdenes de EE.UU.
Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales.
¿A qué lógica responde?
¿Sigue un modelo empresarial? ¿Puede una herramienta con enfoque empresarial asegurar una privacidad en el sentido amplio?
Ejemplo: https://www.ghostery.com/en/ Ghostery ® is a global technology company that provides solutions for online transparency and control to individuals and businesses.
¿Conoces a otrxs que utilizan la misma herramienta?
Mantenerse al día con las últimas noticias de una herramienta en particular es un trabajo enorme para una sola persona, si tienes colegas que usan un producto o servicio en particular, trabaja con ellos para estar al tanto de lo que está pasando. Busca reseñas y críticas en hacklabs, redes y plataformas hacktivistas confiables
Como ya se ha comentado, no existe una "verdad" sobre la privacidad y nadie te la asegura. Se requiere de una dosis de crítica y construir círculos de confianza para determinar qué proceso de seguridad digital es la que más te conviene.
Checa referencias en:
https://prism-break.org/es/ http://wiki.hackcoop.com.ar http://tacticaltech.org
Debate
Hace unos meses, a través de una lista de correos "Unlike Us", se problematizó el ranking que había hecho "Electronic Frontier Foundation" sobre aplicaciones "seguras".
Las principales críticas fueron:
- que no distingue entre código privativo y código libre. Esto de hecho contradice con los puntos anteriores que vienen de un proyecto de documentación sobre autodefensa digital de la EFF.
- la auditoría del código por una entidad externa es ambigua (en casos no es externa a la empresa desarrolladora) y no especifica que este examen sea desvinculado a organismos de vigilancia y control. Además, hay una cuestión de poder en la medida que hay desarrolladores que no tienen dinero para pagar una consultoria externa y la EFF tiene un criterio oficialista y formal sobre qué tipo de auditorías puede ser. Ponen el ejemplo de Snapchat.
- que de todas maneras, después de la auditoría, el gobierno o x pueden obligar a la empresa a introducir una "puerta trasera" en el código.
- no incluye que se almacenen metadatos (criterio fundamental en según E.Snowden).
Frente a "auditoría" se puede adoptar el término "peer reviewed" (revisado entre pares).
Una alternativa más crítica a la propuesta por EFF es la comparación realizada en Secushare.
No vamos a clavarnos aún con esto, pero sería interesante levantar un grupo de investigación para estudiar esta comparativa, traducirla y probar herramientas. Básicamente destaca que la mayoría de las herramientas, incluso las que se están reconociendo como "supuestamente seguras" no cumplen con uns requisitos más integrales de seguridad y autonomía.
Algunos casos-ejemplo
Ghostery
700px|center| Capturación de la web de Ghostery
Claramente, en la imagen podemos observar que se trata de una empresa, que si bien el software de Ghostery está sujeto a una licencia , es un producto creado por Ghostery Inc, una ..... . <ref name="ghostery-inc-wikipedia"> Ghostery Inc: Artículo Wikipedia </ref> para consumidores.
Ghostery explica que a cambio de ofrecer una herramienta "gratuita", pide que "donemos un poco de nuestros datos" (esta donación lo denomina "Ghost Rank"). Aclara que son datos no son "sobre nosotrxs" sino sobre los rastreadores <ref name="ghostery-explica-ghostrank"> Cómo hacems dinero en Ghostery </ref> . En concreto:
- el rastreador identificado por Ghostery.
- la página de la cual procede el rastreador.
- el protocolo de la página de la cual procede el rastreador.
- información sobre si el rastreador fue bloqueado.
- el url del rastreador en cuestión.
- el tiempo que tarda la página y el rastreador en cargar.
- la posición del rastreador en la página.
- el navegador que estás usando.
- información sobre la versión de Ghostery.
- información estándar de acceso al servidor web como dirección IP, cabeceros HTTP (aclaran que no almacenan estas direcciones IP).
Auditoría de código
Debido a qué el código está bajo una licencia que contempla el poder examinarlo, hemos podido saber que existe una función que manda información sobre tu dirección IP, entre otros rastreadores, en teoría para medir cuántos "usuarios" están usando su herramienta <ref name="ghostery-init-function"> Mail por carlo von lynX envíado a la lista de correos "Liberationtech" </ref> para consumidores. Esto independientemente si aceptaste o no a enviar estos datos (te da la opción de escoger aunque vemos que a la hora de verdad sólo es para hacerte creer que estás diciendo). Lo que plantea carlo von lynX en este mail es si bien puede ser comprensible que bajo un modelo empresarial haya un interés en cuantificar y operativizar usuarixs, qué tanto podemos confiar en cuestión de seguridad y privacidad a una empresa.
Es decir, ¿qué tan necesario es que una herramienta de seguridad requiera de tus datos? ¿Existen otras vías de retroalimentación?
Ghostery is owned by Evidon, a company that collects and provides data to advertising companies. It has a feature called GhostRank that you can check to "support" them. The problem is, Ghostery blocks sites from gathering personal information on you—but Ghostrank will take note the ads you encounter and which ones you block, and sends that information back to advertisers so they can better formulate their ads to avoid being blocked. The data is anonymous, and Ghostery still does everything it promises to do to protect your privacy.
https://www.ghostery.com/en/how-we-make-money
Hushmail
https://en.wikipedia.org/wiki/Hushmail#Compromises_to_email_privacy
Firechat
Referencias
"Autodefensa Digital ante la Vigilancia" de la EFF (Electronic Frontier Foundation).
Ranking herramientas seguras de la EFF
Categoría:Autodefensa y cuidados colectivos digitales
Referencias
"Autodefensa Digital ante la Vigilancia" de la EFF (Electronic Frontier Foundation).
