Español | English
rss facebook linkedin Twitter

Mejor quedamos como amigos

En uno de nuestros posts recientes, Eduardo, comentaba que los principales algoritmos de cifrado (como por ejemplo, el omnipresente AES) fueron estandarizados por los estadounidenses. Y, después de repasar otras alternativas, concluía: "hay opciones de sobra para no depender de decisiones extranjeras".

¿Y cuál es el problema de depender de soluciones extranjeras? Se preguntará más de uno. Por un lado, es prácticamente inevitable hacerlo de una manera u otra. Por otro, la mayoría de nosotros vivimos con la sensación de que, tras décadas de estabilidad institucional y razonable "buenrollismo" entre la Europa occidental y los Estados Unidos, no debemos temer nada de los hijos de Inglaterra.

Y, sinceramente, ojalá siga siendo así.

Sin embargo, hay motivos para querer tener alternativas. El principal de ellos, también fue comentado de pasada por Álvaro en este blog. El acta que el congreso de los EEUU, aprobó, en un tiempo récord de 45 días, a raiz de los atentados del 11.09.02001: el USA PATRIOT Act.

Detrás de este populista acrónimo (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism; es decir, Uniendo y Fortaleciendo América mediante la Provisión de Apropiadas Herramientas Requeridas para Interceptar y Obstruir el Terrorismo) se encuentra una ley que permite al ejecutivo llevar a cabo determinadas acciones que, anteriormente, requerían intervención del poder judicial. Por ejemplo, y para que nos entendamos, se pueden vigilar las comunicaciones telefónicas, el correo electrónico o los registros públicos y privados de los ciudadanos sin que tener que depender de la decisión de un juez.

El Acta ha sido -y sigue siendo- muy polémica por el conflicto que representa para con los derechos civiles (de hecho hay partes que han sido consideras anticonstitucionales por algunos tribunales) y por el oportunista momento en el que vió la luz.

Lo que es menos conocido es que, dentro de las disposiciones del Acta, se encuentra la de obligar a cualquier compañía estadounidense, a proporcionar toda la información disponible acerca del funcionamiento de sus dispositivos y programas, en caso de que el Gobierno de los EEUU lo necesite. Esta obligación, por supuesto, se aplica también a las compañías de seguridad informática. De manera que confiar en la seguridad de sus soluciones pasa por confiar en el propio Gobierno de los EEUU.


Por poner un ejemplo, y volviendo al tema del AES, la existencia de una "puerta trasera" o backdoor para uso de la NSA, es algo que se sospecha desde hace tiempo (aunque, por supuesto, también se niega). ¡Y eso que el algoritmo fue propuesto por investigadores europeos!

¿Tiene sentido intentar no depender de material estadounidense o es mera conspiranoia? Para la inmensa mayoría de usuarios que realizan actividades legales y no considerables de alto secreto el esfuerzo que representa protegerse de algo así probablemente no esté justificado. Sin embargo, siempre existen voces dispuestas a recordar -a veces, sin contrastar demasiado- algunos precedentes que cuestionan la motivación real de estas actividades.


Luis Tarrafeta
S21sec labs

4 comentarios:

Anónimo dijo...

¿No crees que al igual que necesitamos que nuestro negocio/local sea "seguro" o incluso para que un avion despegue, debe haber unas "minimas/exigentes" normas de seguridad?

¿Quien las debe "poner/exigir"? No lo se, pero al final si ocurre alguna catastrofe o similar, pedimos responsabilidades al estado ¿No han de velar por nuestra seguridad?. En el caso del gobierno de los EUA, para velar por la seguridad de sus ciudadanos, alegan necesitar tener la informacion de todo lo que se mueva, con lo que ello implique(cuando digo todo es todo). Es lo que se necesita para ejercer una de las maximas del poder.

Ah! Respecto a tu pregunta de la consparanoia, creo que la duda siempre estara ahi a no ser que sea evidente o se destape. Los gobiernos tambien estan formados por personas y tambien se pueden equivocar.

¿No crees? En mi opinion este post tiene una connotacion politica.

Saludos

Jose N.

Boken dijo...

Obviamente cuando se habla de algoritmos de cifrado/encriptacion, se habla de cifrar algo de tal manera que NADIE sea capaz de descifrarlo/desencriptarlo.

Hablar sobre si cumple o no con su proposito a sin excepciones, no es tener connotaciones politicas.

Hay partidos politicos que estan a favor de la privacidad y otros totalmente en contra.

Si el gobierno de EE.UU esta claramente en contra, y obliga a que se pueda vulnerar la privacidad, decir que debemos buscarnos un algoritmo que cumpla nuestras espectativas, no es opinar politicamente, sino informaticamente.

La seguridad de los aviones esta muy bien, pero quien asegura que no se utilice para espiar a partidos de la oposicion, o a grupos independientes que revindiquen legalmente cosas que al gobierno de turno no le interese, o porque no, para el espionaje industrial de la competencia de las empresas que los gobernantes tienen, porque las tienen.

Creo que por encima de la seguridad fisica estan los derechos a la intimidad y privacidad.

Si tu quieres dar acceso a tu intimidad, perfecto, pero cada uno deberia ser libre de elegir.

S21sec labs dijo...

Jose N:

Que el estado vele por la seguridad de sus ciudadanos es, sin duda, necesario. Pero existen una serie de derechos civiles que pueden verse comprometidos si el celo es excesivo. Cada estado soberano y democrático decidirá a través de sus ciudadanos (al menos, esta es la teoría) dónde se pone el límite. Hablar sobre qué prima, si estos derechos o la seguridad, es un debate que supera por completo las pretensiones de este post.

El tema aquí era señalar que puede que gobiernos que no son el nuestro tengan la capacidad de vulnerar nuestros sistemas de seguridad. Estos gobiernos no tienen ninguna responsabilidad de velar por seguridades "ajenas", sino por las de sus ciudadanos. El post no pretende ser un llamamiento al miedo o la desconfianza, sino una reflexión sobre cuánto estamos confiando en esas soluciones.

¿Tiene este post connotaciones políticas? Yo diría que extrictamente no. Es cierto que el tema tratado tiene un origen político, pero nuestra intención es mantenernos objetivos y neutrales a este respecto y analizar la situación desde un punto de vista técnico.


Boken:

En efecto, ese es el tipo de reflexión que quería transmitir.

Como apunte (seguramente innecesario), comentaría que la situación no es, ni podrá ser, tan modélica como para que cada uno pueda elegir. Por una parte, porque serán las mayorías las que decidirán. Por otra, porque incluso en los estados más celosos del derecho a la privacidad, un juez puede ordenar una investigación sobre individuos sospechosos.

Sé que no digo nada nuevo, pero he preferido apuntarlo.



Muchas gracias a ambos por vuestros comentarios.

Anónimo dijo...

Hola a los dos:

Gracias por aclararme la duda, queria saber el origen de este articulo.

Saludos

Jose N.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login