Adiós Anonimato

ADIÓS ANONIMATO <SNIF>

Mercè Molist
La figura del espía sentado en un banco, con la cara tapada por un periódico que no está leyendo y los ojos fijos en las acciones de alguien se está quedando galopantemente obsoleta, ante las posibilidades abiertas por las nuevas tecnologías. Primero fueron los datos personales almacenados en grandes bases, algunas públicas y otras privadas (empresas y gobiernos). Después, programas de inteligencia artificial que permiten todo tipo de búsqueda, cruce y rastreo de estos datos (desde el número de la targeta de crédito y los lugares donde ha sido usada hasta la propia cara, registrada por cámaras en lugares públicos y analizada y archivada por un sistema de reconocimiento facial). Y, por fin y paralelamente, Internet, convertida en centro de recolección de todo tipo de datos, territorio comanche donde es mejor pensar dos veces antes de hacer cualquier movimiento. "La información personal se está convirtiendo en la moneda del ciberespacio. Aquí es capturada, comparada, permutada y vendida", aseguraba John Markoff en un reciente artículo titulado "The Rise of Little Brother"

La histeria desatada por las recientes noticias sobre el número identificador que llevan incorporado los chips Pentium III y algunos II, y el descubrimiento que Microsoft ha estado recolectando los datos de las máquinas en que se ha instalado Windows 98, sin el consentimiento de los usuarios, es sólo un capítulo más de la carrera hacia la aniquilación del antaño sublimado anonimato en la red. Una carrera que levanta gran escandalera pero no ceja en su empeño, amparada por un contrasentido: aunque en todas las encuestas la privacidad se desvela como la preocupación número uno de los cibernautas, pocos le prestan atención en la práctica, por desidia y desconocimiento. Como dice Jaime Agudo, del Computer Emergency Response Team español, "el problema es que los interesados en disponer de información pueden ahora utilizar muchos datos de usuarios sin conocimientos de seguridad y no parece que exista un movimiento civil para democratizar herramientas ya disponibles".

Así, la recolección de datos sin el consentimiento ni, usualmente, el conocimiento del usuario es hoy una práctica común en la red, donde la mayoría de sitios ni tan sólo informan de qué van a hacer con ellos. El más importante es la dirección IP (Internet Protocol): para conectarse, todos los ordenadores necesitan tener un número que les identifique, a veces fijo o, más usualmente, aleatorio, dentro de un rango de direcciones propiedad del proveedor o la red de acceso. La dirección IP aparece en todas las cartas que enviamos, es visible cuando se está conectado a IRC e ICQ y la registran todos los lugares que se visitan en la World Wide Web o al hacer un FTP. A partir de este número, cualquiera puede deducir el proveedor y país del cibernauta e incluso, afirma Marck Collado, consultor independiente de seguridad, "analizando las huellas o logs es posible localizar desde qué número de teléfono se ha hecho la llamada, día y hora, en caso de un acceso por módem y, si es a través de una red, se puede saber exactamente qué máquina es". La policía, además, con una consulta al proveedor -que muchas veces ni tan sólo pide autorización judicial- consigue saber nombre y dirección de la persona investigada.

Pero la dirección IP no es lo único que puede descubrirse de los navegantes, aunque sí lo más peligroso para que su identidad real salga a la luz. Sea por fallos de los navegadores Netscape y Explorer, por llevar activada la opción de acceptar Java, Javascript, ActiveX y "cookies", o por haber rellenado en el navegador todas las casillas en las que se piden datos personales, los sitios visitados en la web pueden saber las direcciones que ha visitado anteriormente el cibernauta, las páginas que mira, el tiempo que está en una página, los enlaces que sigue, el nombre y tipo de ordenador, el sistema operativo, el contenido de su disco duro, el tipo de navegador, las características de la pantalla, su dirección de correo, su nombre, su empresa e incluso alguien malintencionado puede no quedar satisfecho con toda esta información que se le regala inadvertidamente y coger algún archivo del ordenador del visitante, engañarle con un botón trampa que ejecute programas maliciosos en su ordenador o con una página falsa o un javascript para que revele su contraseña de acceso al banco.

Las posibilidades de recolección de información personal en la red no acaban aquí. La dirección de correo electrónico, a no ser que se usen direcciones anónimas, es un dato tan importante como la dirección IP para llegar a la persona real. También su participación en foros electrónicos donde, a partir de búsquedas en Dejanews o sencillamente por participar en el mismo foro, cualquiera puede llegar a saber de su vida, hábitos, gustos, lugar de residencia, etc, o bien enviarle "spam". Y, aunque no se diga ni mú, el simple hecho de apuntarse a una lista de correo es anti-anonimato, ya que el administrador puede no tener desactivada la opción "who", con la cual es posible saber las direcciones de todas las personas suscritas a la lista enviando un simple mensaje al programa gestor. Se han dado casos también de administradores que guardaban en lugares inseguros las direcciones de los suscritos, con el consiguiente robo de éstas para fines comerciales, bromistas o vandálicos. Aunque no se tiene porque ir tan lejos para recopilar direcciones: sólo es necesario acceder a alguno de los grandes repositorios como los buscadores WhoWhere, Four11 y Internet Adress Finder, sin mencionar lo que deben estar haciendo con los datos personales servicios de redireccionamiento de correo como Bigfoot, Geocities, Iname y otros.

Hablando de archivos robados y ya en plan paranoico total, la privacidad tampoco está asegurada a nivel de proveedor de acceso. Sea porque la empresa no cuenta con un especialista en seguridad o por desidia del administrador, sea por las decenas de fallos en programas que se descubren cada día y que dejan puertas abiertas a los intrusos, sea porque el servicio de atención al cliente no está entrenado contra la ingeniería social, cualquier hacker malicioso o espía del CESID puede robar y descifrar fácilmente las contraseñas de uno o todos los usuarios y acceder a su correo electrónico o leerlo si no utiliza criptografía. La mayoría de veces, esto sucede por fallos en los programas que, como aseguran en el CERT, "sean intencionados o no, son una amenaza para la seguridad", mientras los fabricantes eluden toda responsabilidad. La red está repleta de historias no confirmadas de supuestos errores para uso y disfrute del Gran Hermano y contra la privacidad de los usuarios. Se dice que Sun vende máquinas a China con puertas abiertas para que cierta información se envíe automáticamente a los Estados Unidos. La última va sobre el juicio a Microsoft: el gobierno estaría buscando un pacto con la empresa para que se comprometa a controlar a los usuarios con sus programas.

En este ambiente, los casos Intel y Microsoft han caido como bombas, aunque algunos, como Xavier Perramon, también del CERT, piensen que "se le ha dado mucha importancia pero en realidad no es nada extraordinario", refiriéndose al número identificador de los chips Pentium, cuando él hace tiempo que trabaja con máquinas que llevan chips Sparc, cada uno con número propio que el usuario puede conocer fácilmente. También los iMac, tarjetas como las SCSI y Ethernet o los teléfonos móviles se identifican con un número, el problema viene porque, como dice José Luís Martín, flamante presidente de Fronteras Electrónicas, "esta vez estamos hablando de Intel, que controla casi todo el mercado de procesadores. Imagínate que nos implantaran a todos un GPS en el cuerpo que dijera en todo momento donde estamos", y le ayuda José Manuel Gómez, quien afirma en el último número de "Kriptópolis": "Dada la previsible futura conexión de todos los electrodomésticos a redes IP, si no hacemos algo pronto, alguien podrá saber, en algún sitio, a qué hora se levanta usted y calienta su café, cuándo ve la televisión, qué programas y -si se descuida- casi hasta el día en que llenó por última vez su nevera".

¿SEGURIDAD? PARA NADA

Aunque la introducción de números identificativos en los ordenadores se haga en aras de una mayor seguridad en la red, son precisamente los expertos en seguridad informática los primeros en poner en duda su utilidad. Por una parte, por ser fácilmente falsificables, como ya está sucediendo con los números de las máquinas conectadas a una red Ethernet: "Hay casos de tarjetas de red clónicas, "made in Taiwan", todas con el mismo identificador", asegura Marck Collado, consultor independiente de seguridad, y añade: "Suponiendo que todos los procesadores llevasen un número universal, lo único que podrías localizar seria el ordenador, no la persona. En una empresa hay muchos ordenadores, existen los cibercafés y otros locales públicos para conectarte a la red. Además, con suficientes conocimientos se podría crear un programario que diese un número falso o aleatorio, no tiene ninguna utilidad para lo que es realmente necesario: la autentificación, la capacidad de asegurar y verificar quien decimos ser".
En el CERT español se comparte esta opinión: "La dirección IP sí es de gran utilidad para identificar un ordenador en Internet, pero un número identificador sólo tendría interés para el programario que se ejecuta en la máquina, nunca para aumentar la seguridad. Existen ya en los ordenadores varios números que juntos identificarían a la máquina, por ejemplo la versión de CPU más el número de placa más el número de serie del disco duro. Un identificador único no sirve para nada. En cambio, un usuario no experto podría enviar este número a la red sin su control, con cualquier prográma malévolo", explica Jaime Agudo, quien rompe además una lanza al asegurar: "Para conseguir la seguridad se necesita lo contrario, la anonimidad. Un número fijo nunca debería estar unido a una identidad, debería ser diferente para cada uso: uno para mi banco, otro para mi librería..".
A pesar de esto, la tendencia es clara hacia una mayor identificación de los ordenadores conectados a la red, no precisamente por el éxito que pueda tener la innovación de Intel sino por el futuro protocolo IPv6 que ya contempla, entre otras prestaciones pensadas para una mayor seguridad, que los paquetes IP contengan la dirección única de cada máquina, con lo cual, según Agudo, si se activa esta función "se puede saber el tipo de ordenador, la marca y adicionalmente versiones de programas y fabricantes. Cruzando esta información se pueden obtener muchos datos de la identidad".

**********************************************************

GUÍA DE SUPERVIVENCIA

Precisamente fue de Intel de donde salió la célebre frase "Sólo los paranoicos sobreviven" y, realmente, la paranoia es ya un estilo de vida obligado en el ciberespacio, donde existen bastantes alternativas para eludir el control sobre la propia identidad.

CORREO ELECTRÓNICO. Utilizar servicios de correo gratuito basado en la web, para no dejar trazas ni tan sólo de la dirección IP, ya que la que se muestra en el mensaje es la del servidor. Para acceder al servicio de correo, puede hacerse a través de un proxy: la huella que quedará será la dirección del proxy y no la propia. Como explica Marck Collado, así es casi imposible descubrir quién envió la carta: "Primero, se tendrían que obtener los registros de acceso a Hotmail, con la de accesos que tienen estos servidores. Una vez localizada la dirección del proxy, entre millones, se deberían conseguir los registros de accesos del proxy, que muy probablemente, si es un proxy anonimizador, no los guarda". Para paranoicos totales, "remailers" (http://www.iec.csic.es/criptonomicon/remailers.html y http://www.arnal.es/free/cripto/anon/rem-faq.htm) o los programas Private Idaho (http://www.eskimo.com/~joelm/pi.html) y Freedom (http://www.zero-knowledge.com).

WORLD WIDE WEB. Navegar a través de proxies (el del propio proveedor o proxies anónimos), anonimizadores (http://www.anonymizer.com) o Private Idaho y Freedom. Desactivar las "cookies", Java y Javascript. No escribir nada que no se quiera que se sepa, en las preferencias del navegador. Mejor usar las últimas versiones de los navegadores.

GENERAL. Ser sanamente paranoicos. Investigar un poco, antes de meterse en proveedores, listas y directorios, sobre el uso que hacen de los datos (http://www.ag-protecciondatos.es/recomen.html). Cuidado con la información personal que se envía por correo electrónico. Usar criptografía en caso de duda. Cuidado también a la hora de rellenar formularios que piden demasiados datos y, si se tercia, mejor dar información falsa. Más consejos en http://www.iec.csic.es/criptonomicon/consejos.html.