[HACK] ¿Adios anonimato?
merce
illadeltresor at gmail.com
Wed Jan 2 13:20:01 CET 2008
27/11/07 17:39:26
¿ADIÓS ANONIMATO?
Mercè Molist
Charlene Li miraba estupefacta su perfil en Facebook, la red social
del momento, con 47 millones de personas suscritas. Acababa de
realizar una compra en una tienda en línea y, sorpresivamente, su
perfil accesible a amigos y conocidos mostró la leyenda: "Charlene
Li ha comprado una mesa de café en OverStock.com". ¿Cómo lo sabían?
Se trataba de una nueva aplicación de esta red social, llamada
Facebook Beacon, que instala una "cookie" en el navegador y, cuando
la persona compra en una tienda asociada a esta iniciativa, aunque
la tienda no informe de ello, la transacción queda registrada en el
perfil de Facebook.
El caso de Charlene Li y otros han levantado un gran revuelo en las
organizaciones de defensa del consumidor, obligando a Facebook a
rectificar y hacer que esta información sólo se muestre si la
persona lo autoriza. Aún así, expertos como Oz Sultan desconfían:
"Facebook sigue teniendo estos datos referidos a nuestros hábitos y
no sabemos qué hará con ellos".
En julio de 1993, "The New Yorker" publicaba el chiste más famoso
hasta la fecha sobre Internet: un perro sentado delante de un
ordenador le decía a otro: "En Internet, nadie sabe que eres un
perro". Pero esta promesa de anonimato es cada vez menos real en un
mundo electrónico donde todo es registrable y la minería de datos,
un valor en alza.
Lejos de mejorar, la privacidad está cada vez más amenazada por
gobiernos y empresas que espían nuestros movimientos y los almacenan
en grandes bases de datos, susceptibles de ser perdidas, robadas o
que cualquier compañía puje por ellas. Ya lo avisó en 1999 Scott
McNealy, por entonces consejero delegado de Sun Microsystems: "No
tenéis ninguna privacidad, así que asumidlo y superadlo".
Junto a iniciativas recientes como la lista "Do not track me" (No me
sigan), que une a personas que no quieren que se registren sus
movimientos electrónicos para usos comerciales, hay otras más
veteranas destinadas a esconder el único dato que, por mucho empeño
que pongamos, nos identifica en la red: la dirección Internet
Protocol (IP) de nuestro ordenador.
Esta dirección y lo que hagamos con ella se almacena en las bases de
datos de nuestros proveedores, que son los únicos que pueden inferir
a qué persona real pertenece, aunque sólo lo desvelarán por una
orden judicial. De todas formas, la dirección IP es en sí misma un
dato sensible: alguien puede atacar nuestro ordenador si la conoce o
rastrear nuestros pasos en la red.
Los más populares anonimizadores son los sitios web que ofrecen
navegar o chatear a través de "proxies" anónimos. Introducimos la
URL que queremos visitar y el servicio nos lleva a ella a través de
una máquina intermedia o "proxy", de forma que la dirección IP que
queda registrada en el sitio visitado no es la nuestra sino la del
"proxy". El inconveniente es que ralentiza la navegación. Una opción
más moderna son los túneles de redes privadas virtuales, que
anonimizan nuestra dirección sin perder velocidad.
Pero el anonimato no es total: la dirección IP original se guarda en
el servicio anonimizador, que puede consultarse con una orden
judicial. Esto motivó el cierre del primer servicio de este tipo en
Internet: el "remailer" anon.penet.fi, que ocultaba la identidad del
remitente de un correo electrónico. Su uso en casos de pedofilia y
en un supuesto robo a la Iglesia de la Cienciología provocó una
lluvia de demandas que hizo que su mantenedor lo cerrara en 1996.
Posteriormente, se crearon otros "remailers" que añadían cifrado y
técnicas como mandar el mensaje a trozos, para dificultar su
seguimiento. En los últimos tiempos, redes como FreeNet o Tor añaden
la complicación de que las comunicaciones salten a través de
diversos servidores, de forma que sea muy difícil reconstruir dónde
se originaron. De uso sencillo, son programas que pueden descargarse
gratuitamente.
José Manuel Gómez, editor de Kriptópolis, propone nuevas ideas: "La
gran cantidad de puntos de acceso wi-fi disponibles sin ninguna
protección dan un excelente anonimato a usuarios "no invitados". A
medida que la ubicuidad de los dispositivos de acceso a Internet
aumente, será mucho más factible un uso anónimo de esta".
Cristian Borghello, director de Segu-Info, discrepa en que, aún
usando las más modernas tecnologías, "deberíamos hablar de
pseudo-anonimato, porque si alguien desea rastrear a otra persona lo
logrará, siempre que disponga de los recursos. Además, al ser
programas pueden tener vulnerabilidades o ser mal utilizados".
Recientemente, un investigador conseguía cientos de contraseñas y
mensajes de gobiernos y corporaciones que usaban la red Tor como
anonimizador de sus identidades. Olvidaron que, si no cifraban la
información, cualquiera que pusiese un rastreador en esta red podría
verla, aunque no supiese de dónde venía.
"Ninguna táctica es infalible", confirma Gonzalo Álvarez Marañón,
del Grupo de Investigación en Criptología y Seguridad de la
Información del CSIC. "Muchas de las herramientas actuales, como
Tor, se basan en la participación de usuarios anónimos que pueden
ser maliciosos. Pero con ellas se puede preservar el anonimato de
forma razonable para el común de los mortales".
Gómez va más allá: "El anonimato continúa existiendo aún cuando
determinada actividad se pueda relacionar con cierta dirección IP,
porque esta dirección no equivale a una persona concreta sino a una
conexión. En muchas ocasiones no es posible determinar
fehacientemente la persona que utilizó el ordenador y el Derecho
sólo puede aplicarse a personas, nunca a conexiones ni a máquinas".
De todas formas, a los internautas no les interesa el anonimato,
aseguran estos expertos. Sólo piensan en ello, dice Marañón, "cuando
quieren hacer algo malicioso o mal considerado: ¿Si descargo música
con eMule me encontrará la SGAE y me meterán en la cárcel? ¿Si me
conecto a una página porno se enterarán mi mujer o mi jefe? ¿Cómo
puedo mandarle un correo a esa chica sin que sepa que he sido yo?".
CÓMO SER ANÓNIM at S
WEB
Qué saben: Dirección IP, navegador y sistema operativo, últimos
sitios visitados.
Cómo evitarlo: Navegar desde un sitio anonimizador como
The-Cloack.com, a través de la red Tor o configurar el navegador
para que use "proxies" anónimos. Desactivar las "cookies".
BUSCADORES
Qué saben: Dirección IP y, si se ha registrado en algún servicio de
este buscador, su nombre y otros datos que haya facilitado. El
buscador archiva todas las búsquedas hechas desde la misma dirección IP.
Cómo evitarlo: No registrarse en los buscadores ni en sus servicios
asociados o, al menos, no realizar búsquedas desde su identidad en
estos servicios. Por ejemplo: no buscar en Google desde su cuenta en
Gmail. Bloquear las "cookies" que envía el buscador o borrarlas al
acabar la sesión. Cambiar regularmente la dirección IP, reconectando
el enrutador. Usar un buscador que no almacene las búsquedas, como
Ixquick.com. No incluir información personal en las búsquedas y, si
es preciso hacerlo, realizarlas desde un cibercafé. No utilizar el
buscador de su ISP, ya que podría relacionar su dirección IP con su
identidad real.
CORREO
Qué saben: Programa de correo, ISP y dirección IP. Incluso si usa un
correo basado en web, este muestra su dirección IP real en la cabecera.
Cómo evitarlo: usar un anonimizador (Tor, "proxies", "remailers") o
un sitio de envío anónimo de correo como AnoneMail.
P2P
Qué saben: Su dirección IP y datos que incluya en el programa.
Cómo evitarlo: Usar "proxies". Bloquear las direcciones desde las
que sospechamos que se nos está espiando, de forma que no puedan
vernos. Existen listas actualizadas de estas direcciones y programas
para bloquearlas, como PeerGuardian. Otra opción es usar un servicio
de pago de túneles de redes privadas virtuales, como Relakks.com,
que anonimiza nuestra dirección IP sin perder velocidad.
MENSAJERÍA INSTANTÁNEA
Qué saben: Si hay comunicación directa, su dirección IP. También su
dirección de correo electrónico y otros datos que haya incluído en
el programa, como nombre, edad o foto.
Cómo evitarlo: Usar "proxies", Tor o acceder desde el sitio web del
servicio de mensajería, si lo ofrece. En el chat existe también la
opción "modo invisible".
BASES DE DATOS
Qué saben: Depende de la base de datos. Puede ser su número de
tarjeta de crédito, nombre, dirección, contraseñas, hábitos, etc.
Cómo evitarlo: Actuar con prudencia a la hora de dar sus datos. No
rellenar formularios porqué sí, especialmente en sitios no
confiables o donde el valor del servicio que ofrecen es mucho menor
que el valor de los datos que usted les dará.
Herramientas para el anonimato
------------------------------
The-Cloak (servicio de navegación web anónima)
http://www.the-cloak.com
Privoxy (programa que usa "proxies" anonimizadores)
http://www.privoxy.org
Lista de "proxies" anónimos
http://www.atomintersoft.com/products/alive-proxy/proxy-list
Otra lista de "proxies" anónimos
http://www.publicproxyservers.com/page1.html
Buscador anónimo Ixquick
http://www.ixquick.com
AnoneMail (servicio de envío anónimo de correo)
http://anonymouse.org/anonemail.html
QuickSilver (programa anonimizador para correo)
http://quicksilvermail.net
Tor: anonimato online
http://www.torproject.org/index.html.es
PeerGuardian: Cómo hacer para que no nos espíen cuando usamos eMule
http://www.forolibre.net/foro/archive/index.php/t-37941.html
IP Privacy (programa para esconder la dirección IP mediante "proxies")
http://www.privacy-pro.com/features_ipprivacy.html
Filtro de direcciones IP sospechosas para eMule
http://emulepawcio.sourceforge.net
Cómo proteger tu anonimato en el chat
http://chat.teoriza.com/2006/02/11/como-proteger-tu-anonimato-en-irc
Relakks (túneles VPN)
http://www.relakks.com
Otros
-----
Blog de Charlene Li
http://blogs.forrester.com/charleneli/2007/11/close-encounter.html
Chiste: En Internet, nadie sabe que eres un perro
http://www.unc.edu/depts/jomc/academics/dri/idog.html
Iniciativa Do-Not-Track-Me
http://www.cdt.org/privacy/20071031consumerprotectionsbehavioral.pdf
Estudio "P2P, is big brother watching you?"
http://www1.cs.ucr.edu/store/techreports/UCR-CS-2006-06201.pdf
El engaño del anonimato en Internet
http://multingles.net/docs/jmt/anonimato.html
Anonimato Internet: usos, abusos y falacias
http://www.microsiervos.com/archivo/internet/anonimato-internet.html
Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.
More information about the hacking
mailing list