Lo público, lo privado y lo confidencial (3)

El rastreo en la Internet es con toda seguridad una de las situaciones más cuestionables de entre todos los apartados de la privacidad. Cuando tu navegas por la red y estás conectado con algún proveedor de servicios “gratuitos” como Google o Facebook, has firmado libremente un contrato con ellos que les autoriza a revisar todo lo que haces tanto en su sitios y/o servicios como lo que haces fuera de ellos en tanto estás dentro de la sesión.

Los contratos son pavorosamente abusivos, pero al final es una decisión personal. Cada uno se encuentra en posición de ofrecer lo que quiera como contraprestación por el servicio obtenido y así cada quien valora en una simple ecuación de costo – beneficio que es lo más adecuado.

¿Pero que sucede si una de dos, o no has contratado un servicio o sencillamente no lo estás usando en ese momento? La lógica simple nos indicaría que al estar realizando actividades que no son parte de un contrato (si es que existe) no tendríamos que ofrecer ninguna contraprestación. Me explicaré con un ejemplo: Cuando rento un automóvil, en el contrato se especifica que habrá un cobro por kilómetro recorrido en el vehículo, así cada vez que me desplace en él aumentará la cuenta, pero si decido no usarlo y me traslado en trasporte público obviamente no se incrementará la factura. Sobra decir que si no rento un vehículo no tengo que pagarle nada a nadie.

Pero como a estos proveedores de servicios informáticos no les ha satisfecho este tipo de acuerdos han creado todo un arsenal de artilugios informáticos para poder seguirte a todo lo largo y ancho de la Internet. ¿Cómo? La respuesta es simple, le proporcionan a los dueños y administradores de los sitios web con herramientas que además de darles algún tipo de beneficio sirven para rastrear a todo aquel incauto que visite esos sitios: Una barra de búsqueda de Google, Google Analytics, Los botones “Síguenos en…” entre muchos otros, además de cumplir con su función aparente, Buscar, medir o abrir un enlace o lo que sea que ofrezcan, mandan información desde cada navegador que llega al sitio que los contiene.

Y sí, por mas feo que suene poseen las herramientas tecnológicas para identificarte, tu dirección IP, tu dirección MAC y un arsenal de herramientas matemáticas y poder de cómputo impresionantes: El famoso análisis del “Big Data”. No quiero detenerme para describir las muchas cosas que estos proveedores pueden conocer de tu persona, ni es posible explicar aquí algunos de los métodos que pueden usar. Basta saber que por lo general no solamente estamos expuestos a únicamente a uno de ellos o a los de un solo proveedor. Si en verdad deseas profundizar existen literalmente miles de artículos en la red que describen en gran detalle estos métodos, al menos los que se conocen.

El asunto es muy serio, se dice que Facebook posee mas “perfiles grises” (de personas que no son cuenta habientes de FB) que de personas que han creado voluntariamente un perfil en FB; y ellos ni lo niegan ni lo confirman. Si nos atenemos a sus propias cifras serán mas de los 2,000 millones que afirman tener como usuarios.

Filtrando los sitios antes de entrar en ellos.

Cuando un sitio está contaminado de rastreadores quiere decir que la data que nos envían los servidores contiene alguna forma de código de programación que se ejecutará en nuestro dispositivo computacional y actuará para enviar nuestra información de regreso a sus programadores. Visto así es relativamente sencillo suponer que debe existir una forma de impedir que ese código sea ejecutado en nuestro navegador. Hay dos formas principales en que estos rastreadores nos son enviados: como cookies y como trackers.

Las cookies son un mecanismo que deja pequeños trozos de información en nuestro navegador, y que después pueden (y son) recolectadas para conocer donde estuvimos y que hicimos ahí; incluso algunos tipos de malware lo que hacen es poner estas cookies una y otra vez de forma que siempre estemos enviando toda clase de información privada a quien sabe quien y con que obscuros propósitos. La idea de estas, como las de muchas otras cosas no era mala en sus orígenes, por ejemplo almacenar los nombres de usuario y contraseñas en la propia computadora de forma que nos podemos ahorrar tener que teclear todo cada vez que ingresamos a un sitio, o guardar en la propia máquina las preferencias que tenemos de cada sitio que nos permite hacerlo.

Pero como siempre ocurre, las cookies casi desde su bien intencionada aparición también han sido usadas para guardar muchas otras cosas: cuantos clic hicimos y a donde, tiempo de permanencia en cada sitio, número de veces que hemos estado en cada sitio y mil pequeños detalles que en lo particular significan muy poco, sumados pueden generar un perfil bastante preciso de nuestras personas. Es por ello que en muchas naciones se está obligando a que los sitios pongan un aviso que indique a los internautas que el sitio usa cookies. Claro que esto no sirve para nada, es como si te ponen un aviso de “cuidado con el perro” pero la puerta está abierta y un fiero can se te ha lanzado a masticarte la pierna.

Como las cookies sí pueden tener una utilidad y ser legítimas, resulta muy incómodo prescindir por completo de ellas, asunto que por demás es muy simple ya que todos los navegadores permiten cerrar por completo el paso a las cookies. Y es por eso que estas cada día son menos usadas con propósitos espías, están demasiado expuestas y pueden ser eliminadas y bloqueadas en un par de clic.

Algunos sitios necesitan de las cookies, por ejemplo los que están construidos con algún CMS como Joomla, Drupal o WordPress para permitirle al usuario autenticarse, iniciar sesión y permanecer en ella todo el tiempo que se acuerde. Esas cookies que por lo regular proceden del propio sitio suelen ser no solo inofensivas, incluso son útiles. Los sitios también suelen enviar cookies desde terceros proveedores de contenido y estas son mucho más problemáticas, porque si bien pueden ser útiles (como las de Google Fonts) pueden ser también un problema de seguridad (como las de Alexa o las de DoubleClick).

Para mantener los efectos perniciosos de las cookies yo suelo seguir las siguientes estrategias: Configuro el navegador para que cada vez que se cierre borre la totalidad de las cookies. Esto elimina la acumulación de información con el paso del tiempo. Además suelo bloquear las cookies de los sitos que no son de mi confianza; en mi caso FB y Twitter, claro porque yo no tengo cuenta con ellos, pero cada quien sabrá que deja pasar y que no.

También se puede optar por la estrategia inversa, es decir indicarle al navegador que no deje pasar ninguna cookie e indicarle exclusivamente que sitios pueden depositar galletitas, que por lo general deben corresponder con aquellos donde mantienes una cuenta activa.

Además uso la extensión Self Destructing Cookies (Firefox) que elimina las cookies tan pronto como se abandona la página que las envió. Así el siguiente sitio no tiene nada de información que recuperar.

Los trackers por el otro lado son piezas mucho mas complejas, por lo general son código escrito en javascript (y un navegador de internet es en esencia un intérprete de este lenguaje de programación). Por ello trabajan en tiempo real y están revisando y trasmitiendo las actividades del usuario durante todo el tiempo que este permanece en cada página. Se sabe que por ejemplo FB es capaz de determinar donde colocas con mayor frecuencia el puntero del ratón y como lo mueves. Así sabe donde ponerte los anuncios y donde no, además que puede determinar que áreas de una página te resultan de interés y cuáles no. Al igual que las cookies el código javascript puede provenir del propio sitio o de un tercero.

Para parar este tipo de invasiones se puede optar también por indicarle al navegador que no ejecute el código javascript, Pero como como en la actualidad casi la totalidad de los sitios usa javascript en conjunto con CSS para la su propia funcionalidad y apariencia, ocurrirá con una desagradable frecuencia que las páginas se vean confusas y francamente difíciles de entender, o incluso que no se pueda interactuar con ellas.

Una alternativa similar es usar la extensión “NoScript” que al principio funciona igual al bloqueo total que se puede hacer en el navegador, pero es posible enseñarle que sitios pueden ejecutar código y cuales no. Es bastante segura, pero es engorrosa y yo solo la recomiendo para navegación de alto riesgo. (Tor la tiene instalada y activada por defecto). Obviamente NoScript también detiene en seco el código Flash de Adobe, así que de plano no la uses si quieres ver vídeos o jugar en la red.

Una alternativa son las extensiones que operan bajo el mismo principio que los bloqueadores de publicidad, es decir basan el bloqueo en forma selectiva de acuerdo a su origen y trabajan con listas. Por supuesto son como los antivirus, primero aparece el tracker y comienza a hacer su labor, en algún momento llega conocimiento de los mantenedores de las listas y posteriormente está información es trasmitida a navegador para que pueda parar al nuevo tracker.

Mi favorita entre ellas es Ghostery, ya que además de trabajar bastante bien se encuentra disponible para Firefox, Opera y Chrome / Chromium. Esta extensión como otras de su clase bloquea tanto los trackers, los botones de redes sociales y las cookies de rastreo, toda una joya.

Como soy desconfiado, en Firefox que es el navegador que uso para aventurarme por la red además tengo instalado Disconnect y Privacy Badger de la Electronic Frontier Foundation (toda una garantía) que además también bloquea la publicidad y está disponible para Firefox y para Chrome / Chromium.

Eso sí ten en cuenta que estás extensiones limitan algunas funcionalidades de los sitios, por ejemplo la barra de búsqueda, cuando esta proviene de un sitio externo como Google (no así los de los propios sitios)

El uso de varias de estas extensiones, ocasiona un mayor consumo de recursos del navegador, pero cierra el paso a la inmensa mayoría de las fugas de seguridad. Pero claro esa en mi propia paranoia y cada loco con su tema ¿No lo crees así?

Anuncios

4 pensamientos en “Lo público, lo privado y lo confidencial (3)

  1. Buenas tardes, recién culmino de leer tus 3 artículos acerca de lo “privado”. Excelente la forma en que has abordado el tema, habían muchas cosas de las que ya tenía conocimiento como tambíen muchas otras que no y que me asombré de cierta forma. Desde hace algún tiempo he estado usando bloqueadores de publicidad, mi primera opción fue hacerlo directamente desde al archivo host, pero en vista de no querer tener una lista tan extensa investigué un poco y di con privoxy, el cual me ha funcionado muy bien pero hay cosas que aún no bloquea, pero cabe destacar que el bloqueo es instantáneo y funcional. Un usuario creó un script que permite tener todos los beneficios del adblock plus sin tener que instalarlo en el navegador y que hace lo mismo e incluso mejor, ya que no consume los recursos que si consume el adblock plus, adicional a eso están añadidas otras paginas en el script, igualmente las toma del easy list y fanboy. Actualmente he estado estudiando la forma de añadir más listas que no se encuentran en el easy list y que se encargan de bloquear publicidad y malware. Uno parecido al privoxy es el hostman que está para windows y utiliza otras listas que no tiene el easy list. Espero poder unir todas las listas en un mismo script para poder añadirlo al privoxy y ver como resulta. Hasta los momentos el hostman funciona bien bajo windows, y el privoxy bajo linux. Usualmente debo investigar para las dos plataformas ya que trabajo con computación y redes y la mayoría de los clientes utilizan windows y son renuentes a dejarlos de utilizar y pues me toca buscar las mejores formas de mantener sus sistemas libres de virus y lo más funcionales posibles. Deberías revisar lo del privoxy por si aún no lo conoces, y ver que te parece. Algo con lo que siempre he tenido dudas es con softonic, sabes el por qué los bloqueadores de publicidad (como adblock plus) no son capaces de bloquear softonic e iminent (y otras páginas más)? Que para mí son criaderos de virus y malware (no se si tú pienses lo mismo al respecto). E incluso lo hice manualmente desde el archivo host bajo windows y ni así pude bloquearlos. En linux no tengo ese inconveniente. Gracias y Saludos.

    Me gusta

    • Hola:

      El problema del archivo host, que por cierto funciona igual en cualquiera de los 3 SO mas conocidos es que debe añadirse sitio por sitio. Esto por supuesto además de ser un engorro, termina por ser imposible en la práctica. Imagina por ejemplo a Google que tiene google.com, google.es, google.mx, y un sin fin de sitios más.

      Los bloquedores de publicidad trabajan bloqueando los sitios de los proveedores de publicidad como google adsense ya que estos son los que “venden” la publicidad a los sitios que se visitan. Y esto por supuesto es mucho mas sencillo ya que no hay un infinito de ellos.

      Si lo que deseas es bloquear sitios para su acceso y tienes la posibilidad de hacerlo deberás usar un programa de filtro semántico al estilo de DansGuardian que revisará el sitio de acuerdo a su contenido antes de dejarlo pasar.

      Yo en la escuela tengo configurado el servidor (ClearOS) para que ejecute DansGuardian, además puedo desde ahí bloquear las descargas que desee, por ejemplo vídeos, mp3, mp4 y lo que se me ocurra (zip, exe, etc).

      Para la publicidad puedes probar hosty (http://blog.desdelinux.net/hosty-script-eliminar-publicidad/) un excelente script que también uso en el servidor. Al hacer todo esto desde un servidor te evitas el engorro de hacerlo en cada PC, y si tienes muchas será el cuento de nunca acabar; de ahí el éxito de los bloqueadores de navegador al estilo AdBlock.

      Una excelente opción para W$ y que también trabaja a nivel de la conexión, es decir te protege en todos los programas es AdMuncher (https://www.admuncher.com/) que está disponible en forma gratuita y tal vez en un futuro se pueda usar en otros sistemas operativos.

      Además si estás interesada en privoxy prueba usarlo en conjunto con SkeleTor para conseguir el nivel de anonimato de la red TOR en todas tus conexiones.

      Opciones hay, desafortunadamente lo que mas falta es la voluntad de cuidarnos a nosotros mismos; tanta como exceso de pereza.

      Gracias por tu comentario.

      Me gusta

  2. Gracias por tus consejos, aún no soy muy diestra en cuestiones de servidores pero es posible usar el servidor de seguridad como un DNS al estilo dyndns u opendns? Tanto en redes internas como a través de internet?

    Y sí, lo que busco es bloquear sitios, así como también la publicidad y malwares, y lograr mayor privacidad, mejor ancho de banda de internet, y mejor rendimiento en la carga de las páginas, eso en cuanto a mi uso personal, pero para los clientes además de inculcarles eso también me enfoco en el bloqueo de malwares y bloqueos de sitios ya que como te comenté, son usuarios renuentes a dejar atrás windows y pues quiero que estén seguros y que puedan aprovechar al máximo sus equipos (laptops, pcs).

    No había leído ni escuchado nada al respecto acerca del ClearOS y el DansGuardian ni lo del SkeleTor junto con privoxy, me pondré a investigar sobre ello. Y con respecto al AdMuncher probaré a ver que tal resulta y ver si me da mejores resultados que el hostman, que hasta los momentos me ha gustado.

    Gracias nuevamente por tus consejos, seguiré investigando todo lo que pueda, es una situación en la que estoy muy interesada e involucrada. Gran labor, y gran blog.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s