Datos Personales: Seguridad vs Privacidad

Publicado el 02 marzo 2013 por Alopezte @alex_lopezt
Siguiendo el hilo del primer post de este blog, hoy quiero escribir sobre la seguridad y la privacidad de datos. Estos dos conceptos parecen causar confusiones no sólo a los usuarios de dispositivos móviles, si no a algunos profesionales que, por motivos propios de la evolución de la tecnología, necesitan entender perfectamente estos conceptos para llegar de una forma ordenada a su público objetivo.
Mi objetivo de hoy es conseguir que cualquier usuario de dispositivo móvil, sea cual sea su nivel de conocimiento sobre el mismo, reflexione un poco sobre cómo mantener su dispositivo un poquito más seguro.
La experiencia me ha llevado a darme cuenta de que muchos profesionales de las TI no acaban de tener claro cómo gestionar la seguridad de los sistemas digitales. Sí que debo reconocer que todos y cada uno de ellos consideran éste un tema de máxima prioridad, aunque no acostumbran a querer invertir demasiado en este capítulo, en muchos casos suele ser una de las partidas implicadas en los recortes o bien se dan demasiadas cosas por "entendidas".
Lo que quiero dejar claro ya desde este punto es que, cuando acabes de leer, te darás cuenta que los problemas de seguridad o privacidad de datos de tu teléfono móvil no es algo nuevo, no es algo que haya brotado del conector de carga de batería de tu dispositivo, es algo que nació en el momento en que dos ordenadores se conectaron usando un módem acústico...

Desde el momento en que alguien nos pide que le diseñemos una solución móvil, la seguridad es una de las piedras angulares junto al consumo de batería y de ancho de banda.
Seguridad.
Al hablar de seguridad, lo primero que nos viene a la cabeza es la forma de asegurar que la información que manejamos en la solución a implementar, incluyo en la solución la App y cualquier otro componente de software o hardware que despleguemos en el CPD (para los no iniciados: App en el teléfono que tienes en el bolsillo, CPD, el ordenador que estará en algún sitio y con el que esa App va a comunicarse).
Asegurar esa información relativa a nuestra App, pasa por diferentes estados. Yo no soy experto en estas lides de seguridad, así que voy a enumerar unos cuantos que para mí son el mínimo para poder arrancar una solución. Seguro que mi compañero José P.L., experto en seguridad, podría ampliar esta información, pero creo que, para lo que estoy contando hoy, tampoco es necesario para hacerse una idea de lo que estoy contando hoy aquí:
  1. Cifrado de los datos guardados por la misma App
  2. Cifrado de las comunicaciones. Puede ser de una forma muy sencilla, usando SSL sobre http (recuerda, el https que aparece en las url con las que te conectas vía web a, por ejemplo, tu banco), o algo más complejo cifrando además los datos que se envían e incluso usar certificados para validar que la App que se está conectando con los servidores es la que debe de ser y no se trata de alguien suplantando identidad
  3. Cifrar y asegurar la información en los sistemas del CPD.
  4. Administración de identidades en el servidor. Con lo que se asegura la autenticación de los usuarios, la autorización para acceso a recursos, etc...


Para todo ello existen diferentes algoritmos e incluso productos de reconocidas compañías para los componentes más críticos y complejos. Si implementamos bien el código en ambos lados, tanto en lo que se refiere en la App desplegada en el dispositivo móvil, como en la que desplegaremos en la parte servidor, podremos evitar las tan temidas vulnerabilidades, amenazas y riesgos que tanto gustan en nuestro mundo.
Lo más fácil es generar una buena arquitectura de ejecución, regirse por unas buenas metodologías y ser muy estricto para sí poder realizar esos desarrollos.
Pero hasta ahora hemos hablado solamente de seguridad, y si todavía no te has dado cuenta, lo hasta aquí explicado sirve para cualquier canal en el que quieras mostrar tus aplicaciones. En la WWW, en las aplicaciones o en los sistemas operativos, todos son susceptibles a ser atacados para mostrar sus agujeros de seguridad, esa seguridad de los datos de nuestras aplicaciones, en ocasiones datos personales y en ocasiones datos corporativos.
Privacidad de datos
El martes o el miércoles leía un artículo cuyo titular venía a decir que el 25% de las personas que tienen un dispositivo móvil guardan fotos íntimas o muy personales en ellos. Ese mismo artículo, decía que el 80% de los usuarios de estos dispositivos no tienen ni idea de lo que es el malware ni de los riesgos para la "salud" de la privacidad de sus datos conlleva.
Sigo. El 70% de los usuarios no tienen ningún reparo en conectarse a una WIFI pública (pongamos, la de un centro comercial o una gran cadena de cafeterías) porque no tienen ni idea de las amenazas de seguridad que ello implica (la de virguerías que se pueden hacer con WireShark en una WIFI pública, busca "hack public wifi with wireshark" en San Google). Afortunadamente, ese mismo estudio dice que el 90% de los encuestados dicen que evitan el uso de esas WIFIs públicas cuando acceden a banca online.
Conste que no tengo intención de meterte miedo en el cuerpo. Pero a mí, esas cuatro estadísticas, ya "me ponen la gallina de piel" como diría Johan Cruyff. Pero realmente ¿qué significa todo esto?
Hoy en día, disponer de un pequeño ordenador de un minúsculo tamaño, con la misma potencia que el ordenador que llevaba la primera nave que llego a la luna, es fácil y barato. Además, ese pequeño ordenador incluye un receptor GPS y una brújula o compás, con lo que es muy fácil que ese pequeño ordenador sepa en todo momento dónde se encuentra. Además cuenta con un acelerómetro de 3 ejes, que permite conocer la forma de moverse. No olvidemos que también incorpora una cámara de fotos digital que en muchos casos realizan fotos de gran calidad e incluso vídeo. Creo que no me dejo nada... Bueno, sí, además permiten llamar por teléfono y conectarse a internet, ya sea usando la línea de datos que tenemos contratada o una conexión WIFI.
Todos esos ingredientes son los que forman lo que llamamos un Smartphone o teléfono inteligente y si no lo has visto ya, ese dispositivo permite en todo momento realizar fotografías o vídeo que están geoposicionadas gracias al GPS y a la antena WIFI (el dispositivo sabe dónde se han tomado), permite guardar nuestros contactos, nuestra agenda, nuestros programas preferidos, nuestras fotos más "íntimas", nuestros movimientos por la ciudad, dónde entramos, dónde pasamos más tiempo.
Si leíste el anterior post, allí hablaba de la educación de los desarrolladores, que deberían tener la ética suficiente como para implementar todas las medidas necesarias para evitar que cualquier programa pueda acceder a los datos personales sin el permiso expreso del propietario del dispositivo, y también hablaba de la educación de las compañías clientes de estos desarrolladores. Esta compañías deberían también hacer gala de ética y no pedir a los desarrolladores que recojan datos sin permiso del propietario del dispositivo. Estoy más que seguro que este es el caso más habitual.
Porque claro, todos esos datos, permiten realizar un perfil del propietario del dispositivo. De esa forma, la compañía propietaria de la App puede ofrecer al usuario aquello que sus estudios de mercado creen que más puede interesarle (viajes de lujo o de menos lujo, coches, tarjetas de crédito, ropa...).
Y ese es el mejor de los casos.
Existe alguna plataforma propiedad de Google, en la que las App que hay en el market no han sido analizadas exahustivamente como hacen en Apple. Esto permite que cualquier desarrollador sin escrúpulos sea capaz de programar una App para jugar a las cartas y que te pida acceso, antes de instalarla, a tu localización, a tus contactos, a tus llamadas, a tus SMS... Vamos, a toda tu información personal. Si para rizar el rizo eres un incauto (tranquilo, no te avergüences, hay más de los que imaginas), te bajas la App (no necesitas ni poner una contraseña para instalarla, como en Apple) o la baja tu hijo de ocho años y la ejecutas, quizás lo siguiente que veas es que tu teléfono empieza a calentarse y algo se mueve en la barra superior de la pantalla. Posiblemente está enviando la información de tus contactos, tus fotos, tu localización y cuantas más cosas tengas guardado en el sistema de ficheros de tu dispositivo (los dispositivos Apple no tienen sistema de ficheros).
A ver, esto que te he contado no es tan fácil (bueno, más de lo que crees), y puede ocurrir antes de lo que te esperas.
¿Cómo evitar todo esto? En primer lugar, los desarrolladores deberíamos ser todos más éticos. Las compañías deberían ser educadas y corteses, y nosotros deberíamos empezar a darnos cuenta de que en nuestros dispositivos, de los que habitualmente el 95% del tiempo estamos a menos de un metro de distancia y que es lo único que hace que volvamos a casa si nos lo dejamos, dan más información de nuestra vida de lo que podría explicar nuestra propia madre.
Instálate un sistema de protección como por ejemplo el de AVG, que es gratis. Evita guardar fotografías íntimas en tu teléfono más tiempo del necesario, descárgalas en cuanto puedas en tu PC (protégelo también, claro). Pero lo más importante, y sobre todo si tu teléfono es un "Android", antes de instalar ninguna App, mírate bien la pestaña de los permisos, allí podrás ver a qué quiere acceder exactamente. Piensa bien el tipo de App, y si es un juego, ten en cuenta que no necesitará para nada el acceso a tus SMS, llamar por teléfono, ver tus contactos o acceder a tus fotos. Si es así, hazte un favor, y por mucho que te atraiga el instalártelo y jugar con él, no lo hagas. Claro, a no ser que quieras arriesgarte a compartir tu información personal en cuestión de segundos con el otro lado del mundo.
Por cierto, para acceder a tu dispositivo, usa siempre un pin. SI-EM-PRE. Olvida usar el denominado "Patrón de seguridad". Si te vas a Google y escribes "Android Patrón Seguridad", entenderás el por qué te digo esto. Si no, puedes acceder a esta página, aunque quizás su lectura es para usuarios más expertos. En resumen, por si no tienes ganas de leer, te lo pueden reventar con cierta facilidad, eso sin contar con que si lo miras así un poco contra la luz, igual hasta ves el recorrido de tu dedo.
Con esto ni quiero demonizar a nadie ni a nada. La movilidad es mi forma de ganarme la vida y, por qué no, un buen hobbie, y como todo, bien usado puede ser una herramienta genial, pero lamentablemente los lobos están ahí fuera al acecho esperando que cualquier corderito descarriado se despiste unos segundos para abalanzarse sobre él y comérselo.
Suerte y protege tus datos, sea cual sea tu dispositivo...