58 meneos
25154 clics
Soy Javier Ramírez, experto en privacidad y seguridad informática. Pregúntame
Soy Javier Ramírez, experto en privacidad y seguridad informática. Creador de Guard (useguard.com), una inteligencia artificial que lee y analiza políticas de privacidad por ti y detecta los riesgos de privacidad en ellas. Llevo los últimos 5 años creando y vendiendo software, tanto como cofounder en startups, como freelancer, como de manera independiente.
Jueves, 18 de junio, a partir de las 17:30.
Jueves, 18 de junio, a partir de las 17:30.
|
comentarios cerrados
Gracias por venir por aquí
Saludos!!
Esta es la respuesta en “modo full paranoico”. Lo que te diría yo como persona de a pie es que seguramente tanta paranoia sea contraproducente. La pregunta siempre está en cuánto tiempo y recursos estás dispuesto a invertir en montar contramedidas y sobre qué potenciales ataques las estás montando, para evaluar si tiene sentido invertir tiempo en ello. Muchas veces no tiene sentido comerse la cabeza e invertir semanas e incluso meses en montar contramedidas desproporcionadas. Para el usuario medio de internet, el que no quiere comerse la cabeza configurando instancias Linux para montar VPNs propias, seguramente un servicio de VPN como el que comentas sea más que suficiente. Para quien nos esté leyendo, alguien que se esté planteando de nuevas qué VPN usar, una buena heurística para elegir VPN sea podría ser que si es gratis casi seguro que es mala y está revendiendo tus datos; así que casi siempre la mejor opción es coger una de pago.
Sobre este servicio en concreto que comentas sí que parece que se escuchan cosas buenas pero personalmente no lo he probado así que no te puedo decir mucho más. Si tú lo has investigado, te funciona bien y confías en él, en principio adelante.
Sobre Tor, efectivamente es bastante más difícil que una sola persona o entidad consiga identificarte, perfilarte ni trackearte al enrutar tu tráfico a través de muchos nodos distintos, pero esto también viene con un coste: la velocidad de la navegación se vuelve lenta, casi inusable. Lo que comentaba antes: seguramente no tenga sentido ponerse en modo “100% paranoico” para hacer navegación “normal”: encuentra un compromiso con la solución que funcione para ti y que tenga un coste (monetario, tiempo, recursos) que estés dispuesto a asumir y funciona con ello hasta que deje de servirte.
Por supuesto, nada te impide pedirlo y, en caso de que te lo denieguen, denunciarlo a instancias superiores, los cuales estimarán si entra dentro del derecho o se vulnera alguna ley....
Cuando vendes en Amazon y das de alta un producto nuevo, el listing del artículo pasa a ser de amazon, a pesar que pierdas tu tiempo dándolo de alta e incorporando una descripción y contenido multimedia. Y de poco sirve darse de baja que el artículo no se borra.
Ese tipo de cosas con las que un experto en seguridad se tira de los pelos cada vez que se entera de que alguien no las realiza?
Luego cosas como nunca usar WiFis abiertas… sé que hay momentos tipo aeropuertos o cafés en los que tienes que sacar el portátil para trabajar y “no te queda otra” pero ahí casi siempre merece más la pena montarte un punto de acceso con tu móvil y tirar de datos. Rápido, en 30 segundos tienes internet y te quitas de un montón de riesgos de a saber lo que tienen montado en el WiFi de turno. Tampoco entiendo bien la gente que da sus datos de gratis a este tipo de WiFis, en plan “¡Danos tu email, fecha de nacimiento, cuenta de Facebook, Twitter y Google y quizá hasta te dejemos usar nuestro WiFi durante 30 minutos!”. Es que, incluso aunque estés dispuesto a dar todo eso, no creo que ni la transacción merezca la pena. Si no te queda otra, siempre intentar dar datos falsos o cuentas de email “throwaway”.
En esta misma línea, también es muy de tirarse de los pelos ver a alguien dar sus datos personales sin ningún tipo de reparo, a cualquier web que se lo pida: desde ecommerces a blogs a cualquier página de dudosa reputación.
Y por último, para no extenderme mucho, porque el comentario podría ser infinito y seguro que me dejo cosas importantes fuera, ser muy conscientes de lo que usamos y lo que publicamos. “La nube”, “los servicios” son solo sinónimos para decir “el ordenador de otra persona”. Publicar una foto en Instagram es el equivalente digital de coger una foto, imprimirla / fotocopiarla y enviársela por correo postal a Mark Zuckerberg. Una vez en su poder, él puede hacer las copias que le dé la gana o publicarla en (casi) cualquier sitio. Una vez enviado pierdes el control sobre lo que publicas, por mucho que la interfaz ofrezca un botón de “borrar”, nadie garantiza que esos datos son realmente borrados y no ocultados, o que han sido eliminados de todas las copias de seguridad / copias distribuidas, o que no han sido vendidos ya (agregados o en bruto). Y esto no solo aplica a fotos y cosas así “públicas”, aplica a cualquier servicio que te ofrezca algo privado “en la nube”: usar Spreadsheets (el “Excel” de Google) significa que Google tiene copia de todos esos datos, por muy privado que parezca el dashboard. No digo que sea bueno o malo, o que debamos evitar unos servicios u otros, solo que deberíamos ser muy conscientes de cada vez que le damos al botón de “upload” o “new”, porque es a partir de ahí donde realmente perdemos el control.
A) ¿qué opinión tienes de programas como firejail usado en navegadores, cuando, supuestamente, firefox y chrome ya tienen un modo sandbox activado? ¿Crees que son necesarios para el usuario común?
B) ¿Qué opinión tienes de Pihole? Me refiero a alguien que lo use únicamente dentro de su red wifi (en su casa, no fuera), y descontando la parte de bloquear ads (cosa que se puede hacer en navegadores con uBlock Origin).
Y por último, esta es más fácil, creo: C) ¿Qué te parece que el WPS venga activado el 99% de las veces en los routers, con el coladero para la seguridad que es?
¡Muchas gracias!
B) Bien, útil, pero es un rollo. Es el tradeoff que comentaba en #53: guay si estás dispuesto a asumir el coste. En Pihole usas heurísticas que no siempre son correctas (ej.: decido bloquear dominios de Sony porque me parece por la razón X que es poco privacy-friendly pero de repente mi hermano se queja de que la PlayStation no le funciona y tengo que entrar, debuggear y whitelistear, lo que es una molestia y me consume tiempo; y así con cada cosa que deje de funcionar y con cada nueva persona que entre en la red con su set particular de preferencias / servicios que usa). Creo que es difícil alinear las preferencias de privacidad de muchas personas para hacerlo realmente cómodo, pero si eres solo tú puede ser un buen aliado.
C) Pues qué puedo decir... si construyes un bunker pero te dejas la puerta abierta, la gente va a entrar igual.
La solución más radical es bloquear por completo la ejecución de Javascript en todo el navegador. Esto no elimina por completo todos los problemas (el servidor puede seguir trackeando las páginas que sirve, e incluso hay maneras de trackear cargando imágenes en HTML o incluso CSS), pero la mayoría de trackers comerciales se caerían. Por contrapartida, la mitad de internet dejaría de funcionarte bien
Esto es una medida quizá desproporcionada. Lo que se suele usar a nivel de usuario son extensiones tipo uBlock Origin, Privacy Badger, o incluso uMatrix para usuarios un poquito más avanzados. También recomiendo usar un navegador que respete la privacidad por defecto, tipo Firefox. Creo que esto debería ser suficiente para la mayoría de usuarios.
- AudioContext Fingerprint Defender
- Browser Plugs Fingerprint Privacy Firewall
- Canvas Fingerprint Defender
- ClearURLs
- Cookie AutoDelete
- CSS Exfil Protection
- Decentraleyes
- Don't track me Google
- Don't touch my tabs! (rel=noopener)
- Font Fingerprint Defender
- HTTPS Everywhere
- Random User-Agent
- Redirect AMP to HTML
- Toggle Referrer
- uBlock origin
- uMatrix
- WebGL Fingerprint Defender
Se que algunas extensiones podría quitarlas y configurarlas a mano en el about:config o incluso con otras extensiones, pero tenerlas así me facilita poder desactivarlas en un momento dado sin volverme loco. A mi no me sobra ninguna.
www.meneame.net/story/fernando-simon-atonito-ante-pregunta-no-parece-n
La segunda es una duda un tanto profesional: el tema es para hacer un sistema de login seguro de verdad, yo tengo hecho para una aplicación, algo con cierta seguridad pero basico, más que nada porque estoy haciendolo sin servidor que guarda en github y no es un programa que guarde información sensible, así que tengo una clave en un… » ver todo el comentario
Mi intención de primeras era tener como muchos juegos y otros programas que te aparece ya el usuario… » ver todo el comentario
El cifrado del email (p.e. gpg) se perdió. La lucha por ocultar los metadatos en las comunicaciones entre personas es algo casi inexistente a nivel práctico. Los sistemas federados son casi anecdóticos y se pasa a sistemas propietarios, casi todos bajo un mismo gobierno (EE.UU). La batalla del cifrado DNS se… » ver todo el comentario
Si tuvieras que recomendar medidas de seguridad para las personas de a pie con varios niveles cual seria siguiento estos criterios.
1- Pocos conocimientos, poca inversion
2-Gastos medio , poco conocimiento
3- Conocimientos medios y gastos medios
4- Disponibilidad d etiempo conocimientos y dinero
Siempre antendiendo a mejor relacion calidad precios.
no se si esto preguntando una chorrada, pero siempre que me quiero lanzar me da pereza y no se por donde empezar.
0 - Usuario normal despreocupado
1 - Tener cuidado con qué servicios usas y cuáles no, no dar tus datos por todas partes, no publicar todo en todas partes, no publicar en TW/IG con geolocalización activada, no usar WiFis públicas, etc.
2 - Empezar a usar servicios privacy-friendly. Usar Firefox en lugar de Chrome, Telegram en lugar de Whatsapp, etc. Empezar a dejar de usar servicios fácilmente reemplazables.
3 - Bloquear trackers (uBlock Origin, Privacy Badger), usar servicios de VPNs, montar alguna solución tipo PiHole, etc.
4 - Dejar de usar servicios “críticos” aunque no haya buen equivalente “privacy-friendly” (la definición de crítico varía de persona a persona, pero cosas como borrarse Gmail, Facebook, Twitter, Instagram, salirse por completo de redes sociales, etc.)
5 - Compartimentalizar tipos de tráfico en distintos navegadores: usar Firefox para el trabajo, Brave para navegación normal, otro navegador solo para cosas bancarias, etc.
6 - Instalar Linux de cero en tu ordenador y configurarlo con las máximas restricciones de privacidad y seguridad + instalar alguna distro privacy-friendly de Android en tu móvil, también configurada para privacidad, y usar solo estos dispositivos.
7 - Tener varios ordenadores con Linux instalado completamente montados y configurados desde cero para máxima privacidad, cada uno para un tipo de navegación en particular, ordenadores que vas rotando cada poco y borrando / reinstalando / reconfigurando periódicamente.
8 - Dejar de usar smartphone, usar solo un móvil viejo, potencialmente con una SIM que no esté ni a tu nombre, tener este móvil apagado el 90% del tiempo y solo encenderlo cuando quieras comunicarte.
9 - Desaparecer del mapa por completo, dejar de usar tecnología completamente.
Gracias, un saludo
No hagas caso a lo que digo... Pero a mí me parece que usan vuestra cuenta para verificar que funciona algo. Y me da que ese código identifica algo del que envía el dinero. Y suena turbio.
No me extraña que estéis preocupados.
Si PayPal permite la devolución de forma gratuita, yo lo devolvería, para dejar claro que no se tiene relación con esa transferencia.
Valorad en añadir otra dirección de correo a esa cuenta de PayPal e ir dejando de usar el viejo poco a poco.
(Te comento que esto no me está pasando a mi, sino a una amiga que no tiene cuenta en Menéame y me ha pedido que pregunte por ella)
Por otra parte, ¿el método para frenar la difusión del coronavirus descrito en la imagen podría realmente funcionar sin afectar a la privacidad?
¡Gracias!
Este tradeoff es un problema enorme y la realidad es que la mayoría de los usuarios están dispuestos a dar muy poco a cambio de tener más privacidad.
Creo que hay poco que puedas hacer sin ser el típico amigo brasas que te intenta convencer sobre la causa de turno (yo lo soy, y es un suplicio para mis amigos, pero poco a poco vamos migrando grupos de amigos de Whatsapp a Telegram... pequeñas batallas ganadas). Como en otros movimientos (como la lucha contra el plástico), creo que va a ser algo que llevará mucho tiempo y esfuerzo hasta que cale en la opinión general. La parte positiva es que poco a poco parece que el interés sobre la privacidad empieza a crecer (ya es uno de las grandes razones por las que los usuarios deciden entre servicios en internet), muchos usuarios usan blockers (que es de lo que menos esfuerzo y sacrificio requiere para el beneficio que te da) y cada poco salta alguna noticia que hace ganar más adeptos.
Como argumentos a decir, quizá poner de manifiesto cosas que los servicios que usamos a diario dicen que hacen. Leerse las propias políticas de privacidad es una aventura en sí mismo y te puedes encontrar con perlitas que decirles, en plan: "¿sabías que Tinder potencialmente puede compartir tus matches y conversaciones, así que nada de lo que digas dentro de la app es privado?".
También dejarles claro que esto de la privacidad no es un blanco o negro, sino una escala enorme de grises. No hay que hacerse privado de entrada, no hay que implementar toda medida posible de primeras. Tampoco hay que borrarse Instagram de entrada. Es todo una cuestión de dar un primer pasito y empezar a cogerle el gustillo al sentimiento de no sentirse observado. Migrar de Chrome a Firefox puede ser un buen primer paso, y te puede servir para al menos hacerte consciente de tu identidad digital y el rastro que vas dejando por el mundo. Pero eso, es una escala de grises amplísima y encontrar el punto de esa escala en el que te sientes cómodo es todo un viaje. Creo que encontrar el paso inicial de mínima fricción es importante para ayudar a una persona a ser más privada.
Sobre el método del coronavirus: no parece mal approach si no existe una entidad central o mecanismo que pueda relacionar cada mensaje emitido con cada usuario concreto, desvelando así la identidad de cada usuario y si está infectado o no.
Si fuera yo (y siempre con las restricciones de tiempo, ganas y conocimientos, claro), quizá haría en clase una "demo" en vivo de cómo se puede descubrir qué está viendo una persona en su móvil y vulnerar completamente su privacidad. Se me ocurre algo como montar un punto de acceso wifi en clase con un router, dejar que algunos chavales se conecten con el móvil a ese WiFi y pedirles que naveguen – y tú desde un portátil conectado a la misma red, con alguna distro tipo Kali, hacer algún ataque MITM, inspeccionar paquetes con Wireshark, descubrir qué están visitando, potencialmente descubrir alguna contraseña si alguna web la envía en plano o si consigues hacer SSL stripping, etc. Sé que es complejo pero si tienes los conocimientos y el tiempo puede ser una demo muy vistosa para que entiendan que cualquier persona con un portátil conectada al mismo WiFi que ellos les potencialmente puede comprometer sus conversaciones privadas o sus sesiones de stalkear a un crush.
Aceptarías una pregunta sobre telefonía móbil?
Recientemente me encontré con este enlace (blog.torproject.org/mission-impossible-hardening-android-security-and-) donde habla de la falta total de control (privacidad) en telefonía movil.
Parece que el problema viene realmente de abajo (hardware, firmware, protocolos de comumicación movil, etc...) www.osnews.com/story/27416/the-second-operating-system-hiding-in-every .
He visto tu pagina de… » ver todo el comentario
Ehhh, todo correcto.
- If you play our experiment located at privacyreader.useguard.com/play, we anonymously collect the result each pair match. We do not collect or store any data that will link this data to your identity. Optionally, we ask for you to provide some demographics and personal data, and this is stored independently from the rest of the data we collect, and it’s used only to ensure we’re ethically training the AI by not having any significant bias in the data we feed it.
- Right now we’re using the infamous Google Analytics to measure the health of our website.
Además del uso de fuentes localizadas en servidores de Google.
Right now we’re using the infamous Google Analytics to measure the health of our website. (...) Not having any analytics would make us blind. Google Analytics’ privacy policy applies. If you have any tracker blocker, such as UBlock Origin, you should be good and no data will be collected. We don’t send any kind of personally-identifiable event, though. We know GA is not the best option to track web usage, but it’s the only one that’s free and easy enough to use we’ve found so far. If you know of any better service we might use, please reach us at (...)
Tienes herramientas como Awstats que toma las métricas del log del servidor y es infinitamente más… » ver todo el comentario
- ¿ En qué rangos de salarios se mueve un profesional de seguridad informática, si es que lo sabes ?
- ¿ Existen herramientas de inteligencia artificial que ayuden en la seguridad informática o es más una cosa de futuro ?
(No, no hagáis esto, esto es una broma, ya he visto en otros foros gente que no entendía que esto era una broma y lo hacía así que me parece imporante romper la magia de la broma poniendo este aviso para futuros navegantes)
Me interesa bastante el tema de la seguridad y entrar en él y me gustaría tener la opinión de alguien que ya esté dentro.
He estado mirando tu perfil y veo que tienes bastantes referencias sobre emprendimiento y formación a nivel de bootcamp, pero no veo que tengas demasiada experiencia ciberseguridad. También he mirado rameerez.com, pero tampoco saco en claro gran cosa.
- ¿Con qué experiencia y formación cuentas como para avalar ser experto en seguridad? No quiero… » ver todo el comentario
entiendo que el hecho de que alguien pueda poner en duda tu perfil puede resultar incómodo, pero afrontar estas cosas con tranquilidad y poner los argumentos encima de la mesa es muestra de profesionalidad. Todos sabemos que hay gente que responde a determinados perfiles y el tuyo en principio para el del "emprendedor" que tanto se ha comentado en meneame, pero me parece que lo justo es darte la oportunidad de demostrarnos que mis dudas son infundadas.