Tag Archives: seguridad

Es frecuente que hablemos acerca de las enormes oportunidades que presenta la Internet de las Cosas (o IoT, por sus siglas en inglés). De acuerdo con Gartner, en 2016, existen un total de 6.400 millones de cosas conectadas a la red, y que este número crecerá hasta superar los 20.800 millones hacia 2020. Estos números excluyen a tecnologías como computadoras y teléfonos móviles y, en cambio, se centran en dispositivos como relojes inteligentes, pulseras creadas para fitness y otros wereables, ropa inteligente, automóviles conectados, medidores de servicios públicos, cámaras de seguridad, lavarropas y heladeras inteligentes, robots industriales, y muchos otros equipos que, cada vez en mayor medida, utilizan la conectividad para ampliar su funcionalidad. Y si bien la Internet de las Cosas resulta muy prometedora, tanto desde el punto de vista de negocio, como desde las mejoras en campos tan diversos como la salud, la seguridad, la educación, y hasta la manufactura, también existe un lado preocupante asociado con esta tecnología.

El viernes 21 de octubre, el mundo fue testigo de uno de los más notables ataques informáticos ocurridos durante los últimos años. Ese día la empresa Dyn, la cual ofrece servicios de DNS – es decir, crea el nexo entre distintos sitios web y la dirección que escriben los usuarios en sus navegadores – fue atacada con un Distributed Denial of Service Attack (or DDOS, por sus siglas en inglés), lo que radicó en que muchos de los sitios y aplicaciones web más populares, incluyendo Twitter, Spotify, CNN, Reddit, Github, UrbanDictionary, HBO Now, Netflix, PayPal, The New York Times, Pinterest, Starbucks, Zendesk, y muchos otros, se volvieran inaccesibles, especialmente desde la Costa Este de los Estados Unidos.

Este tipo de ataques consisten en utilizar una gran cantidad de computadoras para ingresar a un mismo sitio web una y otra vez de manera simultánea. Esto lleva a que el sitio en cuestión exceda su capacidad y se sature, volviéndolo inaccesible para el público en general.

Si bien no se trata de una técnica novedosa, el ataque del 21 de octubre contó con una peculiaridad que lo vuelve especialmente preocupante. Y es que los atacantes se aprovecharon de decenas de millones de dispositivos conectados a Internet y que no poseen virtualmente ningún tipo de seguridad. Se trata de dispositivos como webcams, monitores de bebés, DVRs – dispositivos que permiten grabar programas de televisión en un disco rígido –, impresoras, y cámaras de seguridad hogareñas conectadas a la Internet de las Cosas, las cuáles fueron convertidas, a través de un simple software, en un ejército de robots programados para ingresar una y otra vez a los sitios web más populares del mundo para, así, tirarlos abajo.

En esta oportunidad, la mayor parte de los dispositivos contaban con una característica en común: muchos de sus componentes habían sido fabricados por la compañía china Hangzhou Xiongmai Technology. Esto, sin embargo, no significa que otros dispositivos con partes hechas por otros fabricantes no resulten vulnerables. De acuerdo con Brian Krebs, un especialista en seguridad informática que realizó un profundo análisis del ataque y fue citado por el Washington Post y por el Daily Mail, estos dispositivos fueron vulnerados utilizando un malware conocido como Mirai, el cuál escaneá la web en búsqueda de equipos conectados a la Internet de las Cosas y que estén protegidos por una de las 60 contraseñas más frecuentes y, al detectarlos, los infecta dejándolos a merced de los atacantes. Esto es posible gracias a que, en la mayoría de los casos, los usuarios no se molestan en cambiar las contraseñas provistas por los fabricantes, y a que estos dispositivos no cuentan con mecanismos de seguridad demasiado sofisticados.

El malware Mirai fue lanzado hace un mes por un hacker anónimo, quién puso su código a disposición de la comunidad, lo que significa que cualquiera puede haberlo utilizado para conducir este ataque. Pero independientemente de este episodio en particular, el cual está siendo investigado por las autoridades y podría, o no, encontrarse vinculado a otros ataques recientes, como el hackeo de los servidores de correo electrónico del Partido Demócrata en los Estados Unidos, luego difundidos por WikiLeaks, el mismo implica un problema para los fabricantes intentando desarrollar la Internet de las Cosas.

UN DESAFÍO PARA LA INDUSTRIA

Hasta ahora, las principales amenazas advertidas por los expertos en seguridad, tenían que ver con escenarios hipotéticos en los que distintos grupos de hackers pudieran tomar el control de automóviles autónomos, o por lo menos conectados a la red, de plantas industriales y paralizar a los robots que operan en la producción, o producir otros daños en la infraestructura urbana y de los servicios públicos. Sin embargo, este tipo de ataque puede resultar igual de insidioso, y puede ser llevado adelante con mucha menos sofisticación técnica por parte de los agresores.

Es por eso que el potencial de otros ataques similares implica un enorme dolor de cabeza tanto para los OEMs – es decir los fabricantes de hardware –, para otras empresas vinculadas con el desarrollo de la Internet de las Cosas, e incluso para las operadoras, las cuales apuestan por el desarrollo de nuevas redes, e incluso de la tecnología 5G, para potenciar este tipo de conexiones.

Hoy la industria se encuentra en la obligación de desarrollar estándares de seguridad capaces de prevenir este tipo de ataques, que puedan ser adoptados por todos los actores que participan de la misma. En este sentido han surgido proyectos como la IoT Security Foundation, la cual trabaja con todos los involucrados en esta industria para elevar la calidad de los dispositivos y para desarrollar lineamientos mínimos de seguridad que puedan ser adoptados globalmente para impedir que se desarrollen otros episodios como estos. Pero, así como ha surgido esta fundación, existen otros proyectos similares como la Open Connectivity Foundation, y hasta el Industrial Internet Consortium, cada uno de los cuáles ha lanzado sus propios lineamientos, atentando contra la creación de un estándar universal capaz de alinear a toda la industria.

Al mismo tiempo el espacio de la Internet de las Cosas hoy se encuentra repleto de nuevas startups, las cuáles desarrollan sus propias tecnologías con proyectos fondeados a través de sitios de crowdsourcing, y también de otras compañías de todo tipo y tamaño. Así, desarrollar modelos comunes, y procesos de certificación que garanticen la seguridad de todos los dispositivos resulta difícil. De acuerdo con los críticos, esto puede llevar a que, eventualmente, los gobiernos comiencen a regular este nuevo espacio y a imponer procesos de certificaciones propios los cuales, según los críticos, podrían elevar el costo de desarrollar nuevos dispositivos y, a la vez, incrementar el costo de la innovación.

Esto último, sin embargo, ya parece inevitable, y sin lugar a dudas comenzará a ocurrir tras este ataque. De todas formas, hay luz al final del túnel. Por diverso y descentralizado que sea este espacio, los distintos jugadores ya se han puesto de acuerdo a la hora de establecer distintos estándares. Un ejemplo de ello es el lanzamiento de las redes de Banda Angosta que las operadoras que forman parte de GSMA comenzarán a desplegar a lo largo del mundo para atender a las necesidades de estas nuevas tecnologías.

Sin embargo, queda mucho trabajo por hacer si aspiramos a vivir en un mundo repleto de aparatos inteligentes más prácticos y funcionales que los disponibles hoy en día. Y el primer paso es realizar acuerdos que permitan garantizar la seguridad y tranquilidad de los usuarios.

La semana pasada Facebook realizó un anuncio que parecía inevitable: la red social comenzaría a cruzar información de sus usuarios del mensajero WhatsApp con su propia base de datos para mejorar su sistema de recomendaciones, fundamentalmente en lo que tiene que ver con los avisos publicitarios y recomendación de contenidos y contactos. Al mismo tiempo, la empresa adelantó que comenzará a probar una funcionalidad que permitirá que los comercios y empresas utilicen WhatsApp para comunicarse con las personas. De esta forma, las operadoras móviles, los bancos, y otras entidades que hoy utilizan el SMS para enviarles notificaciones a sus usuarios, podrán comenzar a hacerlo a través del popular mensajero. Esto, que no resulta sorprendente, puso en alerta a algunos usuarios que comenzaron a pensar que su privacidad puede estar en riesgo.

Para calmar a las voces de alarma, la empresa aclaró que, de ninguna manera, WhatsApp tendrá acceso al contenido de las conversaciones, a las imágenes compartidas, o a los mensajes de voz y video. De hecho, desde hace algunos meses, la compañía ha comenzado a encriptar todo el contenido transmitido y recibido a través de su aplicación, y ya ha demostrado en varias oportunidades ser muy reticente a compartir el mismo con los gobiernos y hasta con la justicia, situación que le costó varias suspensiones del servicio en Brasil, en reprimenda por esta actitud. Sin embargo, el mensajero móvil sí compartirá con su empresa madre información relativa al número telefónico de cada usuario.

Esto, que puede parecer un dato menor es, en realidad, una información muy valiosa. Y es que Facebook viene intentando sostenidamente, desde hace varios años ya, que los usuarios compartan su número telefónico con la red social, algo que muchos vienen evitando a toda costa, justamente por reparos vinculados con su privacidad. Para la empresa fundada por Mark Zuckerberg, sin embargo, ese dato resulta muy valioso, puesto que combinado con la información que ya posee de cada persona, puede construir un perfil más completo y mejorar su segmentación publicitaria, pero además puede mejorar su experiencia y seguridad en el sitio a través de sistemas como la verificación de dos pasos, que requiere que los usuarios validen su identidad a través de un código recibido en su teléfono móvil cuando desean ingresar desde un navegador o una computadora extraña, un funcionamiento similar al que propone GSMA con Mobile Connect.

En el caso de Facebook, está claro que el grueso de los usuarios confían en la compañía, a la cual le ceden muchos datos personales todos los días. Sin embargo, para muchas personas, el hecho de que algunos desarrolladores puedan acceder a información tan sensible como su número telefónico a través de las APIs de la red social para, por ejemplo, activar notificaciones por SMS, o verificar que el usuario es una persona física, resulta preocupante. Y es que, aunque esto puede radicar en el desarrollo de aplicaciones más efectivas, también posibilita que este dato se filtre partir de un descuido, un hackeo, o un intento deliberado. Es por ese motivo que Facebook habilitó una opción que permite que los usuarios de WhatsApp opten por no compartir sus datos entre ambas plataformas.

¿POR QUÉ LOS USUARIOS SON RETICENTES A COMPARTIR SU NÚMERO TELEFÓNICO Y OTROS DATOS SOBRE EL USO DE SUS DISPOSITIVOS?

La preocupación por la privacidad va mucho más allá de Facebook y sus mensajeros. Distintos estudios realizados alrededor del mundo, han demostrado que el número telefónico es percibido como un dato sensible por parte de los consumidores quienes, en cambio, tienen menos problemas en compartir sus direcciones de correo electrónico. Una encuesta de Aimia y la Escuela de Negocios de la Universidad de Columbia realizada en Canadá, Francia, India, el Reino Unido y los Estados Unidos concluyó que, entre las personas de más de 40 años, solo el 32% se sienten cómodas dando su número telefónico, cantidad que trepa al 42% entre los nacidos después de 1980.

Pero el número telefónico no es el único dato que los usuarios prefieren mantener privado. De acuerdo con un estudio realizado por la consultora Mindshare y reproducido por eMarketer, en los Estados Unidos, el 57% de los usuarios expresó que le preocupa que las compañías conozcan sus hábitos de uso de sus dispositivos electrónicos, y otros productos. Esto significa, que más de la mitad de los consumidores no quieren que las marcas conozcan cuándo, ni cuán frecuentemente utilizan los productos que ellas fabrican.

Entre los productos que despiertan mayor preocupación por parte de los usuarios, en tercer lugar se encuentra el alcohol, un hábito que el 42% prefiere mantener en privado. El segundo lugar lo ocupan los televisores, cuya frecuencia de uso prefiere resguardar el 46% de las personas. El primer puesto, sin embargo, es para los teléfonos móviles, sobre los que el 54% de los usuarios expresaron que no quieren compartir sus hábitos de uso.

Entre las razones por las que los usuarios no quieren dar a conocer esta información, en primer lugar se ubicó la valoración por la privacidad, citada como causa por el 59% de quienes participaron del estudio. Al mismo tiempo, al 54%, le da una sensación de desconfianza, y para el 49% la posibilidad de que las empresas utilicen esta información para tratar de venderles algo resulta un motivo de preocupación.

Sin embargo, existen otros motivos significativos, como que los datos no se encuentren bien resguardados y que un grupo de hackers pueda acceder a ellos. Esta es una preocupación que, para Mindshare, comparten el 46% de los usuarios. Esta cifra es consistente con la de otro estudio realizado por la Associated Press y GfK que descubrió que el 45% de los usuarios de Internet se encuentran muy o extremadamente preocupados por la capacidad técnica que tienen los retailers de mantener segura si información personal, cuando compran en sus tiendas online.

Cabe destacar que el 41% prefiere no compartir su información por una cuestión de principios, alegando que las compañías no tienen derecho a conocer sus hábitos de uso, y el 36% temen que estos datos puedan ser utilizados en su contra en el futuro. Un 26%, en cambio, piensa que compartiendo la información no obtiene nada a cambio, y por eso prefiere no hacerlo. Este último grupo, sin embargo, probablemente estaría dispuesto a compartir sus datos si percibiera algún tipo de beneficio.

La mayoría de los usuarios móviles y de Internet, sin embargo, no confían en las empresas para resguardar sus datos persona.es De acuerdo con un estudio realizado por Feedzai y The Harris Poll en enero de 2016, no todos los servicios tendrán la misma dificultad en obtener esta información, puesto que los usuarios tienden a confiar más en algunas marcas y entidades que en otras. Los bancos, por ejemplo, son las instituciones que – en los Estados Unidos – más confianza despiertan a la hora de pedir datos personales, ya que el 25% de los usuarios respondió que se trata de las entidades que más seguridad les despiertan a la hora de compartir esta información con ellos a través de la web o el móvil. En segundo lugar, elegidas por un 13%, se ubican las entidades gubernamentales. Las operadoras móviles, los fabricantes de equipos, y los motores de búsqueda, por otra parte, se encuentran muy por debajo de estas cifras, ya que apenas el 2% de los usuarios dicen que confían en ellas, más que en ningún otro, para manejar sus datos. En el caso de las grandes compañías, y las redes sociales, este número asciende nada más que al 1%. El 51% de los usuarios, sin embargo, no confía en ninguna compañía o entidad.

Conocer estas preocupaciones de los usuarios resulta vital para las marcas y los desarrolladores. Y es que, comprendiendo la preocupación por la privacidad de sus usuarios, pueden desarrollar mejores mecanismos de seguridad, o por lo menos comunicar con mayor claridad de qué manera se resguardarán sus datos personales y, sobre todo, con qué motivo es que se están recolectando. No es coincidencia que los bancos, los cuáles requieren de un mayor número de validadores para poder garantizar la seguridad de la posesiones de sus clientes, algo que comunican muy enfáticamente, sean los organismos que más confianza despiertan.

Aunque a veces pueda no parecerlo, los usuarios se preocupan por su privacidad. Dejarlos tranquilos sobre la seguridad de sus datos puede ser un diferencial muy importante capaz de catapultar el uso de una aplicación, y de ganarse la confianza de sus usuarios.

Es frecuente que hablemos acerca de los grandes desafíos que la industria móvil enfrentará en los próximos años. Se trata de tendencias como el crecimiento exponencial en el consumo de datos, que requerirán de una fuerte inversión en infraestructura y de un apoyo regulatorio por parte de los gobiernos; de la necesidad de generar inclusión financiera de forma tal de impulsar los distintos productos móviles en la región, un problema estructural en el que el móvil puede, además, ofrecer una solución; y de otros problemas como el precio de los equipos en América Latina, y en especial Argentina, en comparación con otros mercados. Sin embargo, existen otras amenazas concretas que la industria debe enfrentar mientras participa de estos cambios, y tienen que ver con la seguridad.

Gracias a su rápido crecimiento que le permitió convertirse en el principal medio de acceso a Internet en toda la región, y gracias a la masiva adopción que tanto Android como iOS, y en mucha menor medida Windows Phone (ahora Windows 10), han tenido, los móviles se han convertido en blanco de ataques informáticos de distinto tipo, y en un objetivo atractivo para estafadores y hackers malintencionados. Así, tanto los usuarios como las empresas se encuentran más expuestas que nunca a distintas amenazas que pueden causar severos dolores de cabeza. Pero lejos de ser alarmistas, existe una solución para los distintos problemas, y tanto las operadoras, como los fabricantes de equipos, las principales compañías vinculadas a Internet, y hasta los desarrolladores, están trabajando en conjunto para mantenerse un paso adelante y garantizar la seguridad de los usuarios.

En este artículo conoceremos cuáles son las principales amenazas en materia de seguridad que la industria enfrente, y de que manera los distintos actores que forman parte de ella están trabajando para solucionarlas.

Malware

Cualquiera que tenga un tío que reenvia presentaciones en Powerpoint por e-mail acerca de la belleza de la vida está familizarizado con las amenazas que supone el malware. Y es que ese tío, en regla general, en algún punto llama preguntando por qué su computadora (o móvil) está actuando de manera extraña. Se conoce como malware a cualquier virus o software que altere el funcionamiento normal de una computadora, ya sea para alterar el modo en el que el usuario la utiliza, para mostrar publicidad no solicitada, para recabar información personal de manera oculta, o para ganar acceso al sistema sin que su dueño se entere jamás. Y, aunque parezca poco frecuente, esta amenaza llegó también a los móviles.

De acuerdo con IBM Trusteer (un software de seguridad perteneciente a IBM), el 1,12% de los celulares monitoreados por la compañía estaban infectados con algún tipo de malware durante la primera mitad de 2015. Este número, que puede parecer bajo, en realidad no lo es tanto si se tiene en cuenta que, de acuerdo con eMarketer en ese mismo período, había unos 159 millones de smartphones activos en América Latina. Esto significa que más de 1,7 millones de usuarios se encontraban afectados por este tipo de software. Según la compañía, el 30% de estos virus están diseñados para cometer fraude financiero, mientras que el resto pueden ya sea robar información personal, enviar mensajes de manera automática para suscribirse a servicios de alerta por SMS que el usuario no desea contratar (algo bastante frecuente en el caso de las infecciones móviles); keylogging, es decir registrar todo lo escrito por el usuario; y hasta encriptar la totalidad del contenido del dispositivo y pedir un rescate para desbloquearlo, una práctica en boga por estos días conocida como ransomware.

El principal desafío con respecto al malware en los teléfonos móviles tiene que ver con que los usuarios no están al tanto de su existencia, y por ende no tienen los cuidados que tienen al bajar archivos y hacer click en distintos links en sus PCs. Al mismo tiempo, los ataques al móvil llegan por otros canales inesperados, como mensajes de texto disfrazados de contenido promocional y personal, o avisos de la operadora, y correos por electrónicos, donde pocos conciben que pueda esconderse una amenaza para sus teléfonos. Crear conciencia acerca de estas prácticas resulta vital para evitar infecciones masivas.

Phishing

En el mismo sentido, el phishing, es decir el crear sitios y servicios que simulan pertenecer a compañías en las que el usuario confía para extraer información, o para suscribir al usuario a distintos servicios, está en pleno crecimiento. Y el móvil se presta mucho más fácilmente que las computadoras de escritorio para este tipo de fraudes.

Uno de los canales más populares para realizar phishing es el SMS. Frecuentemente, los usuarios reciben mensajes por esta vía, en incluso por mensajeros como WhatsApp simulando pertenecer a un banco o una institución, y que dirigen al usuario a una landing page apócrifa donde se les pide que dejen algún dato. Pero este es solo el comienzo.

Las redes sociales como Facebook, las cuáles hoy son primordialmente productos móviles, han visto un incremento en la cantidad de links publicados en sus sitios que dirigen a sitios de estas características. Así, links a videos virales y otros contenidos, muchas veces son anzuelos que llevan al usuario ya sea a instalar una aplicación indeseada, o una invitación a dejar sus datos en la que un usuario desprevenido puede caer. Al mismo tiempo, Facebook es el sitio más utilizado por los phishers, es decir, quienes llevan adelante esta práctica. Se estima que un 10% de los sitios de este tipo emulan a la red social para obtener el nombre y usuario y contraseña de las personas.

Otra víctima frecuente son las tiendas de aplicaciones. Y es que se suele emular la pantalla de descarga del App Store de Apple y de Google Play, a las que el usuario llega buscando bajar una aplicación X, para pedir datos de la tarjeta de crédito y otra información privada.

Por último, los móviles han dado lugar al phishing a través del Wi-Fi. Se trata de la creación de redes paralelas en lugares públicos como Starbucks, que emulan en su formato y modo de acceso a las redes verdaderas de este lugar. Así, los atacantes o bien obtienen acceso a información que el usuario da de manera voluntaria, o pueden acceder a los datos que este envía y recibe desde sus móviles sin percatarse de que alguien los está monitoreando.

Si bien no hay estadísticas precisas acerca de la preeminencia de estas prácticas, se trata de ataques frecuentes cada vez más volcados a los usuarios móviles.

Así como con el malware educar al usuario es la mejor prevención para estos ataques, aunque existen otras soluciones que puede brindar la industria.

Vulnerabilidades en la red SS7

Finalmente, un serio problema estructural con el que se enfrenta la industria (y sobre el que el usuario poco puede hacer) es el vinculado con las vulnerabilidades en la red SS7. SS7 es el protocolo utilizado por la gran mayoría de las compañías de telecomunicaciones para dirigir las llamadas telefónicas entre un usuario y otro, pero también para brindar otros servicios como el SMS, y la gestión de líneas prepagas. Se trata de un sistema bastante antiguo, que comenzó a utilizarse en 1988 y que prevalece hasta estos días. Si bien la migración a tecnologías como el VoLTE finalmente podrían dejar de lado a este estándar, todavía le quedan muchos años de vida.

Las vulnerabilidades en estas redes son potencialmente muy intrusivas. Por un lado, un atacante podría identificar a un usuario en particular, o a miles de ellos utilizando su código de suscriptor único (IMSI, por sus siglas en inglés), interceptar sus comunicaciones y escucharlas, leer sus SMSs, y conocer su ubicación en todo momento. También podría saber con qué números se comunica en tiempo real, interrumpirle el servicio y dejarlo incomunicado, y hasta enviar y recibir mensajes en su nombre. Es decir, el tipo de acciones que llevan adelante las agencias de inteligencia y algunos investigadores privados bien equipados e inescrupulosos. Este tipo de ataques también se encuentran al alcance de organizaciones criminales con recursos.

No vale la pena adentrarnos en los detalles técnicos de este tipo de ataques, pero el nivel de amenaza para la privacidad y seguridad personal de los usuarios requiere de un alto grado de compromiso por parte de las operadoras para prevenirlos. Para ello es necesario establecer firewalls y mantenerlos actualizados, así como monitorear permanentemente las redes para desactivar cualquier ataque en el momento en el que ocurre.

Una solución integral

La mejor alternativa para abordar la problemática de la seguridad es que todos los involucrados, es decir las operadoras, los fabricantes, y hasta los desarrolladores, trabajen en conjunto en soluciones integrales que permitan prevenir y desactivar este tipo de prácticas. Además de instalar firewalls para evitar el acceso a las redes, las operadoras necesitan mantener a sus usuarios informados y alerta acerca de estas amenazas. Los fabricantes y los gigantes de Internet, por su lado, necesitan mantener sus sistemas operativos permanentemente actualizados de forma tal de eliminar las vulnerabilidades en los smartphones, y todos deben trabajar en conjunto para asegurarse de que los usuarios reciban e instalen las actualizaciones lo más rápido posible. Y es que una de las principales amenazas yace en la enorme cantidad de usuarios que utilizan versiones de Android, iOS y otros sistemas operativos antiguas, que ya fueron violadas por los atacantes.

En noviembre de 2015 Buenos Aires fue sede del congreso del Latina America’s Security and Fraud working group, un grupo conformado por expertos de todas las operadoras de la región y de GSMA, la asociación que agrupa a las principales compañías del sector móvil – entre las que se encuentra Vrainz – para discutir y proponer soluciones conjuntas a esta problemática y establecer protocolos que permitan proteger a las redes y minimizar las vulnerabilidades que aprovechan los atacantes.

Sin lugar a dudas la seguridad será siempre un problema, y sin importar cuánto cambien las tecnologías, las empresas y los atacantes siempre jugarán un juego de gato y ratón en el que se pisarán los talones. Es por eso que es necesario invertir de manera permanente y mantenerse vigilantes y actualizados, de forma tal de evitar los ataques y mantener seguros los datos y la privacidad de los usuarios.

Aunque en nuestra región todavía nos encontramos un poco ajenos al tema, durante las últimas semanas los Estados Unidos se han convertido en un hervidero en torno a un debate que tiene como eje central a todos los grandes actores del sector móvil. Se trata de la discusión acerca de si debemos —o no— encriptar nuestros datos y, hasta qué punto, tiene derecho el Gobierno Federal Estadounidense (o el gobierno de cualquier país) a tener una puerta de acceso a los mismos. La discusión —que involucra a empresas de tecnología, políticos, jueces y fiscales, y a ciudadanos por igual— no se circunscribió a las legislaturas, sino que tomó en su totalidad a los medios, y hasta llegó al Foro Económico de Davos, donde los líderes mundiales plantearon sus posturas. A continuación buscaremos explicar cuál es el eje de esta discusión, y de qué manera afecta a la industria móvil y a sus millones de usuarios en todo el mundo.

El origen del debate

Si bien la idea de encriptar datos sensibles dista de ser nueva, las revelaciones hechas por Edward Snowden en junio de 2013 acerca de la magnitud del aparato de espionaje estatal sobre las comunicaciones y datos privados de los ciudadanos llevaron a un redescubrimiento de la importancia de esta práctica. Si bien el público general recibió las noticias con apatía, por lo menos desde lo práctico —puesto que la gran mayoría de nosotros no cambiamos nuestros hábitos a la hora de manejar nuestros datos privados, ni abandonamos nuestros smartphones o cuentas de Dropbox y Gmail, entre otros servicios— una nueva línea de productos y servicios vinculados con la seguridad móvil comenzó a nacer.

Así, aplicaciones de mensajería instantánea como Telegram, la cual encripta todas las comunicaciones; Signal, otra app gratuita que ofrece mayor seguridad y permite hacer llamadas de voz entre sus usuarios totalmente encriptadas; o Wickr, otro mensajero que no solamente no guarda las conversaciones en sus servidores, sino que ni siquiera almacena metadatos (es decir, datos como quién se comunicó con quién, cuándo, o cuántas veces), se han vuelto populares, y comenzaron a ser utilizadas por corporaciones, periodistas, políticos y otros profesionales que tienen interés en mantener sus datos ocultos del escrutinio público y gubernamental.

Al mismo tiempo, distintas startups y hasta grandes compañías de la envergadura de Boeing comenzaron a desarrollar smartphones más seguros, los cuales no brillaron por su notoriedad entre el público masivo, pero sí resultaron eficaces en mercados de nicho.

Pero en 2015 la NSA apagó sus sistemas de recolección masiva de datos telefónicos tal y como fue previsto en el Freedom Act, una ley federal aprobada por el Senado de aquel país en junio del año pasado. Sin embargo, esta ley no acabó de ninguna manera con la vigilancia estatal, sino que apenas le dio una cierta transparencia, y obligó a la agencia de inteligencia a pasar por los tribunales cada vez que desea recolectar datos de algún ciudadano. Al mismo tiempo, esta legislación no impide que el organismo recolecte datos de ciudadanos de otros países, algo que generó fricciones con la Unión Europea.

Es por esto —y porque existe un estado de sospecha generalizado acerca del nivel de cooperación que varias empresas como Microsoft, Apple, Google, Facebook, Yahoo! y otras tuvieron con estos programas de espionaje— que distintos ejecutivos de la industria se han mostrado insistentes acerca de la necesidad de encriptarlo todo, y de no colaborar con los gobiernos entregando datos de sus usuarios. Especialmente, cuando no hay una orden judicial de por medio. Así, muchas de estas compañías se encuentran batallando en la justicia para no entregar información ante distintos pedidos hechos por el Gobierno, e incluso por tribunales. Al mismo tiempo, de acuerdo con Google y Android, a partir de fines de 2014 sus sistemas operativos no podrán ser desencriptados ni por las mismas empresas si el usuario decide encriptarlos, incluso cuando haya una orden judicial de por medio.

Esta respuesta por parte de las empresas, así como la lenta toma de conciencia acerca de la privacidad de su información por parte de un sector de la ciudadanía, ha llevado a que se comiencen a producir rispideces en su relación con el Gobierno estadounidense, y de otros países. Y es que tanto las agencias Federales como el FBI, la NSA, y hasta la Procuradora General Loretta Lynch vienen insistiendo en los últimos meses con la necesidad de que los fabricantes y los desarrolladores incluyan backdoors, es decir, llaves secretas de acceso, para que sus oficiales y agentes puedan acceder a los dispositivos y a las comunicaciones de los usuarios de manera automática, sin la necesidad de hacer todo el esfuerzo de desencriptar los datos, lo cual a veces toma meses.

Los argumentos de las fuerzas de seguridad son conocidos, y tienen que ver con que temen que la imposibilidad de acceder a las comunicaciones privadas y a los dispositivos de los ciudadanos les facilitaría a los terroristas la posibilidad de esconderse y planear un atentado, sin que puedan ser descubiertos.

Sin embargo, aunque las empresas batallen públicamente por proteger la privacidad de sus usuarios —al punto tal que, hace pocos días, el CEO de Apple Tim Cook protagonizó un encendido intercambio con funcionarios del Gobierno del Presidente Obama, y hasta con la misma fiscal general, acerca de este tema, defendiendo la postura de que no debe haber puertas traseras ni acceso de ningún tipo a la información por parte del gobierno—, la realidad es que todas las compañías responden automáticamente a la gran mayoría de los pedidos de información cuando éstos provienen de fuentes judiciales, por lo que difícilmente se las puede acusar de ayudar al terrorismo.

Un conflicto sin resolución a la vista

Atrapados cada uno en su postura, tanto los ejecutivos de las grandes compañías vinculadas al negocio móvil, como el Gobierno y sus agencias, no parecen estar cerca de llegar a una solución. Por otro lado, a falta de leyes federales que resuelvan el problema en Estados Unidos, y a un Congreso que no ha estado trabajando de manera muy activa en este tema, hoy existe un vacío regulatorio que no termina de dirimir la cuestión, y que sigue dando lugar a espacios grises que permiten una cierta flexibilidad en la recolección de información por parte de las agencias gubernamentales.

Es por eso que, ante la falta de respuesta del Gobierno Federal, distintos Estados tomaron el asunto en sus propias manos. Así, en enero de 2016, los legisladores de 16 Estados distintos introdujeron leyes en las legislaturas estatales que buscan proteger los datos personales de sus ciudadanos. Entre otras medidas, estas nuevas leyes buscan prevenir que instituciones puntuales, como las escuelas y universidades, obtengan datos personales de sus alumnos, algo de lo que hay antecedentes escandalosos. Al mismo tiempo, buscan prevenir que las empresas y futuros empleadores obliguen a sus empleados y prospectos a revelar sus perfiles en redes sociales, a aceptar en ellas a sus jefes o reclutadores o, en algunos casos, incluso a entregar sus contraseñas. Algunos Estados han incluso aprobado leyes limitando el uso de los “Stingrays”, unos dispositivos usados por los departamentos de policía y los cuerpos de inteligencia para simular la presencia de una antena celular, y así lograr que las comunicaciones de uno o varios teléfonos pasen por ellos, interceptando así todas las llamadas, mensajes y hasta tráfico de datos. A partir de estas leyes, esos dispositivos sólo pueden ser utilizados con una orden judicial.

Otros Estados, sin embargo, aprovecharon la falta de regulación federal para llevar sus propias legislaciones para el otro lado. Así tanto en California como en Nueva York, dos legisladores locales presentaron proyectos de ley para prohibir la venta de cualquier tipo de Smartphone totalmente encriptado, que no contara con una llave que permita su fácil desencriptación por parte de las agencias del Estado.

Si bien Estados Unidos está lejos, y la legislación propia de cada uno de sus Estados puede no resultarnos relevante, la realidad es que gran parte de las compañías móviles que definen los estándares con los que se maneja el mundo están ubicadas allí. Y son las leyes de ese país, así como las prácticas establecidas por su gobierno, las que fijan un marco de referencia al que luego se termina adaptando toda la industria.

Al mismo tiempo, aunque cuentan con mucho menos visibilidad, estos temas también se han debatido en nuestro país, en el que también hace falta un marco regulatorio más claro, que proteja efectivamente la privacidad de los datos de los ciudadanos.

Mientras el panorama se define, las oportunidades para nuevas startups que buscan reinventar la seguridad y ofrecer nuevas alternativas para proteger a sus usuarios son enormes.  Y mientras las grandes empresas batallan con el Estado por ver hasta qué punto debe llegar su colaboración, el próximo gran avance en este campo está esperando a suceder.