CIBERSEGURIDAD: LA LLAVE ESTA BAJO LA ALFOMBRA La Imilla Hacker La Imilla Hacker forma parte de un grupo de mediactivistas bolivianas. Atraída por el punto de convergencia entre política, tecnología y género, produce el podcast "El Desarmador", un espacio para analizar nuestro relacionamiento con la tecnología a partir de nuestras voces latinoamericanas. Read more "En las sociedades de control lo esencial no es ya una firma ni un número, sino una cifra: la cifra es una contraseña" Gilles Deleuze, Postdata sobre las Sociedades de Control "Confianza es que no necesites mi contraseña" Anónima, en un sticker visto en la compu de una amiga. Andaba conversando con una amiga el otro día sobre cómo enfocar unos talleres de seguridad para un colectivo en riesgo, y entre muchas no-conclusiones sacamos en claro que UNO: muchísimos ataques comienzan por una contraseña débil, DOS: en general hacemos un trabajo pésimo con la pedagogía en torno a la seguridad, y TRES: ninguna terminamos de tener claro qué es una buena contraseña, mal que nos pese. Así que hoy me apetecía mirar un poco el tema de las passwords. Hay algo que no encaja si el acceso a esa palabra mágica (abr4c4dabR@!) le permite a alguien inmiscuirse en toda nuestra vida privada, movidas de nuestro colectivo supuestamente clandestino, y la gestión de nuestro dinero, en el caso improbable de que haya algo que gestionar. Pero mercado obliga, you know, y hay que hacerlo fácil para el business, dicen desde arriba, y así se terminan propagando algunas tecnologías disfuncionales que nos afectan a todas. De modo que la gran mayoría de sitios nos han entrenado con sus ideas de qué es una clave aceptable para que puedan estar seguros de que la personita que intenta acceder a sus servicios es siempre la misma. Alguna otra gente que sabe bastante de seguridad opina que esto de lo que ellos piensan que es una clave segura, y sobre todo, los mecanismos de recuperación de contraseñas, no son más que ilusiones de seguridad, ya que en realidad el que tenga los recursos necesarios tendrá unas máquinas que son buenas en probar tanto como sea necesario hasta encontrar precisamente esas contraseñas con un número, una mayúscula, y un símbolo que nos obligan a poner hasta el cansancio cada vez que nos abrimos una cuenta de algo. Adversarios, vulnerabilidades y nuestros errores No vamos a llamarle hacker, porque es un tiro errado de la propaganda de los de arriba, pero digamos que un adversario puede hacer varias cosas para suplantar nuestra identidad y acceder a nuestros datos privados en línea: adivinar las respuestas a las preguntas de recuperación, lo que es fácil con que nos conozca o haga un poco de ingeniería social. Solución: poner cosas absurdas ahí, pero que te sean fáciles de recordar. También podría acceder a los servidores donde corren esos servicios. Ahí está guardada nuestra contraseña pero no en texto claro, sino en una suerte de resumen (que se llama "hash") que asegura que sólo si sabes mi contraseña puedes generar ese resumen... más o menos; y resulta que hay formas y formas de calcular el hash... en fin, que porque un programador hizo mal su trabajo, esas contraseñas del sitio puede que estén vulnerables y llega una persona y se copia esa base de datos con millones de contraseñas. Solución, en parte: poner siempre una clave larga y diferente en cada sitio, y no reutilizarlas nunca. También están los casos de hackers que obtienen contraseñas de cuentas de facebook o de whatsapp a base de hacer llamadas a la compañía de teléfonos y pedir un duplicado de nuestro chip haciéndose pasar por una. Solución: huir de los servicios que dependen de un número de teléfono. Otras veces hace falta mucho menos: una vez mi amigo abrió el correo electrónico del colectivo en un café internet, con la mejor de las intenciones, pero al irse se olvidó cerrar la sesión. Una contraseña robada tiene valor en el mercado negro de información en internet. Hay gente que colecciona los datos de muchas de estas intrusiones y las vende, y hay gente que hace programas que van por ahí comprobando si alguna de esas contraseñas que se han filtrado además dan acceso a algún otro sitio con el mismo nombre de usuario. Por suerte también hay gente que avisa a las personas cuando estas cosas ocurren, y les recuerdan que hay que fortalecer esas contraseñas y cambiarlas para minimizar los daños (tip: suscribite vos y tu colectivo a www.haveibeenpwned.com). Una contraseña robada tiene valor en el mercado negro de información en internet. Hay gente que colecciona los datos de muchas de estas intrusiones y las vende, y hay gente que hace programas que van por ahí comprobando Gestionar nuestra seguridad en línea Son muchas cosas. En realidad casi todo esto tiene solución (usar métodos como DiceWare, o aún mejor, usar un gestor de contraseñas, como KeePass). Pero craneábamos mi amiga y yo que puede que el problema vaya más allá. Para empezar, está la aproximación íntima y personal a la gestión de las claves, en contraposición a la aproximación colectiva o comunal. He visto a varios colectivos compartir la contraseña de una cuenta de correo electrónico, Facebook, o Twitter, que son del colectivo y se gestionan de forma grupal. Obviamente no es la mejor forma de gestionar y resguardar la información de nuestro colectivo, pero es valioso recordar que en grupos militantes de gran parte del sur global seguramente lo "privado" se entiende de forma diferente que en el norte, y las más de las veces cruza lo personal y llega a lo colectivo. Si hablamos de cuentas de correo electrónico es fácil decir: pues hay que usar una lista de correos en vez. Pero se complica si hablamos de plataformas como Twitter que no están diseñadas para las colectividades, al contrario, fomentan el individualismo y el "leadership" informativo. Otro punto interesante es que tenemos que plantearnos radicalmente cómo es que hacemos las capacitaciones. No se trata de enseñar herramientas, asumiendo demasiado rápido dónde están los problemas. Varios procesos de aprendizaje tienden a fracasar porque son como la misa cristiana: todas hacemos reconocimiento de culpa y en la euforia del momento prometemos mejorar, y luego hacemos unas claves GPG larguísimas y super buenas pero que acaban inservibles porque a los tres meses de no usarlas nos las olvidamos, o la noche que estábamos pendientes de un registro en nuestro centro social formateamos el disco duro con todito dentro, incluida nuestra clave GPG en una carpeta que no habíamos visto. Es como lo de la mooncup: no porque nos digan que es lo mejor tiene necesariamente que resultarnos fácil, ni cómodo. No podemos hacer una pedagogía de la seguridad que ponga la parte de la culpa en las usuarias. Es cierto que muchas de las veces un ataque ocurre porque tuvimos un solo descuido (y a veces un solo descuido es lo que hace falta para que haya repercusiones graves), pero el descuido también viene porque las cosas a veces son innecesariamente complejas o estuvieron mal explicadas para empezar. Hay también una responsabilidad en quien diseña la herramienta y en cómo la desarrolla, y aquí vuelta al asunto de la confianza con las herramientas digitales que usamos y los grupos que están detrás. Pero, más allá de las herramientas, hay todo un arco de causas que están más relacionadas con lo complicado que resulta aprender a cuidarnos, de forma individual y en colectivo. No podemos hacer una pedagogía de la seguridad que ponga la parte de la culpa en las usuarias Construyendo nuestra ciberseguridad día a día Viví en una casa donde la lavadora estaba fuera, con un techito, porque varias vecinas venían a usarla, y ocurría también que la llave de la puerta de casa estaba bajo la alfombra. Porque quien lo sabía estaba invitada a pasar y hacerse un café mientras esperaba a la lavadora. Total, tampoco pasaba nadie por esa parte del mundo, y si alguien fuera del círculo de confianza hubiera encontrado la llave, tampoco tenía mucho que llevarse, fuera del café, muchos libros y una máquina de coser. Pero no es que no tuviera "nada que ocultar" en la casa, sino que la confianza más firme se construye en el día a día, en el cara a cara con las vecinas, y nosotras nunca veremos cara a cara a los desarrolladores de nuestras herramientas. Cuando, de tarde en tarde, quiero pegarme un trip surrealista y barato, opto por mirar la televisión, o por leer hilos raros en Yahoo Respuestas. No puedo creer a veces en qué mundo vive la gente: ese en que dar tu contraseña a tu pareja se considera una muestra de confianza. Confianza, privacidad, no tengo nada que ocultar, virgencita, cuánta confusión. No, no y mil veces no: confianza es justo lo contrario. Entiendo que para muchas chicas del barrio, precisamente las que nunca voy a encontrar en un taller de seguridad, tener intimidad de entrada no es algo en su lista de lo posible o algo que aspiren a desear. Así, directamente, borrado, como ir algún día a Marte. Nunca la han tenido, nunca tuvieron un cuarto propio, ni un espacio personal. Cuando deciden aprender a cuidarse, entiendo que eso de las contraseñas les de risa en su escala de lo prioritario, si a la mera hora sólo da acceso a las huevadas de esa cuenta que se hicieron porque todo el mundo tenía una, y la vida ocurre al fin y al cabo en otra parte. Así que tal vez no sea tanto problema lo de las contraseñas, salvo porque me gustaría que esas chicas alcancen su cuarto propio también en la red. Muchos sitios online acaban haciendo algo terrible, que es poner la llave bajo la alfombra, sin avisarnos, y además es como si colgasen un cartel diciendo dónde está y luego publicasen el listado de todas las llaves en el mapa del mundo. Y claro, en lo virtual, ocurre como con tantos cuartos de la vida real: el derecho a atravesar nuestra puerta termina siendo defendido por una llavecita minúscula diseñada por compañías foráneas, es la nuestra pero da risa que cualquiera de un empujón la puede hacer saltar. Muchos sitios online acaban haciendo algo terrible, que es poner la llave bajo la alfombra, sin avisarnos, y además es como si colgasen un cartel diciendo dónde está y luego publicasen el listado de todas las llaves en el mapa del mundo. Por ahora, esa idea: afirmar nuestro derecho a la intimidad, también en la red. Y de poner una llave del tamaño que queramos, aunque luego, en casa, la pongamos bajo la alfombra porque así nos viene en gana.