Me comentaba Pere ayer, al hilo sobre el post que dediqué al auge de las criptodivisas, que Bitcoin no es completamente anónimo, y que haciendo minado adecuadamente puede desvelarse la identidad del pagador.

Tiene razón, se almacena en público un registro de todas las transacciones que tienen lugar, así que tan sólo con que un ordenador con Bitcoin sea comprometido toda la información corre peligro. Luego, aplicando técnicas habituales de data matching y otras técnicas de análisis de redes (combinando otras fuentes existentes de información acerca de quién se relaciona con quién por otras vías) se podría llegar a identificar a los usuarios.

Por si fuera poco, la mayoría de usuarios de Bitcoin realizan pagos usando sistemas tipo Tor, por lo que ciertamente no son anónimos. Pero trazar la ruta desde el momento de la transacción hacia el inicio de la petición puede ser complicado. Uno de los casos más famosos de robo de bitcoins, el pasado septiembre, resultó en una gran polémica (muchos no terminaron de creer el asunto). Lo cierto es que más allá de que nuestros sistemas son tan seguros como el más inseguro de sus componentes, y al usuario afectado más le habría valido tener su reserva de bitcoins protegida con TrueCrypt o algún sistema similar. El caso está sin resolver (tanto si hubo como si no hubo robo real, nada sabemos).

Ahora bien, todo y que es cierto, la realidad es que sistemas que permitan volver opacos los movimientos de dinero tendrán un hueco ante el retroceso de la globalización ante los estados nacionales. Eso incluye minimizar los pagos automatizando lo que vulgarmente conocemos como «la cuenta de la vieja».

La cuestión es si llegado el momento de su adopción más o menos masiva se legitimará su uso o si, por el contrario, el uso de este tipo de sistemas estará perseguido y marginalizado como están otras muchas de las tecnologías que han llegado a nuestras manos en tiempos recientes y cuyo uso nos recuerda el camino de la libertad.

*** Actualizado 2012-08-09 @ 16:59: Gracias de nuevo a Pere, por su aporte :)

Podemos aprender algunas cosas de analizar el fallo de ayer en Facebook. El mismo sirvió para filtrar las fotos privadas de Mark Zuckerberg (les recomiendo que las ojeen antes de terminar el post, pues no hay peligro --no son escatológicas, no son comprometedoras).

Y ésa es precisamente la lección que deberían aprender el 99% de los usuarios de Facebook que aún no la entendieron: Mark Zuckerberg usa los filtros de acceso en sus fotos, pero el principal filtro de acceso no está en el software que gestiona Facebook, sino en su cabeza. No se sobreexpone.

Si han seguido mi recomendación y han ojeado las fotos que enlacé antes habrán visto escenas domésticas: «yo haciendo sushi», «yo con mi perrito», «yo con amigos». No habrán visto nada comprometedor, nada vergonzante. No hay ni una sola foto que, dado el caso de que ésta se filtre, suponga una humillación pública ni un dilema moral para nadie.

Efectivamente, no importa bajo cuantos filtros ni candados lógicos protejas una foto, si la subiste a Internet la foto es pública. Mark Zuckerberg lo sabe y creo que yerran el tiro quienes afirman que estas fotos ponen en evidencia al creador de Facebook. Si sólo tuviéramos esas fotos para juzgarlo, sería imposible negar que se trata de una persona modelo.

Otra cosa es que lo que ponen en evidencia estas fotos sea otra cosa: que él es plenamente consciente de los riesgos que implica su plataforma, que es consciente de que la gran catástrofe de la privacidad llegará antes o después, y se prepara para ello mientras a sus usuarios los mantiene sumidos en la confusión nada inocente de unas gestiones complejas por diseño en una herramienta diseñada para eso.

¿Hay dos nociones más antagónicas que privacidad y Facebook? Podemos bromear diciendo que hablar de propiedad intelectual es un oxímoron, pero ¿qué decir de las opciones de privacidad en Facebook?

[Ilustración: Antonio Cerón.]

Lo más nuevo es el bug que ha permitido que tus fotos privadas sean vistas por cualquiera (Threat Level). Ya han dado marcha atrás pero cada día se juega una ruleta rusa.

Lo de hoy ha sido un fallo pequeño, pero nos sirve de recordatorio: en algún momento sufriremos algo así como un Chernobil de la privacidad (como creo que lo definió Antonello alguna vez), una crisis sin precedentes y de gran importancia. No ha sido ese fallo de ayer, ni siquiera ha sido el escándalo de Carrier IQ, pero si se diera en estos momentos, hay dos factores que se considerarían agravantes en contra de los servicios centralizadores tipo Facebook:

• Están diseñados para la sobreexposición: el diseño de las herramientas no es nunca inocente y Facebook está diseñado para que te sobreexpongas, para que publiques en Internet incluso aquello que todos intentarían ocultar. Cuando haya una emergencia, la reflexión sobre el diseño de la herramienta será inevitable.
• El desprecio a la privacidad. No es ya que los usuarios sean (en palabras de Zuckerberg) unos jodidos imbéciles, es que el lío monumental con la configuración de los permisos de acceso y la privacidad está ahí precisamente porque Facebook quiere que sea así. ¿O acaso alguien cree que Facebook no puede pagar un estudio de experiencia de usuario?

Mientras tanto, la progresiva concentración de la Red en unos pocos nodos convierten a cualquier posible fallo en los mismos en una bomba de relojería: cualquier problema de privacidad en estos servicios tiene una magnitud potencialmente gigantesca, cualquier problema moderadamente serio puede convertirse en el Chernobil de la privacidad. ¿Qué haremos cuando llegue? Mejor aún, ¿por qué no hacemos algo para evitarlo, usando servicios no centralizadores?

La situación:

• Whisper Systems es una empresa de seguridad (a la que yo desconocía, pero que en Security by Default califican de caviar, y a mí eso ya me basta como pedigree) especializada en movilidad y, más en concreto, en Android.
• Anteayer se confirmó que Whisper Systems había sido adquirida por Twitter.
• The Reg informa unas horas después que uno de los servicios estrella de Whisper Systems, Redphone, había sido apagado.
• Parece irrelevante, hasta que entiendes que Redphone, usado para cifrar fuertemente conexiones teléfono-teléfono está(ba) siendo muy usado en Egipto, donde la presión sobre la disidencia no cesa de aumentar.

Y esta es la secuencia en la que, amigos, se nos recuerda un día más lo negativo que es usar servicios centralizados que luego acumulan tanto poder como el que actualmente se concentra en 4 o 5 empresas.

Los códigos de respuesta rápida (Quick Response Code o QR code, para abreviar) parecen haber roto el círculo de uso entre los más avanzados. O al menos eso creen los publicistas, que de un tiempo a esta parte no hacen ni un sólo cartel que no incluya uno de estos códigos.

Los códigos QR no son una solución para personas, sino para máquinas (no puedo leerlo directamente, necesito un dispositivo especial), y son una fuente de inseguridad. No obstante, los publicistas no paran de usarlo, si bien seguramente se están equivocando en el uso que le dan. Hace tiempo que tenía ganas de escribir este post, porque no paro de oir alabanzas sobre ellos y pensé que en todos esos comentarios olvidan varios aspectos clave.

[La renovación de la banca en 2011 según AXA: un código QR.]

Me explico:

• Inseguridad. Los códigos QR aportan una fuente de inseguridad, al habituar a las personas a leer etiquetas y realizar acciones (actualmente lo habitual es visitar una determinada URL, en función de la información de la etiqueta) sin que las personas sepan dónde van. Lo que es peor, el hábito implícito es dejarnos llevar a ciegas, a sabiendas de que no sabemos qué hay detrás. Ya habrá quien deje códigos QR pintados en cualquier parte, esperando que pase un despistado que lo escanee al tuntún. Tienen los mismos problemas de seguridad que los acortadores de URL.
• Nefasta usabilidad. Estos códigos son legibles por máquinas (pensados inicialmente para la industria del automóvil), pero no aportan absolutamente nada a las personas. Sólo incógnitas. ¿Qué información hay en el código? ¿Una URL? Y si es así, ¿qué URL? ¿Qué hay detrás del mapa de cuadritos? No sabemos nada. Los QR codes nacen como un parche a una carencia técnica: la carencia de buen software OCR, y está pensado para ser leído y entendido por máquinas y no por personas. ¿Por qué diseñamos mensajes que las personas no pueden leer? Me sorprende sobremanera en el caso de los publicistas, se supone que ellos son los expertos en esto de comunicar e imagino que están angustiados por el CPL pero sacrificar una parte del mensaje de esa forma es tremendo, porque su target no puede leerlo directamente.

La solución, claro está, no es que todos nos instalemos software lector de QR code y comencemos a hacer click a ciegas y visitando quién sabe qué páginas y computadoras que podrían estar esperándonos para no sabemos qué. La solución es comunicar para personas, y no para máquinas (al menos mientras las personas deban llevar a cabo alguna acción con nuestro mensaje). Y si eso requiere mejor software OCR, se debe hacer trabajo en eso. De esta forma, yo podría tomar una foto con mi móvil, igual que ahora la saco del código de marras, y el mismo teléfono reconozca los caracteres de una URL que yo ya he leído y quiero visitar y, obviamente, visite la web automáticamente. Parece el mismo mecanismo, pero de esta forma el usuario está más seguro, y además lo percibe, porque tiene más información.

¿Lo demás? Parches. Y no me parece de recibo que insistan en vendernos un sistema que carece absolutamente de usabilidad y nos anima a adquirir malos hábitos en cuestión de seguridad como la cojonovedad. Si somos tan listos como nos creemos, en el futuro habrá menos códigos QR y más y mejor OCR.

«Uno se pregunta de forma natural si el problema de la traducción podría concebirse y tratarse como un problema de criptografía. Cuando miro a un artículo en ruso, siempre digo: "esto está realmente escrito en inglés, pero ha sido codificado usando símbolos extraños. Ahora procederé a decodificarlo".»

-- Norbert Wiener, citado en el New York Times.

El artículo (How revolutionary tools cracked a 1700s code) explica una noción que desconocía, pese a que no es nada nuevo (tiene décadas ya): la de aplicar técnicas de ruptura de códigos a la traducción. Como digo, nada nuevo pese a que yo no hubiera oido hablar de ello. Google Translate está desarrollado con esta lógica. Eso sí, yo prefiero usar cifrado a criptografía.

En las próximas semanas, Google habilitará el cifrado SSL para todas las conexiones con sus servidores que realice un usuario que haya iniciado sesión en los mismos. Indudablemente, es una buena noticia desde el punto de vista de la seguridad. Aquellos que quieran hacer búsquedas personales desde la oficina también salen ganando (¿estás pensando en dejar tu curro? Ahora será más difícil detectarte, a menos que trabajes en Google, claro). Pero ojo, con este movimiento Google limita la cantidad de información que entrega a webmasters que hasta ahora podían saber qué términos de búsqueda dirigían más tráfico a sus páginas, a la vez que se apoya en los usuarios logueados a los que sirve, además, búsquedas cada vez más fuertemente personalizadas. Dicen que estará disponible por otras vías, pero la realidad es que una conexión cifrada no transmite esa información y habilitando de forma masiva las conexiones SSL, Google amplía la asimetría de la información existente entre lo que ellos almacenan y lo que saben/sabemos los demás. Está claro que no dan puntá sin hilo.