Cuando de seguridad y privacidad en Internet se trata, por lo general, salvo que estemos conversando o dirigiéndonos a gente tech savvy o conocedora del tema, es raro encontrar personas que se preocupen y que lo tengan en cuenta a la hora de trabajar en Internet. Y esto se debe principalmente a que las herramientas que tienen por fin proteger nuestra conexión y nuestros datos de ojos ajenos, no están diseñados para que un usuario promedio los pueda aprovechar.
Como bien lo expuso Snowden en su conferencia de SXSW, el trabajo le corresponde a los desarrolladores, quienes deben implementar las tecnologías de modo que cualquiera de sus usuarios -con cualquier nivel de conocimiento informático- pueda realmente proteger su información. Uno de mis proyectos favoritos de los últimos meses es ProtonMail, un servicio de correo que apunta a facilitar la comunicación cifrada sin tener que configurar nada de entrada.
Durante esta semana se está llevando a cabo Black Hat, en Estados Unidos, una conferencia centrada principalmente en charlas sobre seguridad informática. Aprovechando la ocasión, el día de ayer Yahoo anunció que comenzará a implementar cifrado PGP en su servicio de email, por lo que a fin de año aproximadamente, los usuarios podrán envolver sus mails con una capa de seguridad en pocos clicks.
El anuncio se dió a conocer públicamente, fuera de la conferencia, gracias a un tweet publicado por Yan Zhu, quien fue contratada por Yahoo para encargarse del cifrado punto a punto y su implementación en Yahoo Mail. Zhu trabajaba como ingeniera en Electronic Frontier Foundation, una de las organizaciones más importantes cuando de derechos civiles e Internet se trata.
.@alexstamos just announced plans to support end-to-end PGP encryption in Yahoo mail at Black Hat pic.twitter.com/9oCpGkzvX3
— Yan! (@bcrypt) August 7, 2014
Alex Stamos, Chief Information Security Officer, declaró en una entrevista con The Wall Street Journal que hay ciertas dificultas en la implementación de esta tecnología, principalmente en la comunicación con los usuarios y en la eventual educación de las funciones que pueden utilizar, así como también la explicación del cómo funcionan, sin caer en tecnicismos que puedan llegar a confundir al usuario; también estableció que hay que dejarle claro a las personas que no es un secreto que se le envíe un email a alguien (en referencia a los metadatos), sino que lo secreto es el contenido de ese email.
Stamos aprovechó la entrevista para mencionar que en Yahoo no se sienten amenazados por las acciones que pueda llegar a tomar el gobierno de Estados Unidos. Marcó la diferencia entre lo sucedido con Lavabit y la posibilidad de que lo mismo le ocurra a Yahoo «es clara la diferencia con una compañia multibillonaria con un ejercito de abogados que estarían encantados de llevar la discusión hasta la Corte Suprema».
Veremos si este tipo de medidas logra hacer que los usuarios recuperen cierta confianza en Yahoo, quien, no podemos olvidar, estuvo en la mira de la NSA con la obtención de miles de fotografías de la webcam de los usuarios de sus servicios.
Ya era hora, al fin un webmail usa PGP, que existe desde 1997.
IT’S A TRAP.
Y la clase de usuario que «recupera confianza» por estos anuncios merece que le sigan desgarrando esfínteres hasta que termine septiembre del ’93. Las llaves las tiene que tener uno, no el proveedor de webmail; y el cifrado se hace del lado del cliente, siempre. Esto significa, idealmente, offline en un equipo aparte, pero como mínimo no por js en el browser. Eso no cuenta como local, porque te pueden servir otro código en cualquier momento.
Al fin de cuentas todo esto de los «proveedores de correo seguros» no es más que un gran scam hecho a la medida de un cierto tipo humano, que promueven desde los medios tipo Wired, Ars Technica, Gawker, Reddit (qué, no lo ven como un medio más?) para que sigan cayendo.
Sigan buscando el que es «realmente seguro». Seguro que lo encuentran. Seguro.