Curso de privacidad y protección de comunicaciones digitales


   Lección 0. Introducción. Problemática en la privacidad de comunicaciones digitales
   Lección 1. Introducción al cifrado de la información. Herramienta GPG y OpenSSL
   Lección 2. Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva
   Lección 3. Comunicaciones seguras mediante mensajería instantánea
   Lección 4. Protección de comunicaciones en dispositivos móviles
   Lección 5. Protección de comunicaciones en redes sociales
   Lección 6. Malware: orígenes y evolución
   Lección 7. Canales subliminales. Esteganografía




Lección 5. Protección de comunicaciones en redes sociales.
Redes sociales: teoría, conceptos, modelos y estrategias de protección de comunicaciones y datos almacenados

Lord Epsylon - 05/07/2013
Desarrollador de software libre, activista y profesional de la seguridad, trabaja desde hace años como auditor especializado en ofensivas a infraestructuras de datos.


Temario

Apartado 1. Teoría de los seis grados
Apartado 2. Conceptos y redes sociales
Apartado 3. Top 15 de las redes sociales
Apartado 4. Modelos estratégicos. Técnicos y de negocio
Apartado 5. Apis, términos de servicio y otros puntos clave
Apartado 6. Minería de datos
Apartado 7. Ética, protección de datos y memoria de Internet
Apartado 8. Cifrado en redes sociales. Enmascaramiento y herramientas
Apartado 9. Conclusiones



"En el pasado eras lo que tenías, ahora eres lo que compartes." - Godfried Bogaard


APARTADO 1. TEORÍA DE LOS SEIS GRADOS

La semilla que propició el nacimiento de las redes sociales tal y como las conocemos, germinó de una teoría conocida como la teoría de lo seis grados. Dicha teoría fue propuesta en 1929 por el escritor húngaro Frigyes Karinthy en su obra Chains [1].

Según la misma, cada persona conoce de media, entre amigos, conocidos, familiares y compañeros de trabajo o escuela, a unas 100 personas. Si cada uno de esos amigos o conocidos cercanos se relaciona con otras 100 personas, cualquier individuo puede pasar un mensaje a 10.000 personas únicamente pidiendo a un amigo que haga lo mismo con el mensaje, pero con sus amigos.



Figura 1. La teoría de los seis grados une a todos los seres humanos a través de "anillos de confianza"

Estos 10.000 individuos serían contactos de segundo nivel, que un individuo no conoce pero que puede conocer fácilmente pidiendo a sus amigos que se los presenten.

Si esos 10.000 conocen a otros 100, la red ya se ampliaría a 1.000.000 de personas conectadas en un tercer nivel, a 100.000.000 en un cuarto nivel, a 10.000.000.000 en un quinto nivel y a 1.000.000.000.000 en un sexto nivel.

Por tanto, según la teoría, en seis pasos se podría enviar un mensaje a cualquier individuo del planeta. Sin embargo la distancia se ha visto sutilmente reducida en la actualidad con la proliferación de redes sociales de uso masivo y sus diversas interconexiones, tanto técnicas cómo sociales.



Figura 2. La teoría de los seis grados permite generar árboles relacionales de individuos y grupos

Un estudio de la Universidad de Milán [2] asegura que la distancia entre dos personas de cualquier lugar del mundo se reduce a 4,74 pasos. Para llevarlo a cabo, han investigado las relaciones de amistad de 721 millones de usuarios, lo que equivale prácticamente a un 10% de la población mundial. Según la Universidad de Milán, más del 50% de las personas tiene más de 100 amigos y contactos. Con la llegada de Facebook (la red social actual con mayor número de usuarios del planeta), este dato se queda obsoleto y los investigadores han determinado que en la red social se producen más de 69.000 millones de amistades.

    "Hemos encontrado que la teoría de los seis grados en realidad exagera el número de enlaces entre los usuarios. El 99,6% de las parejas de usuarios analizados están conectados por 5 grados y el 92% lo hace a través de 4 grados".

Los datos presentados aseguran que en 2008 eran necesarios 5,28 grados, mientas que en la actualidad son necesarios 4,7.

Referencias

[1] http://djjr-courses.wdfiles.com/local--files/soc180%253Akarinthy-chain-links/Karinthy-Chain-Links_1929.pdf
[2] https://www.facebook.com/notes/facebook-data-team/anatomy-of-facebook/10150388519243859




APARTADO 2. CONCEPTOS Y REDES SOCIALES

Cuando se habla del concepto de red social de forma coloquial, se suele caer en el error de confundir las marcas comerciales más conocidas de determinadas empresas IT con la realidad teórica y práctica que las conforma. Una red social está formada por individuos y por las intercomunicaciones que generan entre sí como especie, según su necesidad intrínseca de relacionarse constantemente para evolucionar.

Por tanto, una definición más concreta del concepto de red social "telemática" sería: una arquitectura de "ordenamiento" de datos, generalmente de carácter social (político, laboral, económico, sentimental, etc. ...) sobre una infraestructura lógica de servicio e interconexiones electrónicas.

Podemos decir que las redes telemáticas compuestas por perfiles identitarios únicos facilitan ciertos aspectos de la sociedad que las utiliza. De ahí que adopten el nombre de redes sociales. Entre otras, cabría destacar las siguientes cualidades:

  1. Comunicación (ayudan a poner en común conocimientos)

  2. Comunidad (ayudan a encontrar e integrar comunidades)

  3. Cooperación (ayudan a hacer cosas en conjunto)

Para poder medir de alguna forma los niveles de dichas interacciones y, al mismo tiempo, explicar cada una de las partes que componen dichos procesos sinérgicos, se han definido una serie de conceptos. Dichos conceptos pertenecen al espacio arquitectónico del mundo lógico que almacena y distribuye los datos entre individuos y comunidades.



Figura 3. Ejemplo de generación de una vista de nodos y conectores

A continuación se mencionan brevemente algunos de los parámetros más relevantes:

Conector: Un enlace puede ser llamado conector si su eliminación causa que los puntos que conecta se transformen en componentes distintos.

Centralidad: Medidas de la importancia de un nodo dentro de una red, dependiendo de la ubicación dentro de ésta. Ejemplos de medidas de centralidad son la centralidad de grado, la cercanía, la intermediación y la centralidad de vector propio.

Centralización: La diferencia entre el número de enlaces para cada nodo, dividido entre la cantidad máxima posible de diferencias. Una red centralizada tendrá muchos de sus vínculos dispersos alrededor de uno o unos cuantos puntos nodales, mientras que una red descentralizada es aquella en la que hay poca variación entre el número de enlaces que cada nodo posee.

Coeficiente de agrupamiento: Una medida de la probabilidad de que dos personas vinculadas a un nodo se asocien a sí mismos. Un coeficiente de agrupación más alto indica un mayor "exclusivismo".

Cohesión: El grado en que los actores se conectan directamente entre sí por vínculos cohesivos. Los grupos se identifican como "clicks" si cada individuo está vinculado directamente con cada uno de los otros "círculos sociales" o bloques de cohesión estructural.

Densidad: El grado de relaciones de un demandado de conocerse con otros y/o la proporción de lazos entre las menciones de un individuo. La densidad de la red, o densidad global, es la proporción de vínculos en una red en relación con el total de vínculos posibles.

Flujo de centralidad de intermediación: El grado en que un nodo contribuye a la suma del flujo máximo entre todos los pares de nodos (excluyendo dicho nodo).




APARTADO 3. TOP 15 DE LAS REDES SOCIALES

Para obtener una visión aproximada del panorama actual de redes sociales telemáticas, a continuación se muestra mediante la ordenación de las 15 infraestructuras activas con mayor número de usuarios, una serie de datos relativos a cada una.

Los datos estadísticos corresponden a un estudio comenzado a finales del año 2012 y que ha sido publicado el día 18/03/2013 por eBizMBA.

Para completar el capítulo se ofrece además, información sobre el "ranking" que poseen dichas redes sociales en diversos motores de análisis de tráfico web: Alexa, Quantcast y Compete.

  1. Facebook
    • Número estimado de usuarios activos: 950.000.000
    • Alexa: 2
    • Quantcast: 2
    • Compete: 2
  2. Twitter
    • Número estimado de usuarios activos: 250.000.000
    • Alexa: 9
    • Quantcast: 5
    • Compete: 24
  3. Linkedin
    • Número estimado de usuarios activos: 110.000.000
    • Alexa: 14
    • Quantcast: 23
    • Compete: 44
  4. Pinterest
    • Número estimado de usuarios activos: 85.500.000
    • Alexa: 36
    • Quantcast: 16
    • Compete: 42
  5. Myspace
    • Número estimado de usuarios activos: 70.500.000
    • Alexa: 138
    • Quantcast: 62
    • Compete: 51
  6. Google Plus+
    • Número estimado de usuarios activos: 65.000.000
    • Alexa: No disponible
    • Quantcast: No disponible
    • Compete: No disponible
  7. DeviantArt
    • Número estimado de usuarios activos: 25.500.000
    • Alexa: 130
    • Quantcast: 130
    • Compete: 346
  8. LiveJournal
    • Número estimado de usuarios activos: 20.500.000
    • Alexa: 102
    • Quantcast: 203
    • Compete: 605
  9. Tagged
    • Número estimado de usuarios activos: 19.500.000
    • Alexa: 282
    • Quantcast: 217
    • Compete: 447
  10. Orkut
    • Número estimado de usuarios activos: 17.500.000
    • Alexa: 156
    • Quantcast: No disponible
    • Compete: No disponible
  11. CafeMom
    • Número estimado de usuarios activos: 12.500.000
    • Alexa: 1.144
    • Quantcast: 82
    • Compete: 127
  12. Ning
    • Número estimado de usuarios activos: 12.000.000
    • Alexa: 399
    • Quantcast: 617
    • Compete: 411
  13. Meetup
    • Número estimado de usuarios activos: 7.500.000
    • Alexa: 509
    • Quantcast: 516
    • Compete: 838
  14. Mylife
    • Número estimado de usuarios activos: 5.400.000
    • Alexa: 1.670
    • Quantcast: 391
    • Compete: 122
  15. Multiply
    • Número estimado de usuarios activos: 4.000.000
    • Alexa: 608
    • Quantcast: 780
    • Compete: 3.382



APARTADO 4. MODELOS ESTRATÉGICOS. TÉCNICOS Y DE NEGOCIO

Las redes sociales, como infraestructuras lógicas de ordenamiento de información, presentan una serie de estrategias para la disposición de sus servicios. Dichas estrategias son desplegadas en diferentes niveles y la finalidad de las mismas en su conjunto es la acumulación de "valores". Esos "valores" pueden ser cuantificados de diversas formas y según intereses.

Los baremos más comunes suelen ser: el número de usuarios de la red, la cantidad de bytes de terceros alojados en sus servidores, los beneficios económicos resultantes de su actividad, el nivel de impacto social, etc.

Destacamos las estrategias técnicas y de negocio porque a través de su estudio es posible saber las intenciones de los creadores de las arquitecturas, así como dilucidar lo que representan en la sociedad globalizada, su capacidad de determinación y la influencia que tienen sobre decisiones políticas, laborales, sociales, económicas, etc. En definitiva, podemos conocer los cambios que producen dichos servicios en las estructuras, entre otras, de decisión, organización, gobierno y representación ciudadana, de las distintas sociedades modernas que comparten la red de Internet.

El análisis y correcta interpretación puede ser bastante útil para poder determinar, desde un punto de vista basado en la necesidad de la libertad de información como forma de progreso humano, la "legitimidad" del servicio que proveen ciertas compañías y/o agrupaciones de personas.

Las estrategias técnicas, aparte de por los equipos humanos que desarrollan el código que genera la parte lógica del aplicativo, pasan por el uso de un modelo concreto para la distribución y el correcto almacenaje de los datos. Podríamos incluir más modelos, como el modelo de protección de la información, el modelo de balanceo de tráfico u otros más, como modelos laborales, modelos de desarrollo de código, etc., pero nos centraremos en explicar los que podemos considerar como pilares básicos para las redes sociales: los modelos de distribución y almacenaje. De entre ellos, destacamos los siguientes:

  • Modelo centralizado: dicho modelo centraliza los datos en uno o varios puntos con un único gestor y propietario.

  • Modelo distribuido (P2P): dicho modelo descentraliza los datos en varios puntos y no permite la propiedad o gestión única.

  • Modelo en "nube" (Cloud): dicho modelo centraliza los datos en uno o varios puntos y el propietario puede ser uno y el gestor puede ser otro. Ambos únicos en su tarea.

  • Modelo federado: dicho modelo descentraliza los datos en varios puntos y permite diferenciar entre propietarios y gestores, pero sin permitir que sean únicos, si se desea.

Son las estrategias de negocio las que de forma pragmática tienen un mayor impacto sobre el desarrollo de las sociedades. Los modelos de negocio IT basados en la creación y mantenimiento de una red social son totalmente novedosos, con respecto a las conocidas como empresas del "boom" de los años 90.

Dichos modelos contienen, entre otras, una componente de contacto directo mayor con los propios recibidores de servicios con respecto a los proveedores y, por tanto, una mayor necesidad de respuesta, actualización, invención y creación de componentes de documentación y de código, como por ejemplo plugins, APIs, módulos, manuales, portabilidades, etc.

Según los intereses, se despliegan unos modelos de negocio u otros. Dichos despliegues de recursos, tanto humanos como de ideas y materiales y sus respectivas estrategias para que funcionen de forma eficiente, se conocen como configuraciones estructurales [3].

Generalmente las configuraciones estructurales reúnen a seres humanos cuyas metas personales/profesionales coinciden en una finalidad consciente unificada que justifica la cohesión de los recursos y que representa, en mayor medida, la "realidad" que ofrecen como proveedores de una red social, en su conjunto, hacia el ámbito de la sociedad. Muchas veces se confunde dicha "realidad" con la imagen corporativa que ofrecen, lo cual es un producto de "irrealidad" derivado de llevar a cabo ciertas acciones y estrategias conocidas como marketing. El propio término "red social" es un ejemplo claro en determinados modelos de negocio.

La finalidad más extendida en el "paisaje virtual" de las redes sociales más vanguardistas es la ganancia económica exponencial. Esta se basa en el conocido como modelo mercantilista y trata, única y exclusivamente, de encontrar soluciones a la búsqueda continua de la acumulación de capitales. Varios ejemplos de redes sociales que siguen dicho modelo son: WhatsApp, Twitter, Linkedin, Pinterest, Myspace, etc.

El modelo de negocio mercantilista, a su vez y según pautas de expansión económica, puede derivar en el conocido como modelo bursátil o financiero. Los ejemplos de redes sociales con dicho modelo más famosas son: Google+ y Facebook.

Por otro lado, existen otros modelos, también conocidos como modelos sociales, que se basan menos en la acumulación exponencial de capital y más en aquellas estrategias de desarrollo de la sociedad en su conjunto, generalmente basadas en la compartición de conocimientos como forma de evolución de la especie. Cabe destacar en la temática de las redes sociales el modelo de las licencias de software libre. Algunos ejemplos de aplicaciones que han tenido o tienen cierta relevancia son: Identi.ca, Cabgrass, Lorea, Diaspora, etc.

En "medio" de las finalidades descritas anteriormente, se encontraría el modelo "Open Source", donde tratan de coexistir las metas lucrativa y de compartición como sociedad de conocimiento.

Hasta la fecha, no se contemplan redes sociales destacadas que sigan dicho modelo.

Referencias

[3] http://es.wikipedia.org/wiki/Configuraciones_estructurales



APARTADO 5. APIS, TÉRMINOS DE SERVICIO Y OTROS PUNTOS CLAVE

Las denominadas API's en redes sociales son una serie de comandos de conexión, herramientas y funciones, cuyo diseño permite a cualquier usuario que tenga el conocimiento de cómo usarlas, interactuar con procesos internos y externos, así como con la información que se genera, según el nivel de desarrollo de la misma. Se trata de una forma eficiente de ahorro de tiempo y reducción de costes para las redes sociales.

Una API, por tanto, es el software que permite interconectar redes, u otras plataformas, entre sí.

Generalmente se utilizan en los procesos de desarrollo de código como fuente de recursos y establecen las normas de conectividad del entorno. Esta última parte es bastante interesante, ya que según el grado de permisividad y otros factores, es posible conocer en buena medida las intenciones tanto técnicas como las que no, de quienes están detrás de las mismas.

Por poner un ejemplo, la red social Twitter permite a sitios web conectarse de varias formas a distintos puntos de su aplicación, como son los mensajes, las actualizaciones, etc. Y para ello han creado un "framework" que permite interconectar y realizar pruebas. También incluyen los procesos de autorización en el manejo de prioridades y de determinadas funcionalidades, así como varias limitaciones [4]. Con todo esto, es posible desarrollar herramientas alrededor de su API y complementar su uso con nuevas funcionalidades.

Por tanto, se puede concluir que una red social es un servicio de un proveedor, más todas las funcionalidades creadas por éste o por terceros a través de su API y que lo complementan.

A través del estudio de la API, también es posible conocer las intenciones del proveedor del servicio de red social, pudiendo determinarse la tendencia evolutiva de la misma, así como ciertos objetivos de demanda. Por ejemplo, puede quedar bien claro si su objetivo principal es el lucro económico o no. O si sus objetivos son a medio o largo plazo. Como por ejemplo, tener la exclusividad de los datos históricos de sus usuarios, con el objeto de ofrecer servicios a los mismos en un futuro, en base a la posible necesidad de recuperación o reutilización del archivo generado.

Por ejemplo, los permisos que tiene la API de Facebook sobre una aplicación móvil se suelen definir en el LBE Privacy Guard. Es curioso que a través de los nombres podemos obtener algo más de información sobre las intenciones que tiene la empresa sobre los datos y el nivel de control sobre el dispositivo que demanda. Por ejemplo, para una aplicación cliente de navegación (Play+) en un móvil, se formulan los siguientes puntos de control:

  1. Tus cuentas
  2. Crear cuentas y establecer contraseñas
  3. Añadir o eliminar cuentas
  4. Controles de hardware
  5. Realizar fotografías y vídeos
  6. Tu ubicación
  7. Ubicación aproximada (basada en red)
  8. Ubicación precisa (basada en red y gps)
  9. Comunicación de red
  10. Acceso completo a red
  11. Tu información personal
  12. Consultar tus contactos
  13. Modificar tus contactos
  14. Llamadas de teléfono
  15. Consultar la identidad y el estado del teléfono
  16. Almacenamiento
  17. Modificar tus contactos
  18. Llamadas de teléfono
  19. Editar o borrar contenido de usb
  20. Editar o borrar contenido de la tarjeta SD
  21. Herramientas del sistema
  22. Impedir que el tablet entre en modo de suspensión
  23. Impedir que el teléfono entre en modo de suspensión
  24. Activar y desactivar la sincronización
  25. Buscar cuentas en el dispositivo
  26. Controles de hardware
  27. Controlar vibración
  28. Ver conexiones Wi-Fi
  29. Ver conexiones de red
  30. Recibir datos de Internet
  31. Descargar archivos sin notificación
  32. Leer la configuración de sincronización
  33. Predeterminados
  34. Probar acceso a almacenamiento protegido
  35. Escribir en el registro de llamadas
  36. Leer el registro de llamadas

Por otro lado, los términos de servicio constituyen un acuerdo legal entre el demandante de servicios y el proveedor de los mismos. En ellos debe quedar bien claro el entendimiento y aceptación del acuerdo de uso y el acuerdo legal y su conformidad, con respecto a la legislación vigente del país seleccionado para albergar la información por parte del proveedor de servicios.

Debido a tratarse de textos legislativos complejos, extensos y que se suelen presentar de una forma poca "agradable" en según qué redes sociales, no suele ser habitual que los demandantes de servicios los entiendan o siquiera los lean, tal y como revelan algunas encuestas del CIS [5]. Esta práctica tan irresponsable es la causa principal de muchos problemas legales que aparecen después y que generalmente van unidos a violaciones sistemáticas de derechos como, por ejemplo, el derecho a la privacidad en las comunicaciones. O también problemas de otra índole como, por el ejemplo, el caso de la red Mariposa [6] donde la policía irrumpió en casas de varios usuarios que habían sido infectados, confundiéndolos con los administradores de la botnet.

En ocasiones, son las propias redes sociales las que se ven víctimas de los gobiernos y las corporaciones. En numerosas ocasiones diferentes mandatarios se han pronunciado en favor de la censura de las mismas. Como, por ejemplo, los recientes casos de Túnez [7].

Existen diversos puntos en los términos de servicio que suscitan cierta polémica. Generalmente, tienen que ver con el uso de la información que el proveedor realiza. Éste suele ser muy dispar. En muchas ocasiones los datos pasan a redes de comercio e intereses. Dichas redes no suelen ser públicas, por tanto se produce cierto obscurantismo en su manipulación. Por poner un ejemplo, redes como Facebook, Linkedin o Twitter, sí que puntualizan que realizarán intercambios de los datos que obtienen con terceros, pero no especifican de forma pública quiénes son. Esto supone un grave problema puesto que los terceros, al contenerse de forma anónima, pueden ser muy diferentes y algunos legalmente discutibles. Gobiernos, agencias de seguridad nacional y otras corporaciones suelen ser los demandantes principales de dichos recursos.

La información ordenada y fácilmente transferible que se genera a diario de los millones de usuarios de las redes sociales, es un "punto clave" para muchas empresas del planeta a la hora de determinar el impacto real que pueden suscitar ciertas campañas de marketing. Algo que se ha presentado como un hecho innovador en el mercado actual. El hecho de conocer la vida de un "posible" cliente previamente, permite tomar cierta ventaja a la hora de generar necesidades u ofrecer soluciones a las ya existentes. Con la promesa de la mejora del servicio, muchos proveedores de redes sociales están acumulando datos personales de individuos, de agrupaciones y de sociedades. De esa manera pueden orquestar productos comerciales mucho más personalizados y dirigirlos directamente sobre los potenciales demandantes de los mismos. Este es un filón socio-técnico que ha surgido con el fenómeno de las redes sociales y por el cual se entiende que ciertas compañías como Facebook se encuentren en los puestos más altos en los mercados IT. De alguna manera, se podría decir que son los principales proveedores de futuros clientes.

Es importante destacar que generalmente son los propios usuarios los que aceptan legalmente dichas transacciones de la información que generan, a través de la aceptación plena de los términos de servicio propuestos por el proveedor de la red social.

Para los gobiernos los "puntos clave" se basan en conocer, destacando entre otros, las tendencias ideológicas de los ciudadanos, sus modos de vida, así como sus intenciones de voto. Dicha información, la cual es presentada de forma ordenada por los proveedores que acceden a transferirla, permite a los Estados, entre otras muchas más cosas, la creación de listas de individuos y agrupaciones. Por ejemplo, se pueden crear listas de opositores a un determinado modelo socio-político, lo cual puede servir de una supuesta ventaja táctica a cualquier gobierno que las utilice para tratar de perpetuarse. En analogía con la definición comercial, algunas compañías de redes sociales podrían ser catalogadas como las principales proveedoras de futuros votantes.

También a través de la intención de censura de ciertos canales de comunicación de individuos y agrupaciones, los gobiernos presionan a los proveedores para que éstos actúen en consecuencia a sus necesidades. En ocasiones, se producen "choques" de intereses entre negocios y política, que son retratados en el mainstream como posibles actos de censura. Sin embargo, generalmente algunas redes sociales de carácter corporativo y con acceso a datos de miles de ciudadanos y ciudadanas, suelen ceder a dichas intenciones, al parecer a cambio de ciertos favores a la hora de la tributación fiscal que realizan en cada país donde tienen una sede. Por ejemplo, en California EE.UU., la tributación de impuestos es de un 40%, mientras que en Europa, Irlanda, ésta se reduce a un 4%. Es por eso que grandes compañías IT como Facebook, tienen su sede en gobiernos como el de Irlanda.

En el proceso de normalización del requerimiento por parte de gobiernos de dicha información y bajo el manto ideológico que permiten los llamados "asuntos de seguridad nacional e internacional", se está tratando de establecer un acuerdo político y comercial multilateral entre varios gobiernos y grandes corporaciones del planeta, que formalice una ley que permita dichas prácticas de forma pública y sistemática. El borrador que contiene la propuesta de ley y en el que se incluyen a los proveedores de redes sociales, se conoce como Cyber Intelligence Sharing and Protection Act CISPA [8]. Dicho texto fue propuesto por John McCain (senador en Estados Unidos) el 1 de Marzo del 2012. El gobierno de la Casa Blanca dio luz verde al texto y la propuesta de legislación, con algunos matices, se encuentra en marcha en la actualidad. La lista de empresas que apoyan abiertamente el tratado CISPA asciende a más de 800 [9].

Referencias

[4] http://support.twitter.com/articles/15364-about-twitter-limits-update-api-dm-and-following
[5] http://www.20minutos.es/noticia/1835021/0/cis/encuesta/internet-nuevas-tecnologias/
[6] http://pandalabs.pandasecurity.com/es/red-de-bots-mariposa/
[7] http://postdigital.es/2013/06/erdogan-carga-contra-twitter/
[8] https://es.wikipedia.org/wiki/Cyber_Intelligence_Sharing_and_Protection_Act
[9] http://www.digitaltrends.com/web/cispa-supporters-list-800-companies-that-could-help-uncle-sam-snag-your-data/



APARTADO 6. MINERÍA DE DATOS

La minería de datos es un proceso computacional de búsqueda y selección de patrones en grandes volúmenes de conjuntos de datos que a través del "aprendizaje automático" (IA), la estadística y los sistemas relacionales de bases de datos; trata de extraer la información más relevante en consonancia con lo que se desea obtener.

El principal objetivo de la minería de datos es formar estructuras comprensibles de fácil uso y análisis posterior.

Un proceso de minería de datos consta de los siguientes pasos generales:

  1. Selección del conjunto de datos.
  2. Análisis de las propiedades de los datos.
  3. Transformación del conjunto de datos de entrada.
  4. Selección y aplicación de la técnica de minería de datos.
  5. Extracción del conocimiento requerido.
  6. Interpretación y evaluación de datos.
Varios ejemplos comunes de técnicas de minería de datos son las del tipo:
    Redes neuronales

    Regresión lineal

    Árboles de decisión

    Modelos estadísticos.

    Agrupamiento o Clustering

    Reglas de asociación
Según el objetivo del análisis de los datos, los algoritmos utilizados se clasifican como:
  1. Algoritmos supervisados (o predictivos): predicen un dato (o un conjunto de ellos) desconocido a priori, a partir de otros conocidos.

  2. Algoritmos no supervisados (o del descubrimiento del conocimiento): se descubren patrones y tendencias en los datos.

La minería de datos se presenta como un conjunto de técnicas muy útiles para el procesamiento de grandes cantidades de información y cuyos objetivos finales en base a los datos que se extraen, pueden ser muy diversos según las intenciones de quienes la utilizan.

En la actualidad, existen varios servicios y aplicaciones ofertadas en el mercado global que facilitan ciertas labores del conjunto de procesos que conlleva obtener los resultados, analizarlos y presentarlos de forma ordenada. Incluso talleres y seminarios [10].

La finalidad más demandada, debido a las ventajas estratégicas previas a las campañas de marketing que supone manejar datos sobre conductas de la población, suele ser acercar información precisa a quienes buscan patrones de consumo en determinados segmentos de la población.

Son varias las redes sociales que, además de la plataforma de interacción social, ofrecen a su vez servicios de minería de datos en ofertas comerciales compactas conocidas como "paquetes de perfiles".

Dicha práctica es posible legalmente ya que el usuario al aceptar los términos de servicio (ver apartado 5), acepta la cesión plena de la información que genera para, entre otros, realizar procesos de minería de datos. Además, lo hace con la premisa por parte del proveedor de que recibirá un servicio personalizado más "eficiente", que entre otras cosas le permitirá obtener información de productos y servicios comerciales en función a sus "necesidades aparentes". Es decir, la posibilidad de recibir anuncios personalizados, a partir del conocimiento adquirido a través del análisis mediante minería de datos de la información suministrada por sí mismo.

El término comercial "paquete de perfiles" se debe a que las ofertas de venta se agrupan para ofrecerse a diversa escala y con un precio que oscila en función de la cantidad de usuarios cotejados que se va a transferir: 10.000, 100.000, 1.000.000, etc.

De la misma manera, aunque sin confirmar debido al secretismo, es posible que también se ofrezcan "paquetes de perfiles" que interesen en mayor medida a gobiernos y agencias de seguridad.

La información en venta podría contener los resultados obtenidos del análisis durante ciertos períodos de tiempo de los datos generados por los ciudadanos de un determinado país, que participen de forma activa y voluntaria en redes sociales que al mismo tiempo ofrecen de forma privada servicios de minería de datos a terceros.

Por ejemplo, conocer los "patrones de vida ciudadana" es un hecho de gran interés para los gobiernos, ya que supone una ventaja estratégica a la hora de llevar a cabo, entre otras cosas, la desactivación de las actividades políticas y/o económicas de un determinado individuo o grupo de personas, la creación de legislaciones, el muestreo de votos, la identificación de corrientes ideológicas, la previsión de acontecimientos, la puesta en marcha de métodos represivos y de propaganda, etc. No debemos olvidar que tratados como el de CISPA (ver apartado 5) complementarán a algunas de las prácticas descritas, con el establecimiento de un marco legal que les proveerá de un amparo jurídico internacional en base a la prioridad política y social que tienen los llamados asuntos de "seguridad nacional".

Existen ejemplos que nos muestran dichas prácticas y que confirman las posibilidades descritas anteriormente. Por ejemplo, las filtraciones de correos internos [11] realizadas en el año 2009 por Wikileaks sobre la empresa Stratfor donde, entre otras cosas, se habla en "privado" de los usos e intenciones que tiene la CIA en plataformas de redes sociales como Facebook o Twitter:

    The Central Intelligence Agency is systematically monitoring Twitter, following up to 5 million tweets a day, according to a new report.

    The CIA's Open Source Center reviews and analyzes information widely available to the general public, including Twitter and Facebook, and keeps eyes on everything from blogs to tweets to more traditional media, the Associated Press says in a feature article on the unit.

    Analysts monitor information in a wide array of language s and cross-reference it to existing intelligence, and are often called upon to provide information on the mood of a region after a foreign policy event.

Por tanto y de forma generalizada, los gobiernos y las agencias de seguridad se suelen servir de la minería de datos para cotejar información de ciudadanos y las redes de relaciones que se crean alrededor de los mismos, pudiendo generar árboles muy precisos de los diferentes anillos que componen la teoría de los seis grados (ver aparado 1).

Cabe destacar que también existen varios proyectos de minería de datos que han sido reconocidos de forma pública y que reúnen bajo un interés conjunto a empresas, gobiernos y agencias de seguridad de diferentes países. Por ejemplo, en la comunidad Europea se encuentra en marcha el proyecto OSEMINTI [12]. También conocido como Infraestructura de Inteligencia Semántica Operacional, se trata de un proyecto de recopilación de información combinada de las comunicaciones en redes sociales y las comunicaciones telefónicas, de todos los ciudadanos de los países que componen el tratado.

Como detalle concreto, en España durante el año 2006, el gobierno y los principales partidos mayoritarios de la oposición a través de sus respectivos representantes en el Consejo de Ministros, aprobaron en coalición y por unanimidad, una partida presupuestaria de 2.784.000€ (el 3% del Presupuesto de Defensa de la época), cuyo destino era sufragar los gastos que suponían aceptar el acuerdo de colaboración durante los años comprendidos entre el 2007 y el 2009. Dicha aprobación, conocida como acuerdo técnico B-0034-IAP04 ERG [13], quedó reflejada de forma pública en la página del Congreso, de la siguiente manera:

    El Consejo de Ministros ha autorizado la suscripción del acuerdo técnico B-0034-IAP04 ERG "Infraestructura de Inteligencia Semántica Operacional (OSEMINTI)".

    En este proyecto, también perteneciente al MOU Europa que establece un nuevo método para desarrollar y utilizar sistemas de información inteligentes aprovechando los avances alcanzados en el campo del procesamiento inteligente de la información, participan Francia como nación líder, Italia, y España, con una duración estimada de veinticuatro meses.

    A la larga, este proyecto permitirá diseñar sistemas de información inteligentes que posibiliten que un ordenador identifique, por ejemplo, grabaciones de audio con frases de significado concreto, como la pretensión de llevar a cabo un acto terrorista. Actualmente, sólo realizan tales identificaciones personas especializadas. Asimismo, podrán diseñarse sistemas de reconocimiento de texto que los interpreten y resalten la información que busquemos.

    Este proyecto permite acceder a un conocimiento tecnológico avanzado a través de una baja inversión por parte del Ministerio de Defensa, que es en este caso, aproximadamente, un 30 por ciento de su coste total.

    El gasto es de 928.000 euros distribuidos en tres anualidades (2007 a 2009, ambos inclusive).

Al finalizar el plazo a mediados de 2009, surge el proyecto SITEL [14]. Años después, en 2013, ambos proyectos han avanzando sustancialmente y a día de hoy el gobierno de España ha preparado un borrador de anteproyecto del código procesal penal que incluye la posibilidad de que las fuerzas de seguridad del Estado y otras agencias puedan investigar ordenadores y tabletas a través de la instalación de troyanos y otros tipos de software malicioso, de forma remota [15].

Referencias

[10] http://outliers-intro-datamining-estw.eventbrite.es/
[11] http://wikileaks.org/gifiles/releasedate/2012-09-16-00-cia-is-monitoring-facebook-and-twitter-similar.html
[12] https://es.wikipedia.org/wiki/OSEMINTI
[13] http://www.lamoncloa.gob.es/ConsejodeMinistros/Referencias/_2006/refc20061229.htm
[14] http://www.boe.es/buscar/doc.php?id=BOE-B-2007-256021
[15] http://sociedad.elpais.com/sociedad/2013/06/03/actualidad/1370289646_865495.html



APARTADO 7. ÉTICA, PROTECCIÓN DE DATOS Y MEMORIA DE INTERNET

La ética es una rama de la filosofía que se ocupa del estudio racional de la moral, la virtud, el deber, la felicidad y el bienestar del ser humano, en su conjunto y sin distinción alguna. Al tratarse de una herramienta del intelecto, también es aplicable a "espacios virtuales", aunque con algunas apreciaciones. Por ejemplo, en Internet destaca la conocida como ética hacker, la cual al ser de carácter axiológico, se fundamenta en una serie de valores. Algunos de los más destacados podrían ser:

  1. Pasión.
  2. Concepto de libertad.
  3. Concepto de conciencia social.
  4. Búsqueda de la verdad relativa.
  5. Rechazo a las formas de corrupción.
  6. Rechazo a los procesos de alienación de seres humanos.
  7. Sentido de la igualdad.
  8. Entendimiento del significado del libre acceso a la información (conocimiento libre).
  9. Valor social (reconocimiento entre semejantes).
  10. Sentido de la accesibilidad.
  11. Pensamiento crítico constante.
  12. Preocupación empática responsable.
  13. Sentido de la curiosidad.
  14. Creatividad.
  15. Aprendizaje autodidacta.

Un hacker es un revolucionario porque aporta un deseo intelectual claro: la búsqueda del
conocimiento y de una ética basada en la libertad de información y la pasión creativa
.

A través de dichos valores, se "proporciona" a Internet de una serie de fundamentos humanistas que hacen de ella una herramienta un tanto especial. Podemos decir que la importancia de Internet como tecnología de comunicación entre sociedades radica no sólo en la conectividad múltiple que proporciona, sino en los valores éticos formulados por sus creadores y su constante transmisión a través de los años.

Dicho escenario en una herramienta tecnológica se trata de una novedad para el ser humano, al igual que lo es el uso de las redes sociales de forma cotidiana. Ante tales novedades, existen diferentes conflictos ideológicos y de intereses a muy diferentes niveles de abstracción. Uno de los más destacados puede ser el que se produce entre el pensamiento científico y el pensamiento basado en la acumulación de objetos y capitales.

Para unos Internet supone una herramienta revolucionaria por su aspecto pedagógico, de comunicación y desarrollo, y para otros supone una oportunidad para el comercio y la "apertura de mercados".

Existen muchos debates de este tipo y, al mismo tiempo, existen iniciativas que surgen como propuestas unánimes para tratar de establecer bases que perpetúen la evolución conjunta de los valores propuestos por la ética hacker. Podemos destacar entre otras:

  1. la "neutralidad de la red" [16].
  2. el anonimato.
  3. la privacidad.
  4. la protección de datos.

Supuestamente, la forma pragmática de aplicar la ética es a través de la legislación. Y aunque por ejemplo en España para la protección jurídica de las comunicaciones se formula en la Constitución el artículo 18.3: "Del derecho al secreto de las comunicaciones son titulares las personas físicas y las jurídicas, tanto nacionales como extranjeras, mayores y menores de edad.", no siempre dicha protección jurídica suele ser así en aspectos tangibles. Por ejemplo, podemos ver que ocurren intentos sucesivos de control de la información, incluso en propuestas legislativas de nivel internacional como ACTA [17], PIPA [18] o la ya comentada CISPA. Y en propuestas de nivel del Estado español como la ley Sinde [19] o la actual ley Lasalle. Por cierto, cuyo borrador ha sido filtrado [20].

Este tipo de leyes perjudican a los usuarios de Internet y, por derivación, inclusive a los que no son usuarios y generan diversos conflictos como pérdidas de Derechos Constitucionales, pérdidas de Derechos Fundamentales, e incluso pérdidas económicas en masa como, por ejemplo, la tributación a modo de arancel de los medios digitales anterior a la compra del usuario final o la creación de tasas adicionales por la conexión a un proveedor de Internet (ISP).

Por tanto, resulta interesante diferenciar el término "legal" del término "legítimo" con determinados escenarios legislativos y sociales, y tratar de aplicar pautas, tanto técnicas como de forma de uso, para Internet, en la cual se incluyen las redes sociales. El objetivo de dichas pautas es tratar de evitar que los usuarios se conviertan en víctimas, muchas veces incluso sin saberlo, de determinadas leyes y/o poderes fácticos que las impulsan, cuyos intereses pueden considerarse debido a los hechos y a las formas de llevarlos a cabo, como "poco éticos". El "enmascaramiento", el anonimato y el cifrado son algunos ejemplos de pautas, pero existen muchos más.

Internet y las redes sociales, aunque en ocasiones se critican por tratarse de herramientas que suscitan una gran pérdida de tiempo, contienen elementos que las hacen muy interesantes. Dichos elementos son objetivos constantes de intentos de control, tanto por parte de corporaciones como de gobiernos. Destaca, aparte de la conectividad múltiple, uno que hace que sean herramientas completamente diferentes a otros medios de transmisión de la información creados por el ser humano anteriormente, como por ejemplo la TV o la radio, y es que Internet y las redes sociales tienen "memoria". Es decir, permiten almacenar y mantener de forma pública los datos que se generan con el transcurso de los acontecimientos, así como los autores, las opiniones, los metadatos, etc. que los completan.

Podemos decir que Internet permite la creación de una hemeroteca distribuida, conjunta y colaborativa, sin antecedentes históricos previos y que, por tanto; "al proteger Internet como herramienta fundamental para el desarrollo humano, tanto científica como pedagógica, estamos protegiendo a su vez la memoria que se genera y almacena en ella, por y para la propia humanidad."

Quizás los intereses de quienes tratan de vetar la libre circulación de la información en Internet se pueden sintetizar citando la célebre frase de George Orwell:

"Quien controla el pasado controla el futuro. Quien controla el presente controla el pasado."

Referencias

[16] http://es.wikipedia.org/wiki/Neutralidad_de_red
[17] https://es.wikipedia.org/wiki/Anti-Counterfeiting_Trade_Agreement
[18] https://es.wikipedia.org/wiki/PIPA
[19] https://es.wikipedia.org/wiki/Ley_Sinde
[20] http://ibercrea.es/wp-content/uploads/2013/03/Anteproyecto-reforma-LPI.pdf



APARTADO 8. CIFRADO EN REDES SOCIALES. ENMASCARAMIENTO Y HERRAMIENTAS

El cifrado se presenta como una herramienta muy útil para proteger el derecho a la privacidad de las comunicaciones, el derecho a la intimidad y el derecho al anonimato.

Existen diferentes formas de catalogarlo. Una que resulta interesante es la que se hace a través de saber si utiliza una clave "secreta" o una clave "pública".

Si la clave es secreta, se denomina criptografía simétrica. En ella, se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez que ambas partes tienen acceso a esta clave, el remitente cifra un mensaje usando la clave, lo envía al destinatario, y éste lo descifra con la misma clave.



Figura 4. Esquema explicativo del cifrado simétrico

Sin embargo, se produce un detalle que parece casi paradójico: ¿qué canal de comunicación que sea seguro se utilizará para transmitir la clave secreta?

Ante tal dilema, surgió una posible solución que permitía el intercambio de esa clave a partir de una clave pública. En la criptografía asimétrica se usa un par de claves para el envío de mensajes.

Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.



Figura 5. Esquema explicativo del cifrado asimétrico

La solución es bastante acertada, pero tiene ciertos matices que a día de hoy, aún se siguen discutiendo:

  1. Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.
  2. Las claves deben ser de mayor tamaño que las simétricas.
  3. El mensaje cifrado ocupa más espacio que el original.

Es importante el tema del espacio que se ocupa, debido a que varias redes sociales de uso masivo (Twitter, Identi.ca,...) utilizan el microblogging y las limitaciones en el número de caracteres por cada bloque de texto a emitir. Por tanto, generalmente para el despliegue de soluciones criptográficas para este tipo de entornos, se propone el uso del cifrado de clave secreta por una cuestión "visual". Sin embargo y como se mostrará más adelante, no quiere decir que no sea posible el uso de cifrado de clave pública.

En el caso de las redes sociales que no se basan en el microblogging, cabe destacar que la gran mayoría de las mismas no introducen el cifrado dentro de sus infraestructuras. Si bien permiten la navegación segura a través de HTTPS, por regla general no permiten generar capas de permisos de lectura/escritura al estilo UNIX, que permiten el total control sobre el contenido que se genera, así como tampoco permiten la generación de criptas de almacenaje de datos. Al menos, criptas cuyo control se encuentre únicamente en manos de los usuarios y no como las "soluciones a medias" propuestas por redes de contenidos como Mega [21]. Este hecho y otras muchas decisiones más, se entienden debido a la necesidad por parte del negocio mercantil de tener siempre acceso a los datos generados por los usuarios, de manera que las intenciones económicas perduren como objetivo principal y en ocasiones tengan ciertos conflictos con las leyes descritas en las Constituciones de varios países.

No siempre sucede así. Existen redes sociales [22] cuyos esquemas, aunque difieren en las estrategias para la gestión, sí que priorizan la protección de los datos y el anonimato de quien los genera. Algunas de ellas incluso mantienen un modelo de negocio mercantil que les reporta beneficios. En líneas generales, disponen de menos recursos para su puesta en marcha y mantenimiento, pero generan gran riqueza de código fuente, amparado jurídicamente por licencias de software libre que permite ampliar la conectividad y en general ciertos posibles escenarios futuros, como puede ser el uso de la web semántica [23] en las redes sociales.

En España, desde el año 2009 existe el proyecto "Lorea" [24], que integra las medidas de permisos y criptas descritas anteriormente y en las cuales y mediante el uso de clave asimétrica, se pueden almacenar datos sin que los administradores de los sistemas y de las propias redes puedan necesariamente saber a qué se refieren. Al mismo tiempo, propone un despliegue federado de la información, con una arquitectura de almacenaje distribuida. De momento el proyecto se encuentra en una fase de experimentación.

La misma importancia que tiene proteger el contenido que se genera, lo tiene proteger la navegación. Los proveedores de redes sociales también se nutren de este tipos de datos en sus procesos de datamining. De esta manera pueden conocer cierta información relevante sobre los usuarios, tanto datos como metadatos. Por ejemplo, el lugar de procedencia del mensaje, qué páginas visita un determinado usuario además de la red social, el geoposicionamiento, etc. Una de las respuestas más eficientes es el uso del "enmascaramiento".

Existen diversas formas de enmascarar ciertos datos generados a partir de la navegación. Si bien es posible borrar dichos rastros, generalmente resulta más prudente modificarlos por datos ficticios. Esto sucede porque en los procesos de datamining es más sencillo relacionar la falta de datos que reconocer y demostrar su autenticidad.

Por ejemplo, la modificación de los parámetros que el navegador envía al servidor de la red social a través de sus cabeceras HTTP. Cambiar los datos de los parámetros User-agent y Referer permite que la parte del servidos no conozca el tipo y versión de navegador que usa el cliente, así como de dónde procede. Esto se puede hacer con diversas herramientas que no son navegadores, así como plugins instalables en los mismos.

Otra pauta recomendable es la conexión a través de proxies, de manera que el usuario nunca acceda a la red social con una IP que revele su localización física real. Uno de los proxies más famosos es que permite la entrada y salida de las conexiones a través de la red conocida como Tor [25].

La red Tor fue originalmente diseñada, implementada y puesta en funcionamiento como una actualización de un proyecto de enrutado de datos que llevaba a cabo el laboratorio de investigación de la Marina de EE.UU. La finalidad de su desarrollo era proteger las comunicaciones del gobierno. Actualmente es utilizada de forma pública y por muy diversos tipos de gente (activistas, periodistas, fuerzas de seguridad, usuarios en general, etc...).

Su arquitectura permite crear túneles virtuales que dificultan el rastreo de datos, al mismo tiempo que, a través de su código, acerca al desarrollo de otras herramientas todo el potencial de sus técnicas de "protección" de la información. Uno de los aspectos a destacar, es que; "cuanta más gente use la red Tor, mejor funcionará el anonimato".



Figura 6. Logo de la herramienta para navegar de forma anónima: TOR

Otro servicio interesante es la utilización de conexiones a través de VPNs Virtual Private Networks. Este tipo de conexiones aseguran el anonimato, pero generalmente suelen ser de pago. Aunque existen alternativas gratuitas [26].

Además de las herramientas comentadas, las cuales pueden ser utilizadas de forma general para "proteger" la navegación en Internet, también nos encontramos con herramientas cuyo desarrollo es específico para las redes sociales en conexión con la API que éstas ponen a disposición del resto. Incluso existen técnicas combinadas con herramientas cuya finalidad aparente no es el uso en redes sociales, que cuya correcta puesta en marcha resultan muy útiles a la hora de preservar el anonimato.

Empezando por el final, por ejemplo, la red social Facebook contiene un chat para que sus usuarios puedan estar en contacto directo. Dicho chat se apoya en una tecnología conocida como Extensible Messaging and Presence Protocol XMPP [27].



Figura 7. Esquema que muestra el funcionamiento federado del protocolo XMPP

XMPP es un protocolo que varios clientes de chat soportan; por ejemplo, Pidgin [28]. Dicho cliente contiene un plugin que permite cifrar los mensajes llamado Off The Record (OTR) [29]; por tanto, si combinamos todas las herramientas, es posible chatear utilizando cifrado en Facebook [30].

En cuanto a las herramientas específicas, por ejemplo, para Twitter podemos utilizar AnonTwi [31].



Figura 8. Logo de la herramienta para redes sociales de microblogging: AnonTwi

AnonTwi es una herramienta de software libre escrita en Python que permite mantener cierta privacidad y anonimato en determinadas redes sociales. Concretamente y a través del uso del protocolo OAuth2 [32], es posible utilizarla en Identi.ca[33] (Statusnet) y Twitter. Aparte de utilizar la tecnología de socks para conectarse a las aplicaciones, permitiendo el uso de proxies (Tor, etc.), se propusieron soluciones para el uso del cifrado simétrico (actualmente en funcionamiento) y algunas ideas para el uso del cifrado asimétrico (hay varios experimentos en curso). En el texto titulado: "AnonTwi: Cifrado y redes sociales" [34] se detalla en profundidad el cifrado simétrico que se utiliza en la versión estable del programa, cómo se conformó la idea hasta el código actual (v1.0) y algunas de sus posibilidades futuras.

En el caso del cifrado, AnonTwi utiliza la combinación de los algoritmos:

AES256 [35] + SHA1 [36] - HMAC



Figura 9. Esquema de generación de subtipos del cifrado AES




Figura 10. Esquema de generación de SHA1-HMAC

El rendimiento obtenido es de 69 caracteres en texto plano, por cada bloque de 140 caracteres de texto cifrado. En la actualidad existe una propuesta abierta a la Comunidad para mejorarlo.

La elección de sistemas de cifrado simétrico para el uso en las redes sociales no es la opción que más protección puede ofrecer, pero sí es útil, debido a que reduce considerablemente la cantidad de información que otros tipos de cifrado necesitan para poder operar correctamente. Además, la compartición de claves simétricas tiene un uso social más extendido, que por ejemplo las conocidas como signing-party, a pesar de que producen un escenario casi paradójico:

"Se necesita un canal seguro, que a su vez proteja la clave que se está transmitiendo
al receptor, que es la que protege el contenido al que tendrá acceso".

Por otro lado tenemos el cifrado asimétrico. Aunque la propuesta siguiente aún se encuentra en fase experimental, con algo más de desarrollo podría proponerse como otra alternativa útil para el uso de cifrado sobre los mensajes en redes sociales basadas en el microblogging, tipo Indenti.ca, Twitter y similares.

Si bien el primer paso es solicitar a las propias redes sociales que sean ellas las que introduzcan en su desarrollo dicha posibilidad, generalmente incluso como usuarios/clientes, no se obtiene una respuesta concreta o no se establece un tiempo de consecución del objetivo que termine en un hecho.

El uso y experimentación de las APIs que las redes sociales generan, también es una vía interesante ya que repercute de manera positiva, si los resultados se van haciendo públicos, en la propia la red social.

Por la vía experimental, la siguiente propuesta del cifrado asimétrico se basa en la utilización de una técnica conocida como esteganografía [37], de manera que se introduce de forma oculta un mensaje (en este caso la llave pública GPG de un usuario) sobre una imagen y ésta se sube como parte del perfil del usuario (por ejemplo, la propia foto que lo identifica). A continuación, se automatiza el proceso de establecimiento de anillos de confianza con dichas claves y se "abre la puerta" al uso del cifrado asimétrico.

La técnica de la esteganografía resulta interesante y existe diversa documentación y herramientas que posibilitan su uso y desarrollo. Existen diferentes formas de ocultar un mensaje en una imagen; algunas ya han reportado vulnerabilidades en su diseño y otras simplemente no se usan. Si se busca tener un canal seguro para intercambiar una clave (aunque ésta sea pública), puede ser interesante que la técnica esteganográfica concreta que se quiera usar asegure también el máximo de confidencialidad posible. Por ejemplo, en ocasiones los mensajes (o incluso ficheros) se alojan en los metadatos de la propia imagen, en sus comentarios, etc. Otras técnicas aprovechan fallos en los procesamientos de las imágenes por parte de los navegadores e introduce el mensaje oculto en el LSB Least Significant Bit. Técnicas más complejas incluyen introducir el mensaje oculto en sets de integrales (Eratosthenes, Fermat, etc.) o incluso en los coeficientes TCD [38].

Sin embargo, dicha técnica aún debe ser avanzada, ya que Twitter (que es la red que se ha utilizado para el experimento) modifica las imágenes al ser subidas por los usuarios, lo cual inhabilita posibles procesos futuros de descifrado. Sin embargo, la solución propuesta cuyos resultados son igual de interesantes, es la de introducir la llave pública GPG de un usuario en un código QR [39] y subirlo como imagen de fondo del perfil. Después, mediante scripting [40] se recoge y se procesa para futuras aplicaciones.

Es decir, con creatividad, imaginación y cierto conocimiento, es posible utilizar cifrado asimétrico en redes sociales, a pesar de que éstas no lo hayan tenido en cuenta como funcionalidad en su arquitectura de base.

Por otro lado y con desarrollos bastante más avanzados, tenemos herramientas más genéricas que bien pueden ser útiles para mantener unos mínimos de protección en las comunicaciones a través de las redes sociales.

Varios ejemplos pueden ser:

FireGPG [41] es una extensión de Firefox que permite integrar en una única interfaz varias operaciones de GnuPG [42], sobre el texto de cualquier página web, incluyendo cifrado, descifrado, firma y verificación de firma.



Figura 11. Logo de la herramienta para cifrado directo sobre la capa semántica FireGPG

Cryptocat [43] es una herramienta de software libre que permite cifrar las conversaciones en el chat desde el lado del cliente. Al igual que FireGPG, trabaja la capa semántica aunque únicamente sobre conversaciones de chat. Para cifrar utiliza el protocolo anteriormente mencionado Off The Record (OTR).



Figura 12. Logo de la herramienta para cifrado del chat CryptoCat

Priv.ly [44] es una herramienta open-source que permite cifrar mensajes públicos en Facebook, Google+, Twitter, etc. Actualmente contiene una versión privada beta [45] que se puede conseguir donando un mínimo de $5 al proyecto en Kickstarter. Y un plugin de Firefox [46].



Figura 13. Logo de la herramienta para cifrado del chat Priv.ly

FaceCat [47] es una herramienta de software libre desarrollada como prueba de concepto para mostrar la potencia del uso de canales encubiertos en redes sociales. A través del uso de netcat [48], es posible esconder tráfico TCP en el muro de Facebook.



Figura 14. Logo de la web del grupo de donde parte el desarrollo de FaceCat

Podemos concluir que la solución de cifrar/descifrar el contenido en la capa semántica puede significar un camino muy interesante, debido a que uso masivo podría, entre otros factores, inutilizar mercados basados en la falta de privacidad y alentar a los desarrolladores de aplicaciones a utilizar el cifrado en sus aplicaciones por defecto y desde la base.

Otra posible solución es descartar por completo las redes sociales y no hacer uso de las mismas, si se desea tratar información que no se quiere que se sepa. Debemos recordar que el ser humano es el eslabón más débil en la cadena de la seguridad. Y precisamente, tratándose de redes sociales, es la ingeniería social la disciplina que más vulnerables puede hacer a los usuarios ante ciertas amenazas, como pueden ser por ejemplo la dejadez o la ignorancia.

Tres sencillos consejos para navegar en las redes sociales de manera más prudente podrían ser:

  1. imitar en las formas de uso a personas en las que se confía y sabe de lo que hablan.

  2. no dejarse engañar: "si algo es gratis, el producto eres tú".

  3. utilizar el sentido común.

Referencias

[21] http://www.genbeta.com/seguridad/asi-es-la-seguridad-en-mega-no-es-tan-bueno-como-dice-ser
[22] http://www.vivalogo.com/vl-resources/open-source-social-networking-software.htm
[23] http://es.wikipedia.org/wiki/Web_sem%C3%A1ntica
[24] http://cantabriaaltermundista.wordpress.com/2011/06/05/lorea-red-social-aternativa/
[25] https://es.wikipedia.org/wiki/Tor
[26] http://tecnolatino.com/vpn-gratuitas/
[27] https://es.wikipedia.org/wiki/XMPP
[28] http://www.pidgin.im/
[29] http://www.cypherpunks.ca/otr/
[30] http://apapadop.wordpress.com/2012/03/29/stop-facebook-recording-your-chats/
[31] http://anontwi.sf.net
[32] http://oauth.net/2/
[33] http://orangefanta.wordpress.com/2012/11/13/configurar-anontwi-para-usarlo-con-una-cuenta-de-identi-ca/
[34] http://www.securitybydefault.com/2013/01/anontwi-cifrado-y-censura-en-redes.html
[35] http://es.wikipedia.org/wiki/Advanced_Encryption_Standard
[36] http://en.wikipedia.org/wiki/Hash-based_message_authentication_code
[37] http://es.wikipedia.org/wiki/Esteganograf%C3%ADa
[38] https://es.wikipedia.org/wiki/Transformada_de_coseno_discreta
[39] http://hackingaround.net/meter-clave-gpg-en-twitter-de-fondo-en-qr-code/
[40] http://pastebin.com/raw.php?i=SU8NWN6M
[41] http://getfiregpg.org/s/home
[42] http://gnupg.org/
[43] http://es.wikipedia.org/wiki/Cryptocat
[44] https://priv.ly/pages/about
[45] https://github.com/privly/
[46] https://addons.mozilla.org/en-us/firefox/addon/privly/
[47] http://tools.pentester.es/facecat
[48] https://en.wikipedia.org/wiki/Netcat



APARTADO 9. CONCLUSIONES

Me gustaría concluir con una reflexión derivada de un debate que aún me ronda la mente de vez en cuando. Estando en un programa de radio presentando la herramienta AnonTwi y hablando sobre el cifrado, un compañero de charla y amigo, llamó mi atención formulando una reflexión que sinteticé de la siguiente manera: "Si ciframos Internet, dejaremos de tener información sobre los corruptos. Todos los secretos que hemos podido obtener, los asesinatos que denunció Wikileaks en Irak y otros muchos más sobre, por ejemplo, evasores fiscales, son gracias a que ellos no cifran. El cifrado puede ser como la Inquisición".

En el momento no contesté nada, debido a que la formulación fue en un instante casi al final del programa en que varios de los participantes en el debate abierto estaban dando sus opiniones, así que seguí otros hilos de interés con más participantes, pero me guardé en la libreta la cuestión con la idea de tratar de dar una respuesta más adelante.

Han pasado varios meses y he ido formando una posible contestación. Con ella, cierro el texto: "Redes sociales: teoría, conceptos, modelos y estrategias de protección de comunicaciones y datos almacenados" y me despido cordialmente del lector:

    "El cifrado es una herramienta humana muy antigua. Tan antigua como los secretos. En cierta medida, es verdad que aunque su desarrollo ha sido llevado a cabo por matemáticos y científicos, su uso más relevante ha sido la consecución de estrategias que garantizasen las comunicaciones en procesos bélicos, de comunicación entre élites y de espionaje.

    Sin embargo, a través de la innovación en los medios para comunicarse y la distribución masiva de aparatos electrónicos y programas en las sociedades modernas, cada vez se ha extendido en mayor medida el conocimiento criptográfico del común y se ha reforzado la divulgación tanto científica como de carácter de conciencia, a través de la creación de soluciones complejas simplificadas para medios computacionales convencionales.

    Debemos recordar que el cifrado es ventajoso cuando solamente unos pocos lo controlan. Y generalmente las ventajas las buscan quienes tienen intereses y medios. La transparencia en las élites no se asemeja a la transparencia de los ciudadanos y ciudadanas de a pie. Por tanto, equilibrar la balanza de cifrado supondría desestabilizar ciertos procesos ya de larga duración, que permiten ciertas ventajas a quienes, por ejemplo, desean controlar a personas, grupos o sociedades.

    Por llevarlo al campo de la metáfora, sintetizaría la respuesta de la siguiente manera: mejor todos a ciegas que una mayoría, pues en el reino de los ciegos, el tuerto es el rey. Es decir, evolucionar el cifrado de nuevo hacia el campo del uso masivo será similar a un proceso de re-evolución de la humanidad en el manejo de datos y tratamiento de legados. Podemos concluir por tanto que si se cumple la premisa: la Revolución, será cifrada.”