La conversación sobre WhatsApp

Por desgracia, yo he sido una de esas personas que alguna vez ha repetido esta frase: «¿Cómo puedes estar usando WhatsApp? Son diabólicos, parte de Facebook, ese conglomerado del mal hambrienta por tus datos. Usa Telegram, ¡es genial y seguro!». Evolucionamos y nos damos cuentas de estos errores, aunque es ahora cuando puedes ver el mismo mensaje en boca de otras personas.

WhatsApp ha anunciado sus cambios en la política de privacidad y términos de servicio para actualizarlos a sus nuevos productos, y de paso, avisar que empezará a compartir datos con Facebook. Los comentarios no se han hecho esperar y claro, que WhatsApp empiece a compartir tu número de teléfono y hábitos de uso con Facebook, su dueña, es de pronto una práctica detestable.

En cambio, si entras a Facebook ya estás vendido porque el servicio ya ha empezado a generar un perfil sobre tus hábitos para mostrarte publicidad relacionada. Además, usas Instagram para compartir fotos, que también comparte datos con Facebook. Messenger no está cifrado y su principal motivo de existencia hoy en día es prepararte para la explosión de empresas y bots que lo usarán para darte servicios. Pero WhatsApp que no nos lo toquen.

Leer comentarios sobre cómo la gente debería empezar a borrar WhatsApp y pasarse a otras aplicaciones es común, y la verdad es que a la larga no es mala idea, pero es una gran ilusión, una nube de humo.

Existe tanta gente cuya única forma de comunicarse es WhatsApp, que eliminarla no es una opción. Y vemos este ejemplo en muchos países donde el uso del smartphone lleva unos años creciendo de forma masiva. Más allá de comunidades donde esta aplicación se usa como forma de comunicación, si miramos más cerca de nosotros podemos ver que entre nuestra familia y amigos se usa WhatsApp por un motivo principal: todo el mundo lo tiene y es suficiente para compartir fotos y vídeos. ¿Quieres que todos tus allegados se cambien a otra app? Buena suerte.

«Pero Telegram es cifrada»

Hasta donde puedo leer en redes sociales, comentarios y foros, la gente todavía cree que Telegram es la panacea de la mensajería. No me interpretes mal, uso Telegram todos los días. Es una aplicación muy completa para conversar con conocidos y crear grupos de amigos o de trabajo. Pero Telegram no es segura.

Por decirlo suavemente y en pocas palabras: se tienen serias dudas sobre la seguridad del protocolo que usa Telegram para transmitir mensajes. Tampoco cifra de extremo a extremo las conversaciones normales, sólo las de los chats secretos. Existe una respuesta (gracias por el aviso, Gerardo) de Telegram contradiciendo todo lo publicado por Gizmodo, que se basa en un estudio (PDF) del protocolo.

¿Quieres que tus mensajes se transmitan de forma segura? No uses WhatsApp, Telegram o cualquier aplicación que no esté auditada por organizaciones reconocidas como la EFF.

Hay un pequeño puñado de aplicaciones que aseguran que pueden enviar mensajes cifrados de extremo a extremo sin forma alguna de que alguien pueda leerlos. Para mi las más importantes son Signal y Wickr.

«¿Pero para qué necesito otra aplicación para mandarte una foto o un vídeo?»

— Cualquier persona

Borrar WhatsApp a estas alturas es un suicidio social. Usar exclusivamente otras aplicaciones sólo está al alcance de una minoría. Así que no seas tan duro con esas pobres personas que “todavía usan WhatsApp” y enséñales los hechos sobre seguridad, cifrado y los beneficios que otros servicios pueden ofrecer.

Buena suerte.

__
Artículo actualizado agregando la respuesta de Telegram sobre el artículo de Gizmodo

Ciberguerra fría

Han hackeado a la NSA. De acuerdo, “es posible que hackearan a la NSA ya que esta agencia ni confirma, ni desmiente”. Pero sí, se puede decir que han hackeado a la NSA y no de la forma tradicional, ha sido contraespionaje. Deberíamos estar temblando de miedo porque se supone que esta gente es la que vigila a medio mundo y sus actos están protegidos por secreto de estado, pero han sufrido otra gran brecha de seguridad tras la de Snowden.

Esta semana se ha dado a conocer una de esas historias tan buenas, que al principio no te las puedes creer: un grupo anónimo llamado The Shadow Brokers ha logrado acceder a los archivos de Equation Group, un grupo de operaciones de la NSA que Kaspersky descubrió en 2015.

Shadow Brokers publicó una serie de archivos (el 60% de los que poseen según ellos) de forma gratuita como prueba de que eran de la NSA, pero los mejores se los guardan para ellos a cambio de Bitcoins (ya han recibido varios pagos), que irán a parar al mayor postor.

Nicholas Weaver del Instituto Internacional de Ciencias de la Computación de Berkeley dice que es muy probable sean scripts y aplicaciones de la NSA. Entre los archivos publicados, exploits que dan acceso a routers, firewalls y switches de marcas como Cisco, Juniper, TopSec o Fortinet. Ojo al humor de la NSA, una de sus herramientas la llamaron EXTRABACON y se ha demostrado que funciona.

Se han detallado dos vulnerabilidades de productos Cisco diseñados para proteger redes de empresas circulando por internet, que por suerte se ya tiene actualización. Una de ellas era un 0-day, la otra –llamada por al NSA como EPICBANANA– se conocía desde 2011.

Y ahora, para rizar el rizo de una historia que aun se está desarrollando, hay una teoría que dice ha podido ser alguien dentro de la NSA enfadado/a con la organización.

A estas alturas nadie se puede creer nada más que existe una serie de herramientas sofisticadas y la amenaza de otras mucho más potentes. Que existe un grupo o grupos de actores que están dando un golpe en la mesa, dando un mensaje de que la ciberguerra existe y esto se puede poner mucho más tenso.

snowden nsa rusia

Merece la pena leer todo el hilo de Snowden explicando la operación.

Esta publicación, añadida a las filtraciones de los correos electrónicos del partido demócrata estadounidense por Guccifer 2.0, dan a entender que existe una “ciberguerra fría”, ataques continuos entre países que de vez en cuando se dan a conocer. Todo el mundo apunta a Rusia como responsable de todos estos ataques. ¿Quién si no tendría suficiente valor como para enfadar a la NSA?

Esta es el tipo de historia que va cogiendo tracción con el tiempo, pero es emocionante y a la vez aterrador ver cómo dos países exponen públicamente sus conocimientos sobre intrusión en redes y espionaje. ¿Estamos viviendo una segunda guerra fría? ¿Una que sólo un puñado de gente puede entender en su totalidad y sus consecuencias?

La seguridad es una ilusión.

Facebook ya tiene Snapchat, con Instagram

Nadie es perfecto. Puedes intentar ser cordial y ofrecer una suma desorbitada por una empresa, por ejemplo 3.000 millones de dólares, porque su producto te parece interesante y quieres esos usuarios. Y su futuro, también quieres su futuro. Pero nadie es perfecto y con las calabazas, llega planear tu revancha.

Compras pequeñas empresas, lanzas características similares, todo en un plan para captar la atención de tus usuarios. Un plan lento, pero efectivo. Son características que conocen de Snapchat, pero se las cuelas poco a poco para que vayan asimilando la que se les viene.

Instagram, que a todas podríamos llamarla simplemente Facebook, ha lanzado Instagram Stories (vía un Tweet de Oscar Baeza), un clon de las historias de Snapchat. Esto no es que sea necesariamente malo, pero me llama poderosamente la atención el mensaje que lanza aquí Facebook: sabemos que no estamos innovando, pero nos da igual, queremos a los usuarios de Snapchat, a cada uno de los 150 millones que lo abren a diario.

Nadie rechaza 3.000 millones de Facebook y se va de rositas.

Instagram Stories funciona exactamente igual que Snapchat y es adrede. Facebook busca la complicidad de una interfaz que la gente conoce y de una característica que usan fuera. El resultado es prácticamente un clon, pero un clon decente.

La última actualización de Instagram es horrible, algo que ha movido la aplicación a la segunda página de mis aplicaciones más usadas. La abro casi todos los días, pero que no pueda ver en orden cronológico las fotos que las personas a las que sigo han subido, me resulta altamente irritable. Y así, recuperan, como poco, mi interés por el servicio.

Este artículo también está en Medium.

Por una mejor verificación en dos pasos

La verificación en dos pasos no es la panacea de la seguridad en internet, pero es la mejor forma que tenemos de evitar que alguien robe una cuenta de un servicio o una aplicación.

El funcionamiento de la verificación en dos pasos es simple. Para acceder a un servicio se pide un usuario y contraseña, pero además tienes que proporcionar un código que se enviará mediante mensaje de texto o que se muestra en una aplicación instalada en tu móvil. La idea es que tengas una contraseña que sepas (contraseña de siempre) y otra que no conozcas, pero que recibas en un dispositivo que poseas (un móvil, por ejemplo).

La verificación en dos pasos ha salvado a muchos de que sus cuentas en Facebook, Google o Snapchat caigan en malas manos. Pero no todo es perfecto, porque la forma en la que notifican la mayoría de servicios representa un peligro.

El problema está en los mensajes de texto, la peor forma de recibir estos códigos. En las últimas semanas algunos personajes de YouTube y activistas se han encontrado con la sorpresa de que sus cuentas de Twitter estaban comprometidas. Se hacían pasar por los titulares en tiendas de operadoras de móviles, consiguiendo un duplicado de tarjeta SIM. Con la tarjeta en el móvil, es relativamente fácil pedir que se restablezca la contraseña, aun teniendo la verificación en dos pasos. Si tienes su número de móvil, tienes en tus manos el acceso a decenas de servicios.

Algo similar creo que podría pasar con iCloud. Las personas con varios dispositivos de Apple, como un iPhone y un iPad, pueden sincronizar los mensajes de texto para recibirlos en ambos aparatos. El atacante debe tener acceso físico, pero imagina que apartas tu vista durante un rato de tu iPad y es justo el tiempo necesario para mandar el mensaje y poder verlo en la pantalla sin que te des cuenta.

La verificación en dos pasos con mensajes de texto es un peligro. Por desgracia es el estándar en internet.

La mejor solución es usar una aplicación que genere códigos en tu móvil, como Google Authenticator o Authy. La dos son compatibles con decenas de servicios que usen el estándar One-Time Password Algorithm (OTP). Otra solución es la que Google ha lanzado hace poco, Google Promp. Se aprovecha de los servicios de Google en Android y de la aplicación oficial para iOS, mandando un mensaje emergente que debes aceptar para acceder a la cuenta.

Por suerte hay algunos países que se están poniendo las pilas con este tipo de servicios de seguridad. En EE.UU. se propone eliminar los mensajes de texto como verificación por parte de un organismo del gobierno. Lo siguiente será que las aplicaciones que generen códigos se protejan con lectores de huella, aumentando un poco más la seguridad.

Recuerda, la seguridad es una ilusión, pero siempre se puede mejorar.

Shenzhen: la cuna del hardware

La versión inglesa de Wired ha publicado un pequeño documental en varias partes sobre Shenzhen, la cuna del hardware y la fábrica mundial de electrónica.

Altamente recomendable, muestra una visión abierta de cómo funciona China con las petates o el copyright, que va más allá de lo que se cuenta en occidente, siendo algo más cultural.

A veces, sólo se necesita una foto

Yo también tapo la cámara de mi portátil

Hay veces que tan sólo hace falta una imagen para llamar la atención sobre un problema. Una foto que quizá nadie esperaba se fuese a hacer tan viral y menos que fuese a ser un símbolo sobre la seguridad.

Zuckerberg publicó esta foto para celebrar los 500 millones de usuarios activos en Instagram, sin querer o sin pensarlo, en el fondo sale su portátil que usa en su puesto dentro de la sede de Facebook. El portátil tiene la cámara y el micrófono tapado con cinta y sin quererlo, se hizo la bola en la web. Y sabes qué, esto es lo mejor que ha podido pasar.

Es bueno que se hable de por qué Zuckerberg de entre todas las personas, es capaz de bloquear su cámara y micrófono. Teniendo en cuenta que tiene a su disposición cientos de expertos en seguridad, hackers y servicios para asegurar sus comunicaciones, decide tapar la cámara y el micrófono. Porque existe ese peligro y cuando eres una persona que gestiona un imperio en internet, toda precaución es poca.

Si no todos, la mayoría de expertos de seguridad que conozco tapan la cámara de su portátil. Lo que pocos hacen es deshabitar el micrófono, que se consigue o bien quitando el chip de la placa base, o haciendo un apaño metiendo un jack de auriculares para que el portátil crea siempre que la salida de audio debe ir por esa conexión.

Y hay quien dice que no hay una historia aquí, o que por qué no tapa también la cámara de su móvil y le quita el micrófono –como enseñó Snowden en VICE– para asegurarse completa privacidad. Primero hay que entender qué tipo de móvil tiene, o que es más fácil proteger una plataforma móvil que un sistema más complejo de un ordenador. Ni el uso es el mismo, ni el tipo de comunicaciones que se usa es similar.

No es paranoia, es preocuparse por tu seguridad. Y si controlas las comunicaciones de miles de millones de personas, pues un poco de cinta aislante no hace daño.

El mercado móvil en España se concentra y es una mala noticia

Vamos a lamentar estos movimientos. Tarde o temprano nos preguntaremos cómo pudimos pasar por alto esto. ¿Por qué no se escribieron más artículos, más notas a la CNMC y más avisos a los lectores sobre los puntos negativos de la concentración de operadoras? Pero no lo hacemos y vamos directos a un mala época en competencia de operadoras.

MásMóvil se hace con Yoigo, sólo unas semanas después de comprar PepePhone. Orange compró hace meses Jazztel, haciéndose con un buen mercado de líneas de fibra y ADSL. Vodafone fue la primera con Ono. Por si no te habías dado cuenta, la palabra clave es concentración.

Poco a poco el mercado móvil y fijo en España, tan rico en opciones y ofertas, se hace más pequeño. Se suben los precios y se reduce el margen de maniobra de operadoras pequeñas, ahogando esa sana competencia que una vez se ponía como ejemplo en Europa. Mientras, mantenemos precios de acceso a internet muy altos y desacelera la inversión de fibra óptica .

A corto plazo, para los clientes poco o nada va a cambiar. Una operadora compra a otra y las marcas se mantienen. Hasta que no lo hacen. La fusión de marca de Vodafone y Ono está preparándose. Llegara el fin de las tarifas de Ono a clientes antiguos, obligándoles a pasar a las de Vodafone. Están en su derecho, para eso han comprado la empresa y han dado tiempo suficiente a los clientes para buscar otras opciones. Lo mismo pasará con Jazztel, con Pepephone y con Yoigo.

La consecuencia para todos, independientemente de la operadora a la que estés suscrito, será que los precios subirán. Ya lo están haciendo. Primero te cobran el exceso de datos, después llegan los cambios de tarifas escondidas en subidas de digas, que en realidad no representa esa subida.

La competencia de cuatro grandes operadoras acabará por hacer que todas marquen precios al alza. Recuerda que esto ya ha pasado antes.

Las operadoras dicen que el esquema de precios actual no se sostiene y llevan muchos meses avisando que hay que subir tarifas. Se escudan en la inversión en el 4G, la pérdida de clientes a operadoras virtuales y las previsiones de inversión a futuro.

Espero equivocarme con todo esto, que las operadoras de verdad sean capaces de competir en precios y que se pueda acceder a una conexión de fibra de 50MB sin llegar a los 60 euros. O que una tarifa de 1GB de datos 4G no suba de los 10 euros. De verdad, espero equivocarme.

Kaspersky crea una medida de seguridad que no sirve para nada

Kaspersky ha lanzado una curiosa campaña en Kickstarter en busca de fondos para crear Pure.Charger, un aparato que se conecta a un puerto USB y al que tú le conectas un cable USB, ya sea microUSB, Lightning o USB-C.

La idea es que este aparato, del tamaño de un pendrive, es capaz de bloquear todo el acceso de datos al cable y por lo tanto, sea donde sea que conectes tu móvil (como en un puerto USB en un centro comercial o un aeropuerto) no sea posible conectarse al móvil. Es una forma de bloquear ataques en puntos de recarga de baterías que intentan acceder a la memoria del móvil en una situación que parece completamente inocente.

Este tipo de accesorios no sirven para absolutamente nada y, sinceramente, no entiendo a qué clase de personas intenta venderse Kaspersky.

La solución más sencilla hasta el momento para que este hipotético ataque a un móvil jamás ocurra, es comprar un cable USB sólo de carga. O bien sacar las tijeras, la cinta aislante y cortar los cables internos de datos, dejando sólo los que llevan la electricidad.

Hay muy poca gente que haga esto con sus cables, es más sencillo usar una batería externa que haga de proxy o simplemente usar enchufes y no puertos USB. Además, sólo los más paranoicos suelen utilizar cables USB sólo de carga, alejándose y desconfiando del “Cargue gratis aquí su móvil”.

Entonces, ¿a quién va dirigido Pure.Charger? ¿Al ejecutivo que tiene datos sensibles? Seguramente estas personas usen equipos cifrados. Si usa un iPhone lo primero que le pregunta cuando intenta acceder a la memoria es si quieres confiar en él. Si usas Android tienes la posibilidad de bloquear la conexión de datos. Aunque pare ser sinceros, son opciones que la mayoría no comprende.

¿Y al usuario final? A esa gran masa de personas que no conocen los daños que puede generar conectar su móvil en cualquier sitio donde vean un puerto USB libre, con total garantía no conocerán este tipo de soluciones. No es un problema de exposición ante el peligro de ser hackeado, es que sencillamente a la mayoría de personas no les importa.

Pure.Charger, aunque es una buena idea, es innecesario. Por lo menos hasta que se sepa que se ha sufrido un gran ataque en puntos de carga de baterías por USB. Ahí verás cómo se empiezan a vender este tipo de soluciones.

Un desconfiado vale por dos insensatos. Ten cuidado dónde cargas tu móvil.

Esperando auriculares Bluetooth con buena batería

beats solo 2 wirelessLa tendencia es evidente: el jack para conectar tus auriculares en el móvil está muriendo. Lenovo se lo ha llevado por delante en su nuevo Moto Z obligando a conectar un adaptador USB-C o bien hacerte con unos auriculares inalámbricos.

El problema es que auriculares inalámbricos hay muchos, pero pocos buenos. Y no me refiero a la calidad del audio, que para la mayoría mientras se escuche mejor que la radio FM, les vale (triste, pero cierto). Me refiero a la vida de la batería de estos auriculares.

Samsung Gear Circle tiene una batería de unas 9 horas. Los LG Tone Infinim duran unas 14 horas. Beats Solo 2 Wireless tiene una batería de 12 horas. Los Plantronics BackBeat PRO tienen una batería de 24 horas, lo que empieza a ser aceptable, pero son más grandes y pesados. MEElectronics Matrix2 dice que duran 22 horas. Los B&W P5 Wireless unas 17 horas. Y después están los Samsung Gear IconX, con buen diseño, buena calidad de audio pero sólo una hora y media de batería.

Queramos o no, vamos a tener que ir a todos lados con auriculares inalámbricos, recargando su batería por lo menos una vez al día. Junto a nuestro smartphone, tablet, smartwatch, monitor de actividad o cualquier accesorio que se conecte inalámbricamente. Nos hemos liberado de un cable al usarlo, pero tendremos que vivir contínuamente recargando sus baterías.

Les regalamos nuestras fotos, ahora se vuelven en nuestra contra

Durante años, hemos subido fotografías a internet, en redes sociales, en webs para ligar, en portales. Fotos de todo tipo que podría parecer que no define a nadie, pero que en conjunto, se pueden extraer datos personales de todo tipo, empezando por tu rostro, tu identidad.

En Rusia han empezado a comprender el peligro de subir todo ese material durante años y de la tecnología que es capaz de coger esas fotos y reconocerte. En Face recognition app taking Russia by storm may bring end to public anonymity de The Guardian se habla como FindFace, una aplicación web que se conecta a VKontakte, es capaz de identificar cualquier persona con su perfil, siempre y cuando esa persona subiese una foto con su cara, algo que es bastante común.

Tiene un 70% de fiabilidad, lo que en teoría descubre tu identidad si alguien te hace una foto en la calle.

Y la gente le echará la culpa a la tecnología o a los desarrolladores de FindFace, sin pensar que si esta herramienta existe es gracias a que tú le has dado todo lo que necesita, fotos que subías sin saber las consecuencias.

Somos lo que sembramos y la inteligencia artificial, reconocimiento de patrones y la automatización de servicios nos va a sacar los colores más de una vez. Con toda la información que cedemos gratuitamente en las redes sociales y en abierto, somos los máximos responsables de estos casos. Los programadores solo han hecho lo que la tecnología les ofrece.