domingo, abril 02, 2017

Tu empleador probablemente te esté espiando con un proxy transparente... ¿cómo eludirlo?

Es verdad, la gran mayoría no es consiente de lo que sucede cuando navegamos por Internet. Pero trataré de explicarlo brevemente: es una gran red donde la información viaja entre distintas computadoras y cada una de estas tiene capacidad de almacene esta información.

La utopía de John Perry Barlow nunca se logrará, la independencia del Cyberespacio nunca existirá mientras tengamos que depender de terceros que fabriquen los equipos y que nos permitan la conectividad.

Y esos terceros existen, existieron y existirán.
Natalia Zuazo lo describió claramente en su libro "Guerras de Internet", la política está en el medio. Nos guste o no.


No ser ingenuo es un primer paso, conocer la tecnología otro importante, analizar contramedidas puede ser fundamental. Vamos al punto: es muy probable que tu empleador esté espiando lo que navegas.

No, no es una cuestión conspiranoia. Sino algo fácilmente comprobable.
Si estás trabajando en una empresa mediana o grande, en general se utilizan servidores proxy-cache que permiten ahorrarle bastante plata al empleador en lo referente a ancho de banda.

Esto trae una prestación adicional, y es que cada página que se visite queda almacenada en un registro indicando la dirección IP local así como otros datos relevantes.

Esta información de tráfico le permite a, quien tenga acceso, saber que sitios navegamos, que noticias leímos, e incluso hacer un análisis proyectivo para determinar medidas a tomar. El anonimato es difícil de lograr, y un excelente ejemplo es lo descripto por Adrian Paenza en su artículo para Página 12. Aunque si bien, también es cierto que esta falta de anonimato (y estas mismas herramientas) se pueden utilizar defensivamente.

El precedente establecido por el fallo Halabi en la Argentina ha sido muy importante, donde más allá de diferenciar la información de datos de la de tráfico (metadatos), trajo la Acción de Clase y nos permite entender que la privacidad afecta a todos por igual.

¿Que control por oposición de intereses se realiza sobre los datos almacenados en los proxys? ¿cómo nos permite saber que quién tiene acceso a esa información no la utilizará en contra de alguien? En general no es algo que se pueda vislumbrar.

¿Qué medidas podemos tomar?
Pues el cifrado puede ser una solución, y si bien en general no es más que una cuestión de confianza al momento no hay más cosas que uno pueda hacer.

Una alternativa es la utilización del navegador Opear habilitando el uso de VPN. En caso de estar en entorno corporativo y no poder instalar programas existe una versión portable.


De esta forma se tuneliza todo el tráfico y sale por una conexión externa, si bien esto puede levantar sospechas no es en sí algo ilegítimo a menos claro de incumplir con alguna normativa interna de la empresa.

Tampoco esto es la solución a todo, dado que no es más que la implementación de un Man-in-the-middle legítimo, que (en caso de que la web no vaya por HTTPS), podría modificar los contenidos y así añadir publicidad o capturar información (la cual podría ser menos relevante que a nuestro propio empleador).

Muchas veces se utiliza el argumento falaz de "si no has hecho nada malo, no tienes nada que esconder" para defender una intromisión potencial a la privacidad, incluso negando la posibilidad de una auditoría o la implementación de controles para asegurar el correcto tratamiento de dicha información.

En los tiempos actuales, si bien no se analiza desde la perspectiva de los derechos del empleado, tal vez a futuro si, más teniendo en cuenta su relación con la protección de los datos personales.

Si vamos a los ejemplos prácticos, la utilización de un proxy cache que loguee la información de navegación de los usuarios, puede permitir obtener un perfil de los intereses de estos. Si específicamente se focaliza en los diarios (por ejemplo hay muchos que no implementan SSL/TLS) podrán saber que noticias lee, a cuales les presta atención e incluso el tiempo de navegación de cada noticia.

Esto luego puede ser utilizado en su contra, o al menos para coaccionarlo.
¿Es posible que pase? ¿que probabilidades existe?. Si, es posible. Las probabilidades dependen del entorno.

La seguridad en defensa de la privacidad poco a poco se debe ir fortaleciendo y ser tenida en cuenta, sino llegará un punto en que muchos sepan más de nosotros que nosotros mismos.

No hay comentarios:

Publicar un comentario

Compartí tu comentario, es una forma de agradecer para que se sigan publicando más entradas. Se admiten mensajes anónimos.

Recibe las actualizaciones en tu correo