1 . Análisis crítico de los datos proporcionados para crear una cuenta en ProtonMail
Para realizar, este análisis primero vamos a ver como tratan nuestros datos y luego, al final, haremos una breve crítica.
Para empezar, debemos mencionar que para abrir la cuenta no
nos piden ninguna información, tan solo debes crear tu dirección de correo y
crear una contraseña. Si quieres, puedes dar una dirección de correo alternativa
para que si pierdes tu contraseña te puedan enviar una nueva. Esto se considera
datos personales y por ello están protegidos por la Ley Federal Suiza de
protección de datos ya que la compañía es suiza. Esta información, solo se
usará para el caso que mencionábamos antes, y en cualquier momento puedes
eliminar la dirección de correo alternativa.
Puesto que ProtonMail desea luchar contra el spam, a veces
hará pruebas para determinar si eres un humano. Esto puede ser verificado mediante
un email, SMS o reCaptcha. Aunque nos parezca que dar nuestro número de
teléfono es innecesario (personalmente me lo parece), este solo se guarda de
forma temporal y luego el sistema lo borra de la base de datos. También puede
que este se guarde de forma permanente, aunque aún así es información
encriptada o cifrada, lo cual impide que la compañía pueda acceder a ella. Así
pues, como vemos, a penas piden información personal, y de hacerlo siempre está
encriptada y aseguran que ellos no tienen medios para desencriptarla. Esto hace
que el usuario preserve su anonimato, lo cual está bastante bien.
Así pues, usan herramientas analíticas para analizar las
visitas a su web. Sin embrago, la información derivada de dichos análisis, es
anónima (no contiene información personal que permita identificar a los
usuarios) y no se guarda en la nube.
En otra práctica ya hablamos del protocolo SMTP que permite
enviar mensajes de correo. Como que este presenta ciertas limitaciones, la
compañía debe tener acceso a cierta información que permitiría identificarnos. Así
pues, conocen las direcciones de correo del emisor y el receptor, la dirección
IP y el momento en que se envía y recibe el mensaje. Personalmente, creo que es
necesario que sepan esta información, ya que sino la comunicación no sería posible.
Es importante mencionar que no conocen el contenido del email, ya que está
encriptado. Sin embargo, si el mensaje proviene de otro proveedor de servicios sí
que conocen el contenido ya que lo escanean para asegurarse de que no es Spam.
Creo que es adecuado que analicen los mensajes externos, ya que así previenen
intentos de phishing, instalación de malware, etc.
Por lo que se refiere a nuestra IP, se almacena
temporalmente, lo cual dificulta que nos puedan identificar o que un tercero
que ataque la base de datos pueda conseguirla. Sin embargo, si detectan que
rompes los términos del contrato y haces spam o otros delitos informáticos como
el DDoS, pueden retener tu IP para iniciar acciones legales.
Por otra parte, si usas el servicio no gratuito, como que
para el pago usan los servicios de otras compañías, estos terceros conocerían dicha
información. Sin embargo, a mi parecer es inevitable que deban conocerla.
Como decíamos no comparten nuestra información con terceros
y no tienen ningún tipo de anuncios. Además, solo realizan el análisis de dos
tipos de información: correos no encriptados que provienen de otros proveedores
para evitar el spam y emails no encriptados que los usuarios de este servicio
envían a otros proveedores de servicios de correo como podría ser Gmail. Es
decir, el único uso que hacen de la información proporcionada, es para evitar
el spam y otras actividades dudosas o ilícitas. Además, toda la información almacenada
está encriptada, incluso aquella guardada en las copias de seguridad almacenadas
en dispositivos externos. Estos nos comentan que no proporcionan ninguna información
a terceros, pero como que la conexión puede implicar a emisores o receptores de
otros proveedores de servicios, estos podrían conocer tu IP, pero nunca aquella
información almacenada en el correo. Como dicta la ley, si tú decides terminar
tu cuenta y quieres que los datos almacenados sean eliminados, solo tienes que
pedirlo, ya que estás en tu derecho. Además, cualquier correo que elimines se
eliminará de forma definitiva, aunque puede que se quede almacenado en la copia
de seguridad durante 14 días.
Hasta aquí, como hemos podido ver, ProtonMail nos proporciona
un servicio que garantiza nuestro anonimato y no pide ningún tipo de
información personal innecesario. De hecho, a penas piden información sobre
nosotros. Además, a diferencia de otros proveedores de estos tipos de servicios,
garantizan nuestra confidencialidad (no informan a terceros y encriptan nuestra
información. Además, se asegura la integridad de nuestra información ya que
solo nosotros tenemos acceso a la misma y usan medidas preventivas para evitar
ataques de phishing, DDoS, etc. Sin embargo, si que es verdad que la accesibilidad
cojea. Decimos esto, ya que, en caso de perder los datos, al estar encriptados,
no los vas a poder recuperar. Además, aunque fuera debido a un error suyo, no
podrías pedir responsabilidades a ProtonMail ya que ellos explican que esto puede
pasar en los términos y condiciones. Además, no se hacen responsables de un ataque
de terceros que afecte a tu información, lo cual veo razonable, pues a pesar de
todas las precauciones que toman, la seguridad no es inviolable y claro está
que siempre existen riesgos.
Finalmente, creo que es importante mencionar que si las autoridades
suizas lo requieren podrán entregar la información que poseen, avisando siempre
al afectado. Sin embargo, dicha información solo se podrá usar en una corte.
Además, puesto que ellos no pueden desencriptar la información, deberán ser las
autoridades quienes lo hagan. Personalmente, aunque este servicio garantiza que
nuestros datos estén protegidos, dicha sobreprotección puede ser un arma de
doble filo. Ya ha pasado otras veces, que en servicios donde la política de protección
de datos es estricta, se desarrollan actividades ilegales cuyos responsables
son difíciles de determinar debido a dicha política. Hubo un caso conocido como
la Nth room, donde una serie de personas de Corea del Sur crearon varias
salas en Telegram para consolidar un negocio de pornografía (incluía víctimas
menores de edad) y vídeos gore que las víctimas se veían obligadas a grabar
bajo chantaje. Cuando se descubrió, el problema era que era muy difícil
rastrear a los implicados, puesto que la revelación de los datos personales seguía
las leyes de otro país y los datos estaban encriptados. Además, los clientes de
este negocio eran de diferentes países. Así pues, en estos casos, el proceso de
investigación se puede ver sumamente ralentizado y puede que no se consiga
rastrear a todos los implicados.
2.Modelo de seguridad CIA
Dicho modelo se representa como una tríada que en
cada arista tiene un principio de la seguridad de la información. Este es muy
útil ya que es muy frecuente que se use para confeccionar las políticas de las
empresas para asegurar la integridad de sus datos.
Así pues, ¿Cuáles son estos principios?
·
Confidencialidad
(confidentiality): según dicho principio
tan solo los propietarios de la información y personal autorizado pueden
acceder y manipular los datos.
·
Integridad
(integrity): este principio determina que
se debe asegurar que los datos no se vean modificados de forma incorrecta,
tanto por error como con intención maliciosa.
·
Disponibilidad
(avaialability): este establece que los
datos deben estar disponibles en cualquier momento para aquellos usuarios
autorizados.
Sin embargo, dicha explicación de los principios
queda muy pobre así que debemos adentrarnos un poco más en los mismos.
Confidencialidad
Para asegurar este principio debemos definir dos
conceptos muy importantes:
·
Autentificación: conjunto de procedimientos que permite al sistema
averiguar si un usuario es quien dice ser. Dichas medidas incluyen contraseñas,
biometría, etc.
·
Autorización: esta determina quien puede y quien no puede acceder a la
información. Así pues, aunque se produzca la autentificación, sino existe
autorización, el usuario no podrá acceder a los datos.
·
Medios no técnicos
para asegurar la confidencialidad: con
estos nos referimos a aquellos como el almacenamiento de la información en
cajas fuertes.
De esta manera, si el principio de confidencialidad
se ve comprometido significará que personal no autorizado a accedido a la
información.
Integridad
Para asegurar la protección de dicho principio
muchas veces se hace de uso de técnicas dispares. Es decir, mientras aseguramos
otro principio como el de confidencialidad también aseguramos la integridad. En
pocas palabras, si solo aquellas personas autorizadas y autentificadas acceden
a la información vamos a asegurarnos que terceros no autorizados no modifiquen
dicha información.
Otra forma de asegurar la integridad de los datos
es establecer reglas de acceso. Por ejemplo, Google docs permite que el creador
de un archivo decida si aquellos con los que comparte su archivo puede,
visualizar o editar el mismo.
Además, podemos asegurar o proteger la integridad
de los datos usando métodos de detección de cambios en los datos. Algunos de
estos métodos son las sumas de verificación de datos, realizar copias de
seguridad, etc.
Este principio puede verse comprometido cuando un
tercero no autorizado modifica los datos para afectar al normal funcionamiento
de una empresa y favorecer a los competidores, hackeos para modificar la
información beneficiándose de ello, etc.
Disponibilidad
Para asegurar que este principio se garantiza, lo
mejor es asegurase de que nuestros sistemas están actualizados y que funcionan
correctamente.
Un ataque que acaba con la disponibilidad de los
datos es el DoS o ataque de denegación de servicio, que consiste en sobrecargar
con tráfico para que la página web no se pueda mantener actualizada.
Servicios básicos de la seguridad
Como ya hemos visto, en algunas ocasiones un
mecanismo puede implicar dos arestas, por lo que podríamos decir que los tres
principios presentados no son independientes sino más bien interdependientes.
De esta manera, definiremos dos de estos mecanismos:
·
Servicio de
No-Repudio: en este se ven implicados el
principio de confidencialidad y el de integridad. Así pues, permite garantizar
que alguien no niegue ser el autor de una acción cuando si lo es. Este
no-repudio puede ser en origen, donde el emisor de la información no puede
negar la autoría o en destino, donde será el destinatario quien no pueda
negarla. Así pues, uno de los métodos más usados para asegurar el
reconocimiento de la autoría es la firma digital.
·
Autentificación: ya la hemos mencionado antes, pero hay quien piensa que
implica tanto la confidencialidad como la disponibilidad. Esto se debe a que,
identificando a los usuarios, gestionaríamos su acceso y con ello la
disponibilidad de los archivos.
Otros Modelos
La CIA no es el único modelo de seguridad usado,
pues hay quienes dicen que no cubre todos los aspectos referentes a la
seguridad.
Por ejemplo, hallamos el modelo Parkerian Hexad,
que además de los principios de confidencialidad, integridad y Disponibilidad,
añade la posesión o control, la autenticidad y la utilidad.
Por otra parte, en España el ENS añade a los tres
principios de la tríada, el principio de trazabilidad y la autenticidad.
Apoyo Audiovisual
3.Código binario
|
8 |
1000 |
|
20 |
10100 |
|
100401 |
11000100000110001 |
|
126 |
1111110 |
No hay comentarios:
Publicar un comentario