Desde hace algunos años, las grandes empresas tecnológicas han intentado colocar al teléfono móvil en el centro de tu seguridad digital. Para ello, han orquestado una campaña de desprestigio contra las contraseñas y han construido la ilusión de que tu dispositivo móvil es una especie de Fort Knox infalible. El resultado: convencerte de poner toda tu vida tecnológica en manos de algo que llevas siempre en el bolsillo y que es, paradójicamente, fácil de perder y muy vulnerable a ser sustraído.
Con este artículo espero aclarar algunos puntos oscuros de estas pretensiones, que como veremos son fingidas y obedecen a meros intereses de control y vigilancia.
1. Usted es incapaz, ya nos hacemos cargo nosotros de todo
Lo que las grandes compañías quieren hacerte creer es que, en el fondo, eres demasiado torpe para gestionar tu propia seguridad. Que lo sensato es confiar en que ellas —con su marketing brillante y sus departamentos de innovación— saben mejor que tú lo que necesitas.
El mensaje implícito es claro: el usuario es un menor de edad digital. Incapaz de protegerse, de discernir, de elegir. Así que mejor dejamos las llaves en manos de los “expertos”. El problema es que esos expertos no suelen velar por tu interés, sino por el suyo: control, dependencia, datos, vigilancia.
Si hemos de aceptar que la gente común comete errores, conviene recordar que quienes diseñan estas estrategias tampoco son inmunes a la estupidez. Es más: a veces parecen todavía más ingenuos que el ciudadano medio, solo que con presupuestos millonarios para convertir sus ocurrencias en dogma.
La infantilización del usuario es una herramienta de poder. “No os preocupéis, nosotros os daremos lo que es mejor para vosotros”. Traducido: lo que más beneficios reporte a ellos.
Nunca tu seguridad estará en mejores manos que en las tuyas.
Eso implica asumir responsabilidad, pero también rechazar la comodidad de entregar las riendas al primero que te prometa soluciones mágicas.
2. La pesadilla de perder las llaves
El que ha perdido una tarjeta de crédito conoce lo que es la preocupación. Y eso que basta con llamar a un número de teléfono para anularla. Perder las llaves de casa le hace a uno andar de cabeza, pero al menos esas llaves no llevan implícita tu dirección postal ni tu identidad. ¿Te has planteado lo que supondría perder el móvil o que te lo robaran, sabiendo que tu seguridad está centrada en este aparato? Posiblemente creas que no pasa nada porque lo tienes protegido con un PIN o con tu huella digital. Te tengo que dar una mala noticia. La pretendida seguridad de tu PIN o tu huella, así como demás artificios, destinados a venderte las delicias del "mobile first", son poco más que humo y espejos. Podría enumerarte decenas de papers donde numerosos expertos han sido capaces de vulnerar todas y cada una de las medidas de seguridad de tu Android o tu iPhone.
Los sensores de huella digital que llevan estos dispositivos son poco más que juguetes que no están a la altura de otras soluciones. Puedes encontrarte con que alguien logre desbloquear tu cachivache habiendo sacado tu huella de la pantalla o incluso sin ella.
La misma Google que te dice que tu contrasela de 14 caracteres aleatorizada con números, letras y signos, es basura; te ha convencido de que para proteger tu móvil basta con un PIN numérico de seis dígitos. "Todo está bien. Confíe en nuestros sistemas para reducir el número de reintentos".
El problema no es solo que el sistema pueda fallar. El problema es que, cuando fallas tú —cuando pierdes el móvil, cuando te lo roban, cuando se queda sin batería—, todo tu castillo digital se derrumba contigo. Has convertido un objeto vulnerable, frágil y expuesto en la cerradura maestra de tu vida entera. Y esa cerradura no está hecha de acero: está hecha de plástico barato y de promesas de marketing.
Y si creías que la mayor amenaza era perderlo, espera a ver cómo se comporta conectado a redes ajenas.
3. Oh, ¡WiFi gratis! ¡Escila y Caribdis a cada esquina!
Mucha gente anda preocupada de que le hackeen el PC de casa. Y no es que no exista ese riesgo, pero es que luego vamos al bar y se nos hace el culo pepsicola cuando encontramos WiFI gratis. Pocos entienden lo sencillo que es crear un honeypot en forma de WiFi de libre acceso y someter a los incautos que conecten a todo tipo de ataques Man-in-the-Middle o de phishing que básicamente busca hacerse pasar por cualquier servicio legítimo para robarte tu cuenta.
Este tipo de amenazas convierte tu dispositivo móvil en algo mucho más vulnerable y susceptible de sufrir ataques que el PC de tu casa que sigue felizmente conectado a tu fibra óptica y considerablemente menos propenso a dejartelo olvidado en cualquier sitio o que te lo roben.
¿De verdad quieres que tu vida digital dependa de algo que se conecta alegremente a cualquier WiFi que huela a café y donuts?
4. Por si fuera poco, tu clave por SMS
No sé si el lector estará familiarizado con conceptos como SS7 o IMSI catcher. Probablemente no. Pero si confías en que puede ser buena idea recibir claves de un solo uso por SMS, quizá deberías informarte.
Ya te hago un resumen aquí. El SS7 es el protocolo usado en la recepción y envío de SMS. Lo usa tu móvil todo el rato sin que te des cuenta. Hay que decir que no se pensó desde el origen con seguridad implementada y cualquiera con acceso a la red móvil puede recibir los mensajes de otro o enviar mensajes como si fueras otro sin dificultad. El acceso a la red puede comprarse por unos cuantos miles de euros o puedes pagar por víctima en el mercado negro desde unas decenas hasta unos cientos de euros.
Esto debiera de saberlo tu banco, antes de obligarte a validar tu acceso con un SMS. Lo peor es que lo saben, pero les da igual. Te dicen que acceder desde tu PC es inseguro. Prefieren que uses su App.
Un IMSI catcher es alguien que con una emisora barata o un SDR económico convence a los móviles a varios centenares e metros a la redonda de que es una antena de telefonía oficial. Con ello gana acceso pirata a todo lo que envíen y reciban los móviles en su radio de alcance.
Es casi lo mismo que asomar el culo por un agujero de la pared y rezar para que nadie abuse. Y aún así, tu banco insiste en que esta es la mejor manera de protegerte.
5. Google Authenticator y el phishing
Dando por hecho que somos idiotas, seguramente las contraseñas no tengan la culpa. Igualmente vas a caer víctima del phishing o de la ingeniería social con la ayuda o sin la ayuda de Google Authenticator.
Siendo esa la verdad del barquero, ¿por qué Google se empeña en hacerte usar Google Authenticator?
La respuesta habría que buscarla en sus ansias de vigilancia y control, y no en que le importe un carajo tu seguridad. El número de teléfono móvil es lo más parecido que existe a un documento nacional de identidad, lo que les otorga a estas grandes compañías la posibilidad de identificar de forma unívoca a sus usuarios y vincular esta identidad a todo lo que ya saben de ti.
Entendiendo que el mayor negocio de Google es la publicidad, nos acerca a comprender lo ventajoso que es para ellos estar en posesión de tu número de teléfono. No es de extrañar que aprovechen cualquier resquicio o excusa para exigírtelo.
Por supuesto, tu banco también quiere tus datos y por eso prefiere el entorno controlado del móvil. Lo que le da acceso a geolocalización y a todo lo demás. Además, así evitan que puedas ejercer el mínimo control en tu PC, que sí es un entorno más abierto y donde tienes mucho más control. Por eso les molesta tanto esa manía de algunos usuarios al rootear sus móviles.
Nunca les preocupó realmente tu seguridad. Te venden seguridad para obtener control, vigilancia y datos.
Te venden la llave de tu castillo digital mientras clavan sus propios ojos en todas tus habitaciones.
6. Conclusión
No es que la seguridad no exista; es que depende de ti tomar las decisiones correctas, no de confiar ciegamente en un dispositivo que no entiende de tu vida.
Y es cierto que las contraseñas tienen sus problemas. Incluso usando una buena contraseña, cualquier servicio puede sufrir una filtración y hacerla pública.
Puedes limitar el riesgo usando una contraseña distinta para cada servicio; así, si una se filtra, no comprometerá tus otras cuentas. Para no depender de la memoria, utiliza un gestor de contraseñas que proteja tus claves mediante cifrado. Esto te permite generar contraseñas seguras automáticamente y evita los peores errores: usar la misma para todo o recurrir a “12345” o al nombre de tu mascota o hijo.
No hay comentarios:
Publicar un comentario