Nada es seguro

Hace un par de años, un compañero del sector, responsable de sistemas de una importante empresa constructora, me dijo que mudaba su sistema de correo a la nube. Eran los primeros días del uso de ese termino, que ahora es tan popular, y las razones que me daba para hacerlo eran:

1. Seguridad de las comunicaciones. (Iban sobre SSL que es ¿muy seguro?)
2. Versatilidad para poder acceder al correo. (Desde cualquier navegador o dispositivo con internet se podía acceder a ese servicio tan importante)
3. Fiabilidad porque al estar en Google no tendría caída de servicios y siempre estaría online.
4. Ahorro de tiempo y coste en administrar el servidor de correo.

A esas razones que el compañero me dio, yo intenté revatírselas con:

1. El tener el correo de tu empresa en Google, no te garantiza que esté seguro. Porque el correo de tu empresa está en un servidor que seguramente está fuera de tu país, donde no le afectan las leyes de aquí, por lo tanto si en ese país la legislación permite que en determinados momentos, se pueda acceder a la información contenida en esos servidores, la seguridad del correo de tu empresa puede verse comprometida. Yo entonces para ser sincero, no pensaba en que el protocolo SSL era inseguro, pensaba mas bien en temas de LOPD y de seguridad de la información.
2. En versatilidad le dije que casi todos los servidores de correo permiten el acceso al mismo a través de navegador, donde también se podía habilitar el https, con lo que aunque había mas aplicaciones y dispositivos para el correo de Google, los demás sistemas de correo también eran versátiles.
3. En cuanto a la fiabilidad, yo le pregunte cuantas veces tenía el servicio de correo detenido en su empresa y cuanto tiempo lo estaba. El me dijo que cuando tenia que aplicar un parche, o tenía algún problema con el servidor donde tenía el correo (y otros servicios además de este) y que eso le ocasionaba que a veces tenia el servicio detenido. Yo intenté cuantificar el tiempo cuantos minutos u horas estaba detenido y al final salió que no mas de 8 horas al año. Haciendo la regla de 3 con las horas de un año y las horas de caida del servicio, nos salia que el servicio de correo no estaba operativo durante el 0,01 % de las horas de un año. Si con ese porcentaje no estaba satisfecho, podía probar otras cosas, como usar el servidor de correo como solo eso, servidor de correo, para evitar que otro software afectara al mismo, etc. Además que mas daba tener el correo el 0.01 % del tiempo de un año no disponible o el 0,001 %, ¿alguien le iba a agradecer eso?, ¿iba la empresa a perder dinero por ello?. ¿Estas seguro que el servicio de correo de Google va a estar operativo el 100 % del tiempo?.
4. Es cierto que el servidor de correo hay que administrarlo, pero eso se hace cuando lo instalas. Después de instalarlo tan solo lo tocas para dar de alta o de baja algún usuario, y para aplicar algún parche, con lo que aunque pongamos por ejemplo, que pierdas 8 horas al año en configurar alguna cosa del mismo, tenemos lo mismo que en el punto 3. ¿El servidor de Google no vas a tener que configurarlo cuando lo contrates?. ¿Y las altas y bajas de usuarios?.

Al final migró todo a Google. Alguna vez coincidimos en algún evento informático y casualmente en ese evento el servidor de Google estaba caído…

Volviendo a la actualidad.

Algunos creían que utilizando https, SSL, VPN o AES estaban seguros de que alguien les espiara en sus comunicaciones. Hasta hace poco la gran mayoría de la gente se sentía segura navegando por internet con esos protocolos.
Ahora eso ha cambiado. Ahora que ha llegado a la prensa y al mundo en general que los gobiernos americanos y británico hace tiempo que rompieron el cifrado, o mejor dicho, propusieron esos cifrados (AES, SSL, etc) a la comunidad internacional como protocolos seguros, sabiendo que ya tenían sus respectivos backdoors para poder, llegado el momento, poder espiar lo que por allí circulaba.

Todo esto ha salido a la luz gracias al extécnico de la CIA Edward Snowden. Nos hemos enterado que los americanos en su famosa Agencia de Seguridad Nacional NSA tenían un programa secreto llamado Bullrun, que no nutrían de mas de 200 millones de dolares anuales, y que les permitía descifrar las comunicaciones seguras, teniendo acceso a nuestros correos electrónicos, paginas web seguras, etc. Los conocidos servicios de Google, Facebook, Yahoo, Microsoft, Twitter, etc, que tienen sede en los Estados Unidos, ponían a la disposición del gobierno americano sus servidores, entre otras razones, porque lo obligaba la ley americana.
También hacen lo propio la Perfida Albión, los britanicos con su Agencia Central de Comunicaciones Británica GCHQ, y su programa secreto bautizado como Edgehill, también espiaban a diestro y siniestro todo lo que caía en sus manos, siempre según ellos, parar proteger intereses británicos-americanos y por la seguridad nacional.

Es cierto que se ha utilizado el programa secreto para hacer el “bien”, encontrar terroristas, estafadores, criminales varios, etc, pero también se ha utilizado para el “mal”, espiar a empresas no americanas-británicas para que puedan ganar contratos o concursos empresas de su cuerda en detrimento de otras de diferente nacionalidad, robo de patentes, de inventos, espiar a gobiernos enemigos y aliados, etc. Vamos que los anglo-americanos tienen el poder de saber lo que se cuece en cada país, empresa o particular siempre que la información este en un servidor que ellos controlen, que son casi todos.

Gracias al “traidor” de la CIA hemos podido saber que desde el año 2000 los norteamericanos promovieron el uso de AES como algoritmo predilecto de encriptación, en detrimento de otros que no podían descifrar. También que parece ser que el cifrado SSL, que es el que usamos en nuestras comunicaciones con nuestro banco, nuestra empresa o cualquier página web que creíamos segura, ya no lo es.

A partir de ahora debemos saber para actuar en consecuencia, que todo lo que circula por internet, por las ondas o por cualquier sistema de información, es susceptible de ser intervenido y espiado.

Sabiendo esto, que cada uno actúe en consecuencia. Ya sabéis, nada es seguro en internet…

numbers-16804_640