La seguridad en la nube
El muy sonado caso del ataque a Mat Honan me ha hecho pensar sobre la clase de seguridad que tenemos en nuestros dispositivos conectados al cloud. (Resumen ejecutivo: Atacantes consiguen password de iCloud, borran remotamente TODO el contenido del iPhone/iPad/MacBook y toman el control de cuentas tipo Twitter, etc).
He de decir que siempre he sido un gran defensor de tener mis propias copias de "todo" en local; tengo almacenados correos de hace mas de 15 años, scripts/software, proyectos, textos, fotos, y prácticamente cualquier ristra de bits que haya generado en estos años.
Hasta el momento, estoy usando Gmail para tener una copia online y siempre disponible de estos correos. No es la "fuente primaria" de datos, si no meramente un backup de los mismos. Más por comodidad que por otra cosa; está bien poder localizar un cierto documento que te mandaron hace tiempo, o un enlace, o un correo con datos importantes.
Sin embargo, el hackeo antes mencionado me hace plantearme si realmente es tan buena idea tenerlo todo en la nube: una vez que un dato ha salido de tu ordenador has de considerarlo dominio público. De ahí el adagio de "No subas a Internet nada que no quieras que tu madre vea" :-) . Y no solamente eso, si no que te pueden privar de acceder a esos datos. Pierdes tu agenda, tus contactos, las direcciones de correo, fotos irreemplazables, ... A todos los efectos, borrar tu presencia digital es casi como borrar tu vida real de un plumazo
Me hace especial gracia esta cita del artículo:
In short, the very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification.
Las conclusiones que saco de esto son :
- Haz un backup local de tus datos. Nadie sabe mejor que tú lo que los valoras y qué repercusiones puede tener el perderlos.
- No subas a Internet nada que no puedas asumir que se haga público. Ya sean fotos, documentos, tarjetas de crédito y DNIs/Pasaportes escaneados, ...
- Plantéate a cuantas cosas pueden acceder si pierdes una sola cuenta. En el caso de Mat, al perder su cuenta iCloud el atacante tuvo acceso a todas sus demás cuentas en otros servicios. La seguridad del email se ha vuelto crítica en los últimos tiempos.
- Revisa las políticas de verificación de identidad de tus proveedores. La doble autenticación de Gmail ("algo que sabes , algo que tienes") añade un punto más de dificultad para poder asaltar una cuenta, pero no es definitivo. En el caso de Apple, bastó con "marear" un poco a los empleados de su call centre hasta que uno de ellos cometió una indiscreción y reveló un dato crítico.
- Cambia tus contraseñas periódicamente. Quizás no mensualmente, pero sí una vez al año como mínimo. No es necesario que te sepas todas ellas; basta con que estén apuntadas en un sitio seguro (como Keepassx) y que tu navegador las recuerde. Por supuesto, no compartas contraseñas entre servicios. Es buena idea usar también generadores de passwords como pwgen y apg .
- No asumas que no te han hackeado ya. Quién sabe si ya hay algun exploit para Gmail, Outlook et al, y alguna panda de criminales chinos, rusos, etc no tiene ya todos tus datos ( sí, me gusta la paranoia ;-) )
Está claro que aún nos queda mucho por aprender a todos, pero a base de ejemplos como este supongo que iremos espabilando :-)