Els ‘selfies’ robats i la privadesa al núvol

El robatori de fotografies guardades al núvol d’Apple ha sigut una notícia molt comentada aquests darrers dies. El tipus de persones afectades, la majoria conegudes, ha contribuït a ampliar el rebombori. Més enllà del safareig, aquesta mena de situacions són una bona ocasió per reflexionar sobre quina privadesa podem esperar del núvol i què es raonable de guardar-hi.

L’emmagatzematge al núvol s’ha anat imposant tant entre les empreses com entre els particulars fonamentalment per la reducció de costos que suposa: no ens cal tenir la nostra pròpia infraestructura d’emmagatzematge, no ens hem de preocupar de fer còpies de seguretat, podem accedir a les nostres dades des de qualsevol lloc i en qualsevol moment, alguns núvols fins i tot ens ofereixen programari que no ens cal ni comprar ni instal·lar i, per arrodonir-ho, molt sovint tot això ho aconseguim de franc o quasi de franc. A més, davant de possibles pèrdues accidentals d’informació, el núvol ofereix més seguretat que no pas el nostre ordinador: en efecte, el nostre equip personal el podem perdre, ens el poden robar, se’ns pot espatllar, pot tenir un virus que malmeti (o fins i tot filtri) informació, etc., mentre que totes aquestes desgràcies al núvol no passen.

Ara bé, fora d’aquests avantatges, hi ha un inconvenient fonamental: ens cal cedir les nostres dades al gestor del núvol i això sol comportar una pèrdua de privadesa. Per analitzar-ne les implicacions, comencem suposant que el gestor del núvol és honest i no filtra les nostres dades a ningú. En aquest cas, el perill no ve del gestor sinó de potencials hackers : la visibilitat del núvol, la seva accessibilitat i la quantitat d’informació que concentra fa que sigui un objectiu molt llaminer per als atacants. Tot i que el gestor del núvol pren més precaucions que qualsevol instal·lació privada (l’hi va el prestigi), hi ha una part de la seguretat que depèn del mateix usuari, com per exemple la tria del nom del seu compte, de les contrasenyes, de les parelles pregunta-resposta que es fan servir per quan oblida la contrasenya, etc. Si l’usuari tria noms que l’identifiquen, contrasenyes febles i/o preguntes-respostes que tothom sap, un hacker ho té fàcil per entrar-li al compte. En el cas d’una persona famosa, les parelles pregunta-resposta són una manera molt senzilla de trobar la contrasenya (per exemple, si la pregunta és el nom de l’escola de primària del famós, la resposta possiblement es troba a la Viquipèdia). Això justament és el que ha passat en el cas del robatori de fotografies al núvol d’Apple.

Els maldecaps creixen si el gestor del núvol es comporta deshonestament. D’entrada, és pràctica habitual i confessada que les empreses que ofereixen núvols gratuïts es rescabalin fent anàlisis automàtiques de la informació dels usuaris amb finalitats publicitàries. També pot ser que cedeixin a tercers els resultats d’aquestes anàlisis o directament part de la informació d’usuaris. S’ha parlat molt de la cessió de dades a l’Agència Nacional de Seguretat nord-americana en el cas PRISM, però és molt més habitual i molt menys sabuda la cessió/venda d’informació als anomenats data brokers ( marxants de dades ). Aquests marxants acumulen informació sobre ciutadans i empreses per tots els mitjans possibles (cerca d’informació pública a internet, compra de dades de clients a empreses en línia o a cadenes de distribució convencionals, i fins i tot a administracions locals); posteriorment, agrupen aquesta informació i creen perfils de gairebé cada consumidor, que acaben revenent a empreses interessades (bancs, asseguradores, etc.). Tal com alerta un informe recent de la Comissió Federal de Comerç nord-americana, cal augmentar la transparència dels data brokers. Ara bé, l’informe es limita a demanar que cada ciutadà pugui saber quina informació d’ell té cada marxant de dades. El problema és que mentre que el ciutadà sap que Google o Facebook tenen informació seva, ignora totalment l’existència dels data brokers, i encara sap menys qui són i per tant difícilment se li acudirà d’adreçar-s’hi.

Davant d’aquesta situació, els usuaris del núvol tenim com a mínim dues estratègies per mantenir la nostra privadesa en nivells acceptables. La solució més neta seria xifrar sistemàticament les dades que guardem al núvol; per exemple, podem xifrar els nostres fitxers amb el programari lliure PGP abans de carregar-los a DropBox o a qualsevol altre núvol. Si xifrar ens fa mandra o ho veiem massa complicat, llavors hauríem de minimitzar la informació sensible que guardem al núvol i limitar-nos a guardar-hi informació voluminosa que no considerem confidencial, de la mateixa manera que en un traster de lloguer només hi guardem allò que ens fa una mica de nosa i no ens és vital.