Aproximadamente una vez a la semana, veo una publicación en la comunidad de privacidad que dice algo como “Si el Producto X es de código abierto, ¿cómo sabemos que La-Compañía-detrás-del-producto-X no ha modificado el código público para verse bien mientras ejecutan en secreto algo más en sus servidores? ” La respuesta corta es: no lo sabemos.

Siempre confías en alguien en algún lugar. Siempre. Punto.

Mi papá es el tipo de persona que dice “Caminé cuesta arriba en la nieve ida y vuelta a la escuela”. En su defensa, esto no siempre es malo. Su actitud me enseñó mucho sobre la autosuficiencia, la iniciativa y el control de mi propio futuro y la superación personal. Eso fue algo bueno. Pero recuerdo una vez en la que estaba completamente arruinado, no por mi culpa. No creo en hacerme la víctima. Casi siempre te ves metido en situaciones y hay que asumir la responsabilidad que te toca, pero a veces suceden cosas que están genuinamente fuera de tu control y tú realmente eres la víctima. Es raro (a nivel individual) pero sucede. Tenía tres fuentes de ingresos en ese momento y las tres no me pagaron por razones que, en los tres casos, estaban legítimamente fuera de mis manos. Nunca olvidaré a mi papá diciéndome que fue mi culpa, que nunca debería confiar en nadie para nada y que tenía que haber ALGO que podría o debería haber hecho de manera diferente. Hasta el día de hoy, más de una década después, insisto en que mi padre estaba muy equivocado sobre esa situación en particular.

El hecho es que SIEMPRE depositas ALGUNA medida de confianza en ALGUIEN EN ALGÚN LUGAR. Siempre. Punto. Sin duda. Confías en que tu jefe te pagará cuando se presentes a trabajar. Confías en que los demás conductores permanecerán en sus carriles cuando conduces (en su mayor parte). Confías en que la comida que compras en el supermercado es segura. Confías en la construcción de tu hogar. SIEMPRE estás confiando en ALGUIEN en ALGÚN PUNTO. Incluso si exiges que te paguen por adelantado, confías en que el cheque no rebotará. O que la economía no entrará repentinamente en una recesión con hiperinflación. O que tu banco no cerrará espontáneamente tu cuenta. O que no te darán billetes falsos. SIEMPRE estás confiando en ALGUIEN EN ALGÚN LUGAR. Fin de la historia. Punto.

Confianza y diligencia debida

La comunidad de privacidad es paranoica. A veces eso es bueno y otras veces es malo. Un poco de paranoia es algo bueno en un mundo donde las violaciones de datos no son reveladas, las aplicaciones y los servicios mienten sobre lo que realmente están haciendo y las empresas se esfuerzan por rastrearte. Pero demasiada paranoia es mala. La paranoia descontrolada puede provocar problemas como ansiedad, depresión, pensamientos suicidas y otros problemas legítimos de salud mental. (Si sospechas que puedes estar en cayendo o has entrado en ese territorio, por favor busca ayuda. No estás solo).

La cuestión es que se trata de equilibrio. La confianza no debe darse a ciegas en casi ningún contexto. No contratarías a una persona cualquiera de la calle para cuidar a tus hijos, no elegirías un banco del que nunca has oído hablar para administrar tu dinero, y no deberías elegir servicios que no hayas investigado para proteger tu información, metadatos y comunicaciones. Debes absolutamente hacer tu investigación. ¿Cuánto se respeta la empresa/aplicación/servicio? ¿Tienen un historial de responder responsablemente? Quizás sean de código abierto, pero ¿han sido auditados? ¿Alguien ha expresado alguna preocupación legítima sobre sus prácticas?

La palabra clave aquí es “legítima”. A mucha gente no le gusta ProtonMail porque cuesta mucho más dinero que Tutanota, pero su lista de quejas termina ahí. Si bien eso puede ser un factor decisivo para ti, no significa que ProtonMail sea menos honesto o confiable. Mientras investigas un producto o servicio en la comunidad de la privacidad, no encontrarás pocas personas que tengan quejas menores sobre un producto. “Tienen su sede en los Estados Unidos”. “Usan el lenguaje de programación X en lugar de Y”. “Podrían ser más seguros si hicieran ABC”. Es el equivalente “en privacidad” de alguien que prefiere el vinilo al CD. Técnicamente no está mal, pero corres el riesgo de perderte entre la maleza. Si estás tan obsesionado con encontrar el tocadiscos perfecto, los cables, los altavoces, el procesamiento de señales, etc., corres el riesgo de no escuchar música.

En cambio, concéntrate en las quejas legítimas. ¿Son propiedad de una empresa de publicidad o de una empresa con un historial de malware? ¿Su código ha sido auditado? ¿Cómo ganan dinero? Si un producto es gratuito, tu eres el producto, por lo que si no tienen un modelo de pago de algún tipo, probablemente no sean muy confiables. ¿Están usando un cifrado que se sabe que es débil? ¿Su política de privacidad establece que registran información que te resulta preocupante? ¿Hay denunciantes creíbles dentro de la empresa que hayan hecho afirmaciones preocupantes o hayan filtrado documentos que sugieran prácticas preocupantes? Todas estas son quejas legítimas. “Cuestan demasiado” o “No me gusta su aplicación móvil” no es una queja legítima.

La confianza varía

Hay algo que decir sobre los niveles individuales de confianza y el modelo de amenazas. Utilizo Signal como mi mensajero principal de elección. Hago esto porque tengo un número de VoIP que uso solo para Signal y nada más. Cualquiera que busque mi número de Signal encontrará muy poca información sobre él o sobre mí. Puedo entregar ese número de teléfono con seguridad como si fuera un caramelo sin temor a sacrificar mi privacidad. Sin embargo, no todos tienen acceso a un número de VoIP y, por lo tanto, es posible que solo puedan usar Signal usando su número de teléfono real, y ese puede ser un riesgo que no quieran tomar. Eso no quiere decir que Signal no sea confiable. En repetidas ocasiones ha resistido el escrutinio, las auditorías, las fugas de datos y ha demostrado ser un mensajero confiable y seguro. Pero debido a sus limitaciones, no es adecuado para todos. Otros pueden optar por utilizar algo como Wire o Wickr porque no dependen de los números de teléfono. Tu modelo de amenaza específico determina lo que es adecuado para ti, y elegir un servicio en lugar de otro no significa necesariamente que no confíes en él.

Sin embargo, al final del día, debes confiar en algo. El objetivo de este sitio no es quitar la confianza. Eso es imposible. El objetivo es enseñarte cómo evaluar las cosas por ti mismo y decidir el nivel correcto de confianza. Si tu objetivo es simplemente comunicarte de forma segura (y económica) con familiares en otro país, Signal es excelente. Incluso algo como WhatsApp o Telegram es técnicamente aceptable. Pero si eres un periodista y tu objetivo es proteger a un denunciante que está revelando información ultrasecreta, entonces necesitas un estándar de confianza más alto.

Puede encontrar más servicios y programas recomendados en TheNewOil.org. También puedes recibir actualizaciones diarias de noticias sobre privacidad en @thenewoil@freeradical.zone o apoyar mi trabajo de diversas maneras aquí. Puedes apoyar estas traducciones con Monero.