Seguridad de la información para gente normal. | https://www.TheNewOil.org | https://thenewoil.org/blog-index.html

La Búsqueda Autodestructiva de la Perfección

Esta semana interactuando con la comunidad de la privacidad me volvieron a decir una frase que estoy empezando a amar: “no dejes que la perfección sea enemiga de lo suficientemente bueno”. Si recomiendas Signal a alguien por su seguridad, alguien más se quejará de que Signal usa números de teléfono y AWS como columna vertebral. Si recomiendas Session, alguien se quejará de que no está auditado. Si recomiendas Matrix, alguien se quejará de los metadatos recopilados, y si recomienda XMPP, alguien se quejará, bueno, de algo estoy seguro.

Hace aproximadamente un mes, me enfadé con alguien porque intentaron argumentar que MySudo es una “broma”. Estuve de acuerdo con ellos en que MySudo no es de código abierto y no está encriptado de extremo a extremo (a menos que hables con otros usuarios de MySudo) y, por lo tanto, no lo recomendaría para comunicaciones muy sensibles, pero promociono con orgullo la aplicación como un manera de tener números de VoIP y una amplia gama de capacidades (como correo electrónico y SMS) disponibles por un precio bajo. Es excelente para no usar tu número SIM y para compartimentar tu vida. La persona me respondió diciendo que una mejor solución es comprar varios teléfonos en efectivo con varias tarjetas SIM y usarlos según sea necesario. Rápidamente señalé que esta solución es ridícula porque 1) es cara, 2) no es fácil de usar y 3) al encender y apagar los teléfonos según sea necesario, ya estás creando un patrón que se puede rastrear hacia ti.

El hecho es que cualquier cosa se puede piratear o rastrear. Puedes preguntarle a cualquier experto en privacidad y estarán de acuerdo conmigo. Si causas suficientes problemas, alguien con suficientes recursos te encontrará. Es solo cuestión de tiempo. Esta es una de las razones por las que repito una y otra vez en mi web que no estoy tratando de enseñarte cómo hacer cosas ilegales. Eso no es solo un descargo de responsabilidad para cubrir mi trasero, es porque te atraparán. El objetivo de la privacidad y la seguridad, para la persona promedio, es encontrar el equilibrio adecuado entre protección y conveniencia. Mencioné en otra publicación de blog que si tu seguridad es demasiado complicada, no la usarás, por lo que debes encontrar el equilibrio entre soluciones que no son ideales pero que usarás contra ninguna solución o soluciones que son tan complicadas que nunca las usarás, y que por lo tanto desafían el propósito.

Lo que nos devuelve a mi primer párrafo. El hecho es que ninguna solución es ideal. ProtonMail dice explícitamente en su sitio web que si estás filtrando secretos a nivel de Snowden, probablemente no deberías usar el correo electrónico en absoluto (él ciertamente no lo hizo). Si estás planeando una revolución, probablemente no deberías usar Signal, aunque su nivel de seguridad sea el mejor. Deberías reunirte en persona. Cualquiera que diga estar perfectamente seguro o anónimo es un necio y deberías huir de él como si fuera Jason Voorhees. No debes confiar en estos medios electrónicos que algún día se volverán inseguros y, por lo que sabemos, es posible que ya lo sean. La tecnología estatal tiende a estar aproximadamente una década por delante del sector público, por lo que debes asumir que el gobierno puede leer todo lo que haces.

Para la mayoría de nosotros, no es un problema. El gobierno no está interesado en nuestras selfies, juegos de palabras, planes para cenar, pedidos de Starbucks o el hecho de que lleguemos quince minutos tarde. Sin embargo, el hecho de que no podamos tener una comunicación perfecta no significa que debamos deshacernos de esos sistemas. “Signal requiere un número de teléfono, tiene su sede en los EE. UU. y utiliza Amazon como infraestructura”. Todas esas son quejas perfectamente válidas según tu modelo de amenaza y lo que estés comunicando. Cuando mi pareja me da su tarjeta de débito y me pide que recoja su medicamento en la farmacia mientras estoy fuera, prefiero usar Signal antes que un SMS normal para preguntar cuál es el PIN o para verificar que no me falta ningún medicamento. El hecho de que Signal no sea perfecto no significa que no lo use. Desearía que usara algo un poco más descentralizado como Matrix o XMPP, pero no voy a dejar que la perfección sea enemiga de lo suficientemente bueno. Para nosotros, para esa situación, Signal es lo suficientemente bueno.

Por supuesto, no hace falta decir que tampoco debemos dejar que lo suficientemente bueno sea enemigo de lo grandioso. Muchas personas fracasan en sus sueños en la vida, porque dicen “eh, está lo suficientemente bien” sin esforzarse por más. Deberíamos estar agradecidos de tener opciones hiper-seguras como Signal, opciones descentralizadas como XMPP, opciones gratuitas como Matrix u opciones resistentes a metadatos como Session.

Pero no deberíamos detenernos ahí. Deberíamos exigir más. Al igual que con la privacidad y la seguridad en sí. No debemos renunciar a la búsqueda de la perfección porque estos productos son lo suficientemente buenos, pero al mismo tiempo debemos respetar que estos productos nos brindan un gran servicio, a menudo a un costo mínimo o nulo para nosotros, y a menudo con una mano de obra y un costo masivo para los desarrolladores, que pueden ir desde una sola persona en su dormitorio hasta una empresa mediana que lucha por mantener las luces encendidas. También debemos respetar que diferentes empresas fabrican diferentes productos destinados a diferentes personas. Por ejemplo, ProtonMail comenzó con la visión de hacer que el correo electrónico cifrado sea fácilmente accesible para las masas. Admiten que no son perfectos porque la perfección iría en contra de esa misión, es decir, haría que el cifrado no sea fácil de usar y, por lo tanto, no sería fácilmente accesible para las masas. Así como mi propio sitio a menudo opta por no publicar cierta información porque queda fuera de mi público objetivo, muchos servicios populares son populares por una razón: hacen un intercambio entre seguridad y conveniencia. Es mejor brindar a muchas personas un nivel moderado de protección que brindar a algunas personas una protección extrema y alienar a todos los demás. Al menos eso pienso yo.

Quiero terminar diciendo que siempre eres bienvenido a hacer un esfuerzo adicional. Animo a los “normales” a utilizar varios programas y configuraciones para bloquear la telemetría en sus computadoras y darse un poco más de privacidad y seguridad, ya sea en Windows o Mac. Pero no veo eso como una razón por la que no deberían usar Linux. El hecho de que otras personas estén satisfechas con lo “suficientemente bueno” no significa que no puedas hacer un esfuerzo adicional. Y sí, la gente debería tomar esa decisión con educación y conciencia, conociendo los riesgos y beneficios. Pero la respuesta allí, en mi opinión, no es obligar a las personas a usar soluciones difíciles, sino más bien educarlas sobre por qué esas soluciones difíciles son mejores. Obligar a alguien a hacer algo que no quiere por su propio bien solo conducirá a la resistencia y, finalmente, al abandono de las soluciones propuestas, pero la educación conducirá a que se tomen buenas decisiones de buena gana y se implementen. Al menos, ese es mi consejo.

Independientemente, abandona el pensamiento de “lo perfecto es enemigo de lo adecuado” y recuerda que no todo el mundo tiene el mismo modelo de amenaza. Respétense.

Puede encontrar más servicios y programas recomendados en TheNewOil.org. También puedes recibir actualizaciones diarias de noticias sobre privacidad en @thenewoil@freeradical.zone o apoyar mi trabajo de diversas maneras aquí. Puedes apoyar estas traducciones con Monero.