Seguridad de la información para gente normal. | https://www.TheNewOil.org | https://thenewoil.org/blog-index.html

¿Qué Tanto Importa el País Donde un Servicio Tiene su Sede?

En mi sitio web, enumero el país en el que se encuentra un servicio como un punto a favor o en contra de ellos. Como una especie de explicación, también incluyo un enlace a la página de Wikipedia sobre la comunidad de inteligencia Five Eyes. Del mismo modo, a menudo verás personas en la comunidad de privacidad haciendo preguntas o debatiendo sobre la ubicación de una empresa y por qué se relaciona con la privacidad de un producto específico. Así que esta semana pregunto: ¿realmente importa?

¿Qué es “Five Eyes”?

Si no hiciste clic en el enlace anterior, o simplemente no lo entendiste, “Five Eyes” se refieren a un acuerdo de inteligencia entre los EE. UU., el Reino Unido, Australia, Canadá y Nueva Zelanda. Originalmente nació de la guerra fría como una forma para que los países democráticos vigilaran la expansión del comunismo, pero el acuerdo sigue vivo hasta el día de hoy. La premisa básica de Five Eyes es que esos cinco países comparten inteligencia entre sí generosamente. El acuerdo está dirigido principalmente a la “inteligencia de señales”, lo que significa básicamente cualquier forma de comunicación electrónica o telefónica, pero es sabido que también comparten otra inteligencia.

El problema que se relaciona con la privacidad es lo que Edward Snowden reveló sobre el acuerdo Five Eyes en 2013, que básicamente se reduce a que “los países Five Eyes se espían entre sí y luego comparten esa información entre ellos mismos como una forma de eludir las leyes de cada país”. En los EE. UU., las agencias de inteligencia de los EE. UU. no deben espiar a los ciudadanos estadounidenses sin una razón. Lo mismo en el Reino Unido. Pero EE. UU. es totalmente libre de espiar a los ciudadanos del Reino Unido y luego compartir esos datos con el Reino Unido, y viceversa. Esa es una versión simplificada de cómo funciona.

También hay otros “Ojos”, como “Nueve Ojos” y “Catorce Ojos”, así como “Ojos” específicos dirigidos a ciertos países (por ejemplo, “Cinco ojos más tres contra Corea del Norte”). Todo esto realmente significa cuántos países están involucrados. Por lo general, cuanto más amplios son los ojos, menos completo es el intercambio de datos. Entonces, los Cinco Ojos son los países más invasivos y los que comparten más abiertamente, mientras que los Catorce ojos son menos invasivos y comparten menos (pero siguen siendo invasivos).

¿Cómo se Relaciona Esto con la Privacidad y los Servicios?

El país de origen determina las leyes y prácticas a las que está sujeta una empresa. Una empresa con sede en los Estados Unidos estará sujeta a las leyes estadounidenses: impuestos, derechos de los trabajadores e incluso vigilancia. Una empresa con sede en EE. UU. quedará atrapada en el control de Five Eyes, y una empresa estadounidense tendrá que entregar todos los datos solicitados por una orden judicial de una agencia de aplicación de la ley de EE. UU., como el FBI. Por ejemplo: ejecuto un servidor Nextcloud en mi casa, es pequeño y es solo para amigos y familiares. Si la policía de mi ciudad, condado o estado o el FBI llamaran a mi puerta con una orden judicial y dijeran “necesitamos que clones los datos de tu madre y nos des una copia”, legalmente me vería obligado a cumplir. Pero si me mudo a Canadá, la situación cambia. Mi madre, que aún vive en los EE. UU., está bajo investigación. Si se trata de una investigación local, la policía no se va a molestar con la burocracia internacional de pedirme que entregue sus datos. Pueden preguntar, pero dado que cruza las fronteras internacionales y sus recursos son limitados, probablemente no se molestarán en convertirlo en una solicitud oficial y legalmente vinculante (a menos que sospechen que los datos que poseo son clave para su caso). Incluso el FBI encontrará algunos obstáculos más en el proceso. No muchos. Tienen los recursos y Canadá es un país amigo de los EE. UU., por lo que probablemente obtengan la aprobación. Pero no es tan fácil como lo era antes cuando vivía en los Estados Unidos.

Como tal, muchas personas en la comunidad de privacidad prefieren elegir servicios administrados por compañías que tienen su sede fuera de las diversas comunidades de Eyes. Cuanto más afuera, mejor. Una empresa en Alemania es superior a una empresa en Estados Unidos porque Alemania es parte de los Catorce Ojos, que es mejor que los Cinco Ojos. Pero una empresa con sede en Suiza o Finlandia es aún mejor porque esas empresas no forman parte de ningún Eyes. Los obstáculos necesarios para obtener los datos, tanto desde una perspectiva legal como de vigilancia, son mucho más altos.

¿Es Esto Realmente Efectivo?

La respuesta corta, en mi opinión, es no. Estas cosas realmente no importan. Como saben mis lectores de toda la vida, no animo a infringir la ley. Idealmente, no debería estar haciendo nada que lo ponga en el radar de las fuerzas del orden en primer lugar (volveré a eso en un momento). Pero primero hablemos de la vigilancia: los Cinco Ojos están espiando a TODOS. La idea de que tus datos están mágicamente seguros porque el servidor está en Finlandia es tan ridículo como decir que estoy mágicamente seguro porque me pongo el cinturón de seguridad cuando conduzco. Obviamente lo hago, los cinturones de seguridad aumentan dramáticamente mis probabilidades de supervivencia en una colisión de tráfico, pero los cinturones de seguridad no hacen nada para evitar que alguien golpee mi auto. Del mismo modo, poner mis datos en Suiza ayuda, pero no es una varita mágica.

Antes de continuar, necesito explicar cómo funciona Internet a nivel mundial. En la parte superior de la cadena alimenticia de la red se encuentran las “redes de nivel 1”, que son básicamente los proveedores de servicios de Internet de los proveedores de servicios de Internet que usted y yo conocemos y usamos, como Comcast o Time Warner. Según Wikipedia, la mayoría de las redes de nivel 1 tienen su sede en países occidentales como Francia, Alemania, el Reino Unido y los EE. UU. Un par están en lugares como India y Hong Kong. Si recuerdas la lista de ojos de antes, esto significa que prácticamente todos los proveedores de nivel 1 tienen su sede en un país de ojos, más de la mitad de ellos solo en Five Eyes. Elegir un país que esté fuera de la jurisdicción de Eyes hace que la vigilancia sea un poco más difícil, pero teniendo en cuenta que, literalmente, todo el tráfico de la red debe enrutarse a través de una red de nivel 1 y el 88 % de ellos pertenecen a Eyes, también hace que la vigilancia sea relativamente trivial. Los Ojos son los dueños de internet. Sin mencionar que no hay absolutamente nada que impida que los actores estatales establezcan corporaciones ficticias totalmente legales en países extranjeros que no pertenecen a los Ojos y luego las usen para espiar a los locales.

Entonces, ¿significa eso que no debería importarte en absoluto? Por supuesto que no. Como dije, elegir un país fuera de los Ojos hace que la vigilancia sea un poco más difícil. Si bien el tráfico aún pasa a través de la infraestructura de Eyes y hacia el territorio de Eyes en tu dispositivo, si lo estás haciendo bien, el tráfico está encriptado y los datos en sí quedan fuera de la jurisdicción de Eyes. Eso cuenta para algo. Anteriormente mencioné que no debes quedar atrapado en la mira de la aplicación de la ley, pero todos sabemos que la aplicación de la ley no es perfecta y que se cometen errores. Las personas son atacadas, arrestadas y condenadas injustamente todo el tiempo. Poner tus datos potencialmente incriminatorios fuera del alcance de la ley para que no puedan usarlos en tu contra es una gran consideración.

Sin embargo, debes considerar la ubicación de un servicio como el color de un automóvil: idealmente, te gustaría tener un color, pero ese no debería ser el factor decisivo. Los factores decisivos deberían ser las otras cosas que discuto cuando enumero los servicios en mi sitio: ¿qué tan fuerte es el cifrado? ¿La empresa es transparente? ¿Cómo es la política de privacidad? ¿Qué información registran? ¿Pueden acceder a tus datos? ¿Bajo qué circunstancias entregarán sus registros/datos? Espero que cualquier empresa legítima cumpla con una orden o solicitud legal, pero también me consuela saber que una empresa rechazará una solicitud que considere injusta (Tutanota y ProtonMail tienen un historial documentado de esto, por cierto) . Entonces, en lugar de “¿dónde están ubicados?” debes preguntar “¿qué tipo de solicitudes rechazarán?” ¿Cómo es la reputación de la empresa? Y luego, una vez que se han sopesado todos los factores, es cuando debe pensar en el país de origen. Una de las razones por las que mucha gente prefiere empresas con sede en Alemania y Suiza es que esos países tienen leyes de privacidad superiores a las de EE. UU. (aunque tampoco perfectas). Pero si estás utilizando empresas que son de zero-knowledge, no registran datos (o registran la menor cantidad posible durante el menor tiempo posible) y usan un cifrado fuerte, entonces el país significa casi nada.

Puede encontrar más servicios y programas recomendados en TheNewOil.org. También puedes recibir actualizaciones diarias de noticias sobre privacidad en @thenewoil@freeradical.zone o apoyar mi trabajo de diversas maneras aquí. Puedes apoyar estas traducciones con Monero.