Hace 3 años | Por rameerez
Publicado hace 3 años por rameerez

Soy Javier Ramírez, experto en privacidad y seguridad informática. Creador de Guard (useguard.com), una inteligencia artificial que lee y analiza políticas de privacidad por ti y detecta los riesgos de privacidad en ellas. Llevo los últimos 5 años creando y vendiendo software, tanto como cofounder en startups, como freelancer, como de manera independiente.

Jueves, 18 de junio, a partir de las 17:30.

Comentarios

protogenes

#61 ¡Muchas gracias por tus respuestas! Coincido con las tres, (con la B ya es depende del uso de productos, de la familia, etc.)

rameerez

#6 Una de las cosas que más me fascina ver es gente que apunta contraseñas de sus servicios en texto plano, esto es: abren un archivo de Word, o una nota de la típica app de notas, y apuntan ahí contraseñas. Creo que un buen gestor de contraseñas es básico, incluso usar contraseñas generadas que ni tú mismo sepas (otra cosa que me fascina es la gente que usa la misma contraseña para absolutamente todo).

Luego cosas como nunca usar WiFis abiertas… sé que hay momentos tipo aeropuertos o cafés en los que tienes que sacar el portátil para trabajar y “no te queda otra” pero ahí casi siempre merece más la pena montarte un punto de acceso con tu móvil y tirar de datos. Rápido, en 30 segundos tienes internet y te quitas de un montón de riesgos de a saber lo que tienen montado en el WiFi de turno. Tampoco entiendo bien la gente que da sus datos de gratis a este tipo de WiFis, en plan “¡Danos tu email, fecha de nacimiento, cuenta de Facebook, Twitter y Google y quizá hasta te dejemos usar nuestro WiFi durante 30 minutos!”. Es que, incluso aunque estés dispuesto a dar todo eso, no creo que ni la transacción merezca la pena. Si no te queda otra, siempre intentar dar datos falsos o cuentas de email “throwaway”.

En esta misma línea, también es muy de tirarse de los pelos ver a alguien dar sus datos personales sin ningún tipo de reparo, a cualquier web que se lo pida: desde ecommerces a blogs a cualquier página de dudosa reputación.

Y por último, para no extenderme mucho, porque el comentario podría ser infinito y seguro que me dejo cosas importantes fuera, ser muy conscientes de lo que usamos y lo que publicamos. “La nube”, “los servicios” son solo sinónimos para decir “el ordenador de otra persona”. Publicar una foto en Instagram es el equivalente digital de coger una foto, imprimirla / fotocopiarla y enviársela por correo postal a Mark Zuckerberg. Una vez en su poder, él puede hacer las copias que le dé la gana o publicarla en (casi) cualquier sitio. Una vez enviado pierdes el control sobre lo que publicas, por mucho que la interfaz ofrezca un botón de “borrar”, nadie garantiza que esos datos son realmente borrados y no ocultados, o que han sido eliminados de todas las copias de seguridad / copias distribuidas, o que no han sido vendidos ya (agregados o en bruto). Y esto no solo aplica a fotos y cosas así “públicas”, aplica a cualquier servicio que te ofrezca algo privado “en la nube”: usar Spreadsheets (el “Excel” de Google) significa que Google tiene copia de todos esos datos, por muy privado que parezca el dashboard. No digo que sea bueno o malo, o que debamos evitar unos servicios u otros, solo que deberíamos ser muy conscientes de cada vez que le damos al botón de “upload” o “new”, porque es a partir de ahí donde realmente perdemos el control.

shem

Buenas Javier ¿Cuál es el nombre de tu primera mascota?

lecheygalletas

#30 Buenas Javier ¿Cuál es el nombre de la ciudad en la que naciste?

rameerez

#37 Si pones tu contraseña en un comentario de Menéame, el sistema automáticamente la detecta y la convierte en asteriscos. ¡Es fantástico, probadlo! Mirad: mi contraseña es ****************


(No, no hagáis esto, esto es una broma, ya he visto en otros foros gente que no entendía que esto era una broma y lo hacía así que me parece imporante romper la magia de la broma poniendo este aviso para futuros navegantes)

lecheygalletas

#58 buenas Javier, ¿cuál es el apodo de tu infancia?

disconubes

Directo y al grano, no como las políticas de privacidad: ¿la tortilla con cebolla, no?
Gracias por venir por aquí 😉

Cart

Si tan experto en seguridad informática eres, ¿Como explicas tener tu contraseña en un post-it en la pantalla y que además sea '1234qwerty'?

rameerez

#5 Vaya, así que eres tú el que ha entrado en mi email y se ha puesto a enviar correos spam.

Lok0Yo

Hola.

Si tuvieras que recomendar medidas de seguridad para las personas de a pie con varios niveles cual seria siguiento estos criterios.

1- Pocos conocimientos, poca inversion
2-Gastos medio , poco conocimiento
3- Conocimientos medios y gastos medios
4- Disponibilidad d etiempo conocimientos y dinero

Siempre antendiendo a mejor relacion calidad precios.

no se si esto preguntando una chorrada, pero siempre que me quiero lanzar me da pereza y no se por donde empezar.

rameerez

#39 Sí, ambas. Como digo en #53, siempre hay un tradeoff entre comodidad y privacidad. En #51 detallo los niveles de "paranoia" que creo que existen. Yo personalmente soy de la opinión de que es difícil "salirse del sistema" completamente, y que hacerlo tiene más desventajas que ventajas: y personalmente necesito estar conectado con un montón de personas que solo usan WhatsApp así que es algo que no puedo eliminar completamente de mi vida. Lo que sí que intento es reducir superficie de ataque y minimizar riesgo. Apenas uso WhatsApp (para que te hagas una idea, tengo conversaciones sin leer desde hace meses), el 95% de mis comunicaciones con amigos, familia y grupos son vía Telegram. Uso un navegador concreto solo para navegar por redes sociales / usar servicios de Google, etc. No es un sistema perfecto pero dentro de esa escala de grises que comentaba en #53 que es la privacidad yo he encontrado mi balance personal vida/privacidad en este punto.

u

#51 Estoy a medias entre la 8 y la 9: no tengo smartphone, mi correo está en un servidor que yo administro,no usos sistemas operativos privativos ¿debo alegrarme o tal vez ya es momento visitar al psiquiatra? lol

d

Hola, pues yo tengo dos preguntas, la primera es ¿Que libros, cursos etc recomendarias para formarse en ciberseguridad o crees que es mejor formarse practicando?.

La segunda es una duda un tanto profesional: el tema es para hacer un sistema de login seguro de verdad, yo tengo hecho para una aplicación, algo con cierta seguridad pero basico, más que nada porque estoy haciendolo sin servidor que guarda en github y no es un programa que guarde información sensible, así que tengo una clave en un archivo de credenciales cifrada con sha256 y al introducirse esta se envia también cifrada y se guarda en github, el problema es que como hay un apartado de recordar contraseña, en local tengo que guardarla sin cifrar, esto me genera muchas dudas respecto a que nivel de seguridad o privacidad, se consideraría que tiene la aplicación si nulo al tener que guardar localmente la contraseña sin cifrar o con buena seguridad al ser una contraseña que solo puede ser leida localmente y no por usuarios externos.

Así mismo, ¿como se debería hacer bien un login que tuviera para recordar los datos?, ¿hay alguna forma más segura de hacerlo? supongo que si con tokens etc, pero son suposiciones y me gustaría saber como se suele hacer esto

a

#11 perdona que me meta... seguro que #0 te puede contestar mejor a la segunda cuestión pero es que me ha llamado la atención. Si por la opción de recordar los datos te refieres a esos checis de "recordarme en este equipo" y similares, que sepas que normalmente lo que se hace en ese caso no es guardar los datos de inicio de sesión en local, si no, en el lado del servidor, crear una sesión sin caducidad para ese equipo (que identificarás por cookies o lo que sea) pero no guardas los datos de inicio de sesión, simplemente marcas esa sesión como que no tiene caducidad ( o que tenga caducidad de 30 días por ejemplo)

Si por recordar datos te refieres a que el navegador recuerde y autocomplete los datos de login sin tener que escribirlos cada vez, para eso ya puedes delegar directamente en el navegador que lo gestiona internamente.

Y si no te referías a ninguna de las dos opciones y este comentario no te ha servido para nada pues....lo siento, me he equivocado, no volverá a ocurrir.

d

#28 Hola, se trata del primer caso es decir tipica ventana para introducir usuario y contraseña y un check de recordar contraseña, la verdad que me has ayudado bastante, como suponia lo mejor es algún tipo de token, o como tu dices unas cookies para que el servidor identifique al usuario, lo que ocurre es que supongo, que con esa configuración lo que pasaría es que el usuario se autologuearia.

Mi intención de primeras era tener como muchos juegos y otros programas que te aparece ya el usuario y la contraseña escrita y tienes que pulsar login.
https://i.ibb.co/C1Mjy4Y/Sin-t-tulo.jpg

y es por eso que estaba pensando en guardar la contraseña en algún lado, aunque también es cierto que se podría poner en el campo contraseña cualquier cosa y usar la cookie, pero quería saber que se solia hacer o si simplemente, ya el sistema que estoy usando se considera caduco y los juegos lo usan simplemente por tener código legado.

KillingInTheName

#11 ¿Y por qué tienes un apartado de recordar contraseña en lugar de generar una clave nueva al usuario que olvide la suya? Guardar las contraseñas en claro siempre es un riesgo de seguridad elevado, que la mayoría de las veces no vale la pena correr.

d

#31 Hola, el motivo que tenga un recordar contraseña, es porque no es una aplicación para "uso diario" es una aplicación para planificar partidas de rol, y prepararlas, si no tienes partida en meses como puede pasarle a varias personas por ocupaciones o x, es muy probable que no recuerden bien la contraseña y no quiero estar haciendoles constantemente cambiar de contraseña porque no se acuerden si no quieren usar la "de siempre", era como lo tenia enfocado aunque también me plantee lo que dices, solo que considero que pueden entonces llegar a ver la aplicación como una molestia más que una ayuda

DaniTC

Buenos días! Yo tengo una pregunta: si pides la eliminación de tu cuenta en un foro de Internet, ¿Se deberían borrar también los mensajes de dicho usuario? Gracias

Fernando_x

#4 Se puede hacer. Hubo un foro en el que pedí que se borrara todo mi contenido y lo hicieron. Y en reddit existe un script que permite, no borrar, pero si sobreescribir todos tus comentarios con nada o con un mensaje de despedida como paso previo a darte de baja. En reddit no hay plazo límite para modificar tus comentarios.

DaniTC

#15 la pregunta no es si se puede. Es más bien a si tienes derecho a pedirlo.

Dikastis

#16 Imagino que dependerá de las condiciones que hayas aceptado al registrarse en dicho foro ya que no creo que haya legislación específica para ello, así que en cada casa sus normas...

Por supuesto, nada te impide pedirlo y, en caso de que te lo denieguen, denunciarlo a instancias superiores, los cuales estimarán si entra dentro del derecho o se vulnera alguna ley....

DaniTC

#19 Las normas del foro dan igual. La duda, como he dicho, es si el usuario tendría derecho a solicitarlo y el foro la obligación de hacerlo para cumplir con la ley.

D

#20 Mientras se respete los datos personales, es el usuario quien aporta al sitio web. Salvo que hayan datos que justifiquen su borrado, esos datos anominizados son del foro.
Cuando vendes en Amazon y das de alta un producto nuevo, el listing del artículo pasa a ser de amazon, a pesar que pierdas tu tiempo dándolo de alta e incorporando una descripción y contenido multimedia. Y de poco sirve darse de baja que el artículo no se borra.

Fernando_x

#16 en mi caso, ese foro (creo que era de algo de narrativa fanfic) lo que hice fue recurrir a nombrarles la ley de protección de datos. Y me borraron todos mis post y comentarios.

p

#4 Me uno a la pregunta. Hace años que tengo esa duda. Hay legislación de "Derecho al olvido", pero desconozco como se aplica en foros/comentarios o si es solo para buscadores, si solo aplica cuando te vincula de una manera directa... https://es.wikipedia.org/wiki/Derecho_al_olvido

D

Hola! Suelo navegar con el vpn Private Internet Access. Que opinión te merece? Otra cosa. Qué te parece más privado? Un vpn con una buena configuración de cifrado o usar Tor ? Imagino que me dirás qué depende de donde esté el servidor vpn o la sede de la empresa.... En fin no tengo mucha idea. Gracias.

D

#46 muchas gracias por tu tiempo

angelitoMagno

Hola, en la cuenta de una asociación sin ánimo de lucro estamos recibiendo por Paypal donaciones de menos de 5 céntimos. Personas distintas, nombres nacionales y extranjeros, algunos repetidos, no contestan a los emails. Es muy raro y sólo viene pasando desde hace unas semanas. La cuenta y la tarjeta están en varias páginas de internet desde hace años, es accesible a cualquiera (vivimos de las donaciones). ¿Algún consejo sobre estos temas?

Gracias, un saludo

noop

#17 siguen algún patrón? A lo mejor es alguien que usa vuestra cuenta para probar su sistema de transferencias. Os pusisteis en contacto con PayPal? Las demás transferencias siguen llegando como de costumbre?

angelitoMagno

#34 Ningún patrón ni de días ni de horas, unos por 1 céntimo, otros por 3, otros por 40. El resto llegan bien, no nos han hecho ninguna reclamación ni se han puesto en contacto con nosotros. Paypal dice que son transferencias correctas y no puede hacer nada ni darnos más datos

(Te comento que esto no me está pasando a mi, sino a una amiga que no tiene cuenta en Menéame y me ha pedido que pregunte por ella)

rameerez

#17 ¿Dejan algún comentario en las donaciones? ¿Los emails son de un proveedor de emails "genérico" (tipo Gmail) o de algún dominio peculiar?

angelitoMagno

#52 No dejan comentarios, siempre correos de gmail y hotmail). Y es una transferencia "para amigos y familiares" (lo sé porque en estas no hay comisión de Paypal). Te paso una imagen de uno de esos movimientos por si ves algo. Dos detalles que se repiten, los únicos: pago mediante móvil (en otros sin comisión aparece Tipo de pago: Pago personal pero no creo que sea indicador de nada, no?) y abajo del todo aparece Personalizar y un número que en el resto de pagos no veo (no sé qué es). Muchas gracias :)

rameerez

#56 Pues la verdad es que me suena haber leído sobre un caso parecido por alguna parte pero ahora no lo encuentro y no recuerdo dónde lo vi... si me acuerdo o me lo reencuentro vuelvo por aquí para publicarlo!

angelitoMagno

#64 Gracias!

noop

#56 que interesante... Y bueno... Me parece una put....

No hagas caso a lo que digo... Pero a mí me parece que usan vuestra cuenta para verificar que funciona algo. Y me da que ese código identifica algo del que envía el dinero. Y suena turbio.

No me extraña que estéis preocupados.

Si PayPal permite la devolución de forma gratuita, yo lo devolvería, para dejar claro que no se tiene relación con esa transferencia.

Valorad en añadir otra dirección de correo a esa cuenta de PayPal e ir dejando de usar el viejo poco a poco.

Stash

Me gustaría conocer tu opinión al respecto de la noticia en que un reconocido restaurante de Madrid va a exigir pruebas de Covid previo al acceso a su restaurante y que además las ofrece un situ.
Fernando Simón, atónito ante una pregunta: "No me parece ni lógico ni sensato"

Hace 3 años | Por --85940-- a huffingtonpost.es

W

Dónde estan las condiciones de uso de Guard?

a

#23 desde luego que es curioso, ni un check de aceptación de condiciones para suscribirse a la newsletter tienen

p

#23 https://useguard.com/blog/privacy-policy/

Ehhh, todo correcto.

- If you play our experiment located at https://privacyreader.useguard.com/play, we anonymously collect the result each pair match. We do not collect or store any data that will link this data to your identity. Optionally, we ask for you to provide some demographics and personal data, and this is stored independently from the rest of the data we collect, and it’s used only to ensure we’re ethically training the AI by not having any significant bias in the data we feed it.

- Right now we’re using the infamous Google Analytics to measure the health of our website.

Además del uso de fuentes localizadas en servidores de Google.

rameerez

#43 Pero no lo cortes en lo interesante, hombre:

Right now we’re using the infamous Google Analytics to measure the health of our website. (...) Not having any analytics would make us blind. Google Analytics’ privacy policy applies. If you have any tracker blocker, such as UBlock Origin, you should be good and no data will be collected. We don’t send any kind of personally-identifiable event, though. We know GA is not the best option to track web usage, but it’s the only one that’s free and easy enough to use we’ve found so far. If you know of any better service we might use, please reach us at (...)

p

#55 No me parece justificado el uso de GA, que es muy cómodo, muy bonito, gratuito, con muchísima información... si, pero es lo opuesto a la privacidad y en una web enfocada a la privacidad me parece como defender la paz siendo fabricantes de armas bélicas. Excusarse en que pueblo bloquearlo tampoco me vale, también puedo bloquear el tracking de Google y muchos servicios con prácticas poco éticas.
Tienes herramientas como Awstats que toma las métricas del log del servidor y es infinitamente más respetuoso con la privacidad del usuario y si quieres saber algo más tienes Open Web Analytics o Matomo entre otros.

Y las tipografías de Google también las podéis almacenar vosotros mismos y no exponer a los usuarios al tracking de las fuentes de Google.

Hil014

Me gustaria que contaras un poco como fue y como se solucionó (si se hizo) el tema de las escuchas en la aplicación de la FIFA para detectar bares que no pagaban la subscripción especial.

Saludos!!

h3ndrix

#2 querrás decir la App de LaLiga.

rameerez

#2 La verdad es que no me gusta nada (pero nada de nada) el fútbol y aunque he escuchado de refilón el tema no conozco los detalles del caso. Con decirte que hasta hace bien poquito creía que Casillas seguía en el Madrid…

S

Hola buenas, gracias por ofrecerte a responder. Mi pregunta es simple: Con la tecnología actual y los recursos de los grandes actores ¿crees que la lucha por la privacidad está perdida?

El cifrado del email (p.e. gpg) se perdió. La lucha por ocultar los metadatos en las comunicaciones entre personas es algo casi inexistente a nivel práctico. Los sistemas federados son casi anecdóticos y se pasa a sistemas propietarios, casi todos bajo un mismo gobierno (EE.UU). La batalla del cifrado DNS se está perdiendo a favor de darle los datos a grandes proveedores. El reconocimiento facial es una realidad.

Quizás es que veo el vaso medio vacío, pero es que en temas de seguridad me marcó mucho una charla sobre "Security Theatre": https://archive.fosdem.org/2018/schedule/event/security_theatre/

D

#12 gpg no esta perdido. Tampoco tox.

b

¿Cuáles son los datos más sensibles que una página web puede recoger vía Javascript (o como sea) solo por el hecho de entrar? ¿Qué extensión recomiendas para evitar que se recolecten estos datos en el navegador?

p

#9 Te puedes aburrir de instalar extensiones para evitarlo, tengo casi 20 extensiones por algún tema de privacidad. La paradoja es que esas extensiones ponen más en peligro la privacidad y seguridad

rameerez

#41 Muchas hacen prácticamente lo mismo y seguramente tengas un overlap tremendo entre todas ellas. Sobre que las hay que ponen más en peligro de lo que te solucionan: las hay, pero no creo que las más conocidas lo sean. Por ejemplo, "uBlock", que muy astutamente se han puesto prácticamente el mismo nombre que "uBlock Origin", es algo completamente no relacionado con ellos, algo a evitar y algo que de hecho la mayoría de blockers bloquean. Creo que con el pack básico de Firefox + uBlock Origin + Privacy Badger + uMatrix cubres el 90% del espectro y te evitas tener 20 instaladas.

p

#50 Te listo las que tengo relacionadas con la privacidad

- AudioContext Fingerprint Defender
- Browser Plugs Fingerprint Privacy Firewall
- Canvas Fingerprint Defender
- ClearURLs
- Cookie AutoDelete
- CSS Exfil Protection
- Decentraleyes
- Don't track me Google
- Don't touch my tabs! (rel=noopener)
- Font Fingerprint Defender
- HTTPS Everywhere
- Random User-Agent
- Redirect AMP to HTML
- Toggle Referrer
- uBlock origin
- uMatrix
- WebGL Fingerprint Defender

Se que algunas extensiones podría quitarlas y configurarlas a mano en el about:config o incluso con otras extensiones, pero tenerlas así me facilita poder desactivarlas en un momento dado sin volverme loco. A mi no me sobra ninguna.

rameerez

#9 Por ponernos catastrofistas: por poder, se puede recoger todo. Desde lo que estás viendo exactamente hasta inferir a qué parte concreta de la pantalla están mirando tus ojos (parece que el movimiento del ratón correlaciona con el movimiento de los ojos)... hasta registrar prácticamente cada pulsación de una tecla que hagas (desde contraseñas a notas personales, mensajes privados...), tipo Grammarly (aunque esto es una extensión y tiene otros matices). Esencialmente, cuando visitas una página es como si estuvieras entrando en una que no es de tu propiedad, y que tiene cámaras en cada esquina. Esta es la versión catastrofista. Lo más típico, sin embargo es que se registren cosas menos perniciosas: qué páginas visitas, con qué frecuencia, etc.

La solución más radical es bloquear por completo la ejecución de Javascript en todo el navegador. Esto no elimina por completo todos los problemas (el servidor puede seguir trackeando las páginas que sirve, e incluso hay maneras de trackear cargando imágenes en HTML o incluso CSS), pero la mayoría de trackers comerciales se caerían. Por contrapartida, la mitad de internet dejaría de funcionarte bien

Esto es una medida quizá desproporcionada. Lo que se suele usar a nivel de usuario son extensiones tipo uBlock Origin, Privacy Badger, o incluso uMatrix para usuarios un poquito más avanzados. También recomiendo usar un navegador que respete la privacidad por defecto, tipo Firefox. Creo que esto debería ser suficiente para la mayoría de usuarios.

D

¿Usas WhatsApp? ¿Tienes cuenta de Google?

D

Gracias por venir. Un par de preguntas:
- ¿ En qué rangos de salarios se mueve un profesional de seguridad informática, si es que lo sabes ?
- ¿ Existen herramientas de inteligencia artificial que ayuden en la seguridad informática o es más una cosa de futuro ?

Kircheis

Buenas tardes. Cuando intento convencer a amigos y familiares para que cambien el uso de unos servicios por otros menos invasivos con su privacidad me suelen comentar que lo que más les importa es la funcionalidad y la facilidad de uso, y por eso prefieren seguir usando lo que ya usaban. ¿Qué argumentos podría darles para que cambiasen su opinión?

Por otra parte, ¿el método para frenar la difusión del coronavirus descrito en la imagen podría realmente funcionar sin afectar a la privacidad?

¡Gracias!

rameerez

#18 Siempre hay un balance entre comodidad y privacidad y es muy difícil, por no decir imposible, alcanzar un nivel muy grande de privacidad con soluciones que sean cómodas para el usuario. Siempre va a ocurrir que tengas pasos extra, que tengas que sacrificar funcionalidad, que tal o cual cosa vaya más lenta, etc.

Este tradeoff es un problema enorme y la realidad es que la mayoría de los usuarios están dispuestos a dar muy poco a cambio de tener más privacidad.

Creo que hay poco que puedas hacer sin ser el típico amigo brasas que te intenta convencer sobre la causa de turno (yo lo soy, y es un suplicio para mis amigos, pero poco a poco vamos migrando grupos de amigos de Whatsapp a Telegram... pequeñas batallas ganadas). Como en otros movimientos (como la lucha contra el plástico), creo que va a ser algo que llevará mucho tiempo y esfuerzo hasta que cale en la opinión general. La parte positiva es que poco a poco parece que el interés sobre la privacidad empieza a crecer (ya es uno de las grandes razones por las que los usuarios deciden entre servicios en internet), muchos usuarios usan blockers (que es de lo que menos esfuerzo y sacrificio requiere para el beneficio que te da) y cada poco salta alguna noticia que hace ganar más adeptos.

Como argumentos a decir, quizá poner de manifiesto cosas que los servicios que usamos a diario dicen que hacen. Leerse las propias políticas de privacidad es una aventura en sí mismo y te puedes encontrar con perlitas que decirles, en plan: "¿sabías que Tinder potencialmente puede compartir tus matches y conversaciones, así que nada de lo que digas dentro de la app es privado?".
También dejarles claro que esto de la privacidad no es un blanco o negro, sino una escala enorme de grises. No hay que hacerse privado de entrada, no hay que implementar toda medida posible de primeras. Tampoco hay que borrarse Instagram de entrada. Es todo una cuestión de dar un primer pasito y empezar a cogerle el gustillo al sentimiento de no sentirse observado. Migrar de Chrome a Firefox puede ser un buen primer paso, y te puede servir para al menos hacerte consciente de tu identidad digital y el rastro que vas dejando por el mundo. Pero eso, es una escala de grises amplísima y encontrar el punto de esa escala en el que te sientes cómodo es todo un viaje. Creo que encontrar el paso inicial de mínima fricción es importante para ayudar a una persona a ser más privada.

Sobre el método del coronavirus: no parece mal approach si no existe una entidad central o mecanismo que pueda relacionar cada mensaje emitido con cada usuario concreto, desvelando así la identidad de cada usuario y si está infectado o no.

rameerez

(duplicado, perdón)

D

¿Cuál es más seguro Windows 10 o Fedora?

D

¿Que opinas sobre el hardware libre y su fomento a la seguridad al incorporar drivers libres?

Paltus

Buenas, muchas gracias por tu tiempo. ¿Como acercarías o que recursos conoces para introducir a chavales de secundaria en el importante mundo de la privacidad?

rameerez

#21 Creo que la wiki del subreddit de Privacy (https://www.reddit.com/r/privacy/wiki/index) es un muy buen punto de partida al mundo de la privacidad que además tiene una intro con preguntas y respuestas bastante amenas que te pueden servir para despertar el interés de chavales de secundaria.

Si fuera yo (y siempre con las restricciones de tiempo, ganas y conocimientos, claro), quizá haría en clase una "demo" en vivo de cómo se puede descubrir qué está viendo una persona en su móvil y vulnerar completamente su privacidad. Se me ocurre algo como montar un punto de acceso wifi en clase con un router, dejar que algunos chavales se conecten con el móvil a ese WiFi y pedirles que naveguen – y tú desde un portátil conectado a la misma red, con alguna distro tipo Kali, hacer algún ataque MITM, inspeccionar paquetes con Wireshark, descubrir qué están visitando, potencialmente descubrir alguna contraseña si alguna web la envía en plano o si consigues hacer SSL stripping, etc. Sé que es complejo pero si tienes los conocimientos y el tiempo puede ser una demo muy vistosa para que entiendan que cualquier persona con un portátil conectada al mismo WiFi que ellos les potencialmente puede comprometer sus conversaciones privadas o sus sesiones de stalkear a un crush.

Paltus

#54 Muchisimas gracias! Se podría planificar con el departamento de informática, que seguro que hay gente que tiene algo más de experiencia, aunque ciertamente puede ser un proyecto de investigación y aprendizaje muy interesante.

W

Hola Javier,

Aceptarías una pregunta sobre telefonía móbil?

Recientemente me encontré con este enlace (https://blog.torproject.org/mission-impossible-hardening-android-security-and-privacy) donde habla de la falta total de control (privacidad) en telefonía movil.

Parece que el problema viene realmente de abajo (hardware, firmware, protocolos de comumicación movil, etc...) https://www.osnews.com/story/27416/the-second-operating-system-hiding-in-every-mobile-phone/ .
He visto tu pagina de Guard y veo que te has centrado en la parte legal, pero todos sabemos que el estar protegido legalmente no es suficiente en términos de privacidad (el que sea ilegal -o alegal- recolectar datos no impide que se haga y por lo tanto incluso se corra el riesgo de perder el control sobre los mismos, con la posible consecuencia de que se hagan públicos, etc...

Puesto el contexto, como ves la idea de poder llevar en el bolsillo algún dia un teléfono móbil con el que poder conectarnos a las redes de voz y datos estando relativamente seguros de que no funcionará como un dispositivo de vigilancia? o al menos, de que la vigilancia quede limitada al mínimo (por ejemplo a la identificación mediante la SIM, la localización mediante triangulación de las torres de conexión y el uso de la red), permitiendo al usuario configurar el dispositivo con garantías?

suaisi

Hola Javier

Me interesa bastante el tema de la seguridad y entrar en él y me gustaría tener la opinión de alguien que ya esté dentro.

He estado mirando tu perfil y veo que tienes bastantes referencias sobre emprendimiento y formación a nivel de bootcamp, pero no veo que tengas demasiada experiencia ciberseguridad. También he mirado https://rameerez.com, pero tampoco saco en claro gran cosa.

- ¿Con qué experiencia y formación cuentas como para avalar ser experto en seguridad? No quiero ofender, pero ya me he cruzado con demasiada gente que dicen ser algo que luego resultan no ser.

- En cualquier caso, para entrar en el mundo de la seguridad a nivel laboral ¿Qué formación recomiendas? ¿Qué tipo de empresas crees que son las más interesantes?

- Con relación a privacidad ¿qué opinión te merece la ISO 27701?

- Y enlazando con lo anterior, he visto los requisitos para ser auditor acreditado de 27001 y 27701 ¿crees que como salida laboral es interesante?
Gracias

suaisi

#38 Holarameerezrameerez ,

entiendo que el hecho de que alguien pueda poner en duda tu perfil puede resultar incómodo, pero afrontar estas cosas con tranquilidad y poner los argumentos encima de la mesa es muestra de profesionalidad. Todos sabemos que hay gente que responde a determinados perfiles y el tuyo en principio para el del "emprendedor" que tanto se ha comentado en meneame, pero me parece que lo justo es darte la oportunidad de demostrarnos que mis dudas son infundadas.