La privacidad y la seguridad son elementos cada vez más esenciales en nuestra experiencia digital. Si ya la actividad delictiva a través de phishing o malware hacían más que recomendable tomar todo tipo de precauciones a la hora de compartir datos y contenidos en Internet, el progresivo incremento de acciones irregulares por parte de empresas y gobiernos lo hacen prácticamente indispensable.
Como usuario activo de la Red me interesan todas y cada una de las noticias que puedan afectar a la Web, en general, y de forma muy particular a los servicios que uso. En algunos casos, las alertas son infundadas y en otras ciertas, pero de todas ellas suelo aprender nuevos códigos y procedimientos que mejoran mi defensa frente a posibles actos no autorizados –o autorizados desde el desconocimiento de lo que se cuece en las ‘letras pequeñas’–.
Hace apenas unos días, el ‘ciberuniverso’ se estremecía tras un tuit de Darrell Whitelaw que mostraba su sorpresa por que Dropbox bloqueaba un archivo que se encontraba en su carpeta personal. El bloqueo se debía a una «infracción de copyright» y la polémica estuvo basada en si el servicio espiaba o no los contenidos subidos por los usuarios.
Rápidamente vinieron las acusaciones, los desmentidos y las explicaciones. Básicamente, Dropbox no espía los contenidos, sino que detecta de forma automática los archivos que pueden estar vulnerando los derechos de autor si éstos han sido denunciados en base a la Digital Millennium Copyright Act (DMCA) (PDF), y gracias a una firma digital o ‘hash‘ que identifica los archivos.
Bien, hasta ahí me vale la aclaración.
Sin embargo, en la búsqueda de información al respecto, descubrí que ni era la primera vez que Dropbox era objeto de críticas y sospechas acerca de la privacidad de los contenidos ni que a este respecto estuviera todo dicho.
¿Qué ocurre, pues?
En lo sustancial, para abordar el tema de la seguridad de los contenidos en los servicios de ‘cloud storage‘ –Dropbox y cualquier otro– debemos atender a dos factores: sistema de encriptación y compromiso de privacidad. El primero es determinante porque, si está bien diseñado, hace incluso innecesario el segundo, siempre más abierto a interpretaciones.
En pocas palabras –no soy experto en el tema, así que pueden corregirme si me equivoco–, un buen sistema de seguridad basado en la encriptación es aquel cuya clave de descifrado está en manos de su propietario –y no de servicios terceros–, lo que hace imposible que cualquier otra persona pueda acceder a la información. Y aquí falla Dropbox: son ellos los que están en posesión de esa clave.
Si el usuario no es dueño de la clave de encriptación, entonces hay que encomendarse a políticas de privacidad y seguridad que garanticen la inviolabilidad de los datos. Y aquí tenemos problemas otra vez.
Dropbox advierte en sus Condiciones del Servicio:
"Podríamos revisar tu conducta y tu Contenido para evaluar la conformidad con estas Condiciones y con nuestra Política de uso aceptable".
Es decir que no garantiza al cien por cien la inviolabilidad de los contenidos almacenados.
Houston, tenemos un problema. ¿Pero de qué calibre es ese problema?
Depende. No nos equivoquemos: Dropbox dispone de un alto nivel de seguridad y su compromiso de respeto a los contenidos es también elevado aunque, como hemos visto, no absoluto y, según lo expresado en sus propios Política de Privacidad, Principios ante peticiones gubernamentales o Informes de transparencia, sólo accede o facilita los contenidos en casos excepcionales y bajo orden judicial. No en vano, su seguridad está considerada una de las más potentes de los servicios online.
Pero, además, esos problemas que presenta con la encriptación o con la falta de garantías sobre la inviolabilidad de los contenidos son comunes a los servicios de estas características más populares y usados por el ‘gran público’.
Entonces, ¿es Dropbox un servicio seguro? Sí, para el común de los mortales. ¿Es infalible? No, como hemos podido ver, lo que lo convierte en un elemento de riesgo para aquellos que pretendan almacenar contenido sensible.
¿Hay otros servicios que ofrezcan mayor grado de seguridad sobre los contenidos? ¿Hay alternativas?
Sí. Este estupendo post de Alan Henry en Lifehacker de hace unos meses te servirá de mucha ayuda, ya que en el se detallan diversos servicios no tan conocidos de almacenamiento en la nube (SpiderOak, Wuala o Tresorit) y Mega, sus correspondientes niveles de seguridad y las razones por las que superan a Dropbox, Google Drive, Skydrive, iCloud o Amazon en este aspecto.
¿Y si no queremos cambiar? ¿Podemos incrementar la seguridad por nuestra cuenta?
Efectivamente. Ésa es otra de las grandes posibilidades que tenemos a nuestro alcance: echar mano de un software criptográfico que podemos instalar en nuestro ordenador para encriptar primero los archivos en local y subirlos posteriormente al servicio que queramos. De esta forma ni Dropbox ni ninguna de las otras plataformas que escojamos podrá ‘espiar’ nuestros contenidos por mucho que quiera o la obliguen a hacerlo. Es, hoy por hoy, la opción con mayores garantías.
Yo no he probado ninguno de estos programas, pero creo que lo haré en breve. Dicen que son un poco farragosos, pero creo que el propósito vale la pena. Ahí te dejo algunos nombres con sus enlaces: TrueCrypt, Boxcryptor, Viivo, CryptSync…
Me quedo con esta frase de Alan Henry que bien podría encuadrar todo el post:
"No olvides que la solución más segura para el almacenamiento en la nube es aquella en la que tú tengas todo el control".
Amén.
