¿Puede mi proveedor de Internet realmente vender mis datos? ¿Cómo puedo protegerme?
Es posible que haya escuchado muchas noticias recientemente sobre los proveedores de servicios de Internet (ISP) que rastrean su historial de navegación y venden todos sus datos. ¿Qué significa esto y cómo puede protegerse mejor??
Que pasó
Tradicionalmente, la Comisión Federal de Comercio (FTC) se ha encargado de regular los ISP. A principios de 2015, la Comisión Federal de Comunicaciones (FCC) votó para reclasificar el acceso a Internet de banda ancha como un servicio de "operador común", como parte de un impulso por la neutralidad de la red. Esto movió la regulación de los ISPs de la FTC a la FCC..
La FCC luego impuso restricciones sobre lo que los ISP eran y no podían hacer con sus clientes. Se evitaría que los ISP redirigieran el tráfico de búsqueda, inyectaran anuncios adicionales en páginas web y vendieran datos de usuarios (como la ubicación y el historial de navegación), entre otras prácticas que son rentables a expensas de los usuarios.
En marzo de 2017, el Senado y la Cámara de Representantes votaron una resolución de la Ley de Revisión del Congreso (CRA, por sus siglas en inglés) para derogar las reglas de privacidad de la FCC y evitar que hagan regulaciones futuras. Su justificación para el proyecto de ley fue que compañías como Google y Facebook pueden vender esta información y que las regulaciones impiden injustamente que los ISP compitan. Los legisladores afirmaron que debido a que Google tiene aproximadamente un 81% de participación de mercado en la búsqueda, tienen más control del mercado que cualquier ISP. Si bien el dominio de Google en la búsqueda es real, los usuarios de Internet tienen la opción de evitar Google, Facebook o cualquier otro sitio. La mayoría de la gente usa Google para buscar, pero hay muchas otras opciones y es fácil de cambiar. Usando herramientas como Privacy Badger, es bastante fácil evitar los análisis de Google o Facebook en la web. En comparación, todo su tráfico de Internet pasa a través de su ISP, y muy pocos estadounidenses tienen más de una o dos opciones.
El proyecto de ley fue firmado por el presidente a principios de abril. Si bien no todas las regulaciones de la FCC habían entrado en vigencia antes de que fueran anuladas, esto sigue siendo un gran golpe para la privacidad de los estadounidenses en línea. Debido a que los ISP todavía están clasificados como operadores comunes, ningún otro organismo regulador tiene la supervisión de restablecer estas reglas.
De interés periodístico, pero no tan nuevo
Muchas de las regulaciones de la FCC debían comenzar a lo largo de 2017 y 2018. Los grandes ISP han estado rastreando a sus usuarios durante años. Verizon solía inyectar un supercookie en todas las solicitudes de los navegadores de sus clientes, lo que les permite (y a terceros) rastrear a usuarios individuales en toda la web. El supercookie se estaba agregando a las solicitudes después de haber dejado las computadoras de los usuarios, por lo que no había manera de evitarlas hasta que Verizon se derrumbó y agregó una opción de exclusión. Por un tiempo, AT&T cobró a los clientes $ 30 adicionales por mes para no rastrear su uso de Internet. Este caso fue la inspiración para las regulaciones de privacidad de la FCC..
Es fácil pensar: "Bueno, no estamos en peor situación que hace un año". Y eso puede ser parcialmente cierto. Vivimos bajo las mismas reglas que éramos entonces; es solo que ahora no cambiarán para mejor. Todavía no es posible comprar el historial de Internet de un individuo; los datos se anonimizan y se venden a anunciantes y otras organizaciones en forma masiva.
Sin embargo, estas nuevas regulaciones (que ahora no entrarán en vigencia) habrían reparado un agujero significativo en la privacidad de Internet. Si profundiza en los datos anónimos, puede ser fácil descubrir a su propietario. Además, está el argumento de que los ISP son, en efecto, doble inmersión. La posición de que esta decisión coloca a los ISP en un espacio más competitivo con servicios como Google es un poco deshonesta. Los ISP gobiernan la "milla final" a las instalaciones de sus clientes, y ya pagamos una buena cantidad de dinero para acceder a ella..
¿Cómo puedo protegerme??
Muchas personas están preocupadas por la aprobación del proyecto de ley, y quieren formas de protegerse de los ojos curiosos de su ISP. Afortunadamente, hay algunas cosas que puede hacer para ayudar a garantizar su privacidad. La mayoría de estos métodos están orientados a protegerlo de lo que llamamos ataques Man-in-the-Middle (MitM). El viaje que sus datos toman en el viaje desde su PC a un servidor de Internet y de vuelta pasa a través de una serie de intermediarios. En un ataque MitM, un actor malicioso se inserta en el sistema en algún lugar a lo largo de ese viaje con el propósito de espiar, almacenar o incluso modificar sus datos..
Tradicionalmente, se supone que un MitM es un mal actor que se inserta en el proceso; confía en los enrutadores, los firewalls y los ISP entre usted y su destino. Sin embargo, si no puedes confiar en tu ISP, las cosas se complican. Tenga en cuenta que esto se aplica a todo el tráfico de Internet, no solo a lo que ve en su navegador. La buena noticia (si puede llamarlo así), es que los ataques MitM son un problema tan antiguo y común que hemos desarrollado herramientas bastante buenas que puede usar para protegerse..
Usa HTTPS donde puedas
HTTPS cifra la conexión entre su computadora y un sitio web, utilizando un protocolo llamado TLS (o el SSL más antiguo). En el pasado, se utilizaba principalmente para información confidencial como páginas de inicio de sesión o información bancaria. Sin embargo, la implementación de HTTPS se ha vuelto más fácil y barata. En estos días, más de la mitad de todo el tráfico de Internet está encriptado..
Cuando está utilizando HTTPS, el contenido de los paquetes de datos se cifra, incluida la URL real que está visitando. Sin embargo, el nombre de host de su destino (por ejemplo, howtogeek.com) se mantiene sin cifrar, ya que los nodos entre su dispositivo y el destino de sus datos deben saber dónde enviar su tráfico. A pesar de que los ISP no pueden ver lo que estás enviando a través de HTTPS, aún pueden decir qué sitios estás visitando.
Todavía hay algunos metadatos (datos sobre datos) que no se pueden ocultar usando HTTPS. Cualquiera que supervise su tráfico sabe cuánto se descarga en una solicitud determinada. Si un servidor solo tiene un archivo o página de un tamaño específico, esto puede ser un obsequio. También es fácil determinar a qué hora se hacen las solicitudes y cuánto duran las conexiones (por ejemplo, la duración de un video de transmisión).
Vamos a poner todo esto juntos. Imagina que hay un MitM entre Internet y yo, que intercepta mis paquetes. Si estoy usando HTTPS, podrían decir, por ejemplo, que fui a reddit.com a las 11:58 PM, pero no sabrían si estoy visitando la página principal, / r / technology u otra, menos Página de seguridad para el trabajo. Con esfuerzo, es posible que determinen la página según la cantidad de datos transferidos, pero es poco probable que esté visitando un sitio dinámico con mucho contenido. Ya que carga la página una vez y no cambia en tiempo real, la longitud de la conexión debe ser corta y difícil de aprender..
HTTPS es excelente, pero no es una bala de plata cuando se trata de protegerlo de su ISP. Como se indicó anteriormente, oculta el contenido, pero no puede proteger los metadatos. Y si bien el usuario final requiere poco o ningún esfuerzo, los propietarios de servidores necesitan configurar sus servidores para usarlo. Desafortunadamente, todavía hay muchos sitios web que no son compatibles con HTTPS. Además, solo el tráfico del navegador web se puede cifrar con HTTPS. El protocolo TLS se usa en otras aplicaciones, pero generalmente no es visible para los usuarios. Esto hace que sea difícil saber cuándo o si el tráfico de su aplicación se está cifrando..
Use una VPN para cifrar todo su tráfico
Una red privada virtual (VPN) crea una conexión segura entre su dispositivo y un punto de terminación. Esencialmente, es como tener una red privada creada dentro de la red pública de Internet, por lo que a menudo nos referimos a una conexión VPN como un túnel. Cuando usa una VPN, todo su tráfico se cifra localmente en su dispositivo y luego se envía a través del túnel al punto de terminación de su VPN, generalmente un servidor en cualquier servicio VPN que esté usando. En el punto de terminación, su tráfico se descifra y luego se envía a su destino deseado. El tráfico de retorno se envía de vuelta al punto de terminación de VPN, donde se cifra y luego se envía a través del túnel a usted.
Uno de los usos más comunes de las VPN es permitir a los empleados acceder a los recursos de la empresa de forma remota. Se considera una buena práctica mantener los activos internos de la empresa desconectados de Internet. Los usuarios pueden acceder a un punto de terminación VPN dentro de una red corporativa, lo que les permite acceder a servidores, impresoras y otras computadoras, todo al mismo tiempo que se mantienen ocultos de Internet en general..
En los últimos años, las VPN se han hecho populares para uso personal, para mejorar la seguridad y la privacidad. Tomemos el ejemplo de la conexión Wi-Fi gratuita en la cafetería. Es fácil detectar el tráfico en redes Wi-Fi no seguras. También es posible que te estés conectando a una red gemela malvada, un punto de acceso Wi-Fi falso que se hace pasar por un legítimo, que espera servir malware. Si utiliza una VPN, todo lo que pueden ver son datos encriptados, sin ninguna indicación de dónde o con quién se está comunicando. El túnel VPN también proporciona integridad, lo que significa que un intruso malicioso no puede modificar el tráfico.
Cuando utiliza una VPN, su ISP no puede ver ni cambiar lo que está pasando a través del túnel cifrado. Como todo está encriptado hasta que llega al punto de terminación, no saben qué sitios estás visitando ni qué datos estás enviando. Los ISP pueden decir que está usando una VPN y ver el punto de terminación de la VPN (un buen indicador de qué servicio VPN está usando). También saben cuánto tráfico estás produciendo en qué momento.
El uso de una VPN también puede afectar el rendimiento de la red. La congestión en una VPN puede disminuir su velocidad, pero en casos raros, puede obtener mejores velocidades mientras está en una VPN. También debes comprobar si la VPN filtra alguna información..
Las empresas y las universidades a menudo proporcionan acceso VPN gratuito para sus usuarios. Asegúrese de revisar la política de uso; es probable que sus administradores no quieran que usted transmita videos o haga nada que no esté relacionado para trabajar en su red. Alternativamente, puede pagar por el acceso a un servicio VPN, generalmente de $ 5-10 por mes. Debería investigar un poco para elegir la mejor VPN que se adapte a sus necesidades, pero hemos reunido una guía práctica para elegir el mejor servicio de VPN que pueda ayudarlo en el camino..
Tenga en cuenta que debe poder confiar en su proveedor de VPN. La VPN evita que su ISP vea el tráfico de túneles. Sin embargo, su tráfico debe ser descifrado una vez que llegue al punto de terminación, de modo que el punto de terminación pueda reenviarlo al destino adecuado. Esto significa que su proveedor de VPN puede ver esta información. Muchos servicios de VPN dicen no registrar, usar o vender su tráfico. Sin embargo, a menudo no hay manera de saber si cumplen o no estas promesas. Incluso si están siendo honestos, es posible. su ISP está minando los datos.
En particular, debes tener cuidado con las VPN gratuitas. Últimamente, las extensiones de navegador VPN se han hecho populares, en gran parte debido a su bajo costo / sin costo y su facilidad de uso. La ejecución de un servicio VPN es costosa, y los operadores no lo hacen por la bondad de sus corazones. El uso de uno de estos servicios gratuitos a menudo simplemente cambia la capacidad de espiarlo e inyectar anuncios de su ISP a la VPN. Recuerde: cuando no está pagando un servicio con costos operativos, usted es el producto..
En última instancia, las VPN son una solución útil, pero imperfecta. Proporcionan una forma de transferir la confianza de su ISP a un tercero, pero no hay una manera fácil de determinar si un proveedor de VPN es confiable. Si sabe que no se puede confiar en su ISP, las VPN pueden valer la pena. HTTPS / TLS se debe usar con una VPN para mejorar aún más su seguridad y privacidad.
Entonces, ¿qué pasa con Tor?
El Onion Router (Tor) es un sistema que encripta y anonimiza el tráfico. Tor es complejo, y se pueden (y han) escrito artículos completos en él. Si bien Tor es útil para muchas personas, puede ser difícil utilizarlo correctamente. Tor tendrá un efecto mucho más perceptible (negativo) en la calidad y el rendimiento de su uso diario de Internet que los otros métodos mencionados en este artículo..
Poniendolo todo junto
Los ISP no han ganado nuevos poderes con este proyecto de ley, pero han impedido que el gobierno garantice su privacidad. No hay una bala de plata para evitar que su ISP lo espíe, pero todavía hay un montón de municiones. Use HTTPS siempre que sea posible para proteger el contenido del mensaje entre usted y el destino. Considere usar una VPN para hacer un túnel alrededor de su ISP. Mientras realiza cambios, considere protegerse de otras fuentes de espionaje y espionaje. Configure los ajustes de su sistema operativo para mejorar la privacidad (Windows y OSX) y también su navegador web (Chrome, Firefox u Opera). Use un motor de búsqueda que respete su privacidad, también. Proteger su privacidad es una batalla cuesta arriba, ahora más que nunca, pero How-To Geek está dedicado a ayudarlo en el camino..
Crédito de la imagen: DennisM2.