domingo, 7 de mayo de 2017

Sobre el (o más bien "la idea de") anonimato en internet


Hoy quiero hacer una reflexión sobre la idea que se tiene del anonimato en internet. Sí, estoy muy reflexivo últimamente, pero lo echaba de menos la verdad.
Estamos hartos de escuchar en todas partes ese falso mito de que "en internet todo es anónimo", que puedes estar chateando con un pervertido sexual que se hace pasar por alguien "corriente" (si es que ese término se puede utilizar para alguien de nuestra especie) y no saberlo porque es "anónimo" pero ¿ese anonimato es real, o sólo es una falsa ilusión que carece por completo de sentido?
Pues yo me inclino más hacia la 2º opción. Para el usuario promedio es imposible hacerse anónimo por varios motivos. En primer lugar, obviamente, navegar abiertamente por internet deja un montón de huellas, en el propio ordenador y con aquellos con los que "habla". Y si bien la dirección IP, a mayores de otros muchos datos, no es tan fácilmente rastreable como nos dicen en las series policiacas (hay que saber hacerlo, obviamente), es una marca de nuestro paso por la red.
Una persona con escasos o nulos conocimientos técnicos, pero que sea un poco "enteradillo" puede pensar 'oh si, eso de la IP me suena y seguro que hay formas de "ocultarla" que eso lo he oído yo en algún sitio'. Y si, obviamente hay formas para conseguir "anonimizar" un poco tu dirección. Hacerlo por completo ya os adelanto que es imposible porque al final "las cartas" que son los mensajes entre servidores tienen que tener alguna dirección a la que llegar para que las puedas ver, pero bueno.
Esa persona podría pensar también '¿Y si lo busco en Google?' Pues obtendrías muchas respuestas y páginas que prometen "anonimizarte" de cara a las posibles identificaciones. Estas webs redirigen la petición hacía el sitio que quieres visitar, pongamos, por caso, este blog, a través de otro ordenador en otro punto del globo, de modo que los servidores de Blogger (Google) donde está alojado este sitio recibirían la petición desde ese ordenador, llamémoslo C. A continuación C enviaría la respuesta tal cual al usuario que busca ser anónimo. Obviamente, esta lista de peticiones también es rastreable. Además, el primer paso para que esto funcione... ¿es utilizar bien esa web "anonimizadora"?
Existen otros métodos, basados en la misma premisa, para realizar esta ligera ocultación, pero ya os dejo a vosotros que busquéis su nombre. Estos otros sistemas, más o menos complejos, simplemente automatizan en enlazado de peticiones. Se puede "hacer rebotar la señal" por N servidores a lo largo del mundo, si se dispone de semejante red, claro, pero sigue siendo rastreable, en más o menos tiempo.
Otra posibilidad es utilizar la red cebolla para moverse por internet. Si, ese sistema "especial" que permite acceder a la red oscura (hay que decirlo así, como si fuera algo satánico), que no es más que la ingente cantidad que servidores que no se encuentran indexados por los buscadores más habituales. Estos sitios son, en su mayoría, perfectamente accesibles desde un navegador normal con sólo disponer de su dirección IP, pero claro, no es fácil de recordar ni aparece cuando haces una búsqueda en Google, así que son más difíciles de encontrar, claro está. Y SORPRESA, vuestros PCs forman parte de esa red oscura ya que, al estar conectados, y con algún puerto abierto, sobre el que escuchar las respuestas que os envían los sitios webs, también son accesibles desde fuera. Y sí, también es verdad que en esta internet profunda existen páginas más bien atribuibles a los "bajos fondos" y que entrar en ellas sin una mínima protección es... contraproducente, pero eso no quiere decir que por poder entrar en ellas estés protegido. Y si, navegar por la red TOR es algo más "seguro" en términos de que sigan tus pasos, pero también es más complejo para el usuario básico/medio.
Ahora bien, llegamos a mi punto favorito de la reflexión. Aquello que todo el mundo, ajeno a esto, obvia por completo. Y es que no nos podemos olvidar que quien navega por internet son personas, personas normales y corrientes, que se comportan... pues como se espera de ellas. Así pues, cuando uno entra en una página web, social o no social, plana o interactiva, no sólo deja su marca en forma de peticiones al servidor. También deja su sello, su marca, esa que diferencia a las personas de las máquinas.
Es por ello que la mejor forma de ataque, por parte de los hackers profesionales, siempre ha sido y será la ingeniería social. Porque la gente es predecible, y se olvida de muchas cosas. Es muy probable que si un hacker le pide, directamente, su contraseña, a un usuario medio, éste se la de sin ningún tipo de recelo. Pues lo mismo ocurre cuando uno navega. Las personas tienen patrones, son predecibles, y se comportan de forma absurda. Y, por encima de todo, son obsesivas.
Por mucho que una persona trate de borrar su rastro a la hora de "cotillear" un perfil social, es muy sencillo que la persona observada sepa exactamente quién ha entrado, solo hay que unir las piezas del puzzle. Y no solo de perfiles sociales se nutren los ejemplos. Cualquier administrador web con algunos conocimientos es capaz de poner nombre y apellidos a cada uno de sus visitantes habituales. Las personas tienden a conectarse desde una pequeña combinación de factores (Dispositivo concreto, sistema operativo, navegador, versiones de los mismos...) concreto y discreto, suelen utilizar horas concretas, moverse por páginas más o menos estipuladas. Utilizan sistemas que cantan demasiado como el dominio concreto de la red o sistemas de "anonimización" en webs donde nadie más los usa.

Una vez más, las personas son personas, mucho más predecibles de lo que ellas se creen. Es terriblemente sencillo, como digo, identificar a cada pequeño internauta que entra en cualquier lugar y, por tanto, terriblemente complejo ir con una escoba borrando tus huellas. De hecho, como en la vida, cuando alguien va borrando sus huellas, aunque sea torpemente, suele ser porque tiene algo que esconder. Pero, como en la vida una vez más, suele ser bastante divertido de ver desde fuera.

No hay comentarios: