“Si vols una conversa segura, queda cara a cara i sense mòbil”

És un cen­tre de recerca en ciber­se­gu­re­tat que agrupa tota l’acti­vi­tat de recerca que es fa a les uni­ver­si­tats cata­la­nes en l’àmbit de la segu­re­tat informàtica i la pri­va­desa de dades. Està inte­grat per set grups de sis uni­ver­si­tats: la URV, la UOC, la UdL, la UPC, la UPF i la UAB. Tot i que el cen­tre neix ara, alguns d’aquests grups ja fa més de vint anys que ens conei­xem, col·labo­rem i tre­ba­llem junts.

Recerca en segu­re­tat en l’automòbil. Els cot­xes han pas­sat a ser ordi­na­dors sobre rodes i cada vehi­cle porta un cen­te­nar de petits ordi­na­dors indus­tri­als que també poden patir atacs que cal evi­tar. A més, en el cas del cot­xes tenim uns con­di­ci­o­nants que ens ho com­pli­quen: duren més que un ordi­na­dor de taula i no t’arri­ben mis­sat­ges d’actu­a­lit­za­ci­ons de segu­re­tat cada dos per tres. Un altre camp en què tre­ba­llem és l’inter­net de les coses, un àmbit en què és molt impor­tant garan­tir segu­re­tat i pri­va­desa. Par­lem de dis­po­si­tius que no són ben bé ordi­na­dors, com poden ser càmeres de segu­re­tat, sen­sors, neve­res... però que estan con­nec­tats per reco­llir dades. Com que la seva fina­li­tat primària no és informàtica, se’n des­cuida la segu­re­tat i és més fàcil ata­car aquests dis­po­si­tius. El nos­tre repte és garan­tir que tin­guin un nivell de segu­re­tat sufi­ci­ent sense que això costi gai­res diners.

La per­sona que té la nevera pot­ser ni ho sap, perquè l’objec­tiu és fer ser­vir la potència de càlcul d’aquest dis­po­si­tiu per fer atacs de dene­gació de ser­vei con­tra ter­cers. L’atac que va rebre la Gene­ra­li­tat el 8-N va ser un atac per dene­gació de ser­veis i el seu fun­ci­o­na­ment és molt sim­ple: un pirata va cap­tu­rant ordi­na­dors per la xarxa mun­dial perquè pas­sin a ser els seus zom­bis. Aquests ordi­na­dors no noten cap efecte espe­cial fins que el pirata deci­deix fer-los ser­vir, donant-los una ordre que, en el cas del 8-N, va ser enviar mis­sat­ges a la Gene­ra­li­tat en massa fins a satu­rar el ser­vei. I és més fàcil con­ver­tir en zom­bis dis­po­si­tius sen­zills com els de les neve­res o les càmeres de segu­re­tat que els dels ordi­na­dors.

S’estan cre­ant cen­tres de ciber­se­gu­re­tat arreu del món i totes les uni­ver­si­tats una mica grans en tenen. Sor­pre­nent­ment, a Cata­lu­nya no exis­tia res sem­blant i, o ho fèiem nosal­tres ara o era qüestió de temps que ho fes algú altre, perquè és una tendència mun­dial. A Europa, a més, hi ha la neces­si­tat de defen­sar-se d’atacs que es reben de fora de la Unió, i ja fa temps que la ciber­se­gu­re­tat és una pri­o­ri­tat. Si ampliem el focus veiem que l’intent de mani­pu­lació d’elec­ci­ons amb atacs de dene­gació de ser­veis, amb notícies fal­ses i mani­pu­la­ci­ons a les xar­xes no és exclu­siu d’aquí.

Les que tenen mol­tes dades i es gas­ten pocs diners a pro­te­gir-les. El 2013 l’atac con­tra Yahoo va ser la tem­pesta per­fecta, perquè era una empresa que tenia mili­ons de comp­tes de cor­reu electrònic, però finan­ce­ra­ment havia anat mala­ment i no es gas­ta­ven diners a pro­te­gir-los. Hi ha altres empre­ses, com enti­tats sanitàries, que pot­ser no són tan atrac­ti­ves, però que han d’estar molt alerta perquè tenen dades molt con­fi­den­ci­als. Els bancs també pro­cu­ren tenir bons sis­te­mes perquè s’hi juguen molt. De fet, la ciber­se­gu­re­tat és, després de la via­bi­li­tat finan­cera i la repu­tació, la prin­ci­pal pre­o­cu­pació de les empre­ses.

En el cas de l’ordi­na­dor cal tenir anti­vi­rus i fer les actu­a­lit­za­ci­ons de segu­re­tat que enviï el fabri­cant del sis­tema ope­ra­tiu. Amb el telèfon mòbil la cosa es com­plica, perquè pas­sar un anti­vi­rus costa més i, a banda, gran part de la feina la fan les apli­ca­ci­ons que la gent es des­car­rega. I en gene­ral aques­tes apli­ca­ci­ons acos­tu­men a fer més coses de les que diuen que fan.

Tu vols una apli­cació per segui un iti­ne­rari, però quan te la des­car­re­gues dius que sí a tot i li dones accés a aga­far les dades dels teus con­tac­tes i enviar-les no sé on. Quan s’ins­tal·la una apli­cació la gent ha d’estar segura que real­ment la neces­sita i ha de ser una mica crítica amb el que et dema­nen i renun­ciar-hi si allò que volen no toca. I sobre­tot quan són aplis de salut, en què és impor­tant saber què fan més enllà de mesu­rar-te els pas­sos i la tensió. A qui més ho expli­quen tot això? Perquè pot­ser no cal que a l’altra punta de món algú sàpiga el teu estat de salut.

No. I el mòbil és bas­tant més perillós que un ordi­na­dor, perquè té molts sen­sors i capta mol­tes coses. Per començar, el por­tes sem­pre a sobre i la com­pa­nyia telefònica pot saber on ets en tot moment. Això, d’entrada, ja és un pro­blema, però en el cas dels mòbils intel·ligents mol­tes apli­ca­ci­ons tenen accés a la loca­lit­zació i ja són més els que saben on ets en tot moment. No ho tenim pre­sent, però pel sim­ple fet de por­tar el mòbil saben amb qui estàs, quanta estona i cada quan hi que­des. Tota aquesta infor­mació de con­torn, les meta­da­des, són sufi­ci­ents per posar-te la creu a sobre. No cal saber què es diu en una con­versa, només amb qui es té i quan dura, només amb aques­tes meta­da­des n’hi ha prou per matar, deia des de la CIA David Cole. Si ets una per­sona anònima no passa res, però si resul­tes incòmode per a algú és molt fàcil con­tro­lar-te.

Pun­xar una tru­cada de telèfon és molt fàcil i només cal que ho sol·liciti un jutge o la poli­cia. De fet, amb la tec­no­lo­gia actual es poden fer pun­xa­des mas­si­ves i ni tan sols cal que hi hagi algú escol­tant-les. Fer tru­ca­des per What­sApp és més segur, perquè van xifra­des i són més difícils de pun­xar i, en tot cas, la com­pa­nyia hau­ria d’estar dis­po­sada a fil­trar-les. Però si vols tenir una con­versa segura, el més pru­dent és que­dar amb algú cara a cara, sense mòbil o amb la bate­ria fora.

Són segurs sem­pre que la com­pa­nyia no deci­deixi posar-s’hi pel mig. Els usu­a­ris fan ser­vir unes claus per xifrar la con­versa, però aques­tes claus les genera el ser­vi­dor de la com­pa­nyia i no l’usu­ari.

Fins ara ens regíem per una direc­tiva del 1996 prèvia al des­ple­ga­ment mas­siu d’inter­net que no reflec­tia mol­tes de les coses que pas­sa­ven i tot­hom feia el que li donava la gana. La nova llei era necessària i la posició que ha adop­tat Europa ha estat molt garan­tista pel que fa a la pri­va­desa de les per­so­nes i, com que el mer­cat euro­peu és molt gran, tindrà poder d’arros­se­ga­ment en l’àmbit mun­dial. Ara per reco­llir dades cal un con­sen­ti­ment explícit. Fàcil d’enten­dre i només per un propòsit con­cret. No es poden dema­nar més dades de les necessàries i hi ha d’haver trans­parència i ober­tura en tot el procés. La llei garan­teix el dret a l’oblit i que les teves dades des­a­pa­re­guin o que es guar­din en un lloc segur men­tre siguin vigents. I només es poden trans­fe­rir a ter­cers per fer explo­ra­ci­ons de dades si són anònimes.

Dones dades i reps uns ser­veis molt atrac­tius i gratuïts a canvi, com els cor­reus electrònics o les xar­xes soci­als, i sí que hi ha algú reti­cent com jo que no té xar­xes soci­als ni res, però la majo­ria està encan­tada de fer-ho sense per­ce­bre’n els pro­ble­mes. El negoci clàssic d’aques­tes empre­ses és enviar anun­cis diri­gits de coses que t’interes­sen i la gent ho troba un preu rao­na­ble. El pro­blema ve quan s’hi bar­reja la política o quan les teves afi­ci­ons es fan ser­vir per a altres coses en lloc d’enviar anun­cis. La decisió de com­prar o no un pro­ducte només t’afecta a tu, però si el que com­pres és un pro­grama elec­to­ral i el votes, la teva decisió afecta tot­hom, si gua­nyen!

Només una pàgina web, un cor­reu electrònic de la uni­ver­si­tat i un telèfon que és la mínima expressió d’un telèfon. No con­si­dero que neces­siti tanta con­nec­ti­vi­tat i, per tant, no crec que hagi de cedir dades meves a canvi d’una cosa que jo per­cebo que no neces­sito. Hi ha gent que pot­ser està en unes con­di­ci­ons dife­rents i tenir xar­xes soci­als li suposa man­te­nir con­tacte amb gent, però en gene­ral ens hauríem de pre­gun­tar: neces­sito tota aquesta con­nec­ti­vi­tat o més aviat m’enreda, tot això? I jo he arri­bat a la con­clusió que més aviat m’enreda.

Cal pen­sar si allò que estàs escri­vint vols que s’associï a la teva per­sona durant anys, perquè és com si ho esti­gues­sis picant en pedra i que­darà visi­ble durant molt temps. Encara que la xarxa social et digui que ho ha esbor­rat, algú pot tenir la infor­mació que has pen­jat, les piu­la­des que has fet i els “m’agrada” que has cli­cat, i tot això es pot girar en con­tra teu. Tenim recent l’exem­ple amb el pre­si­dent Torra i les piu­la­des del 2012.