Protección de datos en línea 101: no permita que las grandes tecnologías se enriquezcan con su información

La información personal es la moneda de la que depende gran parte de Internet. Se reúne en todas partes, a menudo sin el conocimiento de las personas, y efectivamente paga las facturas de muchos servicios y aplicaciones gratuitos que damos por sentado. Dependiendo de cuán radical sea, podría ver esto como un comercio justo a cambio de servicios, o como compañías que extraen mano de obra gratuita de la población que usa Internet.

El alcance del problema

Comprender este ecosistema es difícil, pero retirarse de él es aún más difícil. Para empezar, el valor de años de su información ya está en posesión de numerosos sitios legales de corredores de datos.

Al escribir esta característica más larga sobre cómo las empresas convierten sus datos en dinero, miré y compré información de varios corredores de datos. Luego hice un balance de la gran cantidad de información que había proporcionado a sabiendas y sin saberlo a los servicios de redes sociales. Es asombroso.

Eso ni siquiera está considerando el volumen de mis datos personales que es invisible para el mundo exterior, encerrado dentro de las bases de datos de editores, compañías de publicidad de terceros, sitios de búsqueda como Google, etc. Esos datos se compilan, se cortan, se cortan en cubitos, quizás anonimizados y se distribuyen completamente fuera de mi control.

Luego está la información que ha sido robada. Algo de esto lo sé. Mi número de Seguro Social (entre otras cosas) fue robado durante el ahora legendario hack de la Oficina de Administración de Personal, en el cual los datos almacenados por una oficina gubernamental importante fueron filtrados. Es una broma mía que la privacidad realmente no me importa mucho, ya que el gobierno chino probablemente pueda verificar mi crédito.

Pero la desesperanza es aburrida. Si la tecnología me metió en este lío, puedo tratar de usar la tecnología para recuperarme.

Limpiando el desorden

El servicio DeleteMe de Abine busca en los sitios web de corredores de datos y agregadores de registros públicos para encontrar información personal para la venta. El servicio cuesta $ 129 por año para una persona y $ 229 por año para una segunda persona. Al igual que con LifeLock y servicios similares, debe proporcionar a Abine una buena cantidad de información personal para que se elimine en otro lugar. Debido a que los corredores de datos tienen diferentes requisitos para eliminar la información, Abine le pide que cargue una imagen anónima de su identificación emitida por el estado.

Algunos de estos servicios responden instantáneamente, pero la mayoría tarda entre un día y una semana en procesar las solicitudes de DeleteMe. Algunos pueden demorar hasta seis semanas, lo que DeleteMe atribuye al requisito de algunos servicios que una solicitud de eliminación de datos se envíe por correo postal. Parte de lo que está pagando con DeleteMe es que alguien más se encargue de los tediosos seguimientos y el seguimiento continuo de la información personal. Mi información personal podría, eventualmente, encontrar su camino de regreso a cualquiera de estos sitios.

El investigador de seguridad Troy Hunt dirige el sitio HaveIBeenPwned.com, que agrega la información de las violaciones masivas de datos en un servicio de búsqueda. Esto incluye datos que fueron revelados por las compañías, pero también descargas públicas de los datos de los malos. Escriba su correo electrónico y podrá ver cuáles de sus cuentas estuvieron expuestas.

Según el sitio, mi información estuvo involucrada en violaciones de 17 sitios y tres vertederos de información pública. Por lo tanto, mis datos ya están flotando en la Dark Web, probablemente se vendan y reempaqueten una y otra vez.

Hunt no ofrece una herramienta para abordar estas infracciones. En cambio, da el mismo consejo que yo o cualquier otro profesional de seguridad: cambiar su contraseña a algo complejo y verdaderamente único, y activar la autenticación de dos factores (2FA).

¿Qué es 2FA? Hay tres factores generalmente reconocidos para la autenticación: algo que sabe (como una contraseña), algo que tiene (como un token de hardware o un teléfono celular) y algo que es (como su huella digital). Dos factores significa que el sistema está utilizando dos de estas opciones. En la práctica, esto significa realizar otra acción, como ingresar un código de seis dígitos desde una aplicación, después de ingresar una contraseña.

En cuanto a la información expuesta en la violación, es tan buena como desaparecida. Pero saber qué sitios tienen el mayor riesgo es útil. También es una oportunidad para decidir si estos son servicios que valen la pena. Si bien solicitar que un sitio o servicio elimine su cuenta puede no funcionar siempre (algunos simplemente lo archivan en caso de que regrese), vale la pena intentarlo.

Por último, la mayoría del software de administración de contraseñas incluye herramientas para verificar cuentas violadas y advertirle sobre el reciclaje de contraseñas. Algunos programas incluso resaltan sitios donde ha reciclado contraseñas y las cambian automáticamente por usted.

Avanzando

Mientras trabajaba en mi historia más amplia, traté de dejar una huella de datos lo más pequeña posible en la web. No creo que sea posible evitar toda la recopilación de datos y seguir siendo A) vivo o B) un miembro contribuyente de la sociedad estadounidense moderna, pero es posible reducirlo. Y es absolutamente posible ser más consciente de la información que difunde.

Correos electrónicos

El correo electrónico ha existido tanto tiempo que parece mundano e incluso prescindible, pero sigue siendo enormemente valioso. Las direcciones de correo electrónico son identificadores útiles y un medio directo de acceso a los consumidores en la web. Si bien en PCMag le hemos estado diciendo a las personas durante años que dejen de reciclar contraseñas y dejen que un administrador de contraseñas haga el trabajo pesado, hemos estado callados sobre el tema de las direcciones de correo electrónico. Una contraseña reciclada es incorrecta, pero una dirección de correo electrónico reciclada también es importante. Simplemente no ha habido una buena herramienta para administrar un montón de direcciones de correo electrónico.

Abine Blur, sin embargo, es una de esas herramientas. De la misma compañía que creó DeleteMe, Blur es un conjunto de herramientas de privacidad que incluye un administrador de contraseñas y direcciones de correo electrónico enmascaradas. Simplemente ingrese una dirección de correo electrónico real en el sitio web de Blur e instale su extensión de navegador. Cada vez que se le solicita que ingrese una dirección de correo electrónico, Blur aparece y ofrece una alternativa enmascarada. Los correos electrónicos enviados a su dirección enmascarada serán enviados por Blur a su dirección real. Lo mejor de todo es que puede generar y destruir nuevas direcciones enmascaradas sobre la marcha. Eso es mucho mejor que hacer clic en darse de baja y esperar.

He estado usando correos electrónicos enmascarados durante algunas semanas, y estoy impresionado. Con dos clics, separé un servicio de mi identidad y dejé que mi administrador de contraseñas (uso LastPass) genere y recuerde contraseñas largas y extrañas. Dicho esto, me he encontrado con algunos sitios que no aceptarían las direcciones de correo electrónico que creó Blur. Quizás el dominio de correo electrónico ha sido incluido en la lista negra. Sin embargo, esta fue la excepción, y he tenido pocos problemas con el servicio.

Números de teléfono

Los números de teléfono son identificadores enormemente importantes, porque un número de teléfono casi siempre representa a una persona individual, gracias a los teléfonos celulares. Y a diferencia de otros identificadores, las personas deben recibir y mantener un número de teléfono. Esto significa que cada número es, hasta cierto punto, verificado. Por lo tanto, es una buena idea limitar la extensión de la difusión de su número de teléfono.

Si puede, rechace ponerlo a disposición de las aplicaciones que lo soliciten. No permita que las aplicaciones recorran su lista de contactos para que coincida con sus amigos. Intente no agregar su número de teléfono a los formularios a menos que sea absolutamente necesario.

Desafortunadamente, no podemos mantener nuestros números de teléfono realmente secretos. Por un lado, es probable que desee recibir llamadas y mensajes de texto. Por otro lado, debe proporcionar un número de teléfono a algunas empresas para recibir los códigos 2FA.

Puede limitar la propagación de su número de teléfono simplemente creando otro. Google Voice, un servicio excelente y sin interrupciones, crea un número de teléfono que reenviará tantos dispositivos como desee. Puede realizar y recibir llamadas desde la aplicación Google Voice e incluso enviar y recibir mensajes de texto. Durante años, he dado mi número de Google Voice en lugar de mi número de teléfono. Pero descubrí que algunos servicios de 2FA no aceptarán un número de Google Voice.

Una cuenta Abine Blur también se puede utilizar para crear números de teléfono desechables. Hacer una llamada con su número de Abine cuesta $ 0.01 para conectarse y $ 0.01 por minuto, que son pequeñas papas en comparación con los $ 3.00 de créditos de llamadas que recibe cada mes.

Tanto Google Voice como Abine Blur lo limitan a un número de teléfono ficticio. La aplicación Burner, sin embargo, le permite crear y destruir números a su conveniencia. No he probado esta aplicación y no puedo hablar de su eficacia o seguridad, pero es una idea genial.

Métodos de pago

Las tarjetas de crédito son enormemente convenientes, pero a diferencia del efectivo, dejan rastros de papel. El banco emisor o la compañía de la tarjeta de crédito tiene una lista de todo lo que ha comprado. Y al igual que los números de teléfono, cada tarjeta generalmente está vinculada a un solo individuo. También requieren un poco de esfuerzo para obtener y mantener.

Aconsejo a las personas que eviten el uso de tarjetas de débito tanto como sea posible, simplemente porque tienen más protecciones para el consumidor con una tarjeta de crédito. Pero por razones de privacidad y seguridad, le recomiendo evitar usar su número de tarjeta de crédito real siempre que sea posible. Esto es fácil de hacer si tiene un teléfono inteligente Apple o Android reciente. Las aplicaciones de pago móvil como Apple Pay, Google Pay y Samsung Pay tokenizan la información de su tarjeta de crédito y débito. Es decir, crean un número falso que está conectado a su número de tarjeta real.

Puede extender esta misma protección a otros contextos con las tarjetas de crédito enmascaradas de Abine Blur. Con Blur, puede generar rápidamente una tarjeta de crédito prepaga con un nombre falso y una dirección de facturación. El monto mínimo es de $ 10, pero puede solicitar un reembolso por cualquier dinero en sus tarjetas enmascaradas que no use. También puede crear y destruir tarjetas enmascaradas a voluntad, lo que significa que deja pocas huellas de sus compras en un sitio web o en el extracto de su tarjeta de crédito.

Bloqueadores de seguimiento

A medida que se mueve por la web, los sitios le asignan rastreadores y cookies. Algunos de estos permiten que el sitio recuerde quién es usted y brinde una experiencia personalizada cada vez que visite. Eso es útil si siempre ajusta el tamaño del texto en un sitio de noticias, por ejemplo. Pero otras cookies y rastreadores se utilizan para rastrear sus movimientos en la web para observar sus hábitos o anuncios publicitarios.

Afortunadamente, puede bloquear muchos rastreadores y cookies utilizando cualquier cantidad de bloqueadores de anuncios y rastreadores. Prefiero Privacy Badger de la Electronic Frontier Foundation (EFF), pero hay muchos otros. Ghostery, TunnelBear y Abine Blur son buenas opciones, y varios bloqueadores de anuncios también están disponibles para iOS y Android.

Tenga en cuenta que el uso de estos bloqueadores a veces puede romper sitios web. Un bloqueador podría, por ejemplo, impedir que un sitio se comunique con el servicio que almacena todas sus imágenes, o podría impedir que envíe un formulario en línea. Privacy Badger y otros incluyen conmutadores para cada uno de los rastreadores y cookies en un sitio, lo que le permite incluir en la lista blanca, lista negra o permitir temporalmente un servicio individual. También puede configurar la mayoría de los bloqueadores para incluir en la lista blanca un sitio completo.

Clientes y servicios de correo electrónico

Google dice que ya no busca a través de sus bandejas de entrada de Gmail para reajustar los anuncios, pero parece que AOL y Yahoo todavía podrían estar haciéndolo. Además, muchos correos electrónicos de compañías y servicios contienen rastreadores y otras tecnologías que monitorean si sus mensajes pasan y lo rastrean cuando hace clic en un enlace del correo electrónico. Algo de esto se hace con contenido remoto, es decir, elementos que se almacenan en otra parte de la web pero que el correo electrónico recibe. Cuando se cargan los elementos remotos, quien envió el correo electrónico sabe que lo logró.

ProtonMail (de los creadores de ProtonVPN) es un servicio de correo electrónico cifrado que no genera dinero con su contenido. Eso significa que no hay reorientación de anuncios ni robots que se desplacen por sus correos electrónicos. También bloquea el contenido remoto en los correos electrónicos de forma predeterminada, lo que le permite elegir si desea que esos elementos se carguen en su bandeja de entrada.

El venerable cliente de correo Thunderbird puede no ser la mejor manera de revisar su correo electrónico, pero puede bloquear el contenido remoto y los rastreadores integrados. Cuenta con controles específicos que le permiten incluir en la lista blanca las direcciones de correo electrónico para contenido remoto, permitir temporalmente el contenido remoto y elegir qué servicios se pueden cargar en sus mensajes.

VPN

Gracias a una decisión de nuestro Congreso de zapatos de payaso, los ISP ahora pueden vender versiones anónimas de su información de usuario. Esto no incluirá su nombre y se agregará con la información de muchos otros usuarios, pero aún así: está convirtiendo sus actividades en línea en dinero para los ISP.

Cuando usa una red privada virtual (VPN), su ISP no puede ver lo que está haciendo en línea. Una VPN también oculta efectivamente su verdadera ubicación y oculta su dirección IP; ambos pueden usarse para identificarlo en línea y orientar anuncios en su dirección. PCMag recomienda NordVPN, Private Internet Access o TunnelBear para sus necesidades de VPN.

Hay muchas ventajas y desventajas en el uso de una VPN, que he discutido extensamente en mi cobertura continua del espacio VPN. En general, los grandes inconvenientes de una VPN son el precio, el impacto en el rendimiento y el bloqueo simplemente por usar una VPN.

Contenedores Firefox

Aunque para algunos es una explosión del pasado, la versión más nueva de Firefox es extremadamente buena. Diablos, me recuperó el uso del navegador vulpine por primera vez en casi una década. Junto con su velocidad (y su enfoque general en la privacidad), Firefox también tiene un nuevo truco bajo la manga: Contenedores.

Los contenedores te permiten crear espacios separados para diferentes contextos. Puede, por ejemplo, crear Contenedores para el trabajo, las compras, la banca, etc. Cualquier sitio que visite o inicie sesión en cada Contenedor (que puede contener varias pestañas) permanece en ese Contenedor. Si ha iniciado sesión en la cuenta de Google de su oficina en el Contenedor de trabajo, no lo estará cuando cambie a un contenedor diferente.

Mozilla, la compañía sin fines de lucro detrás de Firefox, también ofrece una extensión específica de Facebook Container que mantiene todas sus actividades de Facebook en un solo lugar. Eso hace que sea mucho más difícil para el gigante de las redes sociales rastrearlo a través de la web. Puede crear sus propios contenedores y asignarlos a sitios individuales.

Explorando las alternativas

Muchas de las fuerzas dominantes en Internet hoy en día se basan en modelos comerciales que monetizan los datos de los usuarios. Pero si está dispuesto a hacer un gran cambio, existe toda una galaxia de servicios que no buscan convertirlo en billetes de dólar.

En los últimos meses, me propuse explorar algunos de los servicios de código abierto y centrados en la privacidad en la web. Si bien algunos están en su infancia, es emocionante ver cómo se ve la web cuando no está después de mi información.

Use aplicaciones web en lugar de aplicaciones

Bill Budington, tecnólogo senior del personal de EFF, recomienda que las personas intenten usar aplicaciones web en lugar de descargar aplicaciones de tiendas de aplicaciones. Las aplicaciones pueden tener muchas tecnologías de seguimiento complicadas dentro de ellas, a veces ubicadas sin el conocimiento expreso de los desarrolladores de la aplicación. El problema es que algunos servicios en línea tienden a empujarlo hacia el uso de una aplicación. Tumblr y, por ejemplo, son casi inutilizables en la web móvil.

Pato Pato a ganar

Google y Facebook dominan la recopilación de datos y la distribución de contenido en línea. Si quieres divorciarte de Google, prueba DuckDuckGo. Este servicio no registra su actividad de búsqueda y no busca monetizar sus actividades. También tiene algunas características ingeniosas que Google no ofrece, incluido un modo oscuro para su página de búsqueda y la capacidad de ir directamente a un resultado de búsqueda de imágenes.

He encontrado algunas cosas en las que Google es mejor que DuckDuckGo. Por ejemplo, Google casi siempre puede encontrar un tweet basado solo en el contenido que puedo recordar. DuckDuckGo, no tanto. Pero al hacer de DuckDuckGo mi motor de búsqueda predeterminado en Firefox, Google ahora es solo otra herramienta en mi caja de herramientas de Internet.

OpenStreetMap

Google Maps es, posiblemente, una de las mejores creaciones de la era de Internet. Ser capaz de encontrar el camino desde un lugar a prácticamente cualquier otro lugar en la Tierra desde una barra de búsqueda es increíble. Pero Google Maps también comercia con sus actividades. Cuando lo usa, le proporciona a Google su ubicación, así como información importante sobre usted, como su viaje, sus hábitos de viaje e incluso dónde le gusta comprar y comer.

OpenStreetMap es un servicio de mapas de origen público y de distribución gratuita. Piense en Google Maps pero de código abierto. Puede llevarlo del punto A al punto B bastante bien a pie, en automóvil o en bicicleta. Desafortunadamente, carece de las direcciones de tránsito y la búsqueda de negocios que hacen que Google Maps sea tan mágicamente útil. Pero, de nuevo, es bueno tener una alternativa en la caja de herramientas.

Únete a la federación

Si bien se han hecho varios intentos para crear una red social ética y sin publicidad, la mayoría se convirtió en un punto clave. La presentación de Mastodon en 2016 fue un poco diferente, al menos para mí, porque el servicio fue muy pulido en el lanzamiento. También fue una gran oportunidad para aprender sobre las redes sociales federadas: redes formadas por diferentes servidores que se comunican entre sí.

Piénselo de esta manera: puede registrarse para obtener una dirección de correo electrónico en cualquier número de sitios web. Yahoo, Google, Apple, ProtonMail: ¡elija! Pero puede enviar y recibir correos electrónicos de cualquier otra persona con una dirección de correo electrónico, independientemente del servicio que elijan. Es una red federada. Eso contrasta con el diseño monolítico de la mayoría de las redes sociales: sería absurdo suponer que podría usar Twitter para comunicarse de un lado a otro con Facebook. Los dos servicios simplemente no se hablan entre sí.

Cada instalación de Mastodon (llamada "instancia") puede comunicarse con cualquier otra instancia. Las personas que se han registrado en Mastodon.social pueden enviarme un mensaje @ a infosec.exchange, por ejemplo.

Lo realmente emocionante de estos nuevos servicios federados es que las redes sociales radicalmente diferentes pueden verse y comunicarse entre sí, siempre que utilicen el mismo protocolo ActivityPub de código abierto. Por ejemplo, un usuario de Mastodon está desarrollando un clon de Instagram llamado Pixelfed que algún día se federará con cuentas de Mastodon. Cuando inicia sesión en su cuenta de Pixelfed, es como Instagram con sus propias publicaciones y seguidores internos. Pero un usuario de Mastodon podría seguir mi cuenta de Pixelfed y ver mis publicaciones en su feed de Mastodon. Hay reemplazos impulsados ​​por ActivityPub para YouTube, Medium y GrooveShark actualmente en varias etapas de desarrollo.

Además de ser de código abierto, las redes sociales federadas son difíciles de monetizar. Debido a que son una red de redes y no solo un servicio único, como Twitter o Facebook, ninguna organización puede ver lo que sucede en la red federada.

Las redes sociales federadas, en su mayor parte, todavía funcionan en progreso. Pero el concepto es emocionante y rechaza la idea de que las personas necesitan entregar sus datos para tener el tipo de experiencias que esperamos en línea.

Mis fallas en la desmonetización

A pesar de tratar de limitar mi huella de datos lo más posible, encontré algunos desafíos que simplemente no pude superar. Mi dirección de envío, por ejemplo, es un dato personal muy obvio que tengo que dar de forma regular. Podría abrir un apartado de correos, pero la entrega de correo a domicilio es algo sin lo que no puedo vivir.

Mientras trabajo para usar una VPN siempre que sea posible, no he ido tan lejos como para instalar una en un enrutador y ocultar todos mis dispositivos detrás de ella. Eso significa que mi puñado de dispositivos inteligentes y consolas de videojuegos en casa no están encriptados. Mi ISP sin duda ha notado la cantidad de transmisión de Netflix que hago y cuánto tiempo he pasado generando tráfico de red de PlayStation.

Me he esforzado por ocultar mis pagos en línea tanto como puedo, pero no me he deshecho de PayPal o Venmo. Estos servicios son una parte demasiado importante de mi vida, e ignorarlos significaría que no me pagarían ni podría pagar fácilmente a otros.

Me resistí a Spotify durante mucho tiempo, pero cedí hace unos años. No me arrepiento, pero sé que esta compañía es extremadamente consciente de lo que escucho. Es demasiado difícil decir no al enorme catálogo que ofrece, y a pesar de lo repugnante que soy, en realidad he encontrado las recomendaciones musicales de Spotify enormemente útiles.

• Facebook para finalizar los anuncios dirigidos creados con minería de datos de terceros Facebook para finalizar los anuncios dirigidos creados con minería de datos de terceros
• Reddit pirateado, a pesar de la autenticación de dos factores de SMS Reddit pirateado, a pesar de la autenticación de dos factores de SMS
• Informe: AOL, Yahoo Escanear correos electrónicos de usuario, Vender datos a anunciantes Informe: AOL, Yahoo Escanear correos electrónicos de usuario, Vender datos a anunciantes

También sigo usando mi Google Home. Esta es mi mayor vergüenza de privacidad, porque sé que no la necesito. También sé que registra todo lo que le digo y lo envía de vuelta a Google para su procesamiento. Incluso he escuchado estas grabaciones en la aplicación Google Home. Y sin embargo, tengo tres de estos dispositivos en mi casa.

Y a pesar de mis críticas contra sus prácticas de recopilación de datos, no he eliminado mis cuentas de Facebook o Twitter. En el caso de Twitter, es la presión profesional y el inusual momento sociopolítico en el que nos encontramos los estadounidenses. Para Facebook, es la presión implícita de los compañeros contra la desaparición repentina del mundo. Es casi como si me eliminara de Facebook, me eliminaría de la mente de mis amigos y familiares. Y aunque deseo que los anunciantes se olviden de mí, es un precio demasiado alto en este momento.