Pueblerino 117

Me he quedado sólo (o casi, pero efectivamente) administrando un foro.

El foro es un desierto, pero un desierto jugoso para los spammers. No porque el foro esté ya medio muerto, que atacan a todo foro viviente, pero es más triste porque la mayoría de interacciones con el foro son de esta audiencia.

El caso es que después de más de un año siendo el administrador único y utilizando diferentes técnicas para bloquearlos, y exceptuando de la ecuación a los de el subcontinente indio y demás países del sureste asiático, la mayoría (que tampoco llega a ser cierto, pero sí los más molestos) usan proxies, VPNs y Tor exists.

¿Solución radical ante este escenario? La que menos gustaría a cualquier administrador de un foro: bloqueo masivo de IPs de servicios de VPNs, servidores dedicados o compartidos (lo que hoy día, para las masas, se conoce como cloud, la nube) y demás servicios de índole parecida.

Y es la peor opción, aunque la más efectiva desde que empecé a implementarla (a mano, porque es un foro para el que no tengo acceso al servidor), porque pagan justos por pecadores. Que por "cuatro" (o ingentes cantidades) de spammers que..., ilícitamente, según el país, y más que nada abusivamente, usen VPNs, proxies, etc, acabe bloqueando a esos "inocentes" que quieren usar VPNs por una falsa sensación de seguridad para visitar las páginas de la red, es un efecto colateral, en parte, desmedido, pero, como digo, la única medida real de bloqueo de spammers, unido, eso sí, y sin dejar de lado, el resto de técnicas.

Pero aquí la cuestión no deja de caer en el absurdo. ¿Por qué me voy a sentir culpable de bloquear servicios de VPNs y proxies para la visita de una web que carece de ningún interés o transgresión a la privacidad de las personas?

Lo que quiero decir es que hemos llegado a un absurdo total.

Por una parte los spammers. Es lógico incluso que usen proxies y demás para no ser detectados y seguir haciendo el mal. Es que tiene toda la lógica.

Por la otra, en cambio, los usuarios normales de Internet. ¿Qué necesidad tiene un usuario normal de proteger su privacidad (privacidad de qué páginas, y/o conenido, visita) para utilizar un VPN/proxy? (en este caso proxy socks, porque proxy normal seguiría el ISP pudiendo saber qué haces en la red) ¿de verdad lo necesita para visitar páginas de información inocuas y no comprometida, o comprometedora?

No nos engañemos, legítimo es proteger tu privacidad (y un derecho fundamental (no lo sé con seguridad)), pero extremo también. Es decir, te importa que tu ISP sepa qué haces, pero no te importa o, peor aún, confías ciegamente en un tercero, operador del servicio de VPN/proxy, en que no va a vigilar tu tráfico. Incluso algunos confían en ella para hacer banca online... Y eso sin olvidarnos de que muchos antivirus, que ya no existen como tal, sino que son suites de acceso a Internet, de protección total, imponen sus propios VPNs/Proxies, para analizar todo el tráfico entrante y saliente (algo que seguro que la mayoría desconoce, sólo saben que el "antivirus" les protege al navegar). Absurdo.

Para eso ya está el cifrado de la conexión (SSL/TLS, o HTTP sobre SSL/TLS, o HTTPs, como prefiramos). Y si un día se hace de uso común el cifrado de DNS (DNS over TLS), incluso con esto sobraría para que nadie sepa qué visitas.

Pero, da igual, todo esto ha llevado a otro absurdo. El cifrado completo de la red (agenda impuesta por Google (ranking del buscador si no ofreces HTTPs) y otros).

De toda la vida hemos navegando confiando en el secreto de las comunicaciones que nos ofrecían los ISP. Y seamos sinceros, la única vulneración real de la privacidad estaba en un ataque MitM (alguien entre tu PC y el servidor) que era, de todo, menos lo más normal para un usuario corriente.

Ahora no confiamos ni siquiera para visitar un pagina con fotos de gatitos y tiene que ser cifrada sí o sí (no le digas a alguien que esa página de fotos de gatitos no necesita un candadito (el icono de seguridad del navegador)). Pero el cifrado se carga algo que ya teníamos: la retrocompatibilidad de acceso. Porque el problema no es el cifrado, el problema es que los webmasters actuales (cuando Google lo impuso por el ranking, aunque, tal vez, la culpa principal fuera de los SEO) al implementar el acceso HTTPs, se cargaron la versión en texto plano HTTP. Hoy, con un simple Telnet, no puedes visitar una página. Qué digo visitar, ni siquiera hacer un comando HEAD, si el cliente no tiene soporte para cifrado y hay un mar de programas con conectividad web que aún no tienen, ni tendrán, soporte para cifrado de comunicaciones y que no queda otra que usar soluciones intermedias como Stunnel, si el servicio no es muy complejo y se deja. Pero es que, incluso con programas que soporten cifrado, dado el vertiginoso desarrollo (o más que desarrollo, fiasco de seguridad) de las diferentes versiones de negociación de cifrado, acaban quedando obsoletas muchos programas con escasos años de creación. Que algunos sitios consideren implementar TLS 1.3, cuando pocos, o los menos lo soportan (esto da para otra entrada).

Innecesario, absurdo, sin sentido. La página de gatitos, y cualquier otra de información inocua (la del foro que administro es así), no atenta contra tu privacidad, aunque tengas una intervención policial en tu línea.

Pero, el otro día tuve una epifanía. Bueno, en realidad no, pero es una de esas absurdas razones del cifrado total que no te paras a pensar porque no lo usas. No sólo es ya que Google forzase el HTTPs. A día de hoy el común de los mortales (y yo no entro en esa definición), usa Wi-FI (wifi). El problema de estar accediendo por Wi-Fi a una red, no ya sólo a Internet, es que el acceso a esta se produce en un medio compartido, el aire, y, en el aire, cualquiera puede intervenir tus comunicaciones (cosa que no ocurre en una conexión cableada, aunque no sea 100% inmune), incluso con el cifrado Wi-Fi, que ha sido roto una y otra vez, así que la seguridad acaba recayendo en el cifrado total de las comunicaciones desde el cliente al servidor. En la última capa, la de aplicación.

Y esto nos devuelve al principio del post. La paranoia de privacidad que tiene la gente hoy día nos lleva al bloqueo del acceso a la información debido al abuso de servicios de VPN/Proxies que, paradójicamente, son usados por una de las mayores plagas de la red, los spammers.

En fin. Así nos luce el pelo, pero que nadie se queje si no puede acceder al foro que administro (un moderador se me queja, pero decidí no decirle nada por el bien del foro porque era, o la muerte por ahogo de spam del foro, o perder media vida en retirar el spam (empezando por su vida), y a los spammers, del foro, una plaga imposible de detener). En este foro no hay secretos de estado, sólo información. Así que, hazte un favor y utiliza la conexión directa de tu ISP, confía en tu ISP. No hay necesidad de usar servicios de terceros adicionales. Eso sí, si de mí dependiera, la web ofrecería acceso OPCIONAL sobre TLS, pero no obligatorio, para aquellos que sienten vulnerada su privacidad.

Seamos sensatos en el balance de nuestra privacidad y el derecho de acceso a la información sea como sea. Opciones.

Aunque para eso, como ya he dicho en este blog alguna vez, la gente tendría que saber que usar ordenadores y acceder a la red no es hacer clic, clic, clic, y debería obtenerse un carnet, un título, lo que sea.

Y, por dios, a cualquiera, dejar de obsesionarse con la privacidad a niveles absurdos, menos cuando tanto unos actores (usuarios) como los que incentivan esa privacidad (FaceBook) son promotores de regalar la privacidad. Qué más da si transfieres, o no, los datos con cifrado si regalas tu privacidad, incluso intimidad, igualmente.

Menuda entrada del blog ha quedado. Larga y aunque aparentemente con asuntos mezclados, el problema es que no puedes contar algo sin contar el resto. Y eso que me quedo sólo en la superficie de los temas.

Me gustaría profundizar, pero es por lo que no escribo entradas al blog. Me saldrían auténticas biblias en verso y, aun así, me quedaría sólo en la superficie. Y para qué engañarnos, a la gente no le interesa la profundidad temática.