Como evaluar si un software es respetuoso con la privacidad
El software que uso es respetuoso con la privacidad? Antes de empezar a relatar mi experimento personal sobre el abandono de GAFAM y proponer alternativas de software más respetuoso con la privacidad, me gustaría enumerar las pautas por las que se puede evaluar un software o una aplicación en lo que se refiere a la seguridad instrumental con la que podemos defender nuestros datos. Hay 4 directrices principales:
- Disponibilidad del código fuente
- Seguridad mínima por defecto
- Arquitectura
- Modelo de financiación
Disponibilidad del código fuente
La disponibilidad del código fuente es una cuestión esencial para determinar la seguridad del software. De hecho, la única forma posible de saber si lo que hace una determinada aplicación informática es realmente lo que afirman sus creadores es examinando su código fuente. Si el código fuente no está disponible (como pasa en la gran mayoría del software propietario), el usuario no tiene forma de saber qué hace la aplicación a la que confía sus datos personales. Por ejemplo: muchas aplicaciones como WhatsApp o Facebook intentan tranquilizar a sus usuarios asegurando que sus datos personales se eliminan de forma irreversible de sus servidores cuando sus clientes deciden darse de baja, pero sin analizar el código fuente no es posible saber a ciencia cierta si esto ocurre realmente o si estos datos simplemente se ocultan sin eliminarlas por completo. Afortunadamente, siempre ha habido una corriente de personas y organizaciones que desarrollan software de código abierto, es decir, haciendo público su código fuente. Gracias a estas personas y organizaciones hoy en día la mayoría del software propietario tiene una alternativa de código abierto o software libre.
Seguridad mínima por defecto
La seguridad mínima por defecto incluye todas las medidas de seguridad que están presentes en el software y están activadas por defecto. Por «seguridad» me refiero a todas aquellas medidas técnicas que tienen como objetivo defender el acceso, la transferencia y el almacenamiento de los datos de un usuario. La seguridad que debemos tener en cuenta a la hora de evaluar un software será siempre la seguridad mínima establecida por defecto. Con esto quiero decir que es casi inútil que un software tenga la opción de establecer niveles de seguridad muy altos si estos no están habilitados por defecto, porque la mayoría de usuarios utilizarán la configuración con la que el software está preestablecido. Una buena práctica a seguir podría ser hacernos siempre una serie de preguntas antes de utilizar un software: qué datos personales necesitaré revelar al software para poderlo utilizar (e.g. nombre y apellidos, número de teléfono, dirección de correo electrónico, ubicación, etc.)? Quién tendrá acceso a esos datos? Cómo y por cuánto tiempo serán conservados por el software? Qué permisos especiales necesita el software para poder funcionar en mi desktop/laptop/smartphone? Si el software sirve para comunicar con otras personas, quién tendrá acceso a mis conversaciones? Por cuánto tiempo? Pueden ser interceptadas? Se utilizan métodos de cifrado para proteger mis datos personales, mis conversaciones u otras actividades sensibles que se lleven a cabo con el software al guardar estas informaciones en un dispositivo o transferirlas entre dispositivos? Intentar contestar preguntas como estas nos dará una buena idea de cual es la seguridad mínima por defecto del software que queremos utilizar.
Arquitectura del software
La arquitectura del software, por su parte, define la estructura, el funcionamiento y la interacción entre sus diferentes partes. Por ejemplo, un software de comunicación puede desarrollarse con una arquitectura centralizada cliente-servidor, o una arquitectura de servidores federados o una arquitectura peer-to-peer. Una arquitectura centralizada con clientes que interactúan entre sí a través de un único servidor da al proveedor de servicios (es decir, el propietario del servidor) un poder desproporcionado. Este poder puede utilizarse para controlar nuestra actividad (por ejemplo, nuestra actividad de comunicación con terceros) pero posiblemente incluso para bloquear nuestra actividad de forma arbitraria y unilateral. Como contrapartida, aunque una arquitectura descentralizada por si sola no resuelve el problema (por ejemplo si muchos usuarios suelen acceder a través de pocos nodos), tiende a distribuir el poder de forma más horizontal.
Modelo de financiación
El modelo de financiación de la empresa u organización que proporciona un determinado software es otro elemento muy importante a tener en cuenta a la hora de evaluar un programa o aplicación informática. Vivimos en la era del extractivismo de datos, y si hay empresas como Google que nos “regalan” sus productos y servicios, es sólo a cambio de los enormes beneficios que pueden obtener de nuestros datos. Por el contrario, aunque no sea una garantía, si una determinada organización cobra un precio adecuado por un determinado producto/servicio o vive a través de la ayuda económica voluntaria de sus usuarios, es probable que no tenga como objetivo principal el generar beneficios a través de la explotación de nuestros datos.
A través de estas 4 pautas podemos hacernos una idea de hasta qué punto un determinado software o servicio es respetuoso con nuestra privacidad. En los próximos artículos trataré de revisar diferentes clases de programas y dar alternativas de software más respetuosos con la privacidad respeto a los ofrecidos por GAFAM.