Friday, January 2, 2009

Un software ubica laptops robadas sin violar la privacidad

Informáticos de las universidades de Washington y California han desarrollado un software que permite localizar portátiles robados sin comprometer la privacidad del usuario. A diferencia de sistemas parecidos comercializados por empresas especializadas, éste usa la criptografía para evitar que los datos de la posición de la notebook caigan en manos indebidas. Así, rastrea la posición del equipo, pero no de su dueño.

Este programa, que funciona con los principales sistemas operativos, es de código abierto, y sus creadores esperan que otros informáticos lo mejoren y extiendan sus usos.

Hoy en día, muchos portátiles sustraídos pueden ser recuperados con frecuencia gracias a software que transmite automáticamente su localización a un servidor central. Pese a que esta solución es buena, muchos expertos llaman la atención sobre la privacidad, ya que esta tecnología de seguimiento puede ser utilizada para espiar al confiado dueño.

Informáticos de las universidades norteamericanas de Washington y California, liderados por el profesor Tadayoshi Kohno, han desarrollado un software que permite conocer la localización del dispositivo, pero, al contrario de los servicios comerciales al uso, sólo su dueño legítimo tiene acceso a esa información.

“Si pierdes tu portátil, un servicio comercial te puede decir dónde se encuentra justamente ahora”, comenta Kokno en declaraciones a Technology Review. “El tema, desde el punto de vista de la privacidad, es que esto también significa que alguien que tenga acceso a la base de datos de la empresa que presta el servicio también puede seguirnos”.

En efecto, la mayor parte de los servicios de seguimiento requieren la instalación de programa en la máquina del usuario para poder actualizar periódicamente su base de datos con datos relacionados con la localización física del portátil, como son la dirección IP actual o la topología de la red local. Si la máquina es alguna vez sustraída, esta información será transmitida al servidor central la siguiente vez que alguien intente conectarse a Internet desde ese equipo.

Kohno y otros expertos han mostrado los problemas derivados de este modo de hacer las cosas. Según ellos, si se compromete la seguridad de los datos, se estaría proporcionando una manera relativamente sencilla de vigilar todos los movimientos del dueño del equipo. En el ámbito corporativo estaríamos hablando de espionaje industrial, por ejemplo.

Por añadidura, dado que estos datos pueden ser transmitidos y almacenados en un formato desencriptado, se estaría siendo vulnerable a ataques contra la base de datos. El nuevo software se llama "Adeona", y funciona de un modo diferente. Emplea varias técnicas criptográficas para mantener segura la información sobre la localización del portátil. La máquina que tenga instalado el software también mandará la información de su localización a un servidor central pero, a diferencia de otros, esos datos están encriptados y no pueden ser leídos sin la clave criptográfica que tiene el dueño.

Incluso si el equipo es robado, otros trucos criptográficos previenen que la información de rastreo y seguimiento caiga en las manos equivocadas. Cuando el usuario instala Adeona, se genera y almacena una clave criptográfica en un lugar diferente, como un DVD o una memoria USB. Esa clave se usa, a su vez, para generar un código único cada vez que una actualización de la posición se manda al servidor central. Finalmente, para prevenir que se pueda robar la clave original, el software vuelve a generar una clave cambiando la original de un modo aleatorio.

Adeona funciona con Windows, Macintosh y Linux. Para los usuarios de Mac, hay una herramienta extra que hace que el equipo saque fotografías con su cámara incorporada de manera periódica. De esta manera, se proporcionaría, en un momento dado, más evidencias a la policía.

Sus creadores apuntan que este sistema está sobre todo ideado para mejorar la privacidad de los sistemas de rastreo de portátiles robados. Esto quiere decir que no sirve para evitar robos, ya que un ladrón puede quedarse con el disco duro antes de que se conecte a Internet, o sea, antes de que el sistema lo localice.

En general, la acogida de este nuevo sistema ha sido positiva. La empresa Calyptix Security lo ha testado en sus propios sistemas durante meses y han comprobado que, si el ladrón es poco cuidadoso, el software dispone del tiempo suficiente como para hacer su trabajo de localización.

“Es más sencillo construir un sistema de recuperación de portátiles que no tenga en cuenta la privacidad que uno que sí la tenga”, comenta Aviel Rubin, profesor de informática de la Universidad John Hopkins. Hace referencia a que la mayor parte de los expertos se preocupan de las capacidades de almacenamiento de datos, olvidándose del tema de la privacidad. “Comprobar que se están haciendo esfuerzos para crear algo que no compromete la seguridad pero que mantiene su potencial es refrescante”, dice Rubin.

Hay otra cosa que hace de Adeona una herramienta muy atractiva. Sus creadores han querido que sea de código abierto. Esto quiere decir que cualquiera puede ver que no tiene “puertas traseras”, y que realmente preserva la privacidad de quien lo instala.

Los investigadores están trabajando ahora en una versión para el iPhone. Kohno espera que otros desarrolladores de software contribuyan en este proyecto. “Tenemos la esperanza de que otras personas cojan esta idea y la extiendan en otras direcciones para hacerla más útil todavía”, dice Kohno.

No comments: