El problema de los metadatos y por qué ahora uso Tor

Portada

Si has estado leyendo mis posts sabrás que me gustar comparar internet con la línea telefónica. Tanto tu red doméstica como la del servidor al que te conectes tienen una dirección IP, equivalente al número de teléfono, y hacer la conexión equivale a llamar a su dirección. A diferencia de un teléfono tradicional, las IPs cambian cada cierto tiempo, pero aun así es suficiente para hacerse una buena idea de quien eres y donde estás. Ambos sabéis quien es el otro. Desde esta web puedes ver tu dirección y la ubicación que compartes al resto del mundo. Esto de por si ya es algo incómodo de pensar, aunque se puede solucionar usando una VPN. Pero esa no es la peor información que pueden sacar de ti.
La legislación europea permite almacenar las direcciones IP de clientes durante un tiempo y con fines meramente técnicos, pero prohíbe hacerlo durante periodos largos y, sobre todo, con fines analíticos. A no ser que hayas dado consentimiento, claro. Esto es parte de lo que aceptas cuando quieres quitar el típico cartelito molesto de cookies, piénsalo la siguiente vez que lo hagas.
Lo que si que es legal es recopilar analíticas de forma anónima, y eso mismo hago yo en esta web. Tengo montado un servicio de Umami que acaba de apuntar que has entrado a este post. Así puedo ver cuantas visitas tiene mi blog o si no tiene ninguna y le estoy hablando al aire.
En principio no debería haber nada raro ni preocupante, por como está diseñado internet el servidor al que te conectas sabe que lo estás haciendo, al final alguien tiene que responder a esa llamada. Pero ayer empecé a notar cosas algo extrañas.
Estoy acostumbrado a ver de vez en cuando visitas esporádicas de crawlers de Google y otros servicios. Bots que exploran internet para indexarlo en sus buscadores. Pero de repente esas conexiones fugaces se empezaron a multiplicar, varias al día en vez de alrededor de una a la semana. Y también dejaron de venir de sitios como Estados Unidos o Rusia y empezaron a venir de Galicia o Castilla la Mancha.
screenshot

He investigado un poco y creo que es algo bastante terrorífico. Creo que son móviles y ordenadores de lectores legítimos de mi web.
Quiero mires el navegador de tu móvil. Es probable que ahora mismo tengas varias decenas de pestañas abiertas y olvidadas a las que entraste hace semanas y a las que no pretendes volver. Si tienes configurado que el navegador de tu ordenador guarde las pestañas entre sesiones puede que te pase lo mismo, llevarás días arrastrando varias. Y es que aparentemente dejarlas abiertas es más cómodo que volver a escribir la url.
Resulta que tu navegador, con la intención de que tu dispositivo no explote cuando abres tantas webs a la vez, desactiva aquellas que tengas más abandonadas. Pero como tampoco es admisible que te comas pantallas de carga, se adelanta a ti y restaura las que piensa que vas a querer usar. Al hacer esto reenvía información sobre tus estadísticas y el dueño de la web acaba siendo capaz de medir exactamente como usas tu navegador.
Quizá te parezca una exageración, pero gracias a esto se puede medir si coges el móvil según te levantas por la mañana, si lo has mirado en mitad de la noche, que días de la semana estás trabajando y lo usas menos, cuales estás de vacaciones y lo usas de forma menos predecible... Y recordemos que servicios como Umami no permiten trazar al usuario original, pero otros como Matomo o los típicos de Google si que lo hacen. Además estos sistemas telemétricos no se limitan únicamente a páginas web. Muchas aplicaciones de las que usas, o incluso tu sistema operativo si es que usas Windows o MacOS, te están espiando constantemente.
Puede que no te preocupe demasiado, sobre todo si no se puede relacionar directamente contigo, en ese caso te recomiendo ver el documental que hizo Tamayo sobre este tema.
Si por el contrario ya tengo tu atención te estarás preguntando que podemos hacer para evitarlo. La verdad es que sigo en proceso de buscar una solución, pero ya tengo alguna idea.
En mi caso, ya que todas las herramientas que uso para trabajar y requieren de internet por como funcionan las tengo autoalojadas en mi propio servidor (como describo en este post), puedo filtrar todo el tráfico de mis dispositivos para que solo se puedan conectar a él y a un par de urls de confianza. Por otro lado, para surfear por la web, ya sea por investigación o entretenimiento estoy empezando a usar Tor Browser. Puede que te suene porque se labró una fama algo polémica por ser la puerta de entrada a la deep web, aunque no hay nada que temer, en verdad es un navegador muy sencillo.
El logotipo de Tor es una cebolla, y es que ambos funcionan como un ogro, por capas. Como decía antes, internet funciona como una red telefónica y tú siempre eres capaz de saber quien te está llamando. La solución entonces es que llame otra persona por ti. Cuando entras a una web por Tor no te conectas directamente a ella, sino que entre ti y el servidor la conexión pasa por tres nodos intermedios que cambian constantemente. Así se genera una especie de teléfono escacharrado donde la única información que se pierde es tu propia dirección. Cada vez que te conectas a una web, para ella eres una persona diferente en sitios completamente distintos del mundo. Tor funciona de manera análoga a una VPN, pero además es descentralizado, de forma que no tienes que confiar en ninguna empresa para no ser identificado. (Recuerda de todas formas usar siempre https para que nadie pueda husmear tu tráfico)
tor

Además de esto se encarga de hacerte intrazable por otros muchos sistemas. Imagino que ya sabías que las cookies se usaban para trazarte, pero, ¿sabías que también te identifican por tu hardware, resolución de pantalla o fuentes instaladas? Esto se conoce como Browser Fingerprinting. Tor se encarga de falsear estos datos para camuflarte con el resto de usuarios, haciendo imposible identificarte.
Es esta seguridad extrema la que lo ha hecho popular para actividades ilegales y lo que le ha ganado esa mala fama, pero puedes ver como al igual que siempre, el problema no es la herramienta sino como se use.
Si te ha gustado este post te invito a dejar un comentario aquí abajo y seguir leyendo mi blog, pero por favor, cuando acabes cierra esta pestaña.

Seguiré probando diferentes herramientas para mejorar la privacidad, iré escribiendo sobre mis nuevos hallazgos. Si quieres estar pendiente a las nuevas publicaciones puedes seguir mi RSS.