Boletín de Privacidad de z3r0trust #45–20

Un agradecimiento especial a @151mp137471n por traducir del inglés al español

“La gente nos ha confiado su información más personal. No les debemos nada menos que la mejor protección les podamos brindar.” — Tim Cook, en la Cumbre de Ciberseguridad de la Casa Blanca, febrero de 2015

Saludos, lectores. Bienvenidos la edición post-electoral del boletín Privacidad. Alégrense, una nueva era está sobre nosotros. He tomado la decisión de hacer de esta serie, a partir de ahora, un boletín semanal. Voy a reducir la longitud del contenido de lo que ha sido una serie esporádica de artículos sobre privacidad, algunos de los cuales fueron un poco largos de leer dada la cantidad de novedades que hay sobre privacidad en el correr de un mes. Los boletines semanales van a ser más cortos, más rápidos de escribir para mí, y estarán numerados según el número de la semana, seguido por un guión y el año. Las ediciones publicadas anteriormente se podrán encontrar como siempre en el enlace de mi perfil. Este boletín será una lista cuidadosamente curada de noticias e información relacionada con la privacidad.

Esta semana en las novedades sobre privacidad digital, analizaré la privacidad en relación con la información de los votantes, las expectativas de privacidad de los usuarios de Internet, y la aprobación del CPRA.

¿Qué tan privados son los datos de nuestra votación?

La transparencia es fundamental en el proceso de votación democrática de Estados Unidos. Por lo tanto, no debería ser una gran sorpresa que la información de los votantes sea considerada información pública. Dependiendo del estado en el que vivas, tu información electoral puede ser accesible a cualquiera o estar limitada a ciertos grupos y/o investigadores.

Los registros de votación del Estado incluyen tu nombre, dirección y afiliación partidaria, pero eso no es todo. Según Findlaw, los estados pueden recopilar y almacenar otra información de identificación personal (IIP) como tu fecha y lugar de nacimiento, sexo, nombre del padre o apellido de soltera de la madre, número de seguro social, identificación militar, número de pasaporte, licencia de conducir, firma, direcciones actuales y pasadas, distrito electoral, dirección de correo electrónico, número de teléfono, afiliación partidaria, fechas anteriores de votación, por quién votaste, votos en ausencia, recintos, agencia de registro, asistencia requerida, condenas anteriores por delitos graves, última fecha de servicio como jurado, estado activo o inactivo, e incluso la fecha en que se actualizó la información por última vez. Eso es demasiada IIP como para dejarla accesible al público.

¿Alguien más ve un problema aquí? Yo sí lo veo. Desde el punto de vista nacional, cada estado debe ser limitado en lo que se le permite o no hacer público. El público no debe tener acceso a nada excepto a información mínima como nombre, dirección, afiliación a un partido y registro de votantes. Entonces, si existe una necesidad válida, revelar esa información, y sólo para un propósito oficialmente reconocido. De lo contrario, tenga la amabilidad de irse a la mierda. Lo último que quiero son 20.000 llamadas y mensajes de texto de spam político cada vez que haya una elección. No necesitan mi número de teléfono. Lamentablemente, nuestros débiles legisladores se preocupan más por los sobornos de los grupos de presión de donantes ricos y corporaciones que por la aprobación de leyes de privacidad significativas para los norteamericanos.

Por ahora, estamos atascados en reglamentos estatales que definen quién puede solicitar una lista de votantes, qué información puede ser compartida públicamente y con quién, y cómo puede ser utilizada esa información. En algunos condados, tu registro de votación puede ser solicitado por y compartido con partidos políticos y candidatos, fuerzas del orden, funcionarios del gobierno, empresas, académicos, periodistas, e incluso miembros del público en general. Consulta a la Conferencia Nacional de Legislaturas Estatales para obtener más información.

Findlaw menciona que ciertos estados tienen programas que permiten mantener confidencial al menos alguna parte de su registro de votantes. Las personas que califican para ésta protección incluyen:

  • Víctimas de violencia doméstica − todos los estados EXCEPTO GA, IL, MI, SC, SD, TN, WY.
  • Víctimas de crímenes, personas con órdenes de protección, y miembros de la familia − TX, OK, NY, MD, KS, HI, VA, DE, CA.
  • Oficiales de la ley − VA, OK, MT, MO, MD, LA, HI, CA, AZ.
  • Cónyuges de las fuerzas del orden − TX, OK, HI.
  • Proveedores médicos de salud reproductiva, empleados, voluntarios o pacientes — CA.
  • Jueces y abogados estatales y federales retirados − VA, TX, OK.
  • Padres adoptivos — VA.
  • Miembros del servicio uniformado — OK.
  • Votantes pre-registrados menores de 18 años — CO.
  • Víctimas y testigos bajo protección − MO, MD.
  • Cualquier votante que pida que su registro sea clasificado como privado − UT, NV, DC, AK, AZ.

El acceso legal a los registros de los votantes puede revelar mucho sobre cada uno de los que participamos en el proceso. Por supuesto, ha habido problemas con el acceso ilegal a los registros de votación. Como han advertido repetidamente otros expertos en seguridad informática, los sistemas de votación de Estados Unidos son vulnerables a la piratería o a la manipulación maliciosa tal como existen actualmente. Algunos más que otros, porque cada condado estatal tiene permitido usar sus propios sistemas. En 2018, millones de registros de votantes de 19 estados fueron puestos a la venta ilegalmente por un actor de amenaza desconocido en la Red Oscura.

No hay una expectativa razonable de privacidad en Internet

Los usuarios de Internet deben comprender que no hay una expectativa razonable de privacidad cuando se visitan sitios web o se utilizan otros tipos de servicios proporcionados por un proveedor de servicios de Internet. Tú, el usuario, eres el producto como regla general y nosotros, como usuarios, estamos obligados a aceptar los Términos de Servicio y las Políticas de Privacidad del ISP. De hecho, incluso los sitios web que pueden no ofrecer ningún tipo de servicios a menudo utilizan cookies del navegador para rastrear tu actividad en sus sitios web y probablemente también han descubierto cómo recopilar y monetizar estos datos. Los usuarios están navegando por la Web en una infraestructura que fue construida y que es mantenida por empresas y otros usuarios que no te deben a ti, como visitante, ninguna expectativa de privacidad. Nuestras expectativas de privacidad en línea tienen que ser moldeadas de acuerdo a esta comprensión básica. Eso no significa que no podamos seguir presionando para mejorar la protección de la privacidad, pero no debemos esperar una privacidad total en Internet.

Sin embargo, nosotros, como usuarios, podemos crear nosotros mismos un cierto nivel privacidad en la medida de lo posible. Hay muchos recursos para mejorar nuestra privacidad. Podemos hacerlo limitando la información que decidimos poner en línea en primer lugar o incluso el hecho de si de verdad queremos usar o no un servicio en línea en particular (por ejemplo, Facebook, que tiene un historial de privacidad realmente malo). Podemos usar apodos, “handles”, alias u otros identificadores falsos para ocultar nuestras verdaderas identidades. No hay nada malo con eso. El ISP todavía puede recopilar cierta información técnica de identificación sobre el dispositivo con el que te conectas, como el tipo de dispositivo informático (por ejemplo, un smartphone, un ordenador, una tablet), el tipo de sistema operativo (SO) con el que funciona el dispositivo y la dirección IP desde la que te conectas.

Animo a los usuarios de Internet a que se tomen el tiempo de leer la política de privacidad de cualquier servicio en línea que utilicen, para que sean conscientes del tipo de información que se está recogiendo sobre ellos. También a que vayan más allá y configuren cualquier control de privacidad disponible en el sitio web que el ISP ofrece. Por ejemplo, Twitter, que permite hacer que los tweets sean privados.

Brechas de Datos y Exposiciones de Privacidad

El malware de rescate (o ransomware) está demostrando ser la “próxima generación” de amenaza de violación de datos, ya que ha evolucionado en los últimos años para incluir la extorsión de dinero a las víctimas infectadas y la fuga de segmentos o el vertido completo de datos sensibles en la Red Oscura. Si un sistema está infectado con malware de rescate, entonces hay una probabilidad muy alta de que los atacantes también hayan podido extraer datos de los sistemas infectados. Las infecciones por malware de rescate son sólo un tipo diferente de violación de datos. Lo que es peor es que hay organizaciones ingenuas que les siguen pagando a los ciberdelincuentes, lo que hace que sea un negocio lucrativo.

Si nadie les pagara a estos criminales, naturalmente habría menos motivación para continuar con este tipo de infecciones. Especialmente si, como sucede ocasionalmente, los ciberdelincuentes son arrestados por las autoridades policiales. Sin embargo, incluso después de haber recibido el pago de un rescate por parte de los tontos ejecutivos de la empresa, algunas bandas de rescate venden los datos robados en la Red Oscura al por mayor o incluso hasta por partes para obtener un beneficio, lo que demuestra una vez más por qué absolutamente nadie debería pagar un rescate. Cuenta tus pérdidas, restaura tus copias de seguridad (esperemos que haya sido lo suficientemente inteligente como para tenerlas) y recupera tus sistemas. En lugar de ello, las bandas de rescatadores están obteniendo beneficios de los datos cifrados al menos dos veces.

La banda de rescate Sodinokibi/REvil infectó recientemente con éxito al Flagship Group en Norwich, Inglaterra, a través de un correo electrónico de phishing que resultó en el compromiso de algunos datos del personal y de los clientes. Esta banda es conocida por exigir un rescate y luego subastar los datos en la Red Oscura.

Se informa que un hacker está vendiendo 34 millones de registros de usuarios de 17 empresas diferentes en un foro de hackers de la Red Oscura. Algunas de las empresas que afectan a los usuarios en los EE.UU. son Katapult, Toddycafe, Invidio y Fantasycruncher.

Principales Demandas Relacionadas a la Privacidad

La Clínica Mayo está siendo demandada en un juicio colectivo por una violación de datos supuestamente causada por un interno de la clínica que pudo acceder indebidamente a más de 1.600 historias clínicas de pacientes porque no se aplicaron los controles de privacidad adecuados. El informante accedió a los nombres de los pacientes, sus fechas de nacimiento, información demográfica, notas de la clínica y, en algunos casos, incluso imágenes de los pacientes.

Puede que no te des cuenta, pero el Departamento de Vehículos Motorizados (DMV) de tu estado es un enorme corredor de datos que está autorizado a recoger tu información personal y venderla con fines de lucro a otros agentes de datos e incluso a investigadores privados. Así es, lo has leído bien. Ahora, ten en cuenta que esta es una agencia gubernamental que opera en los 50 estados y a la que cada persona está obligada a dar su información de identificación personal para poder obtener una licencia de conducir o una tarjeta de identificación. El DMV de California ganó 52 millones de dólares en 2017 y el de Florida 77 millones el mismo año. La mierda está fuera de control. Definitivamente no puedes confiarle tu información personal ni a tu propio gobierno.

El DMV de todo el país puede recoger y vender tu información personal gracias a una enorme ley llamada “Ley de Protección de la Privacidad del Conductor” (DPPA por sus siglas en inglés) aprobada en 1994. Esta ley fue creada específicamente para proteger la información personal de los conductores y limitar la que es públicamente accesible luego de que la actriz Rebecca Schaeffer fue asesinada por un acosador que obtuvo la dirección de su casa a través de un investigador privado. Los legisladores dejaron algunos agujeros que aún deben ser tapados cuando redactaron esta ley, porque los de la DMV están vendiendo información privada a cualquiera que esté dispuesto a pagar por ella. Ésto es lo opuesto a la protección de datos, es una operación de chantaje a nivel estatal. Es algo que hay que arreglar lo antes posible.

LexisNexis, un corredor de datos real, fue demandado en un juicio colectivo después de que la compañía supuestamente vendió datos del DMV a bufetes de abogados. Llegaron a un acuerdo con los demandantes por 5 millones de dólares, lo que en mi humilde opinión no es suficiente. Abusaron de la información del DMV. Sabían que lo que hacían estaba mal, o de lo contrario habrían llevado el caso a juicio y se habrían defendido. Llegaron a un acuerdo para evitar ser aplastados por las multas aún más altas que les habría impuesto el tribunal.

Cambios en la Legislación Sobre Privacidad

La privacidad fue un tema claramente importante para los votantes de algunos estados durante las últimas elecciones nacionales. Tanto los votantes de California como los de Michigan aprobaron leyes sobre privacidad. Michigan aprobó la Propuesta 2, que requiere que las fuerzas del orden obtengan órdenes de registro antes de confiscar datos electrónicos de nadie. En un gigantesco dedo medio al mundo y a muchos de los llamados “expertos” en privacidad que dijeron que la Propuesta 24 de California era una ley mal escrita, los votantes de California aprobaron la Ley de Derechos de Privacidad de California (CPRA, en inglés) en las elecciones de esta semana.

Esta nueva ley requerirá que las empresas de todo el mundo que hacen negocios en el estado de California cumplan con la nueva ley. La CPRA, que algunos han llamado “CCPA 2.0” (Ley de Privacidad del Consumidor de California de 2018) hace algunos cambios nuevos a la CCPA que entrarán en vigor dentro de un par de años, el día de Año Nuevo de 2023.

Además de redefinir algunos términos importantes de la ley CCPA, como “venta” y “proveedor de servicios”, la ley CPRA otorga más derechos a los consumidores, exige la minimización de los datos y establece una nueva Agencia de Protección de la Privacidad de California (CPPA) que hará cumplir las normas de privacidad y, de ese modo, aliviará algunas de las cargas que actualmente pesan sobre la Oficina del Fiscal General del Estado. La ley podría ser más fuerte en muchos sentidos pero, en términos generales, es un avance. Los californianos obtendrán algunos derechos de privacidad como los de la GDPR europea:

  • El derecho a corregir la información personal inexacta que los negocios tengan sobre ellos.
  • El derecho a no que no se use su información personal en ningín software de toma de decisiones automatizado que perfile a los consumidores en función de las evaluaciones, la situación económica, el comportamiento, la ubicación, la salud, las preferencias personales, etc.
  • El derecho a restringir el uso de información personal sensible como datos de localización GPS, raza, religión, orientación sexual, números de seguro social y cierta información personal de salud que no sea de la HIPAA.
  • El derecho a la portabilidad de los datos, que requiere que las empresas envíen cierta información personal a otra entidad comercial en un formato estructurado, de uso común y legible por máquinas cuando los consumidores deseen trasladar sus datos a otra empresa.

La Saga de Reconocimiento Facial Continúa

La ciudad de Portland, Oregón, aprobó la Pregunta B del referéndum, que esencialmente prohíbe la vigilancia facial por parte de funcionarios públicos y departamentos de policía. El público puede demandar a la ciudad si los datos de vigilancia facial se obtienen o se utilizan ilegalmente.

Las escuelas de Río Rancho, Nuevo México, compraron 71 cámaras/tablets térmicas para monitorear la temperatura corporal de los estudiantes y el personal ¡a aproximadamente $2,268 cada una! Las tablets “GoSafe” fabricadas por la empresa OneScreen serán utilizadas por los funcionarios de estas escuelas para tomar las temperaturas los alumnos, escaneando la frente de los estudiantes en busca de de temperaturas elevadas.

El problema es que estas tablets GoSafe también traen preinstalado un software de reconocimiento facial que sin duda guardará estos datos en alguna base de datos de almacenamiento en la nube que no estará debidamente asegurada o donde los datos de FRS se compartirán con corredores de datos o con agencias gubernamentales. Aparentemente, docenas de distritos escolares ya han comprado estos dispositivos OneScreen.

“Es un caballo de Troya”. — Shobita Parthasarathy, Profesora de Política Pública, Universidad de Michigan

Hmm… ¿Será que huelo una futura demanda colectiva a un distrito escolar cerca de Río Rancho, Nuevo México? Las cámaras térmicas de las tablets son de bajo riesgo con respecto a la privacidad de los datos. No fue hasta que la compañía OneScreen se deslizó en el software de reconocimiento facial gratuito que las alertas rojas de la alarma de privacidad se dispararon.

Tácticas, Técnicas y Procedimientos de Privacidad Destacados

Filtro de Contenido de Red Casero

Si tienes algunas habilidades técnicas básicas, puedes construir fácilmente tu propio filtro de contenido de red doméstica casero con un Raspberry Pi, que no sólo mejorará la seguridad de tu red, sino que también te dará un mayor nivel de privacidad de datos. Piensa en todos los datos importantes y sensibles, fotos personales, películas, información bancaria y archivos que has guardado en tus ordenadores personales. Ahora, considera que cada dispositivo conectado a WiFi representa una posible superficie de ataque a tu red WiFi doméstica desde la que los atacantes pueden entrar y explorar tu red. ¿Ya capté tu atención? Sí. Es grave, así que no te apures a descartar formas ingeniosas como ésta para ayudar a proteger tus archivos personales. Consulta el enlace para obtener más detalles, pero este es un proyecto de hazlo-tu-mismo bastante fácil para gente con conocimientos básicos de tecnología.

Consejo de Evasión de Vida Privada y Anonimato de Baja Tecnología

Una de las medidas más sencillas que puedes tomar para proteger tu red WiFi doméstica es segmentarla adecuadamente. La mayoría de los routers WiFi modernos son de doble o triple banda, lo que significa que emiten señales usando dos bandas de frecuencia para que los dispositivos se conecten: 2,4 GHz y 5 GHz. Un router de tres bandas sólo proporciona a los usuarios una banda adicional de 5 GHz. Todos los dispositivos de mierda de Internet de las Cosas (IoT) probablemente fueron fabricados con la menor cantidad posible de seguridad, porque una buena seguridad les cuesta a los fabricantes dinero extra, que prefieren ahorrar. Aprende más sobre la seguridad de los dispositivos de IoT de mierda aquí, si te interesa.

Por el contrario, prefieren fabricar sus dispositivos de IoT de mierda en lugares como China o Malasia por tarifas más bajas y con la menor cantidad de seguridad que se les exige. Luego, si se descubre alguna vulnerabilidad importante en el camino, sacarán un parche de firmware del que no se alertará a nadie, porque ¿cuántos consumidores se toman realmente el tiempo de comprobar los sitios de los vendedores o de registrar sus dispositivos con el vendedor? Muy pocos. Seamos honestos, la mayoría de la gente no tiene el hábito de parchear sus dispositivos IoT. Es típicamente un tipo de compra de “enchufar-conectar-olvidar”.

Esto es todo para la presente edición del boletín de Privacidad. Espero que hayan disfrutado del contenido y en tal caso, recuerden mostrar su agradecimiento. Gracias amigos, y hasta la próxima vez.

No confies en nadie. Verifica todo. No dejes ningún rastro.

Additional Digital Privacy Resources:

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, 16, 17, 45–20, 46–20

Web Anonymization Techniques 101 | EFFector | https://www.privacytools.io/

think bad, do good | cybersecurity & privacy engineering | keybase.io/d3structo

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store