Boletín de Privacidad de z3r0trust #17

Un agradecimiento especial a @151mp137471n por traducir del inglés al español

“La privacidad no es una opción y no debería ser el precio que aceptamos por sólo entrar en Internet”. — Gary Kovacs, ex CEO de AVG Technologies

Bienvenidos una vez más a esta escalofriante edición preelectoral, entrega número 17 del Boletín de Invisibilidad Digital. En este ejemplar adoptaré un enfoque apolítico de varios de los acontecimientos de privacidad que han surgido en el último mes. Hay mucho en juego en todos los niveles de gobierno por las elecciones presidenciales de EE.UU. de 2020, pero ésta es una serie sobre privacidad, no sobre política. Mi objetivo es ayudar a difundir conciencia sobre la privacidad y la seguridad mientras lucho por una buena causa.

Despotricamiento de Privacidad

La libertad de expresión es la libertad de cada Estadounidense a expresarse libremente según la Primera Enmienda, pero algunos ciudadanos con poca educación no comprenden que hay, de hecho, límites a lo que se puede decir. En la privacidad de tu casa, puedes decir lo que quieras. Sin embargo, si decides hacer comentarios públicos en algún lugar, ya sea en internet, en un diario, revista, o libro, no pueden ser obscenos, difamatorios (ni calumnias), ni contener pornografía infantil, o chantaje, ni incitar al crímen, o hacer amenazas, o cualquier crímen de acuerdo a lo definido por el Freedom Forum Institute. Esto es muy lindo en teoría, pero es muchísimo más difícil de hacer cumplir en el mundo real. “Hola necesitamos una limpieza de libertad de expresión en el pasillo 4, por favor.”

Hay límites a la libertad de expresión de la misma forma que hay límites a la privacidad cuando estás en público. En casa, puedes ser tan privado como quieras. Baja esas cortinas, apaga la luz del porche, no atiendas la puerta, enchufa esa VPN y ese Navegador Tor. En público, sin embargo, no puedes esperar tener el mismo nivel de privacidad. Por ejemplo, si te quieres tomar un ómnibus del transporte público que tiene cámaras de CCTV por razones de seguridad tienes que someterte a ser grabado. A la municipalidad sólo le importa mantener seguro el sistema de transporte público. No le interesa si la policía luego utiliza ese sitema de viligancia de CCTV para rastrear personas con un sistema de reconocimiento facial.

Puede sonar contradictorio viniendo de un defensor de la privacidad como yo, pero piensa esto con cuidado. Hay algunos tipos de vigilancia que tienen sentido al pensar en el bien común de una sociedad libre. El tipo de monitoreo de las Redes Sociales y la Inteligencia de Código Abierto (OSINT) que llevan a cabo las organizaciones responsables del cumplimiento de la ley y la Comunidad de la Inteligencia como el FBI, NSA, CIA, DHS, y otros es, me atrevo a decir, un mal necesario si queremos vivir libremente y seguir con nuestras vidas sin el miedo constante al terrorismo. Además, es algo que va a pasar tanto si nos quejamos sobre la privacidad como si no. No vamos a cambiarlo o impedir que pase. La infraestructura fue diseñada y construida para el monitoreo a una escala enorme, no solo para los Estadounidenses sino a nivel global.

Aunque eso no siempre está mal. Si te roban a punta de pistola en el cajero automático, probablemente estarás de acuerdo en que las cámaras de vigilancia son útiles para detener al ladrón que huyó con tu dinero. Son una invasión masiva de la privacidad personal, pero hay casos de buen uso, a veces. Si podemos establecer que es necesario algún grado de vigilancia para garantizar la seguridad nacional y la seguridad pública en general, entonces también es lógico que tiene que haber salvaguardias específicas para proteger nuestra privacidad para que no se abuse de esta autoridad. Esa vigilancia, sin embargo, no se puede dar correctamente cuando quienes inspeccionan a éstos organismos gubernamentales son intimidados por un comandante en jefe que los despide por investigar una denuncia. Por lo tanto, si bien creo que debería haber cierto nivel de vigilancia, es necesario revisar todo el sistema dada facilidad con la que puede ser corrompido por altos funcionarios del gobierno que, a su vez, son muy posiblemente corruptos.

Considero que este argumento es muy similar al reciente y controvertido llamado a desfinanciar los departamentos de policía después de la muerte de George Floyd o al llamado a abolir el ICE por su tratamiento poco ético de los inmigrantes ilegales. Sostengo que hacer cualquiera de estas cosas sería un error, porque el caos que se produciría sería aún peor. En cambio, sostengo que lo que se necesita para reformar esos organismos son leyes de rendición de cuentas más estrictas que los funcionarios encargados de hacer cumplir la ley estén obligados a cumplir, pero que en verdad se hagan cumplir en lugar de hablar de la boca para afuera. Una vez que se sepa que Jimmy de la comisaría 25 está cumpliendo una sentencia de por vida por descargar su revólver de servicio contra una familia de minorías desarmadas, las cosas empezarán a cambiar, ya que los castigos son más frecuentes y más consistentes. Desfinanciar y abolir estas agencias gubernamentales locales, estatales y federales, en la mayoría de los casos, hará más daño. Pero, ¿qué tiene que ver todo esto con la privacidad?, te preguntarás. Sé paciente.

Al contrario de lo que algunos creen, realmente necesitamos a la policía para hacer cumplir las leyes. No te equivoques al pensar que las comunidades protegerán eficazmente a su propia gente. Eso nunca ha funcionado. Pronto se convertirá en la ley del que tenga más armas y reglas más agresivas. No queremos eso como sociedad. Lo que NO se necesita son policías corruptos que abusan de su autoridad, matan a gente inocente, y a quienes no se les pide que rindan cuentas. SE NECESITA una reforma para quitarles algo de autoridad a estas organizaciones y que nuestros derechos de privacidad no sean constantemente pisoteados. Pareciera que todas las agencias de policía en América están usando órdenes de búsqueda geolocalizadas para que los proveedores de telefonía celular apunten a los manifestantes, usando Stingrays para interceptar llamadas telefónicas y recolectar datos de personas que no son sospechosas para exponerlos a la policía, y que estas agencias de policía están comprando el uso de servicios de rastreo satelital de terceros que son usados para rastrear a los estadounidenses.

Necesitamos al Servicio de Control de Inmigración y Aduanas (ICE) para atrapar a los fugitivos extranjeros violentos y los criminales que están en el país ilegalmente. ¿Necesitamos que los agentes de ICE monitoreen los teléfonos y lectores de matrículas automatizados conectados a cámaras de vigilancia de CCTV para rastrear a los inmigrantes indocumentados? La inmigración es una discusión a parte, pero se entrelaza con la privacidad, ya que los métodos que usan agencias como el ICE y el CBP para rastrear a la gente no sólo violan la privacidad de los inmigrantes, sino también la de los ciudadanos naturales. Hay un viejo dicho que a menudo se atribuye falsamente al famoso autor George Orwell que dice,

“La gente duerme pacíficamente en sus camas por la noche sólo porque los hombres rudos están dispuestos a ejercer la violencia en su nombre”. ~ Richard Grenier, quien adaptó las ideas de George Orwell.

Necesitamos a estos “hombres (y mujeres) rudos” para garantizar la seguridad de nuestra nación y nuestra forma de vida, ya sea en el ejército, en las fuerzas del orden o en alguna otra agencia. Se necesita cierto nivel de vigilancia, pero el alcance de ese “cierto nivel” es difícil de definir y depende de numerosos factores. Sin embargo, es cuando se abusa de la vigilancia que me opongo a ella y es también cuando debería oponerse cada ciudadano exigiendo una reforma a sus funcionarios electos. El problema siempre ha sido quién vigila a los que vigilan. Esta es una falla inherente a todo el sistema de gobierno. Por cada capa de burocracia que creamos, tiene que haber alguna agencia designada para proporcionar supervisión. La respuesta corta y no cualificada es que nadie vigila a los vigilantes. Quiero decir, piénsalo, ha habido muchos ejemplos a lo largo de la historia que demuestran este hecho. El gobierno existe para servir al pueblo, no lo olvidemos. En algún momento se ha adaptado para inventar también la necesidad de espiar a su propia gente para mantenerla “a salvo”.

Si el gobierno necesita espiar a sus propios ciudadanos para mantenerlos a salvo, cosa que yo afirmo que hace, entonces es lógico que cualquier cosa que publiques o hagas en la Internet libre esté sujeta a la vigilancia no sólo por parte de la empresa de tecnología que es propietaria de los servicios y la infraestructura, sino también del gobierno y las autoridades encargadas de hacer cumplir la ley que tienen la poco envidiable tarea de tratar de mantenernos a todos a salvo. Es el tipo de datos que estas entidades están autorizadas a recopilar y lo que hacen con ellos lo que necesitamos controlar rigurosamente como personas que están sujetas a un gobierno y control. Lo hacemos con nuestro voto. El problema es cuando se abusa de éste poder, y el tipo de monitoreo que se utiliza, con el cual discrepo.

“Un teléfono celular — casi un ‘rasgo de la anatomía humana’, … rastrea casi exactamente los movimientos de su dueño. Mientras que los individuos salen con regularidad de sus vehículos, llevan compulsivamente teléfonos celulares con ellos constantemente”, escribió el presidente del Tribunal Supremo. “Un teléfono celular sigue fielmente a su propietario más allá de las vías públicas y hasta las residencias privadas, los consultorios médicos, las sedes políticas y otros lugares potencialmente reveladores….. De acuerdo con esto, cuando el Gobierno rastrea la ubicación de un teléfono celular logra una vigilancia casi perfecta, como si hubiera fijado una tobillera electrónica al usuario del teléfono”.

Roberts dijo que los tribunales no podían ignorar esa intrusión simplemente porque la forma en que funcionan los teléfonos requiere compartir esa información con los proveedores de servicios inalámbricos.

“Dada la naturaleza única de los registros de localización de teléfonos celulares, el hecho de que la información esté en manos de un tercero no supera por sí mismo el reclamo del usuario a ampararse bajo la Cuarta Enmienda”, escribió el presidente de la Corte Suprema. “Ya sea que el Gobierno emplee su propia tecnología de vigilancia… o aproveche la tecnología de un operador inalámbrico, sostenemos que un individuo mantiene una expectativa legítima de privacidad en el registro de sus movimientos físicos capturados a través de CSLI (Información de Localización de Sitios Celulares)”.

La privacidad consiste en tener control sobre tus datos privados, ya sea tu historial de navegación por la web o lo que dijiste en alguna sala anónima de chat en 2002. Estamos muy lejos de tener ese nivel de control sobre nuestros datos privados en este momento, pero te propongo un nivel mayor de control a través de la práctica de limitar lo que decides poner en línea en un primer lugar.

“El gobierno no debería tener ningún papel en la colocación de puertas traseras secretas en la tecnología de encriptación usada por los americanos.” — El senador Ron Wyden, un líder demócrata, en el Comité de Inteligencia del Senado

Hay un sinfín de comentarios más sobre la privacidad de parte de influyentes funcionarios gubernamentales, pero ninguno de ellos parece haber sido capaz de hacer algo significativo para aplicar una legislación más estricta sobre la privacidad.

Brechas de Datos & Exposiciones de Privacidad

La librería Barnes & Noble fue víctima de una violación de datos el 10 de octubre, presuntamente perpetrada por la banda de ransomware Egregor. El ataque interrumpió los servicios online de libros electrónicos de la empresa Nook y también interrumpió temporalmente su sistema de puntos de venta en algunos establecimientos minoristas. Barnes and Noble envió un comunicado por correo electrónico (que también recibí personalmente) en el que se decía que las direcciones de correo electrónico de los clientes, las direcciones de facturación y envío, los números de teléfono y los historiales de transacciones de compra podían haber quedado expuestos como resultado de la violación de datos. Las pruebas de la filtración de datos de los clientes se verificaron en un sitio web oscuro que se sabe que es operado por la banda de ransomware Egregor.

Es importante señalar que ningún objetivo en línea está a salvo. Los ciberdelincuentes y los grupos de ciberamenazas atacarán a cualquier objetivo si hay algún tipo de recompensa económica que puedan obtener. Cada vez más, esa recompensa viene en manos de un ataque de rescate que va acompañado de un ataque de denegación de servicio (DoS). La defensa contra las violaciones de datos y sus consiguientes ataques con rescate consiste en reducir las superficies de ataque desinstalando las aplicaciones y servicios innecesarios de los sistemas operativos de las computadoras, aplicar automáticamente parches al software/firmware siempre que sea posible y supervisar los registros de eventos de los sistemas informáticos en busca de anomalías.

El Departamento de Servicios Humanos del estado de Georgia sufrió una violación de datos en la que atacantes desconocidos pudieron comprometer las cuentas de correo electrónico de los empleados. El departamento tomó una rápida acción para limitar los efectos del ataque bloqueando las cuentas y las direcciones IP de los atacantes. Sin embargo, éstos pudieron acceder a varios correos electrónicos que contenían información de identificación personal (PII) perteneciente a niños y padres involucrados en los Servicios de Protección Infantil (CPS) y la División de Servicios para la Familia y los Niños (DFCS) del DHS. La PII comprometida en los correos electrónicos era extensa incluyendo números de seguro social, nombres completos, direcciones, situaciones sentimentales, números de teléfono, correos electrónicos, fechas de nacimiento, reportes psicológicos, notas de consejería, diagnósticos médicos (protegidos por la HIPAA), información de abuso de sustancias e información de seguro médico.

Una aplicación de red social llamada True, promocionada por proteger la privacidad de los usuarios, dejó inadvertidamente expuesto en Internet uno de sus servidores de datos que volcaba información privada de sus usuarios. True es propiedad de Hello Mobile, un proveedor de servicios celulares poco conocido que opera con la red celular de T-Mobile. La aplicación True tenía una base de datos expuesta en Internet que no estaba protegida por contraseña y que contenía datos privados de los usuarios. Cuando TechCrunch se puso en contacto con Bret Cox, el director ejecutivo, éste no respondió a las preguntas sobre si haría lo correcto desde el punto de vista ético y notificaría a los clientes o a los reguladores. Este es un enfoque absolutamente equivocado. Los errores a veces suceden, admita su culpa, reconozca su culpa, tome medidas correctivas y siga adelante y mejore para la próxima vez que suceda. Habrá una próxima vez… La atención debe centrarse no sólo en hacer lo correcto cuando se produce una violación de datos, sino también en el diseño de aplicaciones y sitios web seguros que, por defecto, garanticen una mayor privacidad de los datos.

Principales Demandas Relacionadas a la Privacidad

El organismo de control de la privacidad de los datos del Reino Unido, la Oficina del Comisionado de Información, impuso a Marriott una multa equivalente a 23,5 millones de dólares por la violación masiva de datos de su cadena de hoteles desde marzo de 2018, que dio lugar a la exposición pública de más de 339 millones de registros de huéspedes en línea. El Reino Unido fue capaz de mapear 7 millones de víctimas de la violación del Marriott a ciudadanos del Reino Unido. Hasta el día de hoy, las autoridades de EE.UU. aún no han impuesto una multa a la cadena hotelera por la violación de datos que se produjo hace más de dos años y medio, pero eso no ha impedido que los organismos internacionales de control de la privacidad impusieran sus propias multas. Cabe preguntarse qué hará falta para que los legisladores estadounidenses promulguen una legislación similar, como el Reglamento General de Protección de Datos de la UE (GDPR) para que los estadounidenses impongan sanciones similares.

En caso de que te preguntes qué importancia tiene la vigilancia gubernamental y la supervisión de Internet en otros países, las autoridades francesas arrestaron este mes a cinco propietarios de bares y cafés de la ciudad de Grenoble por operar redes WiFi sin conexión en sus establecimientos para que los clientes las utilicen. Una ley francesa de catorce años de antigüedad (es decir, la ley #2006–64) exige que todos los proveedores de servicios de Internet (ISP) recopilen y mantengan registros de conexión a la red WiFi durante al menos un año. Las autoridades liberaron más tarde a los propietarios de los establecimientos, pero esto se hizo obviamente para enviar un mensaje de advertencia a cualquiera que proporcionara servicios gratuitos de Internet.

YouTube, de Google, se enfrenta a una demanda colectiva masiva de 3.200 millones de dólares por violaciones de la privacidad de GDPR que involucran a cinco millones de niños del Reino Unido. El Reino Unido sigue estando protegido por la GDPR hasta el 2021, pero también tiene su propia ley similar llamada la Ley de Protección de Datos del Reino Unido. La demanda alega que YouTube se dirigió a los niños con fines publicitarios. Es interesante que Google y YouTube no aprendieron la lección en 2019 cuando la Comisión Federal de Comercio (FTC) les impuso una multa de 170 millones de dólares por recopilar datos de menores con fines publicitarios sin el consentimiento de los padres, lo que constituye una flagrante violación de la Ley de Protección de la Privacidad de los Niños en Internet de los Estados Unidos (COPPA).

YouTube cree que basta poner una renuncia legal en su sitio web diciendo que su plataforma “no es para menores de 13 años”. Como padre que ha creado cuentas de YouTube Kids para que mis hijos puedan divertirse con videos apropiados para su edad, al crear la cuenta hay una opción de selección donde se supone que debes seleccionar el rango de edad del niño. Sin embargo, no importa si se crea o se inicia una cuenta de usuario, ya que YouTube, al igual que Google, rastrea todo lo que hace cualquier usuario en su plataforma a través de las cookies del navegador y otros datos de telemetría que pueden tomar las huellas digitales de los usuarios individuales. El problema aquí es que, por lo general, las multas que se imponen son “cambio suelto” para gigantes de la tecnología como Google. Sin embargo, estos 3.200 millones de dólares es casi seguro que exijan su atención. Esperemos que esto resulte en una reforma significativa de la protección de la privacidad.

La Comisión Irlandesa de Protección de Datos (DPC), está a punto de emitir una decisión ‘histórica’ sobre el PIBR que sentará un nuevo precedente sobre la forma en que las empresas tecnológicas transfieren datos a nivel internacional. La DPC ha estado investigando a Twitter desde principios de 2019 por una pequeña violación de datos ocurrida en 2018, incluso antes de que la empresa de tecnología sufriera una posterior violación de alto perfil en 2020. Twitter no cumplió con el requisito de notificación oportuna a los usuarios después de la violación de datos tal y como se especifica en el artículo 33 de dicha Ley de Protección de Datos. También es interesante el hecho de que varios gigantes de la tecnología de Silicon Valley han elegido establecer su sede mundial en Dublín, Irlanda, debido a sus tasas de impuestos extremadamente bajas. En lugar de pagar impuestos corporativos mucho más altos en los Estados Unidos, compañías como Google, Facebook, Slack, LinkedIn, Dropbox y Zendesk, así como muchas empresas incipientes de tecnología han establecido su sede en Dublín. Aunque no Twitter, lo que es bastante interesante. Twitter tiene su sede en Silicon Valley, San Francisco. Entonces, ¿se trata de un asunto de privacidad o es un asunto en el que Irlanda se está metiendo con una empresa de tecnología americana que no les paga ningún impuesto y canalizando los datos de los usuarios irlandeses de Twitter fuera de la UE al utilizar protocolos de transferencia no acordados? El tiempo lo dirá.

Cambios en la Legislación Sobre Privacidad

Como se ve en el mapa de la Asociación Internacional de Profesionales de la Privacidad (IAPP) (arriba), varios estados de los EE.UU. están empezando a aplicar una legislación más estricta de privacidad que debería preocupar a las empresas de tecnología como Facebook, Apple, Twitter, Microsoft, Google y Amazon. Es probable que pasen mucho tiempo en los tribunales con sus abogados. La firma de investigación global Gartner predice que para el año 2023, las regulaciones de privacidad aumentarán de un 10% actual a un 65% de cobertura mundial. Los tribunales de la UE han anulado el acuerdo de intercambio de datos del Escudo de Privacidad entre la UE y los EE.UU., debido a que los EE.UU. no tienen regulaciones de privacidad adecuadas que protejan igualmente los datos de los usuarios de la UE. Creo que 2023 es una predicción agresiva, pero ciertamente, para 2025, espero que haya un nivel mucho mayor de regulación de la privacidad implementada a nivel mundial. La gente está enfadada por la pérdida de privacidad y ¿quién le dio a estas empresas tecnológicas el derecho de recoger y vender tus datos privados?

En su último acto de rebeldía, el CBP se ha negado a decirle al Congreso cómo está haciendo para rastrear a los ciudadanos estadounidenses sin pedir órdenes de registro. El CBP confirmó al Senado que han solicitado los servicios de la base de datos de localización de Venntel para buscar información recogida de teléfonos en los EE.UU. sin ningún tipo de orden judicial. Es una señal de los tiempos bajo la actual administración política que una agencia gubernamental perteneciente al Departamento de Seguridad Nacional (DHS) y que está bajo el liderazgo del Secretario en funciones Chad Wolf se sienta con la suficiente confianza como para ignorar olímpicamente no sólo las demandas del Congreso de información sobre cómo rastrea a los estadounidenses sino también que también para violar abiertamente los derechos constitucionales de la Cuarta Enmienda. Nótese que Chad Wolf no está confirmado por el Senado como Secretario del DHS, pero sigue en funciones, lo que significa que fue nombrado para este puesto sólamente por la Casa Blanca.

Ahora, varios senadores en el comité para incluir a los senadores Wyden, Warren, Brown, Markey, y Schatz le están pidiendo a la Oficina del Inspector General del DHS (OIG) que investigue estas prácticas de vigilancia doméstica de teléfonos sin orden judicial de la CBP, para poder determinar si se están violando algunas leyes. Este es un claro abandono de los derechos constitucionales garantizados por la Cuarta Enmienda por parte de CBP y DHS que los ciudadanos no tienen por qué tolerar. La OIG del DHS probablemente encontrará que las prácticas de vigilancia de CBP son ilegales, pero la presión del DHS y el Poder Ejecutivo influirá en éstas opiniones. Predigo que hasta que la nueva rama ejecutiva y el Secretario del DHS no estén “instalados” por un medios electorales y posterior nombramiento y confirmación del Senado, estas atroces violaciones de la privacidad no cesarán.

La Saga de Reconocimiento Facial Continúa

En una bizarra historia que sirve para resaltar los peligros de la tecnología de reconocimiento facial cuando se utiliza de forma inapropiada, la nueva empresa de vigilancia Verkada se vio recientemente envuelta en su propia confusión de vigilancia inapropiada, cuando algunos empleados que trabajaban en su oficina de San Mateo, California, utilizaron las cámaras de vigilancia patentadas de la empresa, que están acopladas al software de reconocimiento facial de la empresa, llamado Face Search, para acosar a empleadas de la empresa y publicar instantáneas de sus fotos en un canal de Slack.

En lugar de despedir a los empleados implicados al presentarse las quejas a Recursos Humanos, se les dio la opción de reducir las opciones de compra de acciones, eliminar el canal de Slack o despedirlos. Hmm, ¿qué opción crees que eligieron? Sí, todos eligieron quedarse pero fueron eventualmente despedidos por el CEO cuando la historia se hizo pública. Si no se puede confiar en que la empresa que fabrica estas tecnologías de vigilancia las utilice de forma ética, ¿cómo esperas que las universidades, las empresas y los organismos de vigilancia que comercializan su tecnología tampoco lo hagan? Como dice el proverbio, “El poder absoluto corrompe absolutamente”. Las personas en posiciones de autoridad abusarán de su autoridad cuando se les presente la oportunidad, es la naturaleza humana. Si no hemos aprendido nada de la historia, al menos deberíamos haber aprendido esto.

Exposición de Privacidad en las Apps

Tomando como referencia los libros de jugadas del CBP y del ICE, el Servicio de Impuestos Internos (IRS) ha estado recolectando datos de localización recogidos por aplicaciones instaladas en dispositivos móviles. La unidad de Investigación Criminal (CI) del IRS se ha encargado de investigar el uso ilegal de los servicios de datos de localización del IRS que, una vez más, fueron proporcionados por Venntel. El IRS intentó sin éxito utilizar la base de datos de servicios de localización de Venntel, presumiblemente para localizar a evasores fiscales morosos, pero la información no estaba en la base de datos de Venntel. Sin embargo, tanto si se tuvo éxito como si no, sin una orden judicial, sigue siendo una violación de la ley. Este tipo de evasión legal de las agencias gubernamentales se ha vuelto endémica y debe ser detenida.

La CBP compró el acceso a los datos del servicio de localización global recolectados de aplicaciones comunes que recogen datos de localización (por ejemplo, aplicaciones meteorológicas o de redes sociales) de los usuarios que las instalan en sus teléfonos inteligentes que proporcionan datos de localización en tiempo real incluso más allá de las fronteras de los Estados Unidos. A menos que seas una persona paranoica y consciente de la privacidad, lo más probable es que tengas un teléfono inteligente y que tenga muchas aplicaciones instaladas en él. Algunas de esas aplicaciones están recogiendo todos tus movimientos. Empresas como Venntel, entre otras, han creado una industria en torno a la compra de acceso a datos de localización de las aplicaciones de los teléfonos inteligentes con el objetivo de rastrear a las personas en tiempo real mediante identificadores específicos que muestran dónde ha estado el teléfono. Venntel se ha negado a responder a preguntas sobre si está recopilando datos fuera de los Estados Unidos en Canadá, México o Europa porque saben que estarán sujetos a leyes de privacidad más estrictas que están violando. Este es otro ejemplo de cómo las empresas privadas están recogiendo los datos de los usuarios de su aplicación sin su permiso y vendiéndolos a los organismos gubernamentales encargados de hacer cumplir la ley.

El Instituto Nacional de Estándares y Tecnología (NIST) ha creado un desafío de tecnología de la privacidad con un premio de 276.000 dólares para quien sea capaz de diseñar una tecnología que dificulte el rastreo de grandes conjuntos de datos hasta los usuarios individuales. Las tablas de datos pueden ser ofuscadas con encriptación para ayudar a los principios del diseño seguro.

En otro ejemplo más de cómo los dispositivos electrónicos básicos pueden convertirse en dispositivos “inteligentes” de Internet de las cosas (IoT) y ser utilizados de manera abusiva para espiar dentro de casa, los investigadores de seguridad israelíes descubrieron que los controles remotos de Comcast TV pueden ser hackeados y utilizados como dispositivo de escucha remota de sonidos a pocos metros de la ubicación del control remoto. Esto es potencialmente una invasión masiva de la privacidad que Comcast necesitará parchear tan pronto como sea posible ya que más de 18 millones de hogares estadounidenses tienen a Comcast como su proveedor de televisión por cable. Otros controles remotos como los que vienen con los televisores Apple tienen micrófonos y permiten a los usuarios pedirle a “Siri” que les busque un programa de televisión y Amazon vende controles remotos que funcionan con los servicios de streaming de Amazon Prime para que los usuarios puedan pedirle a “Alexa” que encuentre películas o programas específicos. La ubicuidad de los dispositivos conectados a Internet y habilitados para micrófonos hace que la piratería de las redes WiFi domésticas y las empresas de tecnología que espían a los clientes sea una amenaza mucho mayor de lo que debería ser.

Las características de Google Maps incluyen una función Busyness que muestra información en tiempo real sobre qué tan concurrido está un lugar antes de que el usuario llegue, lo que si bien es útil durante la pandemia es un poco espeluznante incluso en esa circunstancia. Google sabe dónde están las personas en tiempo real, en qué tiendas compran, etc. Por lo tanto, incluso si no quieres utilizar las aplicaciones de rastreo de contactos, pueden utilizar la ubicación de tu teléfono para advertir a los demás sobre los establecimientos o zonas concurridas. Lo que parece una función práctica y conveniente también podría convertirse en una pesadilla de privacidad en las manos equivocadas. Como con toda tecnología, puede tener aplicaciones buenas o malas.

Se descubrió que la aplicación Waze, de Google, tenía vulnerabilidades que permitían a un atacante identificar y rastrear a los usuarios. Hay muchas maneras de rastrearnos como ganado con los teléfonos inteligentes. Las aplicaciones son sólo una de ellas, pero el propio teléfono inteligente tiene su propia función de servicios de localización que a veces incluso sigue funcionando aún cuando se ha apagado manualmente. En otras noticias de privacidad relacionadas con Google, éste ha eliminado las aplicaciones Nano Adblocker y Nano Defender de la tienda oficial Chrome Web Store debido a que recogían datos de los usuarios. El código malicioso parece haber sido añadido a estas dos aplicaciones después de que Google las inspeccionara para su alojamiento inicial. Las actualizaciones de código de software siempre corren ese riesgo. Ahora piensa en todas las aplicaciones que has instalado en tu teléfono inteligente y en cuántas aplicaciones has instalado en tus portátiles, ordenadores de sobremesa, televisores inteligentes y tabletas… Es desalentador pensar en las superficies de ataque que todas esas aplicaciones representan por cada dispositivo que posees.

La controvertida y reservada compañía de análisis de datos Palantir está desarrollando un sistema llamado Tiberius, en calidad de subcontratista, que ayudará al gobierno a rastrear a dónde debe enviar las vacunas COVID-19 una vez que estén disponibles para su distribución. Esto parece un buen uso de la tecnología, ya que emparejará la distribución de las vacunas con datos demográficos basados en la edad, el sexo, el empleo y la información de salud pública para distribuir mejor las vacunas de manera oportuna. Sin embargo, a pesar de las afirmaciones de Palantir de que el sistema no utilizará información personal, se trata de una empresa que se sabe que opera en esa zona turbia y gris con respecto a cuestiones de derechos humanos como la privacidad. Es un error tomar cualquier cosa que diga Palantir al pie de la letra.

Proctorio es una empresa de vigilancia de exámenes que es utilizada por los colegios y universidades para asegurar que los estudiantes que rinden los exámenes en línea no hacen trampa. Muchos profesores y estudiantes han expresado su preocupación por Proctorio debido a su nivel inaceptable invasión de la privacidad. Proctorio incluso llegó a presentar una demanda por infracción de derechos de autor contra el investigador de EdTech, Ian Linkletter, que twitteó sobre lo invasivo que era el software de Proctorio porque utiliza un software de reconocimiento facial en lugar de sólo rastrear el movimiento del globo ocular o de la retina como otro software de vigilancia de exámenes. La compañía quería silenciar a sus críticos y enviar un mensaje a cualquiera que pensara hacer lo mismo. Proctorio acusó a Linkletter de compartir información confidencial sobre cómo saltearse el algoritmo de vigilancia de exámenes y poner en peligro la “seguridad de millones de estudiantes que utilizan nuestra plataforma”. El CEO de Proctorio, Mike Olsen, ha utilizado estas tácticas depredadoras para intimidar a los estudiantes críticos con el software de su compañía en otras oportunidades.

En junio de 2019, Vice descubrió la existencia de una inquietante aplicación que utilizaba Inteligencia Artificial para “desnudar” fotos de mujeres. Llamada DeepNude, permitía a los usuarios subir una foto de una mujer vestida, y por 50 dólares obtener una foto de ella aparentemente desnuda. En realidad, el software utilizaba Generative Adversarial Networks (GAN), el algoritmo de gamificación detrás de Deepfakes, para cambiar la ropa de las mujeres por cuerpos desnudos altamente realistas para que se vea completamente real. Cuanto más escasamente vestida esté la víctima, mejor funciona el algoritmo. DeepNude supuestamente no funciona en los hombres, lo que no deja dudas sobre quién se beneficia de su uso. En julio de 2020, el bot ya había sido utilizado para atacar y “desnudar” al menos a 100.000 mujeres, la mayoría de las cuales probablemente no tenían ni idea de que había falsas imágenes de desnudos de sí mismas publicadas en Telegram.

“Por lo general son chicas jóvenes”, dice Giorgio Patrini, el director general y científico jefe de Sensity, co-autor del informe. “Desafortunadamente, a veces también es bastante obvio que algunas de estas chicas son menores de edad.”

DeepNudes también se ha utilizado para desnudar a menores de sexo femenino, convirtiéndolo en una herramienta de creación de Material de Abuso Sexual Infantil (CSAM). El cuerpo humano es el mismo para toda la especie humana, por lo que un algoritmo como DeepNudes sólo necesita encontrar las partes específicas del cuerpo (genitales) que están cubiertas en una foto particular, y reemplazarlas con un color de piel de tono similar. No es difícil imaginar cómo funciona esta tecnología, pero no por eso está bien que alguien use tal herramienta y las implicaciones son peligrosas. En algunas culturas, por ejemplo, la mera existencia de una joven desnuda puede resultar en que sea víctima de un asesinato “de honor” por parte de su propia familia. Es probable que la aplicación ya esté siendo utilizada como una forma de venganza pornográfica contra niñas y mujeres.

ArsTechnica publicó este mes un artículo que citaba un estudio que analizaba cómo las vistas previas de los enlaces comprometen la privacidad de los datos de los usuarios en varias aplicaciones de mensajería (véase el gráfico a continuación). Esencialmente, cada vez que se publica un enlace a un sitio web en las redes sociales o en una aplicación de mensajería, la aplicación tiene que visitar ese sitio para mostrar la imagen de vista previa del enlace, lo que puede abrirlo a malware, agotar las baterías del dispositivo o consumir ancho de banda.

Como habrás adivinado, no recomiendo el uso de NINGUNA aplicación de Facebook (Messenger o Instagram) debido a su anterior historial relacionado con la privacidad del usuario. Mi recomendación es usar Signal. WhatsApp utiliza el protocolo de encriptación de extremo a extremo de Signal (E2EE), pero, de nuevo, es propiedad de Facebook, por lo que toda la credibilidad y la confianza se pierde inmediatamente. Curiosamente, en el gráfico falta Telegram, pero no importa porque sigo recomendando el uso de Signal sobre Telegram, ya que Telegram ha tenido varios defectos importantes que tuvieron que ser parcheados y debido a su actual problema con el bot de deepfake que mencioné anteriormente.

Tácticas, Técnicas, Herramientas & Procedimientos de Privacidad Destacados

Teléfono Seguro Librem 5

Para aquellos paranoicos que no se conforman con los iPhones de Apple, los Androids de Samsung, los teléfonos Windows de Microsoft, los teléfonos BlackBerry, o los Pixel de Google, Purism está haciendo el teléfono Librem 5 que es un “…teléfono que se centra en la seguridad por diseño y la protección de la privacidad por defecto. Equipado con interruptores de apagado de hardware y hardware diseñado especialmente, usted está en control del flujo de información.” Actualmente está en venta por adelantado por 749 dólares. Algunas especificaciones del dispositivo están pegadas abajo.

Cuando compras un Librem 5, puedes estar seguro de que seguiremos proporcionando actualizaciones de seguridad…

Mini-Rastreador GPS de BeyondKrafty

Destaco esta tecnología de seguimiento de mini-GPS como una advertencia para los lectores porque puede ser escondida en el más pequeño de los lugares. Si sospechas que alguien te está rastreando, existe la posibilidad de que alguien haya instalado uno de estos rastreadores GPS en tu vehículo o en un objeto con el que viajes. Son razonablemente asequibles, lo que significa que casi cualquier persona puede conseguir unos cuantos por poco dinero.

Eliminar las ‘nudes’ de tu Smartphone

Si eres usuario del iPhone de Apple, borrar los desnudos de tu iPhone no es tan simple como presionar el botón de borrar. En realidad, tampoco es tan simple en Android o en otros tipos de teléfonos. El software forense para dispositivos móviles es capaz de recuperar mensajes de texto, imágenes, videos, registros de llamadas, aplicaciones e historial de navegación. Con los iPhones, si tienes el reloj de Apple, tendrás que despemparejar primero la conexión Bluetooth, hacer una copia de seguridad de tus datos en el iCloud, cerrar la sesión de tu ID de Apple, borrar todos tus mensajes y eliminar las fotos y aplicaciones individualmente. Luego, tendrás que realizar un restablecimiento de fábrica para borrar todo el contenido y los ajustes antes de que puedas volver a conectarlo a Internet de forma segura. *Nota: si quieres borrar los desnudos de forma permanente, te sugiero que los borres antes de hacer una copia de seguridad de tus datos en iCloud. De lo contrario, corres el riesgo de sincronizarlos de nuevo con tu iPhone más tarde.

Para los teléfonos Android, sólo es cuestión de desactivar temporalmente cualquier tipo de configuración de sincronización, cerrar la sesión de Google y eliminar la cuenta. Luego se encripta el dispositivo que eliminará las imágenes de su dispositivo para que cualquier nuevo usuario no pueda recuperarlas. A continuación, eliminas los desnudos del dispositivo y vuelves a habilitar la configuración de sincronización del dispositivo. También puedes hacer un restablecimiento de fábrica para eliminar permanentemente todos los datos de tu teléfono, pero a menos que se borre de forma forense, todavía hay herramientas y técnicas que pueden utilizarse para recuperar esos datos incluso después de un restablecimiento de fábrica. Si eres súper paranoico y quieres derrotar a las herramientas forenses, tendrías que sobrescribir la memoria de tu dispositivo con nuevos datos para estar seguro y luego borrarlos todos para liberar espacio nuevamente.

Echa un vistazo a la Plataforma PRIVO iD para niños

Los padres que deseen un mayor control de la privacidad de los dispositivos móviles de sus hijos deberían investigar PRIVO iD, que permite a los padres bloquear la participación en actividades, validar la identidad, obtener el consentimiento cuando y donde sea necesario, así como proporcionar un tipo de configuración de “ventanilla única” para proteger la privacidad de sus hijos en los dispositivos conectados a Internet. El software también realizará comprobaciones de privacidad de las aplicaciones de EdTech, aunque sospecho que algunas de las aplicaciones de EdTech antes mencionadas podrían no pasar.

Consejo de Evasión de Vida Privada y Anonimato de Baja Tecnología

Intenta por un momento imaginar tu vida sin un teléfono inteligente rastreando cada uno de tus movimientos y uso de él. Piensa en tiempos más sencillos cuando no existía nada de esta tecnología. ¿Era tu vida mejor antes de esta nueva tecnología o la calidad de tu vida ha sufrido desde que empezaste a usarla? Piensa si la lo que ganas al tener un smartphone vale lo que pierdes en privacidad. Para algunos modelos personales de amenaza, tiene sentido. Para otros, quizás no. Considera la posibilidad de pasar un tiempo sin un teléfono móvil para ver si realmente lo necesitas o no. Piensa en ello como un experimento de privacidad personal. ¿Cambiará algo o la vida seguirá siendo normal? ¿No tener un teléfono inteligente te hace más vulnerable a quedarte varado en algún lugar sin teléfono? ¿Funcionaría un teléfono de prepago en aquellas situaciones en las que la necesidad es temporal?

Todas estas son preguntas profundamente personales que sólo tú puedes responder por ti mismo pero es, al menos para mí, un intrigante experimento mental. Nos las arreglábamos bien antes de los teléfonos celulares y los smartphones que ahora son manipulados para rastrearnos como animales en una lista de especies en peligro de extinción. Para la mayoría de los modelos personales de amenaza, no tiene sentido deshacerse de su teléfono inteligente. De hecho, incluso mi mención es risible para muchos tecnólogos y defensores de la privacidad. Pero nunca tendrás privacidad de verdad si llevas un dispositivo en tu bolsillo que es como un faro que derrama datos de localización sobre ti que serán recolectados y vendidos.

Con esto concluye la edición de octubre de 2020 de “Cómo Ser Virtualmente Imposible de Rastrear”. Hasta la próxima vez amigos y recuerden: no confiar en nadie. Verificar todo. No dejar ningún rastro.

Additional Digital Privacy Resources:

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, 16, 17, 45–20, 46–20

Web Anonymization Techniques 101 | EFFector | https://www.privacytools.io/

think bad, do good | cybersecurity & privacy engineering | keybase.io/d3structo

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store