Boletín de Privacidad de z3r0trust #1–21

Un conciso resumen semanal sobre privacidad, con información de un experto en ciberseguridad. Un agradecimiento especial a @151mp137471n por traducir del inglés al español.

“La postura estándar de nuestros dispositivos y programas informáticos ha sido la de desparramar nuestros datos más sensibles delante de cualquiera que se preocupe de verlos.” — Cory Doctorow

¡Feliz Año Nuevo! Es en enero de 2021 y, a pesar del simbolismo de los nuevos comienzos que llegan con cada año, en el mundo de la privacidad digital se siguen librando muchas de las mismas batallas en torno a la privacidad. Como siempre ha sucedido, los que están en el poder o, mejor dicho, los que tienen el dinero para influir en los que hacen las leyes, no quieren que el ciudadano medio de todo el mundo tenga una buena protección de privacidad. Este mes, analizo cómo la “Doctrina del Tercero” hizo que fuera trivial para las fuerzas del orden obtener los datos de localización de los teléfonos de los alborotadores del Capitolio y mucho más.

La privacidad es un derecho humano básico, reconocido como tal por las Naciones Unidas en el artículo 12 de la Declaración Universal de Derechos. Sin embargo, la Era de la Información no ha sido precisamente amable con la Privacidad Digital Colectiva de los Ciudadanos. Los gobiernos, las empresas y los ciberdelincuentes han aprovechado para recopilar y explotar toda la información que han podido mientras que se han realizado muy pocos esfuerzos para proteger la privacidad de los usuarios.

Por el contrario, el mundo hiperconectado en el que vivimos se vuelve exponencialmente más vulnerable a la explotación de nuestra información privada a medida que aparecen más dispositivos de Internet de las Cosas (IoT) que son poco seguros y que se están conectando a Internet de a millones a la vez. Incluso para aquellos de nosotros que somos conscientes de nuestra privacidad privacidad y que tratamos de limitar la información personal que compartimos en línea, los gobiernos y las corporaciones no lo hacen fácil pues siguen siendo hackeados semanalmente y nuestros datos más sensibles son derramados por ciberdelincuentes ya sea en la web abierta o en la Dark Web.

La Doctrina del Tercero

El gobierno lleva mucho tiempo saltándose la Cuarta Enmienda de la Constitución al emitir citaciones para obligar a “terceras empresas” a entregar los registros de su información de actividad. Esto se conoce como la Doctrina del Tercero, porque si tus datos pertenecen a un tercero, los tribunales han dictaminado que están fuera de la protección de la Cuarta Enmienda. En consecuencia, esta ha sido una forma conveniente para que el gobierno evite las protecciones de la Cuarta Enmienda contra los registros e incautaciones ilegales. Por qué tener que conseguir una orden de registro cuando se puede simplemente citar los datos de un ISP como si fueran de terceros, ¿verdad? Es alucinante lo burocrático que es este proceso y cómo los derechos constitucionales de los estadounidenses significan tan poco para los tribunales.

Para aquellos que participaron en el intento de insurrección en el Capitolio en DC el 6 de enero de 2021, podrán correr, pero no esconderse. Porque usaron dispositivos para grabar y fotografiar lo que ocurrió ese día y lo publicaron en sus cuentas de Twitter, Facebook, Gab y Parler. Esas mismas imágenes y vídeos, junto con otras tecnologías como los registros telefónicos de los proveedores de servicios de telecomunicaciones y los registros de los proveedores de servicios de Internet (ISP), serán utilizados por los funcionarios encargados de hacer cumplir la ley (LEO) como prueba para procesarlos.

Los sucesos ocurridos en el Capitolio en Washington, DC, el 6 de enero de 2021, demuestran que, independientemente de la afiliacione política, incluso el mero hecho de poseer un teléfono móvil es un importante riesgo para la privacidad, queramos admitirlo o no. Independientemente de lo que pienses sobre los acontecimientos que ocurrieron ese día, era totalmente predecible que las fuerzas de seguridad, como el FBI, iban a obtener los datos de los proveedores de teléfonos móviles que rodeaban la zona del Capitolio. No puedo imaginar que ningún juez federal fuera a negar una orden de registro para que el FBI obtuviera estos datos. De hecho, es probable que las empresas de telecomunicaciones se pelearan entre ellas para entregarlos.

Esta vez, la facilidad con la que el FBI pudo recoger datos de ping de torres de telefonía móvil para identificar a los posibles alborotadores fue algo positivo para detener a quienes intentaron derrocar al gobierno, aunque haya sido sólo un intento a medias. Al parecer, el FBI ha ido de puerta en puerta por DC interrogando a los residentes que estaban en los disturbios o cerca de ellos basándose en las señales de las torres de telefonía móvil de sus teléfonos. Además, se han utilizado sistemas de reconocimiento facial (FRS) junto con cámaras de CCTV y videos de los medios de comunicación para identificar y localizar a las personas implicadas en los disturbios.

Destruir los teléfonos inteligentes (por ejemplo, incluso los teléfonos prepagos de uso temporal) y las cuentas de las redes sociales no ayudará a evadir el procesamiento legal. De hecho, la destrucción de pruebas de un delito es más conocida como obstrucción a la justicia y se considera como un delito adicional del que se puede acusar a estas personas. Tal vez si esta gente hubiera prestado atención a esta serie desde el principio, lo tendría claro. Sin embargo, algo me dice que esta gente no es el tipo que lee mucho o practica regularmente la seguridad operativa (OpSec).

Con todas las cámaras de vigilancia espiando a los estadounidenses por todos los medios imaginables, ¿no es irónico que las autoridades no fueran capaces de evitar que el terrorista de Nashville hiciera explotar una autocaravana fuera del edificio de AT&T? Además, con la tecnología FRS y las redes sociales que se utilizaron en gran medida para identificar a los alborotadores del Capitolio del 6 de enero, está garantizado que el gobierno utilizará esto como argumento para demostrar su necesidad de ampliar aún más el uso de FRS y la contratación de empresas de recopilación de datos de terceros para poder rastrear a la gente. También denunciarán la necesidad de puertas traseras de encriptación, como han estado haciendo durante años, a pesar del hecho de que el gobierno ya tiene un sinnúmero de diferentes herramientas y técnicas para recopilar datos, identificar y rastrear a las personas, y procesarlas legalmente sobre la base de los datos recogidos.

Dispositivos IoT vs. Privacidad

En otro ejemplo de los riesgos de privacidad y seguridad del uso de dispositivos IoT, se ha hablado bastante de la toma de posesión del presidente Biden el 20 de enero y de su idea de llevar una nada segura bicicleta fija Peloton a la Casa Blanca. Oooh! Ohhh! Una Peloton es otro tipo de dispositivo IoT con WiFi que tiene un micrófono y una cámara conectados a Internet. El Servicio Secreto de los Estados Unidos (USSS) podría simplemente desactivar las funciones de conexión a Internet WiFi de la bicicleta estática o conectarla a un cable Ethernet más seguro. O bien, el presidente Biden podría simplemente dejarla en casa si considera que es una molestia demasiado grande.

“Por ejemplo, la han hackeado para poder mostrar programas de Netflix en la pantalla, algo que realmente no se supone que se pueda hacer, pero lo han conseguido. Así que alguien podría atacar esa bicicleta Peloton, instalar un malware y llegar a otros lugares de la Casa Blanca”. — Max Kilger, doctor, director del programa de análisis de datos y profesor asociado en la Universidad de Texas en San Antonio.

Personalmente, me parece un poco exagerado el revuelo que los medios de comunicación y los expertos en seguridad han montado en torno a esta cuestión tan insignificante. ¿Existe algún nivel de riesgo para la seguridad? Sí. ¿Es un riesgo importante para toda la red de la Casa Blanca? No, si está bien configurada y segmentada. Por un lado, la Casa Blanca no es una Instalación de Información Sensible Compartimentada (SCIF), por lo que no es necesario imponer restricciones muy estrictas al WiFi ni a los dispositivos con Bluetooth, al menos no en todas partes. Por otro lado, el WiFi suele poder ser explotado fácilmente por atacantes hábiles y los actores de amenazas extranjeras tratarán de aprovechar cualquier vulnerabilidad que puedan encontrar. El ex presidente Trump trajo un simulador de golf del tamaño de una habitación entera que viene equipado con sensores y cámaras conectados a Internet cuando asumió el cargo en 2017.

Fitbit ha sido adquirida recientemente por Google por 2.100 millones de dólares, lo que despierta automáticamente temores sobre la privacidad de los datos de salud y bienestar de los usuarios. El GDPR de la UE restringe a Google el uso de los datos de los Fitbits de los usuarios para ofrecerles anuncios, pero en Estados Unidos no existen las mismas restricciones de esa ley de privacidad. Actualmente, Google está siendo demandado en un juicio antimonopolio iniciado por el gobierno federal y varios gobiernos estatales. Como consecuencia de la demanda, la adquisición de Fitbit puede acabar siendo anulada.

Privacidad de las Apps de Smartphones

El Departamento de Justicia (DOJ) lleva años peleando por introducir una puerta trasera al cifrado durante su larga batalla con Apple, pero un reciente artículo de Wired ha subrayado lo pobre que es de por sí la seguridad de los smartphones, tanto Android como iPhone. Entonces, ¿por qué el gobierno sigue pidiendo puertas traseras de cifrado si ha sido capaz de encontrar formas de romper dicho cifrado? ¿Quizás se trata de otra cosa? Sospecho que lo que el gobierno quiere es tener acceso unilateral a cualquier cifrado creado por las empresas tecnológicas que vendan cualquier tipo de servicio o dispositivo a los estadounidenses. Esto sería necesario, por supuesto, sólo para asuntos de máximo interés para la seguridad nacional. Ésto es un error. Es algo totalmente equivocado.

Una puerta trasera al cifrado de este tipo no sólo garantiza el abuso por parte de las fuerzas de seguridad y el gobierno, sino que también será inevitablemente descubierta por actores de ciberamenazas nacionales y extranjeros que explotarán las mismas puertas traseras en el código. No puede haber compromisos con el cifrado, las empresas tecnológicas tienen que oponerse al gobierno y potencialmente trasladar la sede de su empresa fuera de los EE.UU. si se aprueban leyes que requieren puertas traseras al cifrado.

Si finalmente Estados Unidos aprueba una ley de puertas traseras de cifrado, las empresas tecnológicas con sede en Estados Unidos verán sin duda un notable éxodo de usuarios, como el que vio Facebook recientemente cuando anunció su nueva política de privacidad para WhatsApp, que comparte muchos datos con Facebook (es decir, algo que ya venía haciendo desde hace años). Con la investigación de los disturbios del Capitolio, muchos usuarios decidieron abandonar WhatsApp y se pasaron a Signal, Telegram, Wire u otras apps de mensajería segura. Los gobiernos y las fuerzas del orden han podido burlar el cifrado de los smartphones pagando por herramientas de acceso a los mismos como las producidas por Grayshift o Cellebrite. No estamos en “peligro” de ver ningún sistema operativo móvil 100% seguro, así que creo que tenemos algo de tiempo antes de que los gobiernos entren en modo de pánico total por este tema.

Se ha descubierto que Telegram tiene un fallo en una función conocida como “Gente cerca” que representa visualmente en un mapa la ubicación general de otros usuarios de Telegram. El problema es que un investigador descubrió que era posible determinar la ubicación exacta de esos usuarios a través de una especie de técnica de triangulación a pie que consiste en falsear tu ubicación GPS desde tres puntos diferentes para triangular la dirección exacta de los otros usuarios de Telegram. Al parecer, Telegram no ha querido admitir que el fallo descubierto supone un efecto notorio en la privacidad de sus usuarios tras afirmar que los usuarios comparten voluntariamente su ubicación, pero de cualquier manera es curioso encontrar esa característica en una app de mensajería que se anuncia como segura. También dudo que muchos usuarios sepan que es posible que otros determinen su dirección exacta. Puedo ver fácilmente cómo esto se puede convertir en una demanda colectiva.

Brechas de Datos y Exposiciones de Privacidad

Ahora, un caso espeluznante en Dallas, Texas, que involucra a un técnico de instalación de seguridad doméstica de ADT llamado Telesforo Avilés. Avilés se declaró culpable de espiar a mujeres y parejas a través de las cámaras de seguridad que instalaba en sus casas. Su supuesto “hackeo” del proceso de instalación consistió simplemente en añadir su dirección de correo electrónico personal en las cuentas de ADT Pulse de los clientes porque, según él, era necesario hacerlo para verificar que todo funcionaba correctamente.

“Este acusado, encargado de salvaguardar los hogares de los clientes, se entrometió en cambio en sus momentos más íntimos”, dijo el fiscal federal en funciones Prerak Shah. “Nos alegramos de que rinda cuentas por esta repugnante traición a la confianza”.

Avilés tenía acceso a la transmisión de video en directo de los hogares de más de 200 clientes de ADT. Utilizó este acceso ilegal para espiar a mujeres atractivas y su actividad sexual íntima. Lo desagradable de esta historia, más allá del aspecto mirón, es que ADT obliga a los clientes a firmar una cláusula de arbitraje cuando suscriben sus compromisos obligatorios de 2 o 3 años. Por lo tanto, se desconoce si las demandas colectivas seguirán adelante contra ADT o el tribunal enviará a los demandantes a un arbitraje en su lugar.

Este caso ilustra la importancia de utilizar sistemas de seguridad del tipo “hágalo usted mismo” (DIY) como Simplisafe o Wyze, o similares. Dejar que unos desconocidos entren en tu casa puede parecer la solución más sencilla, pero hoy en día es muy fácil instalar un sistema de seguridad doméstico tú mismo (que es lo que yo hice).

Demandas Relacionadas a la Privacidad

En algún momento alrededor de enero de 2020, los ciberdelincuentes violaron el sitio web del minorista de ropa Hanna Andersson, que contenía información de identificación personal (PII) de los clientes, como nombres, direcciones de casa, información de tarjetas, códigos de verificación CVV y fechas de vencimiento tarjetas de más de 200,000 clientes que hicieron compras en el sitio web desde el 16 de septiembre de 2019 hasta el 11 de noviembre de 2019. Esta violación de datos dio lugar a una demanda colectiva bajo la Ley de Privacidad del Consumidor de California (CCPA). Hanna ha acordado pagar 400.000 dólares y aplicar medidas más estrictas de seguridad de la información.

Tips de Privacidad

Cuando buscas algo a través de Google, Yahoo, Bing o la mayoría de los motores de búsqueda, los términos de búsqueda son visibles en el Localizador Uniforme de Recursos (URL). Los proveedores de servicios de Internet (PSI) recopilan las URL y las venden a terceros que recopilan los datos y los venden a negociantes que los utilizan para dirigirse a ti en función de tu historial de búsqueda en Internet. Los agentes de la ley y el gobierno pueden solicitar fácilmente tu historial de búsqueda en Internet a tu proveedor de servicios de Internet y conocerte a partir de tu historial de búsqueda y de los sitios que visitas en línea.

Si entiendes ésto y los riesgos que trae, entonces también entiendes lo importante que es utilizar una Red Privada Virtual (VPN) y motores de búsqueda como DuckDuckGo, que no recoge tu historial de búsqueda, o el navegador Tor para anonimizar tu identidad en línea. Incluso me atrevería a sugerir que no utilices Google Chrome porque Google es muy astuto y seguramente ha diseñado el navegador Chrome para recopilar el historial de búsqueda independientemente de los motores de búsqueda que utilices con Chrome. Es mejor omitir el navegador Chrome por completo. Brave, Firefox y Tor están más enfocados a la privacidad.

Red Social Orientada a la Privacidad

Si buscas una opción de red social descentralizada que te permita a ti, el usuario, ser dueño de tus propios datos y no ceder tus derechos a una corporación para que los venda, echa un vistazo al Proyecto Diáspora. Eliges un “pod”, puedes permanecer en el anonimato o utilizar tu verdadera identidad (no se recomienda), y creas una cuenta. Encontrarás muchas de las mismas opciones de las redes sociales más conocidas, como Twitter y Facebook.

Disconnect Premium

Disconnect es una aplicación de privacidad que funciona en Android, MacOS e iOS y que puedes descargar por un pequeño precio que te ayudará a bloquear tu privacidad en todos tus dispositivos informáticos. Todavía no la he probado personalmente, pero alguien en quien confío, un profesional de la informática desde hace mucho tiempo, @Infination, dijo sobre la aplicación Disconnect: “[Me] gusta la información que me da sobre quién me está rastreando perpetuamente. bloquea ~8000 rastreadores/mes en mi iPhone. El 80% es de @Google y @Facebook”.

Eso es todo por esta entrega. Espero haberte dado algo en lo que pensar en cuanto a la privacidad digital. Hay mucho más que leer sobre lo que he escrito en los enlaces de abajo. Recuerda mantener un perfil bajo y estar seguro ahí fuera.

No confíes en nadie. Verifica todo. No dejes ningún rastro.

Additional Digital Privacy Resources:

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20, 48–20 | EFFector | Atlas of Surveillance | Privacy Tools

information security & privacy researcher

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store