Boletín de Privacidad de z3r0trust #11

Un agradecimiento especial a @151mp137471n por traducir del inglés al español

El infame meme “El sistema es una mentira”

“El Gran Hermano en la forma de un gobierno cada vez más poderoso y de un sector privado cada vez más poderoso amontonará registros que le den razones por las que la privacidad debe dar paso a la seguridad nacional, a la ley y el orden […] y asuntos similares.”― William O. Douglas, Points of Rebellion

Despotricamiento de privacidad obligatorio

Desde el principio, he escrito esta serie intencionadamente como un gigantesco dedo medio al sistema. Libertad de expresión, primera enmienda de la Constitución de los Estados Unidos. Digo y escribo lo que quiero. Y punto. No he servido dos décadas como Marine para que sea de otra manera. Volverse virtualmente imposible de rastrear es levantar el dedo medio al sistema, a tus enemigos, a los hábitos populares en las redes donde se motiva a los usuarios a compartir información personal a toda la internet. Volverse virtualmente imposible de rastrear es ser uno mismo, no tener miedo de ser quien se es en la vida. Se trata de reclamar tu privacidad en el mundo real y en línea y se trata de salirse de la red tecnológicamente, en el sentido de que aprendes a controlar qué tipo de información y cuánta de ella pones a disposición de los demás para que la vean y la rastreen. No se trata de abandonar toda la tecnología, sino sólo ciertos aspectos de ella que son susceptibles de ser monitoreados, recolectados y comercializados y que incluyen información personal que inherentemente sólo te pertenece a ti y a nadie más. Se trata de romper con las normas sociales que esclavizan a la gente en una sociedad gobernada por los ricos, de los ricos y para los ricos.

Hay una división en la sociedad que empeora rápidamente entre los que tienen y los que no. Los ricos controlan casi todos los aspectos de la sociedad, pero no quieren que lo sepas. No viven bajo el mismo sistema de justicia criminal que el resto de nosotros. Habemos quienes luchamos día tras día para llegar a fin de mes para sustentarnos a nosotros mismos y a nuestras familias, y luego hay quienes heredaron millones, incluso miles de millones, o se ganan la vida engañando a los pobres y a la clase media que trabaja duro. Los banqueros, los propietarios, las élites sociales, los directores ejecutivos y otros ejecutivos de empresas, los atletas, músicos y actores excesivamente remunerados, y los políticos que son elegidos para representar a sus electores, pero que a menudo representan sus propios intereses aprobando una legislación que sin duda no beneficia a la burguesía ni a los pobres. Un ejemplo de ello es la reciente ley de reforma fiscal de Trump (también conocida como la Ley de recortes fiscales y empleo, TCJA).

Si bien actualmente no hay nada que expire en 2024, el 31 de diciembre de 2025 será un día importante para la mayoría de los contribuyentes. Veintitrés disposiciones de la Ley de Recortes Fiscales y Empleos directamente relacionadas con los impuestos sobre la renta de las personas físicas expirarán, lo que significa que la mayoría de los contribuyentes verán un aumento de los impuestos a menos que se prorroguen algunas o todas estas disposiciones.

Permítanme diseccionar brevemente el meme “El sistema es una mentira”. ¿Por qué incluí esa imagen en esta entrega de una serie dedicada al sigilo digital y la privacidad en línea? Para mí, esta imagen tiene un valor inmenso y se relaciona directamente con volverse virtualmente irrastreable. No sólo representa el anonimato por la máscara de Guy Fawkes que se ha convertido en la cara del grupo hacktivista Anonymous, sino los dedos medios de este mundo jodido. Es un dedo medio a la tradición, un dedo medio a todos los que dicen que la vida tiene que ser vivida de cierta manera, o que de alguna manera no está bien ser diferente.

1. El dinero es un engaño. El “sistema” monetario sobre el que se construye la sociedad está completamente arreglado, para que los pobres sean más pobres y los ricos más ricos. En su mayor parte, esto es cierto, aparte del ocasional millonario hecho por sus propios medios o el ganador de la lotería. Pero piensa en el hecho de que la moneda de los EE.UU. no se ha basado en el patrón oro o plata desde 1971. En su lugar, se basa en los billetes de la Reserva Federal, es dinero fiduciario respaldado por el gobierno. Es un poco aterrador pensar que si el gobierno de los EE.UU. alguna vez falla, la moneda podría convertirse en algo completamente inútil casi de la noche a la mañana. Un evento similar ocurrió en Irak cuando derrocamos a Saddam Hussein. La sociedad valora la riqueza material, la propiedad, las casas, los coches, el dinero en el banco, los objetos de valor como el oro, la plata y las piedras preciosas. Entender por qué el dinero es un engaño se relaciona directamente con volverse virtualmente irrastreable porque necesitas saber lo que es importante en la vida. El dinero es importante, no dejes que nadie te diga lo contrario. Sin embargo, el dinero no lo es todo y yo diría que nuestra privacidad y dignidad humana son mucho más importantes que cualquier suma de dinero.
2. La deuda es la esclavitud. Sin embargo, otra cosa de la que he sido víctima y que quizás tú también es haberme endeudado para permitirme un mejor estilo de vida mediante tarjetas de crédito y préstamos bancarios. Al hacer esto voluntariamente, estás cambiando tu libertad por la esclavitud de la deuda. Esto es extremadamente difícil, pero haz lo mejor que puedas para vivir sin deudas. Te lo agradecerás a ti mismo más tarde. ¡Lo prometo! En lugar de tener siempre lo que quieres ahora, tómate el tiempo extra para ahorrar el dinero para lo que sea que quieras o necesites. Disfrutarás aún más de tu tan esperada compra. Siendo un minimalista, tengo algunas posesiones pero esas cosas no son lo que más valoro en la vida. De hecho, me insito en no comprar cosas llamativas. No conduzco chatarra o vivo en la basura, todo lo contrario. Sin embargo, nunca soy ostentoso, ya que no quiero la atención que conlleva. He aprendido a valorar aspectos más importantes de la vida como la familia, los amigos, la buena salud, la comida/bebida, el aprendizaje, la escritura y el valor del trabajo duro. Sólo para poner las cosas en perspectiva a escala nacional, la deuda nacional de los EE.UU. en el momento de escribir este artículo está valorada en más de 22 mil millones de dólares. ¿Quién piensa que esta cantidad es incluso posible de pagar? Es en verdad ridículo, y las actuales generaciones de gobierno y ciudadanos están viviendo abundantemente a cuestas del futuro de las generaciones por venir. Todo se derrumbará algún día, y será catastrófico. El poderoso país en el que se ha convertido EE.UU. se romperá de repente y será el hazmerreír del mundo. Sus Geoge Washingtons, Abraham Lincolns y Benjamin Franklins no valdrán casi nada. ¿Qué harás entonces? Honestamente espero que no estemos cerca para verlo y más aún espero estar equivocado en todo esto pero como dice el dicho… “Está escrito en la pared”. Vivir libre de deudas se relaciona directamente con volverse virtualmente irrastreable porque pagar con dinero en efectivo deja poco o ningún rastro que otros puedan seguir.

Credit: https://usdebtclock.org/

3. Los medios de comunicación son medios de manipulación. Los medios de comunicación consisten en redes de televisión, estudios de producción de películas, estaciones de radio y periódicos, casi todos los cuales también tienen presencia en la Web. Cada compañía tiene su propia agenda que típicamente se alineará con los puntos de vista políticos conservadores, liberales o independientes y cada uno dará vueltas a las noticias sin importar lo que le digan a los lectores, oyentes y televidentes. … NO PUEDES CONFIAR EN LOS MEDIOS. Haz tu propia investigación lo mejor que puedas leyendo múltiples fuentes y formando tus propias conclusiones basadas en toda la información presentada. No confíes en los llamados “hechos”. Los libros de historia han sido reescritos en muchas ocasiones a lo largo de la historia por diferentes segmentos de la sociedad e incluso por naciones para olvidar eventos dolorosos que tuvieron lugar en el pasado, lavando el cerebro a nuevas generaciones de niños que aprenden una falsa versión alternativa de la historia. Los vídeos e imágenes a veces se modifican o manipulan para apoyar una realidad alternativa para obtener el efecto deseado. Entender cómo los medios manipulan a la gente se relaciona directamente con volverse virtualmente irrastreable porque necesitas convertirte en un lobo, no en un cordero para sacrificar. Conviértete en el cazador, ya no en uno de los cazados. Aprende a diferenciar cuando alguien o alguna organización como un gobierno, quizás, te echa humo por la espalda. Es importante que hagas tu propia investigación.

4. La religión es un instrumento de control. La religión es un tema delicado para muchos de nosotros, a cada quién lo suyo. No hay forma posible de hacer una declaración como “la religión es control” sin ofender a alguien. Ofender a la gente no es mi intención, sin embargo. Más bien me gustaría que pensara por un momento en cuántos ejemplos puede haber presenciado sólo en su vida donde la religión ha explotado a sus seguidores de maneras horribles, atroces. Hay aspectos buenos de la religión, como ayudar y pensar en los demás antes que en uno mismo. Sin embargo, también hay una cantidad desproporcionada de negatividad en torno a casi cualquier religión. La religión es un conjunto de reglas por las cuales vivir nuestra vida. Sin embargo, ¿alguien puede estar a la altura de estas expectativas? Algunos dirían que ese es el punto, esforzarse por ser mejor. Yo digo, sólo sé tú mismo y trata de ser amable con los demás. Creer en un poder superior es algo bueno, un patrón de pensamiento natural. Lo que no es natural es ser abusado sexualmente, la poligamia, una religión haciendo la guerra a otra religión debido a sistemas de creencias conflictivos, exigiendo a los seguidores el diezmo de su dinero ganado con esfuerzo para que pueda ser gastado inapropiadamente en cosas como ejercer presión contra la creación de leyes más duras contra los abusadores de la iglesia. Comprender cómo la religión es una forma de control se relaciona directamente con volverse virtualmente irrastreable, ya que es necesario ser capaz de pensar por uno mismo para mantener un perfil bajo, cubrir el rastro y no seguir ciegamente las palabras de los demás.

La Interminable Invasión de la privacidad Individual

Credit: Internet Society

A veces me pregunto si los inventores de las tecnologías modernas se han parado alguna vez a pensar en las implicaciones de sus inventos en la privacidad personal, ya que como en cualquier nueva tecnología, siempre habrán hay buenas y malas aplicaciones de estas. Mientras que una cantidad considerable de usuarios verán el uso de una aplicación como algo completamente inocente e inofensivo para ellos y para los demás, los gobiernos y sus agencias de inteligencia pueden ver la aplicación o la App Store como una oportunidad para inyectar código malicioso en las aplicaciones con fines de ciberespionaje, tal como lo descubrieron los investigadores de seguridad de Motherboard y de Seguridad Sin Fronteras al principio de este año en la tienda de Google Play con el malware Exodus.

La privacidad ha sufrido históricamente cada vez que aparecen nuevas tecnologías y aunque la solución puede parecer fácil: “Simplemente no lo uses”, no suele ser tan simple. Por ejemplo, cuando un empleador exige a sus empleados que instalen una aplicación de autenticación de dos factores en su teléfono inteligente para conectarse a la red de la empresa a fin de aumentar la seguridad tanto para la organización como para el empleado, el empleado se ve obligado a tomar una decisión en cuanto a la posible invasión de su privacidad a través de su teléfono inteligente: “¿vale la pena que continúe trabajando para ese empleador en particular o no?”. Para algunas personas, eso es motivo para renunciar. Ha habido muchos casos documentados de empleadores que espiaban el uso de Internet de sus empleados en sistemas informáticos proporcionados por el empleador, en los que la expectativa de privacidad suele no existir. La aplicación de MFA en sí no suele ser el problema, ya que la mayoría son benignas en el sentido de que no invaden la privacidad. Esta cuestión tiene más que ver con el hecho de que los empleadores podrían “espiar” a los empleados a través de sus propios teléfonos inteligentes, tanto si los empleados reciben un bono por su factura de teléfono como si no, de la misma manera que la instalación de la aplicación de Facebook en un teléfono inteligente dará lugar a que se compartan con Facebook los datos de otras aplicaciones, los detalles del dispositivo telefónico y el historial de navegación por Internet.

Para las personas preocupadas por la privacidad, esta es una cuestión importante. Para otros que pueden ser inconscientes o apáticos, tal vez no. Todo depende del nivel de preocupación por la privacidad de la persona. Mi recomendación es tener cuidado con los sitios web y aplicaciones a los que accedes en el trabajo y en la red de tu empresa. Lo más probable es que alguien esté vigilando este tipo de actividad y que pueda ser utilizada en tu contra para revisiones de rendimiento, o incluso convertirse en motivo de despido en algunos casos extremos. Por lo general, lo mejor es que las llamadas telefónicas personales se realicen desde el exterior, en el teléfono inteligente, lejos de las miradas indiscretas (lectores de labios) y de los ojos de los compañeros de trabajo, supervisores y gerentes, y, desde luego, no en los activos de TI de la empresa, como los teléfonos de voz sobre protocolo de Internet (VoIP) o el correo electrónico.

Puertas traseras a la Encriptación

La moraleja de la historia es que uses cifrado cuado y donde puedas; credito Ze Robot

“Alentar a las empresas de Internet a que establezcan soluciones de acceso lícito para sus productos y servicios, incluidos los datos cifrados, a fin de que los organismos de represión y las autoridades competentes puedan acceder a la evidencia digital, aun cuando ésta sea movida o alojada en servidores informáticos ubicados en el extranjero o cifrada, sin imponer ninguna tecnología en particular y garantizando al mismo tiempo que la asistencia solicitada a las empresas de Internet esté respaldada por la ley y la protección del debido proceso. Algunos países del G7 destacan la importancia de no prohibir, limitar o debilitar el cifrado”. — G7 Francia, 2019

Este esfuerzo de los gobiernos y las fuerzas del orden para obligar las grandes empresas de tecnología a crear puertas traseras para la encriptación no terminará en un futuro próximo. Esta es una lucha continua de la que cabe esperar que empeore antes de mejorar. Los funcionarios del gobierno australiano han aprobado una ley que requiere de las empresas que proporcionen una puerta trasera al cifrado para los organismos de inteligencia y policiales, lo que es una afrenta total a la privacidad digital y un claro indicador de falta de respeto por la privacidad de sus ciudadanos. Todo en nombre de la “Seguridad Nacional”. Puedes apostar a que otros gobiernos del mundo están vigilando esta ley muy de cerca e intentarán aprobar una legislación similar. Por supuesto, si vives en un país del tercer mundo, entonces la encriptación, Signal, Telegram y las VPNs probablemente están bloqueadas de todos modos. Usen la esteganografía para comunicarse, amigos míos, se convertirá en su mejor amigo.

WWDC 2019: Apple Takes Aim at Facebook on Privacy

Apple es, por mucho, la empresa que mayor privacidad ofrece entre las grandes compañías de tecnología, aunque no tanto como para que me den ganas de pagar 2 o 3 veces más por sus productos. Es cierto, sin embargo, lo que dice el refrán, “¡Tienes lo que pagas!” Sí, es verdad. Los iPhones de Apple ya vienen con encriptación de disco completo (FDE) mientras que en los Android la FDE aún debe ser activada por los usuarios. Los usuarios de Apple ahora pueden acceder a otras aplicaciones usando su ID de Apple que asegura compartir menos información privada que otras interfaces de programación de aplicaciones (API) de acceso como Google o Facebook. El corazón de Apple está en el lugar correcto con la privacidad de datos, creo, más que otras grandes empresas de tecnología. Sin embargo, todas las empresas de alta tecnología espían [recogen datos] de los usuarios acerca del uso de sus productos y servicios. No es como si fuera un secreto o algo así. Desde que estás de acuerdo con sus Términos de Servicio y Política de Privacidad, ellos venden tus datos de uso para obtener un beneficio por tu correo electrónico “gratuito” o cualquier servicio basado en la nube. Desde el punto de vista de la privacidad de los datos, sin embargo, todavía tenemos un largo camino por recorrer antes de que los derechos de privacidad de los usuarios se apliquen a nivel mundial.

“…un investigador de seguridad notó a principios de abril que Facebook estaba pidiendo a algunos — no a todos, curiosamente — nuevos usuarios que proporcionaran sus contraseñas de correo electrónico cuando se registraban en una cuenta de Facebook, si utilizaban ciertas plataformas de correo electrónico, como Yandex o GMX.” — Seals, 2019, Threatpost

Los manifestantes de Hong Kong encuentran maneras de burlar al estado de vigilancia

Hong Kong’s protesters find ways to outwit the surveillance state

El momento en que la manifestante de 25 años llegó a casa de unas manifestaciones que se volvieron violentas -el gas lacrimógeno todavía le picaba los ojos- supo lo que tenía que hacer: borrar todas sus aplicaciones telefónicas chinas.

Los ciudadanos de Hong Kong protestan contra un reciente proyecto de ley de extradición que permitiría a la China continental extraditar a ciudadanos de Hong Kong por presuntos delitos. Esta protesta ha sido diferente en el sentido en que los manifestantes han tomado precauciones para proteger sus verdaderas identidades usando máscaras y limitando sus comunicaciones a aplicaciones como Telegram que ofrecen encriptación de extremo a extremo o renunciando completamente a cualquier uso de medios digitales. Los ciudadanos que protestan están preocupados, y con razón, de que los funcionarios chinos usen las redes sociales y las cámaras de CCTV o las imágenes de vídeo y el software de reconocimiento facial para revelar sus verdaderas identidades. Si estos individuos son identificados, serán añadidos a una “lista” mantenida por el gobierno chino y posiblemente serán atacados. Todos los gobiernos mantienen listas similares. Listas de disidentes políticos, gente con la que los federales podrían querer hablar. Gente que podría ser colocada en una lista de no-vuelo, el tipo de gente que podría estar sujeta a una mayor “vigilancia”. Es genial ver a estos valientes manifestantes de Hong Kong luchando contra la invasión de los derechos humanos inherentes a su privacidad y contra el gobierno tiránico.

Imagen del mapa cortesía de Google Maps

Match, Tinder Swipe Right For Privacy Red Flags, Say Experts

Al usar sitios de citas como Match.com, OkCupid, PlentyOfFish o Tinder, estás compartiendo datos con compañías que ahora tienen acceso a parte de tu información más íntima y privada. Lee la letra pequeña de las políticas de privacidad de estos sitios y te sorprenderá saber que otras compañías están asociadas con el sitio de citas que compartirá o venderá tu información. Si no lees la política de privacidad y los Términos de Servicio nunca lo sabrás, hasta que ocurra una violación de datos. Sólo piensa en esto por un segundo y asimílalo bien durante un minuto. ¿Listo para continuar? Bien. Ahora lee esto:

“Por ejemplo, Match.com se reserva el derecho de recopilar mucha más información que el típico desglose demográfico de género, edad y estado de relación que la mayoría de los servicios en línea piden”. — Seals, 2019, Threatpost

Mensajes íntimos de chat, hábitos de uso de drogas, niveles de ingresos, preferencias sexuales e historia, puntos de vista religiosos, preferencias sociales, etc. Estos son sólo algunos de los tipos de datos que se están recogiendo en estos sitios de citas (Seals, 2019). Si uno de estos sitios de citas es hackeado como pasó con Ashley Madison (sitio de adulterio) en 2015, el tipo de datos que se compromete es altamente personal y probablemente sea utilizado en contra de los usuarios de estos servicios. A nadie le gusta pensar que cosas como estas le pasarán, pero ¿qué pasa después de una violación de datos? ¿Rastreamos cada dirección IP que accede a esos datos en la Red Oscura? Oh, es cierto, no podemos porque la Red Oscura está encriptada específicamente para propósitos de anonimato. No se sabe si las compañías de seguros están rastreando la Red Oscura en busca de datos comprometidos que puedan usar contra los clientes de alguna manera para aumentar sus tarifas de seguros. Si los bancos están cobrando a los clientes por escaneos falsos de la Red Oscura, creo que es seguro asumir que las agencias de inteligencia del gobierno, los proveedores de seguros y un montón de otras personas también están mirando sus datos personales que fueron violados. La única manera de evitar que esto te pase a ti es hacer todo lo posible para limitar la información que publicas en línea. No es una estrategia perfecta porque no siempre podemos opinar sobre el asunto gracias a la falta de leyes de privacidad digital.

Tácticas, Técnicas y Procedimientos de Privacidad Destacados

Privacidad y Dispositivos Digitales

Airbnb Superhost Secretly Recorded Guests with Hidden Bedroom Camera

Tal vez sea hora de considerar no usar más la Airbnb y reservar una habitación de hotel en su lugar. Algunas personas son retorcidamente pervertidas y no hay nada que la sociedad pueda hacer para arreglarlas. Siempre habrá desviados y ninguna cantidad de rehabilitación o reprogramación mental logrará cambiar lo que son realmente. Grabar en secreto a los huéspedes de Airbnb en un dormitorio cruza una línea y es una gran violación de la privacidad.

El desarmado del router reveló una cámara oculta con una tarjeta de memoria (abajo); crédito: South China Morning Post

¿Cuántas veces tenemos que oír hablar de las cámaras de vigilancia ocultas de Airbnb antes de entender que quedarse en la casa de otra persona es arriesgado por más razones que sólamente la privacidad? Esencialmente estás tirando los dados a que algún pervertido te esté filmando en secreto a ti y a tus invitados mientras te quedas en su propiedad. El último de estos casos denunciados procede de China y aunque Airbnb se ha disculpado con la víctima, experta en tecnología, que descubrió la cámara espía antes de que pudiera ser utilizada contra ella, sirve para demostrar que sin importar dónde te quedes tienes que comprobar este tipo de cosas.

Cómo detectar cámaras de vigilancia ocultas con tu teléfono

How to Detect Hidden Surveillance Cameras With Your Phone

Una familia descubrió recientemente una sorpresa desagradable en su Airbnb: una cámara oculta disfrazada de detector de humo en la sala de estar. Aquí hay dos maneras de comprobar si hay cámaras, en un Airbnb o en cualquier otro lugar, usando sólo un iPhone o un teléfono Android.

Si viajas con un smartphone como la mayoría de la gente, hay algunas cosas que puedes hacer para comprobar si hay cámaras espías. Esta es tu oportunidad de usar esa poderosa pieza de tecnología en tu bolsillo/monedero en algo realmente más útil que la aplicación de Facebook incorporada. Apaga temporalmente la conectividad Wi-Fi de tu teléfono y luego vuelve a encenderlo para buscar todas las redes Wi-Fi disponibles seleccionando “Dispositivos” en lugar de “Red” en la imagen de abajo.

Credit: How-To Geek (Hendrickson, 2019)

A veces también puedes usar tu smartphone como detector de luz infrarroja (IR) para detectar dispositivos de visión nocturna, apagando las luces de todas las habitaciones del hotel o la casa en la que te alojas y viendo el espacio a través de la cámara del teléfono para captar cualquier luz brillante que pueda indicar cámaras IR ocultas. ¡También hay una aplicación para eso! Consulta la App Store o la Google Play store para ver las aplicaciones diseñadas específicamente para encontrar dispositivos espía ocultos que dependen de algún tipo de tecnología de señal de radiofrecuencia (RF) detectable. También puedes comprar un dispositivo de detección independiente para detectar cámaras ocultas como el detector de errores MGI Economy con RF y el buscador de lentes CDRFLD por tan solo 64,99 dólares.

Chipsets

En la electrónica o “hardware”, como se lo denomina comúnmente en el mundo de la Tecnología de la Información, el consumidor medio no tiene ni idea de cómo funciona esta tecnología. Puede entender que en algún lugar dentro del dispositivo que compraron hay un chip de computadora, o tal vez varios. Sin embargo, si lo desmonta, no será capaz de distinguir algo que no debería estar ahí. A veces las puertas traseras están ocultas dentro del código del firmware de un dispositivo que permite a alguien espiar remotamente el dispositivo. En la última década más o menos, la comunidad InfoSec ha visto una creciente cantidad de ejemplos de implantaciones de puertas traseras de hardware, a menudo referidos como ataques a la cadena de suministro. Así, a medida que se fabrica un automóvil o un dispositivo electrónico, las piezas y los conjuntos de chips digitales se fabrican a bajo costo en otros países a los que el fabricante de equipo original (OEM) pide las piezas. Se espera que haya algún nivel de inspección de hardware para evitar puertas traseras ocultas en estos dispositivos, sin embargo, este proceso sigue siendo muy parecido al “Salvaje Oeste” y no está muy bien gestionado.

Esta puerta trasera “demoníacamente inteligente” se esconde en una pequeña porción de un chip de computadora

This ‘Demonically Clever’ Backdoor Hides In a Tiny Slice of a Computer Chip

Los investigadores han construido un procesador de prueba de concepto que utiliza la carga eléctrica almacenada en secreto para activar una puerta trasera ultra-sigilosa. -Wired Staff

La mente se estremece al pensar que se pueda implantar una puerta trasera en un chip de computadora, porque ¿cómo se supone que las organizaciones puedan controlar una amenaza como esa, y mucho menos el consumidor promedio que no tiene idea? ¿Y si la agencia de espionaje que lo hace sólo lo hace en uno de cada 50 chips? Esto lo haría muy difícil de encontrar, como una aguja en un pajar. La respuesta es que este tipo de amenaza a la privacidad y la seguridad es enorme y virtualmente imparable sin las habilidades y conocimientos adecuados para comprobar el código del firmware y cómo se supone que debe ser una placa madre o un conjunto de chips.

Lo que podría parecer un chipset. ¿Sabrías cómo detectar si algo se ve fuera de lugar?

Los Estados-nación han utilizado los ataques a la cadena de suministro para implantar puertas traseras en teléfonos celulares, computadoras y todo tipo de dispositivos electrónicos durante años. El malware a nivel de chip puede alterar el sistema operativo (OS) sin dejar rastro y, como tal, es como tener activado el “Modo Dios” en un videojuego. Hay todo un mercado clandestino para este material de espionaje, al igual que los hackers de sombrero gris que venden vulnerabilidades de día cero a los gobiernos por mucho dinero para usarlas contra sus adversarios. Estas cosas pasan, solo que la gente no sabe hasta qué punto.

Las tripas de un teléfono inalámbrico fabricado por Uniden; crédito: Gough’s Tech Zone

Recientemente se han descubierto varias vulnerabilidades de gran importancia, como Meltdown, Spectre y ZombieLoad, en conjuntos de chips que, si son aprovechadas, pueden permitir a un atacante obtener acceso a nivel de administrador a un sistema. La parte que da miedo es que algunas de estas fallas no se pueden remendar, lo que significa que estarán presentes por un tiempo hasta que sean reemplazadas por nuevo hardware que probablemente tenga vulnerabilidades aún no descubiertas. La mejor manera de proteger tus aparatos electrónicos de este tipo de fallos es comprobar periódicamente (digamos trimestralmente) el sitio web del fabricante para ver las actualizaciones de seguridad más recientes de los parches que necesitas aplicar al dispositivo. Si no se realiza esta sencilla tarea, los dispositivos quedarán expuestos a todo tipo de ataques que pueden ejecutarse de forma remota si el dispositivo se conecta a Internet.

La nanotecnología ha permitido la fabricación de microchips que son casi invisibles a simple vista. Crédito: Lanner

Además, hay que ser cauteloso con el tipo de productos electrónicos que se compran. La mayoría de los dispositivos de Internet de las Cosas (IoT) están muy mal diseñados con respecto a la privacidad y seguridad.

No todo necesita estar conectado a Internet

Not Everything Needs To Be Connected To The Internet

La seguridad suele pasar a segundo plano frente a la comodidad en el mundo real. Como resultado, la gente se ha vuelto insensible al ...

Los factores a considerar antes de hacer una compra según Lanner son la aplicación de datos, el diseño seguro y el hardware seguro, así como la transparencia y la visibilidad en la fabricación. Pero lo más importante es tener cuidado con cualquier producto tecnológico que haya sido fabricado en China. El país de origen es una consideración muy importante, pero no es 100% confiable, ya que las agencias de inteligencia de EE.UU. también han envenenado la cadena de suministro de tecnología en el pasado. Por lo tanto, existe una dualidad de la tecnología en lo que respecta a la privacidad y la seguridad.

La “cadena de confianza” del suministro; crédito: Lanner

Seguridad de Baja Tecnología: Consejo de Evasión y Anonimato

Hack de privacidad — Cuando te alojes en un hotel, cubre la mirilla con un trozo de cinta adhesiva o una prenda de vestir gruesa o una bata de baño suspendida de un colgador en el cierrapuertas y, si no hay un sello hermético entre el umbral y la puerta, entonces dobla una toalla a lo largo y colócala en el umbral de la puerta para evitar que los curiosos puedan oír fácilmente los sonidos de tu habitación. Esto también tiene el beneficio extra de hacer que la habitación sea más silenciosa y reduce los olores desagradables que llegan del pasillo fuera de la habitación, pero se trata más bien de proteger la privacidad de tu habitación. Utiliza la aplicación de linterna de tu smartphone para determinar si el espejo de tu habitación es un espejo de dos direcciones.

Crédito: Owlcation (Izquierdo); Crédito: YouTube (Derecho)

Pídele al hotel una habitación cerca de una salida con cámaras de vigilancia, si es posible. Lo creas o no, los mirones buscan este tipo de cosas cuando eligen víctimas potenciales. Es menos probable que intenten algo sospechoso si saben que están siendo filmados. Si algo parece raro, como si un extraño te sigue a tu habitación, activa la maldita alarma de incendios y corre como loco al conserje del hotel o a tu vehículo trancado en el aparcamiento. Espera a que los bomberos o la policía aparezcan y te expliquen lo que ha pasado. Mira si el hotel tiene un video de la persona. Intenta tomar nota de la descripción del atacante potencial, ¡los detalles importan! Siempre es mejor escapar con vida que tener miedo de avergonzarse por una falsa alarma. Nota: Los hombres no deben dejar ir a las mujeres primero al bajar del ascensor del hotel en el mismo piso. Deja la caballerosidad a un lado por un momento e intenta salir del ascensor primero para que la mujer no tema que la sigas a su habitación de hotel. Eso marca la diferencia.

Crédito: Walmart.com

Por unos 10 dólares o el precio de una comida rápida, puedes invertir en un dispositivo de seguridad de baja tecnología con una alarma que te ayudará a protegerte de intrusos cuando viajes y te alojes en habitaciones de hotel. Como pueden ver en la imagen, tiene 3 niveles de volumen, bajo, medio y alto. La mejor parte es que es tan pequeño que puedes meterlo en tu equipaje sin que ocupe mucho espacio y sacarlo cuando llegues a tu habitación de hotel. Algo así como un spray de pimienta para damas.

Esta información te la doy libremente con la esperanza de que la utilices para protegerte mejor físicamente y asegurar tu privacidad digital. Hasta la próxima vez y recuerda:

**No confíes en nadie. Verifica todo. No dejes ningún rastro.**

Additional Privacy Resources

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20, 48–20, #1–21, #2–21, #3–21, #6–21

*Privacy-related articles also published by the author can be found here.

Other helpful privacy info: EFFector | Atlas of Surveillance | Privacy Tools | IAPP | ACLU | PogoWasRight.org | DataBreaches.net