Jan 13
Boletín de Privacidad de z3r0trust #16
Un agradecimiento especial a @151mp137471n por traducir del inglés al español
“Hay solo dos industrias que llaman ‘usuarios’ a sus clientes, la de la tecnología y la del tráfico ilegal de drogas” — Edward Tufte
[Nota del Autor]
Es con gran placer que he decidido resucitar a la serie Boletín de Privacidad de z3r0trust de su retiro. He escrito varios artículos sobre privacidad pero la serie Imposible de Rastrear es de lejos mi favorita, además de ser la más reconocida entre mis lectores. Se preguntarán por qué decidí retirarla en primer lugar. La entrega 15 fue originalmente publicada el 22 de diciembre de 2019. El año nuevo se nos venía encima y sentí que quizás era un buen momento para darla por terminada y pasar a otros proyectos de redacción que tenía ganas de explorar. En retrospectiva, no es que me arrepienta de haberla dejado, pero tal vez hubiera sido mejor sólo ponerla en espera por un tiempo.
Están pasando un montón de cosas en el mundo de la privacidad digital. Son demasiadas para que, aunque parezca increíble, las pueda capturar en un solo boletín mensual. Sin embargo, haré todo lo posible para cubrir los acontecimientos más importantes. Sé que hay mucho más trabajo por hacer en lo que respecta al activismo y a la toma de conciencia sobre la privacidad digital y me alegra ayudar a difundirlos. Estamos en un punto crítico de la historia en el que tenemos que luchar por nuestros derechos de privacidad para que no sean borrados para siempre por el capitalismo de vigilancia. Creo que una vez alcanzado ese punto, no habrá vuelta atrás. Espero poder publicar una nueva entrega de Cómo Ser Virtualmente Imposible de Rastrear cada mes, lo más probablemente hacia el fines de mes en el futuro inmediato.
Despotricamiento de Privacidad
Las organizaciones encargadas de hacer cumplir la ley están usando cualquier tecnología sobre la que puedan poner las manos para atacar al crimen. Me parece que el uso de la tecnología por parte de las agencias de la ley y de inteligencia es algo bueno, siempre y cuando la información se recopile según leyes que estén por encima de cualquier persona u organización. Los derechos otorgados por la Constitución de los Estados Unidos (o inserte aquí cualquier país en el que exista una Constitución) no están abiertos al debate o a las malas interpretaciones por parte de la policía o los agentes del gobierno. Están ahí para proteger a los ciudadanos y se supone que el gobierno y la policía los deben respetar y no buscar formas de burlarlos o aprobar leyes que disminuyan ni siquira temporalmente cualquiera de esos derechos constitucionales.
La tecnología ayuda a la policía y a los organismos de inteligencia a resolver crímenes, prevenir el ciberespionaje, los ataques terroristas y atrapar a los acosadores sexuales que trafican con material de abuso sexual infantil (CSAM). Ese es uno de los resultados positivos que tiene esta colaboración. Sin embargo, con lo que no estoy de acuerdo es con que la policía y las agencias de inteligencia usen esta tecnología contra civiles inocentes con la idea de resolver crímenes o con el fin de proteger la seguridad nacional que tan a menudo son usados por estas agencias como excusa para pisotear derechos constitucionales como los de la Cuarta Enmienda. Existe un verdadero problema cuando hay departamentos de policía y agencias federales desplegando Stingrays para engañar a los teléfonos celulares para que se conecten a ellos y que la policía pueda extraer todos los datos móviles de las personas.
Lo mismo ocurre con los sistemas de reconocimiento facial que rutinariamente se equivocan a la hora de identificar a las personas de color o las geocercas que proporcionan a las agencias de la ley mucha más información de la que necesitan. A veces, las llamadas telefónicas y los datos de personas inocentes son recogidos por la policía sin más motivo que el de que su teléfono estaba en el lugar equivocado en el momento equivocado. Esto es alarmante porque podría pasarle a cualquiera de nosotros en cualquier momento. Se supone que estamos protegidos contra la incautación y el registro ilegales de nuestra propiedad personal (por ejemplo, nuestros datos telefónicos, casas, coches, otras pertenencias) por la Cuarta Enmienda.
Las agencias de policía han estado consiguiendo que los jueces aprueben órdenes de geocercas que presentan a las empresas de tecnología como Google, Apple, Uber, Twitter, y que requieren que éstas entreguen cualquier dato que tengan sobre los usuarios mientras cumplan los criterios específicos de la “geocerca”, a saber: encontrarse dentro de un rango específico de tiempo y un área geográfica. Las autoridades pueden entonces analizar estos datos y hacer lo que quieran dentro de los términos de la orden, pero ¿quién puede decir que la policía o las agencias de inteligencia se detienen donde se supone que deben hacerlo? ¿Y con quién más están compartiendo esos datos privados como parte del espíritu de buena fé de cooperación policial? ¿El FBI, el DHS, el CBP, el ICE, la ATF, la DEA, la NSA, la CIA, el USMS, el USSS o el IRS?
La sopa de letras era buena como plato principal de un almuerzo infantil. La sopa de acrónimos de agencias del gobierno no está buena cuando se trata de proteger los datos telefónicos privados de los ciudadanos americanos. Siempre volvemos a la pregunta de ¿quién vigila a los vigilantes? Necesitamos a los vigilantes [la policía] hasta cierto punto, para mantener una sociedad pacífica y hacer cumplir las leyes establecidas. Sin embargo, ¿en qué momento sus invasiones cada vez mayores a la privacidad se pasan de la raya hasta el punto en se convierten en desproporcionadas? Bueno, como era de esperar, dos jueces federales han decidido que la policía se ha pasado de la raya con las órdenes de geo-cerca hace poco, resolviendo que se habían violado los derechos de la Cuarta Enmienda (Fussell, 2020).
Lamentablemente, vivimos en una época en la que algunos gobiernos creen que está bien violar la Constitución y espiar a sus ciudadanos sin causa probable o apagar la Internet para interrumpir protestas. ¿¡¿La actual administración de los Estados Unidos ha llegado incluso a etiquetar al grupo vagamente afiliado Black Lives Matter como un grupo terrorista?!? ¿Desde cuándo la protesta contra el fascismo te convierte en un terrorista? Supongo que desde que los fascistas están en el poder, ¿eh? No todos los que se asocian con ANTIFA usan la violencia para protestar. Muchos partidarios de ANTIFA observan desde fuera tuiteando y posteando en sitios de redes sociales sobre las injusticias sociales de la actual administración. Esperando desesperadamente que algo cambie. Una nueva elección presidencial, una nueva esperanza de cambio positivo. ¿Será suficiente o se necesita un enfoque más radical y violento? No apruebo la violencia, pero no puedo negar que nuestro país se fundó en ella para ganar nuestra libertad.
Estos gobiernos promulgan políticas y usan tácticas de mano dura para controlar a los medios de comunicación y así limitar la información externa, controlar la narrativa y monitorear nuestras comunicaciones. Esto muestra lo desesperado que está el liderazgo de este país por controlar a la gente y lo desesperadamente fuera de contacto que está con la realidad. Si no eres un republicano anglosajón protestante armado, campesino, que odia a los inmigrantes y blanco (WASP), ¡entonces eres el enemigo! Espera, ¿y ahora qué? Así es. Para algunas personas en los Estados Unidos es blanco o negro. Pero no se trata sólo de racismo, fascismo o política.
Tu afiliación política y a quién votas en última instancia tiene mucho que ver con la dirección que tomarán los Estados Unidos en términos de mayor protección de la privacidad o mayor erosión de todos tus derechos. En Bielorrusia se han producido apagones de Internet a raíz de las protestas ciudadanas por lo que los ciudadanos han llamado fraude electoral. Nos estremecemos al pensar que algo así podría pasar en Estados Unidos, pero no me sorprendería ver que suceda. Sólo recuerda que todo lo que haces en línea está siendo rastreado y vigilado para obtener ganancias monetarias o con fines de espionaje del gobierno.
Las empresas tecnológicas están preocupadas por eventuales cambios en las reglas de privacidad, ¡oh no! ¿Qué harán con sus modelos de negocios que dependen de la recogida y venta de datos privados de los usuarios? Tal vez podrían desarrollar otras formas más éticas de apoyar sus modelos de negocio como cobrar a los clientes una pequeña cuota por usar sus servicios, y optar por no compartir sus datos. Sin embargo, creo que para muchos, confiar en que las empresas de tecnología realmente harán lo que prometen, está cancelado.
Brechas de Datos
El investigador Bob Diachenko descubrió en agosto de 2020 que el fabricante de hardware de videojuegos Razer filtró la información de identificación personal (PII) de más de 100.000 jugadores en línea incluyendo información de transacciones de pago sin números de tarjeta de crédito, artículos comprados, direcciones de correo electrónico, direcciones físicas. La filtración de datos parece haber sido el resultado de un clúster de Elasticsearch mal configurado y almacenado en la Nube que fue indexado por motores de búsqueda como Google, Bing y Yahoo.
Diachenko también descubrió que Telmate, un servicio propiedad de Global Tel Link y utilizado por reclusos de una prisión de los Estados Unidos para comunicarse con el exterior de la misma, filtró decenas de millones de mensajes privados, registros de llamadas, así como otros datos personales tales como mensajes de texto/imagen, correo de voz, fechas de nacimiento del recluso, identificaciónes del centro, nombres completos, sexos, delitos, saldos de cuenta, direcciónes de correo electrónico de los destinatarios, números de licencia de conducir, direcciónes físicas y direccións IP en agosto de 2020.
Los empleados del sistema de salud tuvieron acceso póstumo a los registros médicos de George Floyd, lo que constituye otro ejemplo de violación de la ley HIPAA. Esto fue hecho principalmente por proveedores de salud que tenían acceso a sus registros médicos.
70 sitios web de citas para adultos y de comercio electrónico propiedad de Mailfire expusieron datos de información de identificación personal (IIP) incluyendo detalles sobre las preferencias románticas de los usuarios. Investigadores de vpnMentor descubrieron que fueron expuestos 320 millones de registros individuales que representan 882 GB de datos. Los IIP incluyen nombres completos; edad y fechas de nacimiento; género; direcciones de correo electrónico; datos de localización; direcciones IP; imágenes de perfil cargadas por los usuarios; y descripciones biográficas de los perfiles.
Pero quizás lo más alarmante, es que la fuga también expuso las conversaciones entre los usuarios en los sitios de citas, así como el contenido de los correos electrónicos. La fuga se debió aparentemente a un servidor de Elasticsearch (Nube) mal configurado, lo que nuevamente plantea la pregunta de cuán seguro es almacenar cualquier dato en la Nube. Muy pocas organizaciones parecen ser capaces de configurar correctamente los contenedores de almacenamiento en la Nube como por ejemplo los servidores de Elasticsearch o los cubos de AWS S3.
Sin embargo creo firmemente que, en algún momento, los proveedores de servicios en la nube (C-SP) deberán ser responsabilizados por no asegurar que sus clientes configuren adecuadamente las opciones de seguridad de sus contenedores. Los acuerdos de nivel de servicio (SLA) que los clientes deben firmar para utilizar los servicios C-SP absuelven al C-SP de cualquier responsabilidad en términos de contenedores mal configurados. Creo que este es un enfoque inadecuado de la seguridad en la nube. En última instancia, el propietario de los datos es responsable de su seguridad, pero el C-SP también debe tener una responsabilidad compartida para ayudar a asegurarlos. Es su maldita plataforma en la Nube después de todo.
Como AWS, por ejemplo, ¿cuántos titulares tenemos que leer que los cubos de AWS S3 fueron violados o filtrados antes de que el gobierno finalmente intervenga y cree una legislación en torno a este segmento de negocio? Es ridículo. Hay una responsabilidad de seguridad compartida, no importa cómo lo queramos defender. También es por eso que muchos profesionales de la seguridad informática todavía no confían en la Nube. La Nube es, después de todo, sólo “el ordenador de otro”. De lo contrario, si se permite que continúe el statu quo, es decir, si la seguridad de los datos no se puede implementar con un nivel de éxito mayor al que estamos viendo hasta ahora, parecería que el modelo de negocio de la Nube está destinado a fracasar.
El Inspector General del Departamento de Asuntos de Veteranos (VA) está investigando una violación de 46.000 registros de veteranos de la que el público sólo ha sabido recientemente, pero acerca de la cual el VA todavía no ha comunicado la fecha exacta. Los así llamados “expertos en seguridad”, dijeron, “Los expertos en seguridad dijeron que el número relativamente bajo de cuentas afectadas — en comparación con la violación de la Oficina de Administración de Personal de los Estados Unidos (OPM) en 2015, que afectó a 21,2 millones — sugirió que el monitoreo interno de la VA podría haber detectado rápidamente que algo estaba mal y entonces se pudo actuar antes de que los hackers manipularan muchos más registros”. ¿Qué? No, así no es como se supone que funciona esto.
Se supone que los Sistemas de Detección de Intrusos o los Sistemas de Prevención de Intrusos (IDS/IPS) alertan automáticamente a los administradores del sistema cuando se produce una intrusión y un IPS irá un paso más allá para tomar medidas y denegarles el acceso. Esto es lo contrario de fallar seguro, esto es fallar de lleno. Pasa y toma lo que quieras. “El gobierno federal tiene una mayor responsabilidad en la protección de los sistemas que utiliza para realizar sus negocios porque el potencial de daño es mucho mayor”, comentó Brandon Hoffman, Oficial de Seguridad de la Información (CISO) de Netenrich. Este CISO no cree que esta pequeña violación de datos de sólo 46K veteranos sea un gran problema y que podría haber sido mucho peor. Gracias a Dios, ¡siendo Veterano yo mismo me siento muy aliviado al saberlo!. Dame un respiro.
El veterano de los juegos online Activision fue supuestamente vioado el 20 de setiembre, entregando 500.000 cuentas. Activision aún no ha hecho ninguna declaración oficial acerca de la brecha pero lo más prudente que pueden hacer los usuarios, luego de una brecha como esta, es cambiar sus contraseñas, activar la autenticación en dos factores (2FA), y si tenían alguna tarjeta de crédito/débito vinculada a su cuenta entonces deberían poner atención a movimientos o cargos extraños que puedan apaecer.
Principales Demandas Legales vinculadas a la Privacidad
El Observatorio Irlandés de Privacidad se enfrenta a Facebook en los Tribunales por los Derechos de Transferencia de Datos
La Comisión Irlandesa de Protección de Datos decidió que Facebook debe detener las transferencias de datos a través del atlántico porque las cláusulas de contrato estándar entre los Estados Unidos y la Unión Europea no son válidas para ninguna de las herramientas que Facebook pueda utilizar para realizarlas. Esto sucedió inmediatamente después de que la Corte Suprema de la UE rompiera el acuerdo sobre el Escudo de Privacidad entre los EE.UU y la UE por preocupaciones de que los datos de los ciudadanos de la UE no estuvieran seguros una vez que estuvieran bajo el control de EE.UU. Creo que es una preocupación válida dadas las revelaciones que se desprenden de filtraciones de datos clasificados como, en particular, las de Snowden.
La gente piensa que sólo porque sus datos están protegidos por HTTPS y el cifrado de Seguridad de la Capa de Transporte (TLS) no pueden ser descifrados. La verdad es que con la transmisión de paquetes de red, ciertas porciones de los campos de los paquetes no están encriptados para que los mensajes puedan ser enrutados de manera adecuada, y los elementos encriptados de los paquetes aún pueden estar sujetos a una inspección profunda por parte de los cortafuegos a lo largo de la ruta que recorren por la red antes de llegar a la dirección IP de destino. La IP de origen y la de destino son visibles en la transmisión de paquetes aunque estén cifrados. Se puede obtener información valiosa sólo con esa información.
El número de puerto TCP al que se envían los datos en la dirección IP de destino es otra información que se desprende incluso si los datos de la aplicación o la carga útil están encriptados. El tamaño de los paquetes, la frecuencia de las transmisiones, las horas y las fechas son también puntos de recolección de datos que pueden revelar información valiosa a los analistas de inteligencia. Tus datos encriptados, la porción del paquete de datos llamada carga útil, DEBERÍA estar a salvo del descifrado, pero hay algunas herramientas y métodos que se pueden utilizar para desencriptar ciertos tipos de criptografía de transporte, como por ejemplo el uso de captura de paquetes Wireshark (pcap) o el Analizador de Mensajes de Microsoft (imagen inferior).
En la vista macro de las Grandes Corpoaciones Digitales, productos como el Análisis de Tráfico Cifrado de Cisco o la Prevención Avanzada de Amenazas de Juniper pueden revelar un comportamiento anómalo de la red o pueden ser usados para monitorear el tráfico de red de varias regiones, entidades o incluso individuos si es necesario. Este es el mundo en el que vivimos ahora, la tecnología que tenemos puede ser usada para mirar el nivel macro, desde 3.000 metros de altura, o profundizar en el nivel micro para ver a Sam Smith en Virginia enviar paquetes de mensajes encriptados a alguien que se hace llamar Ali Baba en Yemen.
Los servidores proxy SSL/TLS utilizados por muchos productos de seguridad de redes de terceros realizan el descifrado de las comunicaciones en un extremo del servidor proxy para inspeccionar los paquetes y luego lo vuelven a cifrar antes de enviarlo por la red a la dirección IP de destino. Cuando esto se hace, existe la posibilidad de que los datos una vez cifrados se recojan y se desvíen en un estado no cifrado antes de volver a ser cifrados. No es un exagerado imaginar que una agencia de inteligencia en cualquier país moderno pueda hacelo.
Es por eso que quieres usar productos con encriptación de extremo a extremo (E2EE) como Signal tanto como sea posible y también es por eso que organizaciones como el DOJ, el FBI y otras agencias gubernamentales están enojadas por no lograr que estas corporaciones creen puertas traseras a su encriptación para que puedan espiarnos a todos. Pero incluso con los productos E2EE, todavía hay vulnerabilidades que potencialmente podrían ser explotadas como, explica Will Dorman de la Universidad Carnegie Mellon (CMU) (es decir, la universidad a la que el FBI pagó un millón de dólares para desarrollar un exploit de Tor).
Desarrollos en la Legislación sobre Privacidad
En el caso Estados Unidos contra Moalin, cuatro miembros de una diáspora somalí (una diáspora es una población dispersa cuyo origen se encuentra en un lugar geográfico distinto) fueron acusados por el Gobierno de los Estados Unidos (USG) de conspirar para enviar 10.900 dólares a Somalia en apoyo de una organización terrorista extranjera. Ellos apelaron y plantearon dudas sobre la recolección masiva de comunicaciones de ciudadanos estadounidenses por parte del Gobierno.
Se determinó que el gobierno posiblemente había violado la Cuarta Enmienda cuando recolectó los metadatos de telefonía de millones de estadounidenses, incluyendo a al meno uno de los acusados, de conformidad con la Ley de Vigilancia de Inteligencia Extranjera (FISA). Estos metadatos obtenidos por el Gobierno de los Estados Unidos son “fruto del árbol venenoso” porque fueron recogidos ilegalmente bajo una autoridad que viola los derechos de una enmienda constitucional de los ciudadanos estadounidenses. Por supuesto, esta es una opinión de la corte federal del Noveno Circuito que es ampliamente reconocida como la más liberal de todas las cortes federales de circuito.
Es poco probable que la Corte Suprema de los Estados Unidos (SCOTUS) sostenga las mismas opiniones, especialmente si se tiene en cuenta que el número de jueces conservadores sigue aumentando con los nombramientos de la actual administración de Justicia. No esperaría que nada salga sustancial de esto, pero es un importante desarrollo legal relacionado con la privacidad y algo de lo que debemos ser conscientes.
Senadores Republicanos Proponen una Ley Federal de Privacidad
La “Ley de Establecimiento de un Marco Americano para Asegurar el Acceso a los Datos, la Transparencia y la Responsabilidad” o Ley SAFE DATA fue presentada el 17 de septiembre de 2020 por el Presidente del Senado de Comercio Roger Wicker (representante por Misisipi), con el apoyo de los Senadores John Thune (representante por South Dakota), Marsha Blackburn (representante por Tennessee), y Deb Fischer (representante por Nebraska). Como de costumbre, sin embargo, el proyecto de ley finalmente se queda corto en cuanto a la protección de la privacidad del consumidor que tanto se necesita en los EE.UU. Diablos, me pregunto ¿por qué será? ¿Podrá ser debido a los grupos de presión corporativa?
Las críticas de los expertos en privacidad digital, como Sara Collins del Consejo de Política de Public Knowledge, dijeron:
“… Es de importancia crítica que la ley SAFE DATA no posea los controles adecuados para impedir que las compañías rastreen de manera invasiva cada movimiento en línea de los usuarios de internet ni tampoco cláusulas que otorguen a los usuarios un control real sobre los datos que se recolectan sobre ellos ni sobre cómo éstos son utilizados, y su alcance no es suficiente para proteger los derechos civiles en línea… la ley SAFE DATA también les ofrece a éstas compañías demasiadas oportunidades para autorregularse.”
América, tenemos que elegir mejores políticos que hagan la voluntad del pueblo en vez de falsas promesas. Muchos de estos políticos tienen sus valores comprometidos, reciben sobornos de estas compañías que no quieren que se apruebe una fuerte protección a la privacidad del consumidor. Argumentan que esto dañará sus modelos de negocio pero, ¿qué pasa con los derechos de los ciudadanos americanos? ¿No se puede opinar sobre el asunto o en este país sólo se habla sobre el derecho de las empresas a jodernos? El dinero habla y la mentira camina, pero estos políticos no engañan a nadie con estas suaves propuestas de ley de privacidad.
La Saga del Sistema de Reconocimiento Facial Continúa en su Escalada de Descontrol
La tecnología del Sistema de Reconocimiento Facial (SRF), tan popensa a errores, condujo al arresto de Michael Oliver en Detroit cuando no había hecho nada malo y él ha decidido demandar al Departamento de Policía de Detroit porque un FRS lleno de fallas es malo a la hora de identificar a las personas de color. Sin embargo, no es la primera vez que ocurre en Detroit. En junio de 2020, durante la protesta nacional por la muerte por negligencia de George Floyd, otro hombre llamado Robert Williams fue identificado erróneamente por la misma tecnología de FRS y arrestado por un crimen que no cometió. La Inteligencia Artificial (IA) no está ni cerca de lo desarrollada que debe estar para identificar con precisión a las personas, especialmente a las personas de color y en particular a los afroamericanos.
Sin embargo, esto no ha impedido que los departamentos de policía y las agencias federales de todos los EE.UU. paguen por estos servicios para “ayudar” a resolver crímenes y rastrear personas. El ICE es uno de los principales clientes de este tipo de servicios de tecnología FRS ya que lo utilizan para rastrear inmigrantes ilegales. Independientemente de cuales sean tus sentimientos acerca de la inmigración ilegal, creo que la mayoría de la gente razonable puede estar de acuerdo en que la tecnología FRS basada en IA puede tener consecuencias negativas muy graves para personas inocentes. Incluso el simple hecho de ser arrestado por un crimen que no cometiste puede tener repercusiones tangibles con empleadores que pueden despedir a sus empleados para proteger la imagen de su negocio.
Hay muy pocas regulaciones que prohiban el uso de los sistemas de reconocimiento facial por parte de los departamentos de policía, por lo que no hay forma de que sepamos con qué frecuencia los utiliza la policía o de que podamos cuestionar la precisión de esta tecnología. Sólo después de que alguien ha sido arrestado injustamente, interrogado y posiblemente llevado a juicio por un crimen que no cometió, se le permite a un abogado defensor ver cualquier evidencia proporcionada por los fiscales.
Para entonces el individuo, que si lo piensas podría ser cualquiera de nosotros [asimila eso por un momento], tendrá su reputación dañada por haber sido arrestado falsamente si es inocente, y podría haber perdido su empleo. Eso es sólo para empezar, ¿qué tal un daño irreparable a la reputación de esa persona inocente entre amigos y familiares? Imagina ser arrestado por ser un acosador sexual (cuando en realidad no lo eres) pero luego tener que probar tu inocencia porque alguna tecnología FRS basada en Inteligencia Artificial te identificó incorrectamente.
Los departamentos de policía a menudo compran esta tecnología con subvenciones federales que los protegen de tener que revelar en qué gastaron el dinero, pero eso no es todo. A menudo, los vendedores de tecnología FRS dan períodos de prueba gratuitos a los departamentos de policía para que puedan ver si les gustaría comprarla. Pero, ¿qué agencia del gobierno está regulando a estos vendedores de tecnología de sistemas de reconocimiento facial para asegurarse de que los productos que están vendiendo son realmente exactos? La policía y las agencias federales ya los están usando para identificar criminales e inmigrantes ilegales. ¿No sería la verificación de su exactitud un primer paso importante en esta práctica? Me parecería lógico.
Activistas pertenecientes al grupo de derechos de los inmigrantes Mijente están protestando contra la compañía de vigilancia Palantir mientras ésta se muda a su nueva sede en Denver, Colorado, desde su antigua sede en la bahía de San Francisco. Mijente ha estado involucrada en una campaña de #NoTechforICE desde 2018 y al igual que Clearview AI, Palantir es una compañía que hace que los defensores de la privacidad digital como yo perdamos el sueño por la noche.
Estas compañías están autorizadas a continuar vendiendo estas tecnologías invasivas de la privacidad que están siendo usadas de mala manera para rastrear humanos como ganado. Están explotando el uso de nuestros teléfonos inteligentes y las aplicaciones que comparten datos del servicio de localización GPS. Palantir incluso reconoce que es enormemente impopular en su Formulario S-1 en el que escribió,
“las críticas a nuestras relaciones con los clientes podrían generar eventuales molestias entre potenciales o ya existentes clientes, inversores y empleados, respecto de la forma en que manejamos ciertos temas políticos y sociales en nuestras actividades de negocios.”
Es denigrante pensar en la cantidad de formas diferentes en las que los estadounidenses están siendo vigilados, rastreados, monitoreados y explotados por múltiples entidades comerciales y gubernamentales, de manera cada vez más agresiva, y sin tener en cuenta en absoluto los derechos constitucionales que les otorgan la Primera y Cuarta Enmiendas. Si alguna vez se llegara a tomar una decisión importante por parte de la SCOTUS, que fallara a favor de las protecciones de privacidad a los ciudadanos americados que asegura la Cuarta Enmienda, no habría ninguna apelación, pero las empresas cerrarían sus operaciones de los EEUU y simplemente se mudarían fuera del país. Llorarían sin parar sobre cómo los derechos de privacidad les han arruinado la capacidad de hacer negocios en los EE.UU., y bla, bla, bla… Ya puedo oírlo ahora aunque todavía no haya sucedido, y me dan ganas de vomitar por adelantado. Esá escrito en la pared.
Apps, Privacidad, y Exposición
La Patrulla de Aduanas y Fronteras (CBP) supuestamente compró el acceso ilimitado a una base de datos nacional de seguimiento de Lectores de Matrículas Automatizados (ALPR) gestionada por una empresa llamada Vigilant para vehículos que se encuentren en cualquier lugar de los EE.UU. ¿Estamos empezando a tomar nota de todas estas nuevas empresas especializadas en el seguimiento de coches, personas y actividades que aparecen por todas partes? Si no es así, debería serlo. Debería ser un motivo de alarma. Como dijo el abogado de la ACLU Nate Wessler, “Una agencia encargada de sellar pasaportes y buscar contrabando en la frontera no tiene por qué comprar acceso ilimitado a los datos de localización de cientos de millones de americanos”.
Esto debería levantar banderas rojas y hacer sonar alarmas en las oficinas de los legisladores de Washington DC, pero hasta ahora sólo se escuchan el cantar de los grillos porque Donald Trump crea drama continuamente para distraer de toda la mierda ilegal que está permitiendo que se salgan con la suya estas agencias. A Trump no le podrían importar menos tus derechos constitucionales. Ha hecho repetidos comentarios fascistas y autócratas en el sentido de que los medios de comunicación son el enemigo del estado. Ha animado a los manifestantes a ser maltratados en sus mítines políticos, e incluso ha dicho que no concederá la derrota para que haya una transición pacífica del poder si pierde las elecciones.
Este es un momento extremadamente peligroso para estar vivo como estadounidense, lo que sólo se ve agudizado por el cambio climático global y los prolíficos casos como el asesinato de George Floyd y la utilización de la policía por la actual administración Trump para justificar todas estas tácticas y programas ilegales. Algunas de estas afrentas a la libertad personal como el derecho de la Primera Enmienda de decir lo que quieras están siendo quitadas a los americanos por medio de la explotación de APPs para exponer su privacidad. Solo dí que odias a Trump y deseas que sea acusado de traición y enviado a prisión por el resto de su vida en Facebook o Twitter.
Ese post podría ser potencialmente añadido instantáneamente a una lista de vigilancia monitoreada por el Servicio Secreto de los Estados Unidos y el FBI. ¿Tal vez esa lista también se sincronice con la de las personas que tienen prohibido volar en avión? ¿Quién sabe cómo utiliza el gobierno de EE.UU. esos datos? Lo que sí sé es que es un ejemplo de cómo los metadatos son rastreados y monitoreados por las autoridades y cómo pueden ser utilizados contra los ciudadanos de los EE.UU. Las apps están ayudando a que esto sea una realidad, las mismas apps que nos encanta usar para estar en contacto con amigos y familiares, para entretenernos, para estar al tanto de las noticias, para expresarnos. Ten cuidado con lo que dices online.
Las Aplicaciones de Vigilancia de Exámenes son una Pesadilla de Privacidad y Seguridad
Los estudiantes de varios colegios y universidades han expresando su preocupación por las aplicaciones de supervisión de exámenes que se ven obligados a usar en sus instituciones de educación superior. Sin embargo, las escuelas están tomando pocas medidas para reducir los riesgos de privacidad y seguridad o los prejuicios que contienen varias aplicaciones de supervisión de exámenes o que introducen en los dispositivos de los estudiantes. Varios órganos estudiantiles de universidades de todo el país han creado peticiones con miles de firmas (por ejemplo, la Universidad de Texas en Dallas tiene 6.300 para dejar de usar la aplicación Honorlock) porque las aplicaciones registran sus rostros, licencias de conducir, información de redes y dispositivos. Ha habido numerosos informes de que la tecnología de la aplicación de control de exámenes tiene fallas porque cada vez que un estudiante mira a otro lado de la pantalla con sus ojos, la aplicación asume que el estudiante está haciendo trampa.
Una vez más, tenemos una nueva tecnología digital que se está usando para monitorear el comportamiento humano que es potencialmente defectuosa. ¿Te suena familiar? Oh sí, los sistemas de reconocimiento facial con tecnología de IA también, ¿eh? No sólo estas aplicaciones de control de exámenes son “flagrantes violaciones de nuestra privacidad como estudiantes”, según los estudiantes de la Universidad de Texas, sino que algunas de ellas son altamente imprecisas en sus algoritmos de análisis de comportamiento. La aplicación Proctorio que registra a los estudiantes en sus habitaciones/casas mientras hacen los exámenes fue citada por más de 4.500 estudiantes de la Universidad Estatal de California en Fullerton como “espeluznante e inaceptable”. En julio de 2020, la aplicación de supervisión de exámenes de ProctorU sufrió una brecha de datos que resultó en la filtración de información de identificación personal (PII) de 444.000 usuarios.
Los estudiantes de la Universidad Internacional de Florida declararon que la aplicación Honorlock requería una cámara web y un micrófono, lo que dificultaba a los estudiantes que vivían en dormitorios o en otros lugares con acceso limitado a lugares silenciosos para hacer pruebas. Mientras que los estudiantes de la Universidad de Miami dijeron que la aplicación Proctorio rastrea la actividad ocular de un estudiante que “discrimina a los estudiantes neurodivergentes, ya que rastrea la mirada del estudiante, y señala a los estudiantes que miran hacia otro lado de la pantalla como ‘sospechosos’”. Esto, también, “impacta negativamente en las personas que tienen síntomas similares a los del TDAH”.
Los estudiantes han tenido cierto éxito con las peticiones, pero el tema subyacente de la invasión a la privacidad, como el que presentan estas aplicaciones de vigilancia, es que tenemos que levantarnos y protestar contra ellas o no se hará nada al respecto. Así como todo lo que se necesita para que el mal prevalezca es que los hombres buenos no hagan nada, todo lo que se necesita para que tu privacidad desaparezca completamente es que sigamos y sin hacer nada cuando las autoridades intentan quitárnosla. Si no defendemos nuestros derechos, ¿quién lo hará? Las organizaciones como la Fundación de Frontera Electrónica (EFF) y la ACLU son muy grandes. No pueden hacer frente a todas las injusticias.
Tenemos que hacer algunas cosas por nosotros mismos. Una forma muy efectiva de hacerlo es votar con nuestra billetera, lo que significa que cuando nos enteramos de que una empresa, universidad, agencia gubernamental u organización en particular está haciendo algo malo, dejamos de dar nuestro dinero a esa entidad para que reciban el mensaje de la forma más rápida. Esa es la manera más rápida de mostrar a estos ejecutivos de negocios y autoridades corruptas lo que no será tolerado. Mucho, mucho más rápido que esperar a que los políticos corruptos o las agencias de control del gobierno hagan algo al respecto.
Al FBI le Preocupa que los Video Porteros de Ring alerten a los Residentes de sus Redadas
En más consecuencias del caché de información de BlueLeaks que resultó del pirateo de DDoSecrets, el FBI expresó su preocupación en un boletín de análisis técnico publicado en noviembre de 2019 de que los video poteros de Amazon están alertando a los residentes antes de que estén a punto de ser allanados por la policía, pero que también hay oportunidades que pueden ser explotadas con tales dispositivos. Qué irónico y predecible que los organismos de aplicación de la ley expresen su preocupación por el uso de las cámaras de seguridad hogareñas por parte de los ciudadanos.
A las autoridades les preocupa que sus oficiales/agentes puedan ser blanco de disparos de francotiradores o que los ocupantes puedan tirar las pruebas por el inodoro antes de que ellos puedan entrar para impedirlo. Estas son preocupaciones válidas, pero ¿están a la altura de ser más importantes que los derechos de privacidad de la Cuarta Enmienda? Yo diría que no, y lo que es más, la policía podría pedirle a Amazon que coopere u obligarla con una orden de registro a entregar el video de la cámara Ring para determinadas direcciones.
Como si nos importara el hecho de que no puedan ejecutar una redada de SWAT sin que se avise primero a los ocupantes de una residencia. Bueno, así es como funciona a veces. ¿Crees que cuando estaba en los Marines siempre podíamos lograr el elemento sorpresa durante los ataques? Por supuesto que no. A veces sólo tienes que usar una fuerza abrumadora en la oscuridad durante las operaciones y hacer todo lo posible para sorprender al enemigo apareciendo para romper las puertas como a las 3 de la mañana cuando la mayoría de la gente está durmiendo.
Además, ya existe tecnología que las autoridades terminarán adoptando y que puede interferir las señales en las cercanías de una operación en particular. El uso de la tecnología de interferencia de señales sería muy controvertido, pero no tendremos que esperar mucho timepo antes de ver a algunos departamentos de policía tratando de salirse con la suya. He leído sobre casos en los que la policía hackeó el sistema de cámaras WiFi de una casa para monitorear lo que estaba pasando dentro.
Eso es más que espeluznante y no debería ser legal sin una causa probable y una orden judicial. Pero la policía no necesita hackear la alimentación de tu cámara en vivo si pueden obtener una orden para acceder a las imágenes de tu cámara de video almacenada en la nube. Nada nuevo… Nuestros derechos de privacidad en los EE.UU. significan muy poco en la actualidad. Todo lo que se necesita es una “causa probable” vagamente definida y una orden de registro firmada por un juez para que tus derechos de privacidad desaparezcan por completo.
Amazon Intenta Deslizarse en los Apatamentos de Alquiler con Alexa for Residential
¿Te gustaría alquilar un apartamento donde ha sido preinstalado un asistente de Alexa para permitir una guía audible del apartamento a nuevos inquilinos, pero que es capaz de escuchar y grabar audio que Amazon dice que será borrado diariamente? Eso es exactamente lo que están proponiendo que los propietarios hagan con esta última tecnología invasiva de la privacidad llamada “Alexa for Residential”.
“Y es a través de esta adopción masiva de los dispositivos Alexa que los consumidores (y el ejército de seres humanos que Amazon contrata para escuchar a los consumidores) pueden entrenar colectivamente el sistema de reconocimiento de voz de Amazon, que luego se monetiza a través de la principal fuente de beneficios de Amazon: Amazon Web Services”.
No sólo es una idea terriblemente mala para la privacidad del hogar, sino que además, ¿qué sucede cuando el propietario apaga a distancia el aire acondicionado o las luces para cumplir con algún atractivo plan de ahorro de energía? ¿Te retasaste en el pago del alquiler este mes? Oh, lo siento. No puedes salir de tu apartamento hasta que pagues. Puedo ver fácilmente que este descarado mal uso de la tecnología será desafiado en la corte en el futuro próximo. La seguridad y la privacidad del Internet de las cosas (IoT) es una verdadera pesadilla.
Amazon, a pesar de su comodidad para comprar por Internet, se ha convertido en otra de esas Corpoaciones Malignas por excelencia en los últimos tiempos. Están tratando de monopolizar varias industrias y están perjudicando a las empresas más pequeñas, así como pagando mal y persiguiendo legalmente a cualquier empleado que se atreva a hablar en contra de sus prácticas comerciales corruptas. Los empleados han tratado de sindicalizarse pero Amazon ha perseguido ilegalmente y despedido empleados por ello. Esto sólo demuestra que Jeff Bezos, el hombre más rico del mundo, es un plutócrata al que no le importan sus empleados. Podría fácilmente permitirse el lujo de hacer de Amazon el empleador mejor pagado del mundo, pero en cambio, elige ser codicioso y embolsarse la mayor parte de los ingresos de Amazon en sus cuentas bancarias en el extranjero, protegidas de los impuestos.
¡Google Prohibe Fomrmalmente el ‘Stalkerware’ en la Play Store!
Aunque pueda parecer un paso positivo en la dirección correcta para la privacidad digital, la reciente prohibición de las aplicaciones Stalkerware por parte de Google se hizo sólo para guardar las apariencias. El gigante de la tecnología ha dejado un gran vacío en su prohibición “formal” a desarrolladores de éste tipo de aplicaciones, que entrará en vigor el 1 de octubre de 2020. El único cambio que tienen que hacer es cambiar la “marca” de su aplicación como una aplicación de rastreo de niños y Google lo permitirá en su Play Store.
No veo que esto vaya a proteger a los niños de ser rastreados por las aplicaciones de los teléfonos inteligentes. Esto debería ser sancionado enérgicamente como una violación de la ley COPPA, pero una vez más nuestro estimado gobierno ha promulgado más leyes de las que podría esperar hacer cumplir. No podemos confiar en que las empresas de tecnología se autogobiernen. No funcionará, ellos interpretarán las leyes de manera que les permita seguir obteniendo beneficios y no se tome en cuenta en absoluto intención de la ley. COPPA es una ley que se supone que protege contra la recolección de datos personales de las personas menores de 13 años. ¿Adivina qué Sherlock? La ubicación física de un niño es información personal. Llamamos a ésto un “gesto simbólico” de parte del gobierno. Las leyes no significan nada si no se aplican. ¿Para qué tomarse la molestia?
Facebook Realiza Experimentos Tecnológicos que Invaden la Privacidad
El Proyecto Aria es una iniciativa de Facebook que consiste en enviar a cien empleados a la sociedad equipados con gafas “inteligentes” con micrófonos y cámaras de vídeo que grabarán todo con lo que entren en contacto para determinar los posibles problemas éticos y de privacidad que puedan derivarse del uso de ésta tecnología en combinación con la tecnología de Realidad Aumentada (AR).
“Construimos el Proyecto Aria teniendo en cuenta la privacidad y hemos puesto disposiciones sobre dónde y cómo recogeremos los datos y cómo serán procesados, utilizados y almacenados”, twitteó Andrew Bosworth, vicepresidente de realidad aumentada y virtual de Facebook.
Claro, le tomaremos la palabra a Facebook, ¿verdad? Facebook tiene por lejos el peor historial de privacidad como resultado de numerosos escándalos de alto perfil como la debacle de Cambridge Analytica. ¿Por qué se les permite probar este tipo de tecnología en el público? Creo que la tecnología de Realidad Aumentada es fascinante y podría ser muy útil, pero no estoy de acuerdo con permitir a las empresas de tecnología correr por ahí filmando y grabando todo lo que puedan para subirlo a sus servidores para luego analizarlo. Eso está mal, es una violación directa de la privacidad de cada persona grabada. No tienen consentimiento para hacerlo en espacios privados y grabar a las personas sin su consentimiento es ilegal en algunos estados de EE.UU.
California es un estado de donde debe haber consentimiento en lo que se refiere a la grabación legal de las conversaciones, pero una vez más hay una laguna jurídica que Facebook está explotando. Si la conversación se lleva a cabo dentro de un área pública donde la podría ser fácilmente escuchada, entonces está bien.
Tácticas, Técnicas & Procedimientos de Privacidad Destacados
Bloqueador de Altavoces Inteligentes Paranoid
Paranoid ha desarrollado un dispositivo adicional de privacidad para los Altavoces Inteligentes y Home Assistants de todo tipo llamado Paranoid Home que bloquea la capacidad del altavoz inteligente para escuchar a escondidas pero aún así permite que el dispositivo funcione con los comandos de voz normales. Desafortunadamente, Paranoid no me envió una muestra de su producto.
Por lo tanto, no pude verificar independientemente ninguna de sus afirmaciones de privacidad. Esta tecnología es del tipo de la que necesitamos ver más, considerando que compañías como Amazon han subcontratado personas para escuchar lo que pasa en nuestra casa y vender esos datos a terceros. Paranoid Home funciona esencialmente bloqueando todo el audio a menos que escuche la palabra clave, “Paranoid” primero. El dispositivo tiene tres opciones de configuración diferentes entre las que los clientes pueden elegir, esencialmente control de privacidad bajo, medio o ultra alto. El dispositivo se vende por 49 dólares o 129 dólares por un paquete de 3. Puede que tenga que probar uno de estos. Suena muy prometedor.
Criptomonedas Centradas en la Privacidad
La criptomoneda Monero es el foco del intento del Servicio de Impuestos Internos por comprar herramientas para rastrear las transacciones en criptomonedas en Monero y que, en mi opinión, sólo prueba la incompetencia y desesperación por parte de las autoridades. Del mismo modo, recordamos cuando el FBI pagó a la Universidad Carnegie Mellon para desarrollar un exploit para Tor cuando se infiltraron y derribaron el infame sitio web de pedofilia Playpen Dark y de nuevo cuando pagaron a Cellebrite por un exploit para desbloquear el iPhone del tirador terrorista de San Bernardino. Sólo oímos hablar de las aplicaciones positivas para la resolución de delitos de tales herramientas de explotación por parte de los funcionarios del gobierno y las autoridades policiales. Sin embargo, también tenemos que preguntarnos si estas herramientas de exaplotación se están utilizando de manera inapropiada, ilegal, sin órdenes de registro. ¿Quién está controlando estas herramientas para asegurarse de que no se están utilizando indebidamente?
Recomendación de Nuevo Podcast
Si estás buscando un nuevo podcast sobre privacidad de la tecnología para escuchar, echa un vistazo al Centro de Tecnología Humana <humanetech.com/podcast> que recientemente produjo un muy buen documental en Netflix llamado, El Dilema Social, el 9 de septiembre de 2020. Te sugiero que lo veas y quizás también escuches su podcast. Es una revelación.
Seguridad y Vida Privada de Baja Tecnología: Consejo de Evasión y Anonimato
Los coches nuevos tienen llaveros remotos que están protegidos con medidas de seguridad adicionales contra los ladrones que utilizan amplificadores de señal de radiofrecuencia (RF) inalámbrica para llevar la señal del llavero de tu coche desde de una ventana en tu casa o apartamento, en lo que se denomina “ataques de retransmisión”. Las señales de RF no son bloqueadas por el cristal por paredes de yeso. El hormigón tiene que tener un cierto grosor además de un blindaje de aluminio en la pared interior para que pueda bloquear las señales de RF. Pero incluso entonces, podría haber alguna emisión menor de señales de RF. Así que en las instalaciones de seguridad, esa es una de las cosas que miran para acreditarlas como tales. Se puede usar equipo especial para hacer pruebas para ese tipo de cosas.
¿Qué puedes hacer para prevenir los ataques de retransmisión? Fácil, sólo guarda tus llaveros en una bolsa de Faraday. Sólo prueba la bolsa de Faraday para asegurarte de que funciona intentando desbloquear tu coche desde la bolsa o caja dentro de tu casa. Si no abre el coche, puedes suponer que funciona de forma eficaz. Como sabemos, nada es 100% seguro. Afortunadamente, este tipo de ataques de retransmisión no ocurren a menudo, y cuando lo hacen suelen ser cometidos un montón de veces por ladrones de coches en una determinada región geográfica. Las estaciones de noticias locales permitirán a los televidentes conocer la información emitida por los departamentos de policía locales.
Esto concluye la edición de septiembre de 2020 de “Cómo Ser Virtualmente Imposible de Rastrear”. Recuerden que deben hacer lo mejor para operar con una mentalidad de no confiar en nada ni en nadie. O, sólo confía cierta información a muy pocas personas. Siempre intenta verificar cualquier información antes de creerla y confiar en que sea precisa. Piensa en cuántas veces te has quemado cuando no has realizado esta simple acción. Cuanta menos información compartas con el mundo en línea, más privada será tu vida. No toda la tecnología es mala, pero muchas aplicaciones actuales de nuestra tecnología moderna son súper contraproducentes para la privacidad del usuario.
Las Grandes Corporaciones Digitales han diseñado una infraestructura global en la que nosotros, los consumidores, somos el producto porque nos ofrecen el uso gratuito de sus servicios. Es un concepto de mierda que los legisladores del gobierno continúan permitiendo en la práctica porque reciben sobornos de la industria de la tecnología. La solución no es convertirse en un ludita y abandonar toda la tecnología, sino forzar a la tecnología a ser implementada de una manera consciente de la privacidad. La única manera de hacerlo es exigiendo una legislación de privacidad significativa y votando con nuestros bolsillos.
A veces, aquí es donde ser un hacker es útil ya que tienes que ser creativo para piratear tu privacidad. Los teléfonos inteligentes no son una necesidad, son un lujo, pero también una responsabilidad de seguridad y privacidad más grande que un sitio web de redes sociales como LinkedIn. Las cuentas de redes sociales tampoco son una necesidad. Nada de esto es una necesidad. Son sólo lujos. No NECESITAMOS nada de esto. Elegimos usarlo por varias razones de conveniencia o entretenimiento pero nos las arreglábamos bien antes de que todo esto existiera.
Si la tecnología invasiva de la privacidad continúa entrando en cada rincón de nuestras vidas personales, la opción de borrarlo todo, desactivar mi smartphone, y permanecer fuera de la red digital tanto como sea posible siempre estará ahí. Sin embargo, date cuenta de que seguirás siendo monitoreado a través de satélites, cámaras de CCTV, ALPRs y tecnología FRS. Así que, ¡buena suerte con ese enfoque! Prefiero abrazar la tecnología y averiguar cómo hacerla más segura y privada. Las probabilidades están en contra de que tengamos verdadera privacidad mientras las corporaciones sigan presionando a los políticos que crean las leyes que continúan suprimiendo nuestros derechos de privacidad. Hasta la próxima vez, amigos.
***No confíes en nadie. Verifica Todo. No dejes rastro.***
Additional Privacy Resources
z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20, 48–20, #1–21, #2–21, #3–21, #6–21
*Privacy-related articles also published by the author can be found here.
Other helpful privacy info: EFFector | Atlas of Surveillance | Privacy Tools | IAPP | ACLU | PogoWasRight.org | DataBreaches.net
