Jan 15
Boletín de Privacidad de z3r0trust #3–21
Un compendio mensual sobre privacidad elaborado con conocimientos expertos en materia de seguridad. Un agradecimiento especial a @151mp137471n por traducir del inglés al español.
Bienvenidos a la edición de marzo de 2021 del Boletín de Privacidad de z3r0trust. Este mes cubro los píxeles espías de los correos electrónicos, la última insensatez de redirección de SMS que ya debía estar resuelta desde hace años, y les presento a uno de los mejores smartphones en materia de privacidad del mercado.
Tarde o temprano, cada uno tiene que tomar una decisión en determinado momento de la vida. Ésta decisión es si elegimos comodidad o privacidad el mundo digital. Para decirlo con claridad, en el mundo de la tecnología muy a menudo hay que elegir entre la una u la otra, pero muy rara vez es posible conseguir a las dos al mismo tiempo. Es como el viejo dicho: “A veces el camino correcto no es el más fácil”.
Nos demos cuenta o no, cada vez que compramos un producto y no otro otro estamos votando con el bolsillo, y algo parecido pasa cuando votamos en las elecciones donde elegimos los cargos políticos (nuestro voto aporta dinero). Las empresas a las que les damos nuestro dinero y los políticos a los que elegimos son quienes más influyen en que nuestra privacidad sea valorada y respetada o en que se venda al mejor postor, como viene ocurriendo desde hace mucho tiempo.
Exposiciones de Datos Privados
El anuncio de Google de que planea cambiar su modelo de datos a uno centrado en la privacidad y abandonar las cookies de seguimiento de terceros y de que no tiene mecanismos alternativos de seguimiento entre sitios es muy prometedor, pero muchas cosas pueden pasar de aquí al 2022, cuando piensan poner en efecto estas medidas (Duball, 2021). Con esto, Google está diciendo a los anunciantes que a partir de ahora las cookies propietarias de Google serán las únicas cookies de seguimiento entre sitios web.
“La publicidad es esencial para mantener la web abierta al mundo, pero el ecosistema de la web está en peligro si las prácticas de privacidad no están a la altura de las expectativas”, dijo el director de gestión de productos de privacidad y confianza de Google, David Temkin, en un comunicado de prensa.
¿La publicidad es “esencial” para mantener la web abierta para todos? Por favor, no me hagas reír… Google ya no quiere compartir esta oportunidad de beneficios con otras empresas, algo parecido a lo que está haciendo Apple al exigir a las aplicaciones que implementen una notificación para los usuarios de iPhone que les permita optar por no participar en la recopilación de datos. Sin embargo, no te dejes engañar. Google sigue planeando sacar provecho de la recopilación de datos de los usuarios a partir de sus propias cookies, pero sin permitir las cookies de otras compañías. Parece que Google se está posicionando para empezar a cobrar a los usuarios por no ser rastreados por Google en línea mientras visitan varios sitios web.
Es posible que muchos usuarios de Internet no sepan que hay píxeles espía que algunas organizaciones utilizan en los correos electrónicos para registrar si un correo electrónico fue abierto y cuántas veces lo abrió el destinatario; qué dispositivos se utilizaron para hacerlo; y la ubicación física aproximada basada en la dirección IP del destinatario sin necesidad de hacer clic en ningún enlace (Kelion, 2021). Es necesario que todos los usuarios de Internet comprendan cómo las empresas y las autoridades espían a sus usuarios. Esta técnica es sólo una más de las herramientas de espionaje disponibles en el mercado, y no es nueva.
Esta técnica, también conocida como “balizamiento web”, es muy similar a la forma en que el malware se comunica con los servidores de mando y control (C2) y también puede incluirse en la categoría de esteganografía digital, ya que oculta código malicioso, o código espía en este caso, a la vista de todos, pero que sin embargo es indetectable sin el conocimiento o las herramientas adecuadas. Este software espía de correo electrónico opera utilizando archivos .gif o .png que pueden ser tan pequeños como 1x1 píxeles insertados en el encabezado, el pie de página o el cuerpo de un correo electrónico HTML. Un método sencillo para bloquear estos rastreadores de correo electrónico de píxeles espía es configurar el navegador para que bloquee todas las características de las imágenes o vea los correos electrónicos como texto sin formato (Kelion, 2021).
El navegador de Internet Brave, similar a Chrome, ha adquirido Tailcat, de la empresa alemana Cliqz, que es un motor de búsqueda en Internet centrado en la privacidad, sin registro ni perfil de usuario, similar a DuckDuckGo o Startpage. Brave ha bautizado su nuevo motor de búsqueda como “Brave Search” (Shankland, 2021).
Brave ha crecido considerablemente en los últimos años y actualmente cuenta con 25 millones de usuarios mensuales. Un aspecto interesante aunque menos conocido del navegador de Brave, centrado en la privacidad, es que los usuarios pueden optar por ver anuncios y Brave paga a los usuarios a través de sus “Brave Rewards” hasta un 70% (Shankland, 2021). Brave no va a arrebatarle el primer puesto como motor de búsqueda en Internet a Google o a su navegador Chrome a corto plazo, pero sigue siendo otra buena opción para los usuarios de Internet preocupados por la privacidad.
Motherboard denunció recientemente en Vice cómo un potencial atacante puede redirigir tus mensajes de texto a su dispositivo por 16 dólares (Cox, 2021). Una locura, ¿verdad? En realidad, este tipo de “hacks” del Servicio de Mensajes Cortos (SMS) SS7, si podemos llamarlos así, no son nada sorprendentes. Nosotros, como comunidad de seguridad, llevamos años pidiendo que se deje de utilizar el SMS para pasar a un protocolo más nuevo y seguro. Los proveedores de telecomunicaciones no quieren tomar medidas porque dicen que costará demasiado implementarlo y nuestra débil FCC no defiende los intereses de los consumidores.
Algunas pequeñas empresas tecnológicas como Sakari ofrecen servicios especiales de redireccionamiento de mensajes SMS obtenidos mediante acuerdos con los proveedores de telecomunicaciones y que no deberían estar al alcance de los consumidores normales que podrían abusar de ellos por una módica suma. Y mucho menos por una oferta de prueba de 16 dólares. Sin embargo, una y otra vez, hemos visto numerosos ejemplos de empresas que venden el acceso a la localización GPS en tiempo real o, en este caso, el acceso a los mensajes telefónicos que pueden ser utilizados para tomar el control de otras cuentas protegidas a través de la autenticación de dos factores (2FA).
Ninguna empresa comercial u otras personas deberían poder hacerse con tu número de teléfono sin tu autorización explícita. Esto es algo que nunca debería haberse permitido en primer lugar, pero según un artículo de seguimiento de esta historia (también de Motherboard), parece que T-Mobile, AT&T y Verizon, tras la investigación de Motherboard , han implementado desde entonces medidas para detener los secuestros de SMS (Cox, 2021). Sin embargo, lo más probable es que lo hayan hecho por miedo a ser demandados hasta el infinito. Esta última transgresión sirve como un nuevo recordatorio conmovedor de que no hay que utilizar los SMS para la 2FA si se puede evitar. Si está disponible la opción, siempre utiliza una opción 2FA más fuerte, como las claves de seguridad de dos factores universales (U2F) o una aplicación de autenticación como Duo o Authy.
Una nota adicional para redondear esta historia: Si eres un investigador de seguridad que utiliza un alias, como hizo “Lucky225” cuando llamó la atención de Motherboard sobre el hackeo de la redirección de SMS, no es aconsejable que indiques también el nombre de tu empresa (es decir, Okey Systems) y tu puesto de trabajo como CIO de dicha empresa. Esto se debe a que es trivial identificar a alguien utilizando métodos básicos de OSINT como la búsqueda en Google. Si tu objetivo es el anonimato, entiende que, para empezar, no eres completamente anónimo. Asociar tu empresa y tu puesto de trabajo no ayuda a tu anonimato. No voy a dar ningún nombre públicamente porque eso es lo contrario de lo que creo que es lo correcto y muy contrario a la privacidad.
Toda esta historia y el anuncio de esta vulnerabilidad de los SMS me parece un poco extraño porque casi parece una especie de truco publicitario a modo de catalizador para lanzar esta nueva empresa de seguridad Okey Systems que parece haber, bueno, mira tú, establecido una presencia en Twitter este mes (marzo de 2021), de hecho. Hmm… ¿Te parece sospechoso? No hay ningún archivo de la SEC, por lo que no es una empresa que cotiza en bolsa, es una empresa privada con sede en Colorado. No hay nada malo en ello, simplemente me gusta investigar un poco de dónde viene mi información y tratar de entender cuáles son las motivaciones para publicarla. También podría ser una empresa nueva, así que no quiero sacar conclusiones precipitadas, pero no hay prácticamente ninguna información sobre esta empresa en su sitio web, lo cual es extraño.
El grupo de ransomware Clop publicó en la Dark Web los Números de Seguro Social y las notas de los estudiantes de las Universidades de Colorado y Miami (Abrams, 2021). El grupo parece haber explotado un grupo de vulnerabilidades no parcheadas en la aplicación de transferencia de archivos Accellion FTA, que fue objeto de un aviso conjunto de ciberseguridad de CISA el 24 de febrero de 2021. Curiosamente, la Universidad de Colorado informó de una filtración de datos en febrero que incluía información personal de estudiantes activos y futuros estudiantes. ¡Uf! Ni siquiera ser estudiante de una universidad y que tu información personal identificable sea violada y publicada es una mala noticia. En cualquier caso, es una mala noticia para cualquier víctima, pero me hace pensar en todos esos sitios de solicitud de empleo que, si se abrieran, podrían desparramar una gran cantidad de información personal de los solicitantes.
Los actores de las ciberamenazas no pierden el tiempo. Hay una razón por la que “martes de parches, miércoles de exploits” es un dicho común en la industria de la seguridad de la información. Las organizaciones y los individuos que utilizan software que contiene vulnerabilidades deben parchear rápidamente o se arriesgan a ser explotados, a que se les pida un rescate por sus datos, a que se les bloquee el acceso a sus sistemas informáticos o a algo peor. En algunos casos, se ha pagado el rescate y los datos se vendieron de todos modos. No se puede negociar con los terroristas de datos. Borra tus servidores y empieza de nuevo con la última copia de seguridad si es posible. Aprende de tus errores y sigue adelante, pero nunca, jamás, les pagues a estos payasos.
Entre tu lista personal de empresas tecnológicas en las que no querrías trabajar, si eres una persona de principios, lo más probable es que Amazon ocupe un lugar bastante alto. En los últimos años, Amazon se ha ganado la reputación de ser uno de los peores empleadores, si no el peor, en cuanto a abusos de los derechos de sus empleados. Además de las quejas de que los empleados no tienen suficiente tiempo para ir al baño durante sus turnos de trabajo, Amazon ha contratado a rompehuelgas para frustrar los intentos de sindicalización, y ahora a sus 75.000 conductores de reparto se les ha dicho que o bien tienen que firmar un formulario de consentimiento biométrico para que Amazon pueda controlar a los conductores con cámaras Netradyne de cuatro lentes y potenciadas por inteligencia artificial, que miden los síntomas de fatiga del conductor además de los datos habituales de seguimiento por GPS, o serán despedidos sin más (Gurley, 2021).
¿Te parece justo? Pues la gente necesita trabajar, y Amazon cuenta con que la mayoría de los empleados están lo suficientemente desesperados como para aceptar estas condiciones sin oponer resistencia. Si intentan luchar, seguramente serán despedidos. La única vía de recurso sería una demanda colectiva, que es probablemente lo que va a hacer falta para cambiar las cosas en Amazon.
Disney ha anunciado que probará la tecnología del sistema de reconocimiento facial (FRS) para controlar la entrada al parque en su Disney World de Orlando, Florida. La participación de los visitantes será opcional durante el período de prueba de 30 días, pero predigo que pronto veremos cómo esta tecnología es utilizada en todos sus complejos turísticos, ya que pueden utilizar el FRS para infinidad de cosas diferentes, no sólo en las entradas del parque para la admisión, sino también dentro de los parques temáticos, aparcamientos, tiendas, etc. Esa parece ser la tendencia hoy en día con el FRS. O se hace a lo grande o no se usa en absoluto.
Novedades en las Leyes Relacionadas a la Privacidad
En el 117º Congreso de EE.UU. se presentó la Ley de Transparencia de la Información y Control de los Datos Personales, un proyecto de ley patrocinado por la representante Suzan DelBene (demócrata de Washington), diseñado para establecer protecciones para el procesamiento de información personal sensible y que asigna 350 millones de dólares a la Comisión Federal de Comercio para hacer cumplir la normativa sobre privacidad y seguridad de los datos (Bryant, 2021). Por supuesto, a nivel nacional, cualquier proyecto de ley sobre la privacidad de los datos seguramente se enfrentará a una feroz oposición, ya que muchos de nuestros funcionarios electos están en los bolsillos de las grandes empresas que pueden perder una gran cantidad de dinero si se aprueba un proyecto de ley de este tipo a nivel nacional.
Clearview AI sigue luchando contra una demanda tras otra en los tribunales después de amasar más de 3.000 millones de fotos de personas mediante el rastrillaje de sitios de redes sociales como Twitter, Instagram y Facebook sin obtener el permiso de nadie para hacerlo, y luego vender estos puntos de datos de reconocimiento facial potenciados por IA a gobiernos y agencias policiales (Taylor, 2021). Clearview AI afirma que es su derecho según la Primera Enmienda hacerlo aquí en Estados Unidos a pesar de que es una empresa de propiedad extranjera.
Clearview AI también recoge imágenes de personas que ni siquiera fueron tomadas por quienes aparecen en las fotos. Imagínate que alguien que estuvo en un concierto contigo te toma una foto y más tarde te enteras de que tu empleador, suscriptor de los servicios de Clearview AI, te identificó mediante un sistema de reconocimiento facial basado en IA. ¿Recuerdas aquel día que llamaste al trabajo para decir que estabas enfermo, pero que en realidad fuiste a un concierto? Pues tu empleador acaba de despedirte por ello.
Tanto California como Illinois han demandado a Clearview AI y la Unión Europea (UE) también declaró que la empresa violaba el GDPR. La actividad ilegal de esta empresa continúa incluso mientras está siendo demandada en los tribunales, ya que su director general afirma que más de 2.400 agencias policiales utilizan sus servicios y que Clearview AI está ganando millones vendiendo el acceso a su base de datos de reconocimiento facial recopilada ilegalmente, que consiste en imágenes extraídas de la web.
TikTok ha acordado llegar a un acuerdo extrajudicial en una demanda colectiva y pagar 92 millones de dólares por la “recopilación, uso y transmisión de datos personales altamente sensibles”, que violaban leyes estatales y federales como la Ley de Privacidad de la Información Biométrica (BIPA) de Illinois, la Ley de Fraude y Abuso Informático de Estados Unidos, la Ley de Acceso Integral a Datos y Fraude de California y la Ley de Protección de la Privacidad en Vídeo (Sakin, 2021).
Pero lo importante es tomar distancia y pensar en por qué TikTok decidió resolver el caso pagando una multa extrajudicial. Si el caso hubiera ido a juicio, TikTok no solo se habría enfrentado a sanciones económicas más duras, sino también a una “reducción o ampliación del término «identificador biométrico»” que podría tener un impacto aún mayor en su aplicación y en otras aplicaciones de este tipo que recopilen datos similares de los usuarios.
Además, el juez de distrito John Lee desaprobó los términos propuestos del acuerdo porque TikTok sólo pretendía notificar a unos 30 millones de miembros de la demanda colectiva por correo electrónico en lugar de alertar a todos los 89 millones de usuarios de TikTok a través de la aplicación TikTok, lo que potencialmente daría lugar a más demandantes y a un mayor porcentaje de pago. Habrá más información sobre esta historia.
Tips de Privacidad
En lo que respecta a los productos tecnológicos para la privacidad, la gente se pone muy selectiva cuando se trata de sus móviles. Y con razón, la mayoría de la gente los utiliza para casi todo. Es lógico que si uno valora la privacidad, esté dispuesto a pagar un poco más por un teléfono seguro y diseñado pensando en ella. En este sentido, el teléfono KATIM R01 de DarkMatter es considerado uno de los teléfonos más seguros del mercado, si no el que más. La empresa afirma que es lo suficientemente bueno para jefes de Estado y empresas, lo que hace que uno se pregunte sobre su bajo precio.
Fabricado por profesionales de la ciberseguridad, el teléfono KATIM presume por defecto de “autodestrucción de mensajes e incluso autodestrucción del propio dispositivo si es manipulado.” KATIM se ejecuta en un sistema operativo propio de KATIM que es una versión reforzada de Android 7.x (Nougat). El teléfono luce unas especificaciones tecnológicas impresionantes y una durabilidad robusta, como es de esperar, pero eso no es lo que impresiona en términos de privacidad y seguridad. El teléfono tiene un MODO SHIELD y un MODO BLOQUEADO para ocultar la pantalla de las miradas indiscretas y desactiva el micrófono, la cámara, los sensores de movimiento y el Bluetooth/WiFi (por ejemplo, el modo avión).
El KATIM R01 tiene un cargador de arranque protegido (es decir, piensa en el Trusted Platform Module de Microsoft); emplea el cifrado de dispositivo de extremo a extremo AES-256 bits; 2FA basado en la biometría; y una tarjeta microSD de clave criptográfica con la que hacer llamadas telefónicas cifradas. Para los amantes de los iPhone, Apple sigue estando en un puesto relativamente alto en cuanto a privacidad con su iPhone 12 Pro Max, que ofrece muchas de las mismas características pero con 1.450 dólares. Un crédito que le daré a Apple, sin embargo, es que hacen un gran trabajo sacando parches para su sistema iOS. Otros proveedores de teléfonos centrados en la privacidad no tienen la misma reputación o poder cuando se trata de enfrentarse a las autoridades que exigen puertas traseras de cifrado.
Consideraciones Finales
Cada uno de nosotros debería tener el derecho, como persona privada, de excluirse de cualquier servicio tecnológico. Uno puede simplemente dejar de utilizar la tecnología o, en algunos casos, simplemente utilizar un nick. No necesito una ley estatal o federal para ejercer mi derecho de abstención, pero una legislación inteligente sobre la privacidad ayuda a impedir que las empresas sedientas de datos recopilen y vendan indebidamente nuestra información privada y de usuario. Algunos datos personales se pueden comercializar públicamente, pero gran parte de lo que se recopila hoy a través de las aplicaciones de los teléfonos inteligentes y las cookies de los sitios web simplemente no está regulado por la ley.
La gente tiene que ser consciente de la información personal que está disponible sobre ellos mismos en Internet. Pueden hacerlo realizando búsquedas en Internet y estableciendo alertas para su nombre y el de sus familiares. Además, también tienen que ser conscientes de las medidas que pueden tomar para eliminar cierta información.
Nunca confíes. Verifica siempre. Piensa como un adversario.
Referencias
Abrams, L. (2021, March 23). Ransomware gang leaks data stolen from Colorado, Miami universities. Retrieved from https://www.bleepingcomputer.com/news/security/ransomware-gang-leaks-data-stolen-from-colorado-miami-universities/
Bryant, J. (2021, March 19). Notes from the IAPP, March 19, 2021. Retrieved from https://iapp.org/news/a/notes-from-the-iapp-march-19-2021/
Cox, J. (2021, March 15). A Hacker Got All My Texts for $16. Retrieved https://www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-netnumber
Cox, J. (2021, March 25). T-Mobile, Verizon, AT&T Stop SMS Hijacks After Motherboard Investigation. Retrieved from https://www.vice.com/en/article/5dp7ad/tmobile-verizon-att-sms-hijack-change
Duball, J. (2021, March 3). Google says it won’t pursue a cross-site tracking after phasing out cookies. Retrieved from https://iapp.org/news/a/google-doubles-down-on-third-party-cookies-abandonment/
Gurley, L.K. (2021, March 23). Amazon Delivery Drivers Forced to Sign ‘Biometric Consent’ Form or Lose Job. Retrieved from https://www.vice.com/en/article/dy8n3j/amazon-delivery-drivers-forced-to-sign-biometric-consent-form-or-lose-job
Kelion, L. (2021, February 17). ‘Spy pixels in emails have become endemic’. Retrieved from https://www.bbc.com/news/technology-56071437
Sakin, N. (2021, March 23). TikTok settlement highlights power of privacy class actions to shape US protections. Retrieved from https://iapp.org/news/a/tiktok-settlement-highlights-power-of-privacy-class-actions-to-shape-u-s-protections/
Shankland, S. (2021, March 3). Brave takes on Google with privacy-focused search engine. Retrieved from https://www.cnet.com/news/brave-takes-on-google-with-privacy-focused-search-engine/
Taylor, E. (2021, March 9). Clearview AI uses your online photos to instantly ID you. That’s a problem, lawsuit says. Retrieved from https://weekdaytimes.com/technology/2021/03/09/clearview-ai-uses-your-online-photos-to-instantly-id-you-thats-a-problem-lawsuit-says
Additional Privacy Resources
z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20, 48–20, #1–21, #2–21, #3–21, #6–21
*Privacy-related articles also published by the author can be found here.
Other helpful privacy info: EFFector | Atlas of Surveillance | Privacy Tools | IAPP | ACLU | PogoWasRight.org | DataBreaches.net
