Boletín de Privacidad de z3r0trust #46–20

Un agradecimiento especial a @151mp137471n por traducir del inglés al español

“Si se prohibe la privacidad, sólo los criminales tendrán acceso a ella. En ningún momento del siglo pasado la desconfianza pública hacia el gobierno ha estado tan extensamente distribuida a través del espectro político como hoy en día.” — Philip Zimmermann, creador de Pretty Good Privacy (PGP)

Bienvenidos de nuevo a la edición semanal del Boletín de Privacidad de z3r0trust. Permítanme preparar el escenario de esta edición poniéndola un poco en el contexto del marco temporal. El mundo ha estado lidiando con la pandemia del Coronavirus (SARS-CoV-2) durante la mayor parte del 2020. Un par de vacunas diferentes se acercan a las etapas finales de las pruebas de ensayo, pero aun llevará varios meses distribuirla a quienes la deseen. El esfuerzo conjunto por parte de Apple y Google para el rastreo del virus no ha jugado casi ningún papel en el control de la propagación de la enfermedad en los EE.UU. Al principio hubo mucha preocupación por los riesgos de privacidad que una aplicación de este tipo traería consigo, pero parece que los defensores de la privacidad tuvieron éxito en hacer correr la voz.

También es importante destacar que las elecciones presidenciales de los Estados Unidos de 2020 han finalizado. La declaración oficial de quién ganó aún no ha sido anunciada por los representantes del Colegio Electoral de cada estado y las impugnaciones judiciales a Donald Trump aún están pendientes. Sin embargo, Joe Biden y Kamala Harris se anuncian como vencedores, aunque Trump y sus camaradas se niegan a reconocer que han perdido. Hasta ahora, parece que no se hallaron pruebas legítimas de fraude en la elección, a pesar de las afirmaciones en sentido contrario. Sin embargo, sí hubo intentos en gran escala de parte de la administración Trump y el partido republicano (GOP) de apartar a los votantes demócratas limitando el número de lugares de votación en los estados controlados por ellos y recortando la capacidad del Servicio Postal de los Estados Unidos para recoger, entregar y procesar las boletas quienes votaron por correo.

Recordarás que en la edición de la semana pasada hablé de la cantidad de información electoral personal que está disponible públicamente. Ten cuidado con quién puede acceder legalmente a tu información electoral personal, ya que hay muchos republicanos buscando desesperadamente en los registros de votantes para encontrar alguna evidencia de fraude. La derrota de Trump fue una importante victoria para la privacidad digital por el simple hecho de que, bajo su reinado de tiranía, varias agencias gubernamentales de las que es responsable, abusaron de su autoridad al violar los derechos de privacidad de la Cuarta Enmienda Constitucional de innumerables ciudadanos americanos. Hasta la fecha, los funcionarios a cargo de ICE, CBP y DHS aún no han sido responsabilizados por sus crímenes. Aún queda mucho trabajo por hacer en el gobierno con respecto a la legislación de privacidad en todos los niveles. La lucha por nuestra privacidad es una que debe ser continua. De lo contrario, hay quienes socavarán nuestra privacidad para servir a sus propósitos. Debemos luchar por nuestro derecho a la privacidad, o éste desaparecerá para siempre.

Estamos en una coyuntura crítica en la formación de una legislación significativa de privacidad digital en todo el mundo. El Escudo de Privacidad EE.UU.-UE (también conocido como “Schrems II”) fue anulado por el Tribunal de Justicia de la Comunidad Europea (TJCE). California aprobó una versión más estricta de la CCPA (la CPRA) y Michigan aprobó la Proposición 2, que requiere que la policía obtenga una orden de registro antes de incautar datos electrónicos. Ha habido peticiones en el Senado para promulgar una ley de privacidad a nivel nacional similar a la que proporciona la GDPR de la UE, pero hasta ahora esos esfuerzos se han quedado cortos. Es un momento emocionante para estar vivo y ver la batalla por el derecho humano básico a la privacidad que se desarrolla ante nosotros.

Esta semana en las noticias de privacidad digital, el panorama de es duro. Hablaré de las asociaciones de la policía con las cámaras de vigilancia Ring, por qué Zoom fue demandado por la FTC, así como cómo por qué la ACLU y la EFF están luchando contra Clearview AI en nombre de tu privacidad.

La Policía Está Pinchando Disimuladamente las Cámaras Ring para Vigilarte

En Jackson, Mississippi, el departamento de policía ha recibido el visto bueno del ayuntamiento para llevar a cabo un programa piloto de 45 días que permite a la policía intervenir en tiempo real las cámaras de vigilancia Ring. Piensa en esto por un minuto. Tú, como cliente de Ring, pagaste por la cámara y las cuotas mensuales de almacenamiento de video en la nube para usar el servicio, y ahora Amazon, que es el dueño de Ring, se ha asociado con las agencias de la ley para permitirles acceder a la vigilancia de tu cámara de video privada. ¿Te parece bien? Los residentes y las empresas tienen que firmar una renuncia para que el departamento de policía pueda acceder a las cámaras Ring, pero ¿cómo sabe cualquier cliente de Ring si su cámara de vigilancia es privada o no? No lo sabe.

Amazon se está forrando con el equipo de vigilancia y las tarifas mensuales de almacenamiento en la nube que le pagan sus clientes. PILEUM y Fusus son las dos empresas de tecnología que trabajan como socias del departamento de policía para transmitir los videos a su Centro de Crimen en Tiempo Real. Ring dice que este no es su programa, pero como la Fundación de Fronteras Electrónicas (EFF, por sus siglas en inglés) informó anteriormente, Ring ha estado involucrado en asociaciones similares en otras ciudades. Esto es alarmante, considerando que Jackson, Mississippi, prohibió a su departamento de policía el uso de la tecnología de software de reconocimiento facial.

Uno se pregunta cuánto tiempo falta para que la policía quiera acceder a las cámaras de vigilancia dentro de nuestras casas. Sólo por razones de seguridad, por supuesto. Los departamentos de policía defienden este tipo de asociaciones tecnológicas diciendo que les ayudará a resolver proactivamente los crímenes y a colaborar en tiempo real con la policía comunitaria, pero ¿quién va a monitorear el programa para detectar abusos por parte de los oficiales de la ley y determinar cuándo este monitoreo adicional de vigilancia se pasa de la raya y se convierte en un exceso? Ya me lo puedo imaginar, “Hey, Oficial Burke, es hora de ir al 1245 de Westminton St. La Srta. Jacobs podría estar tomando el sol en su patio trasero otra vez. Esta cámara puede ver por encima de la valla de los vecinos…” Ring y Amazon deberían estar avergonzadas de sí mismas.

Brechas de Datos & Exposiciones de Privacidad

Para sorpresa de nadie, se descubrió que otro cubo de AWS S3 que contenía datos de huéspedes de hotel pertenecientes a Prestige’s Cloud Hospitality estaba filtrando los datos privados de clientes de más de 10 millones de huéspedes desde 2013. Cloud Hospitality es una plataforma de reservas de hoteles en línea en España y la fuga de datos fue descubierta por investigadores de seguridad que trabajan para Website Planet. En los 24,4 GB de datos expuestos estaban los nombres de los clientes, direcciones de correo electrónico e incluso información de tarjetas de crédito con sus correspondientes CVV y fechas de caducidad. Hasta ahora, no parece haber ninguna evidencia de que estos datos hayan sido accedidos por ciberdelincuentes. Sin embargo, este parece ser el tipo de incidente que podría ser objeto de medidas penales en virtud del Reglamento General de Protección de Datos de la UE (GDPR) por ser un flagrante fallo de seguridad del software utilizado para gestionar un sitio de reservas de hotel. Prestige se asoció con una empresa de investigación para determinar si los datos de los clientes se habían publicado en la Red Oscura para su venta, pero la búsqueda todavía no reveló ninguna prueba de exposición. Eso no significa, sin embargo, que los datos no hayan sido copiados y que no serán publicados en el futuro.

El proveedor de software de seguros Vertafore fue víctima de una violación de datos que afectó a 27,7 millones de conductores de Texas durante la pandemia entre el 11 de marzo y el 1 de agosto de 2020. Aparentemente, un empleado guardó sólo 3 pequeños archivos de datos en un servicio de almacenamiento externo no seguro, pero luego descubrió que alguien había accedido a ellos. Se trató de una evidente falta de capacitación en materia de privacidad y seguridad por parte de Vertafore el hecho de que el empleado no supiera dónde guardar de forma segura los archivos que contenían información de identificación personal (IIP) como números de licencia de conducir, nombres, fechas de nacimiento, direcciones de domicilio e historiales de registro de vehículos. Vertafore se está poniendo en contacto con todas las víctimas afectadas, las 27,7 millones de ellas, con respecto a esta violación de datos y les ofrecerá un año de servicios gratuitos de control de crédito y de restauración de la identidad.

Los niños de 4 a 8 años que juegan al juego en línea Animal Jam desarrollado por WildWorks se han convertido en víctimas involuntarias de una violación de datos que afecta a 46 millones de cuentas. Los datos de las cuentas consisten en aproximadamente 12.635 cuentas parentales que contenían nombres completos y direcciones de facturación, así como otras 16.131 cuentas que contenían solamente nombres. Los 7 millones de contraseñas robadas estaban encriptadas pero la compañía no comentó si los hashes de las contraseñas también estaban salados. Además, se robaron 32 millones de nombres de usuario de cuentas, pero éstos representan un riesgo de privacidad extremadamente bajo, ya que los nombres de las cuentas son genéricos y no tienen identificadores de IIP. WildWorks llevará a cabo un restablecimiento forzoso de la contraseña para todos los usuarios en respuesta a la violación.

Demandas Relacionadas a la Privacidad

La pandemia ha sido buena para el negocio de Zoom Video Communications, Inc. y otras empresas tecnológicas que ofrecen servicios de videoconferencia que han demostrado ser cruciales para los empleados que trabajan desde casa, los estudiantes y el público en general. Sin embargo, Zoom acaba de ser demandada por la Comisión Federal de Comercio que llegó a un acuerdo con la compañía y, como resultado, obligó a la compañía a implementar controles de seguridad informática más estrictos luego de que hubiesen,

“… denuncias de que el proveedor de videoconferencias participó en una serie de prácticas engañosas e injustas que socavaron la seguridad de sus usuarios”.

Si recuerdan, desde 2016 Zoom aseguró que ofrecía a los usuarios un cifrado de extremo a extremo (E2EE) logrado mediante el uso de una clave AES de 256 bits para encriptar las sesiones de videoconferencia. Sin embargo, se descubrió que se trataba de una afirmación falsa porque Zoom mantuvo, durante todo este tiempo, las claves de desencriptación que podían permitir a los empleados de Zoom acceder a las videoconferencias de los clientes. También resultó que las reuniones grabadas no se cifraban inmediatamente después de finalizada la reunión, como afirmaba Zoom, sino que se dejaban sin cifrar en los servidores de datos durante un máximo de 60 días antes de que Zoom las transfiriera a un contenedor seguro de la Nube.

Preocupantemente, Zoom también instaló secretamente su aplicación de servidor web ZoomOpener en las computadoras Mac de los usuarios sin su permiso, eludiendo las protecciones contra malware del navegador Safari y usándolo para lanzar la aplicación de Zoom y unir a los usuarios a una reunión haciendo a sus Macbooks menos seguros e implicando un mayor compromiso de privacidad. Pero incluso después de eliminar la aplicación de Zoom de sus dispositivos (ordenadores y teléfonos), ésta a veces se reinstalaba automáticamente. Por eso siempre digo a los usuarios de smartphones que tengan mucho cuidado con las aplicaciones que instalan en sus teléfonos y con las extensiones que agregan a sus navegadores. Esas aplicaciones son casi iguales a los Troyanos de Acceso Remoto (RAT) que utilizan los desarrolladores de malware para garantizar la persistencia en los dispositivos.

Como resultado de estas violaciones, la FTC no ha impuesto ninguna multa por el momento, pero ordenó a Zoom que desarrollara nuevas protecciones para su aplicación, que implementara un programa de gestión de vulnerabilidades y que desplegara medidas de seguridad como la Autenticación de Múltiples Factores (MFA).

La EFF presentó un amicus curiae en el caso de ACLU contra Clearview AI explicando por qué la afirmación de Clearview AI de que su tecnología de “impresión facial” es incorrecta y por qué no está protegida por la Primera Enmienda de la Constitución. Son una empresa con fines de lucro, y esto no tiene nada que ver con la libertad de expresión. Como recordarán, Clearview AI ha sido demandada en el estado de Illinois por violar la ley estatal de privacidad de la información biométrica (BIPA), que exige la participación de los consumidores antes de que su imagen pueda ser extraída de la web como lo hace Clearview. De hecho, Clearview es actualmente objeto de 10 demandas diferentes.

Clearview AI se enfrenta a un gran revés aquí en los EE.UU. por la forma en que la empresa de propiedad china y su arrogante CEO pensaron que podían acercarse casualmente y empezar a cosechar imágenes faciales de múltiples sitios sin el permiso de nadie. El hecho de que publiquemos nuestras imágenes en línea no les da a las empresas carta blanca para hacer con ellas lo que quieran. Estos imbéciles se están beneficiando de las imágenes que publicamos en línea por voluntad propia, y vendiéndolas a las agencias de la ley y al DHS, ICE, CBP. Tal vez no te gustó la imagen o lo que sea y decidiste borrarla. Podría haber sido recogida por Clearview AI que ahora compartirá tus nuevas imágenes faciales en su base de datos de la cual venden el acceso. ¿Te parece justo?

La ACLU está defendiendo todos nuestros derechos de privacidad con esta demanda porque un juicio favorable contra Clearview AI tendrá efectos predominantes en todo el país y obligará a la compañía a detener la recogida de imágenes sin permiso. Pero lamentablemente, ya es demasiado tarde. El daño ya está hecho. Clearview AI ya ha vendido su software de reconocimiento facial (FRS) a incontables clientes que lo están usando en este mismo momento. Los daños punitivos significarán poco contra una compañía como Clearview AI, que está obteniendo beneficios, y por otro lado otras compañías están observando cómo se desarrollan estas batallas legales para aprender cómo vender servicios similares de tecnología de reconocimiento facial potenciada por inteligencias artificiales.

Tácticas, Técnicas y Procedimientos de Privacidad Destacados

Como la privacidad es cada vez más importante para cada vez más personas, algunas empresas están empezando a innovar en tecnologías y servicios que la aumentan y que tienen como objetivo ayudar a las personas a mantener sus datos privados a salvo. Tal vez recuerden cómo en la parte 16 presenté el Paranoid Home, que bloquea los altavoces inteligentes para que no estén a la escucha, a menos que se diga la palabra mágica de desbloqueo. Pero hay otras empresas centradas en la privacidad que están surgiendo en el mundo de la privacidad, como Inrupt, creada por Tim Berners-Lee, a quien quizás reconozcan como el inventor de la World Wide Web (www) o la Internet tal como se conoce hoy en día.

Inrupt permitiría esencialmente que los clientes guarden su información privada que luego podría compartirse temporalmente con otras empresas de manera portátil y protegida utilizando protocolos técnicos de privacidad que aún no se han especificado. Tal vez veamos surgir algunos nuevos protocolos de Internet a partir de esto. Es muy impresionante que esta compañía tenga a Tim Berners-Lee como su CTO y a Bruce Schneier como su arquitecto jefe de seguridad. Tengo muchas ganas de aprender más sobre esta tecnología innovadora, y estoy seguro que ustedes también. Si se adopta ampliamente, tiene el potencial de cambiar fundamentalmente el funcionamiento de Internet.

NIST SP 800–53r5 — Control de Privacidad de la Semana

El Instituto Nacional de Normas y Tecnología (NIST) se encarga de publicar las normas de muchas unidades de medida precisas utilizadas en todo tipo de tecnologías. También publican las normas a las que deben ajustarse los sistemas de información federales en materia de controles de seguridad informática. Cada semana presentaré un control diferente.

REPORTES DE PRIVACIDAD PM-27

Control:

a. Desarrollar [Función: informes de privacidad definidos por la organización] y difundir a:

1. [Designación: órganos de supervisión definidos por la organización] demostrar la responsabilidad según los mandatos, reglamentos y normativas de privacidad establecidos; y

2. [Designación: funcionarios definidos por la organización] otro personal con la responsabilidad de vigilar el cumplimiento del programa de privacidad; y

b. Revisar y actualizar los informes de privacidad [Designación: frecuencia definida por la organización].

Discusión: Mediante la presentación de informes internos y externos, las organizaciones promueven la rendición de cuentas y la transparencia en las operaciones de privacidad. La presentación de informes también puede ayudar a determinar los progresos realizados en el cumplimiento de los requisitos y controles de privacidad, comparar el desempeño en todo el gobierno federal, descubrir las vulnerabilidades, identificar las lagunas en la política y la aplicación, e identificar los modelos de éxito. En el caso de las agencias federales, los informes de privacidad incluyen los informes anuales del funcionario superior de la agencia para los informes de privacidad a la OMB, los informes al Congreso requeridos por las regulaciones de implementación de la Ley de la Comisión del 11 de septiembre y otros informes públicos requeridos por la ley, la regulación o la política, incluyendo las políticas internas de las organizaciones. El funcionario superior de la agencia para la privacidad consulta con un asesor jurídico, cuando procede, para asegurarse de que las organizaciones cumplen todos los requisitos aplicables de presentación de informes sobre privacidad. Controles Relacionados: IR-9, PM-19.

Mejoras de Control: Ninguna.

Referencias: [FISMA], [OMB A-130], [OMB A-108].

En términos sencillos, este control de la privacidad refiere a la presentación de informes y requiere que las organizaciones utilicen algún tipo de formato normalizado de informe sobre la privacidad para difundir información sobre la privacidad a los órganos de supervisión y a los profesionales de privacidad que se encargan de la vigilancia de la privacidad de los datos de los sistemas de información federales. También requiere que el informe se actualice a intervalos definidos. Por lo general, los formatos estos informes se pueden encontrar en las referencias enumeradas o las organizaciones pueden tener sus propias versiones aprobadas.

Tips de Privacidad de Baja Tecnología

Usa DuckDuckGo en lugar de Google. Pon una funda en la cámara de tu smartphone y las cámaras web de casa. Desactiva las opciones de Bluetooth y de Comunicación de Campo Cercano (NFC) de tu smartphone cuando no las utilices. Los teléfonos inteligentes son el nuevo foco de atención de los ciberdelincuentes, así que revisa tu teléfono inteligente y elimina las aplicaciones que no utilices al menos una vez al mes. Cada aplicación que instales en tu teléfono es una posible superficie de ataque. Instala un software antivirus y una Red Privada Virtual (VPN) en tu smartphone. Actualiza todos tus dispositivos electrónicos con las últimas versiones de software y/o firmware. En lugar de escribir las contraseñas, utiliza un administrador de contraseñas para que las recuerde por ti y para que sean más largas además de únicas para cada sitio web. Retira los stickers de tu automóvil, sólo sirven para distinguirte de los demás y para que puedan reconocerte o seguirte. Mézclate con los locales, no trates de destacarte donde quiera que estés. Usa un sombrero o gorra de algún tipo, esto hará más difícil que las cámaras de vigilancia te identifiquen. Como mencioné en una edición anterior, ahora venden gorras que tienen luces LED para confundir el software de reconocimiento facial. Disminuye tu huella tanto como sea posible donde sea que puedas. Cuanto menos publiques en Internet, mejor.

Eso es todo por esta edición del boletín de Invisibilidad Digital. Gracias por leer y espero que vuelvs a visitarme para la próxima edición. Hasta la próxima vez.

No confíes en nadie. Verifica todo. No dejes ningún rastro.

Additional Digital Privacy Resources:

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20

Web Anonymization Techniques 101 | EFFector | Atlas of Surveillance | https://www.privacytools.io/

information security & privacy researcher

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store