Boletín de Privacidad de z3r0trust_47.20

Un conciso resumen semanal sobre privacidad, con información de un experto en ciberseguridad. Un agradecimiento especial a @151mp137471n por traducir del inglés al español.

“El Tribunal Supremo debe anular el programa ilegal de espionaje del gobierno ya que constituye una violación de nuestro derecho a la privacidad según la Cuarta Enmienda”. −Rand Paul

Esta semana en las noticias de privacidad digital, te contaré por qué tener un teléfono móvil sigue siendo una amenaza masiva a tu privacidad. Además, veremos varias novedades sobre fallas en la privacidad de las aplicaciones, y la guerra por la privacidad entre los navegadores de internet.

Privacidad de las Apps

En la escala de vergüenza, el nivel de privacidad de las aplicaciones para smartphones se sitúa en un nivel de pesadilla. Incluso en el caso de las aplicaciones de rastreo de contactos de COVID19 sin malas intenciones, se filtran datos privados sin que los usuarios probablemente tengan conocimiento. El profesor e investigador de tecnología Jonathan Albright, publicó una investigación de 493 aplicaciones relacionadas al COVID de iOS en 98 países con un conjunto de datos que abarcó desde el 24 de marzo al 25 de octubre de 2020. Albright llevó a cabo un análisis profundo del conjunto de datos y lo organizó en una hoja de cálculo que es útil para visualizar los resultados y que al analizarlos no nos sorprende saber que los EE.UU. tiene la mayoría de las aplicaciones de rastreo de contactos de COVID19 pese a tener casi 255.000 muertes atribuidas al COVID al momento de escribir este boletín.

Las apps que sin duda salvan vidas en caso de catástrofes también exponen los datos personales, digan lo que digan sus políticas de privacidad. Regalos para siempre, estas aplicaciones para catástrofes continúan rastreando a las personas mucho después de que ésta haya terminado y sus datos quedan almacenados en algún lugar de la nube durante quién sabe cuánto tiempo. Lo que ocurre más a menudo es que los desarrolladores de estas aplicaciones venden o comparten con otras empresas o particulares los datos que recogieron de los usuarios. Intenta tener el hábito de desactivar o desinstalar las aplicaciones que no utilizas a menudo. Cuanta menos superficie de ataque haya, mejor.

El ejército de Estados Unidos ha estado comprando datos de ubicación a la empresa Babel Street, que utiliza IA para obtener datos. Un ejemplo de cómo éstos datos están siendo utilizados por los militares son las aplicaciones Muslim Pro y Muslim Mingle. Muslim Pro tiene más de 98 millones de descargas. Al parecer, el ejército estadounidense ha estado comprando discretamente los datos de localización de los usuarios para ayudar poner en la mira a los sospechosos de terrorismo en los ataques con drones. El DHS (Departamento de Seguridad Nacional) el CBP (Oficina de Aduanas y Protección Fronteriza) y el ICE (Servicio de Control de Inmigración y Aduanas) han estado comprando estos mismos datos del servicio de ubicación de las aplicaciones, así que no me sorprende que el DoD también sea honesto a este respecto. Matan a la gente basándose en los metadatos y tu smartphone es una desventaja, te guste o no.

Google afirmó que ahora va a cifrar de extremo a extremo (E2EE) su aplicación de mensajería para Android, así que ¡grandes noticias para todos!, ya pueden dejar de usar Signal, WhatsApp, Telegram o cualquier otra aplicación de mensajería con E2EE que estén usando actualmente. En realidad, no hagan eso. Era una broma. Este es un paso en la dirección correcta, pero el factor de confianza de Google es demasiado bajo en estos momentos. Sin embargo, si se implementa correctamente, el E2EE garantizará que ni siquiera Google pueda leer tus mensajes cifrados. El problema es que Android es un sistema operativo móvil mucho menos seguro que iOS en términos de privacidad. Así que yo no me fiaría de esta nueva función.

Brechas de Datos y Exposiciones de Privacidad

El condado de Jackson, en Oregón, sufrió un ataque de ransomware de REvil (es decir, Sodinokibi del grupo GOLD SOUTHFIELD APT) que provocó la caída del proveedor de alojamiento web del condado y llevó a la desconexión de todos los servidores del ISP como medida de precaución. No se sabe si los atacantes exfiltraron datos, pero hay que darlo por hecho hasta que se demuestre lo contrario. Mientras tanto, se ha establecido un sitio web alternativo para el Condado.

La investigadora de seguridad independiente, Sanjana Sarda, publicó en HackerOne, tras realizar ingeniería inversa a la aplicación de citas Bumble, que esta tenía un fallo en la API que exponía los datos privados de interacción romántica de casi 100 millones de usuarios. Ohh, admitámoslo. Nadie quiere que sus declaraciones sexuales sean expuestas públicamente. Bueno, quizá algunos sí, pero no la mayoría. Lo más preocupante es que Sarda pudo acceder a los datos de Facebook y de los “deseos” de los usuarios de la aplicación Bumble, entre otra información personal. Utiliza las aplicaciones de citas bajo tu propio riesgo. Suelen ser un objetivo.

Guerra de Privacidad de los Navegadores

El nuevo motor de búsqueda Ghostery

En caso de que te preguntes cómo gana Google sus miles de millones, es gracias a los anuncios. Toneladas de anuncios colocados por todas partes y la capacidad de dirigir a los usuarios de Internet a través de su famoso motor de búsqueda a los sitios web “preferidos”, que pagan por aparecer en los primeros resultados de búsqueda. Ghostery, el fabricante de extensiones para navegadores que bloquean la publicidad, ha desarrollado una versión beta de un motor de búsqueda y un navegador de Internet sin publicidad que se ejecutará sobre las arquitecturas subyacentes de los motores de búsqueda de Mozilla Firefox y Microsoft Bing y cuyo uso costará 5 dólares al mes. Yo pienso seguir utilizando el motor de búsqueda gratuito DuckDuckGo, que gana dinero con anuncios privados que no se basan en la recopilación de información personal de los usuarios.

Mientras tanto, Mozilla está solicitando la opinión de los usuarios de Firefox acerca de si debería o no implementar DNS-sobre-HTTPS (DoH) para mejorar la privacidad de los sitios web que visitan los usuarios mediante el cifrado de la dirección IP del sitio web. Incluso cuando se visita un sitio web HTTPS, la dirección DNS se resuelve en un estado legible no cifrado que es vulnerable a la interceptación y el secuestro. El DoH está activado por defecto en EE.UU., pero su implantación a nivel mundial debería haberse producido hace tiempo. Debería ser adoptado de forma generalizada por losprincipales navegadores, a pesar de los riesgos que presenta el DoH al dificultar la detección de material ilegal en la web. Hay otras maneras de encontrar el material malo, y sin embargo todo el mundo puede beneficiarse de la seguridad adicional que DoH les ofrece a los usuarios.

NIST SP 800–53 (rev. 5) Control de Privacidad de la Semana

PM-3 — Recursos de seguridad y privacidad de la información — exige a las organizaciones que incluyan los recursos necesarios para implementar programas de seguridad y privacidad de la información en la planificación de capital y las solicitudes de inversión. Además, deben documentar todas las excepciones a este requisito; preparar la documentación necesaria para abordar los programas de seguridad de la información y privacidad en la planificación de capital y las solicitudes de inversión de acuerdo con las leyes, órdenes ejecutivas, directivas, políticas, reglamentos y normas aplicables; y poner a disposición para el gasto, los recursos de seguridad de la información y privacidad planificados. Este control es importante porque no se puede avanzar realmente en la reforma de la privacidad si no se asignan los recursos adecuados.

Tips de Privacidad de Baja Tecnología

Echa un vistazo a la nueva miniserie de podcasts de la EFF titulada Cómo arreglar Internet. Se centrará en 6 grandes problemas a los que se enfrenta Internet y en algunas posibles soluciones que probablemente nunca se aplicarán en nuestra vida. Seguramente, la privacidad digital será un tema predominante.

Las gafas inteligentes Amazon Echo Frames (2ª generación)

Además, tal vez debas pensar en no comprar las nuevas gafas inteligentes Amazon Echo Frames (2nd Gen) de 250 dólares con auriculares open-ear y Alexa si te preocupa en absoluto la privacidad. Aunque son manos libres y se pueden utilizar igual que un dispositivo de asistencia doméstica tradicional, están equipadas con un micrófono que, según Amazon, solo se activa cuando habla la voz de la persona que lleva las monturas y se puede desactivar fácilmente. Sin embargo, ¿puede el micrófono ser activado a distancia por un atacante? Yo creo que sí. ¿Cuánto tiempo pasará antes de que estas cosas se usen en una sesión informativa clasificada?

Esto es todo por esta semana, amigos. Mantengan un perfil bajo y estén seguros ahí fuera.

No confíes en nadie. Verifica todo. No dejes ningún rastro.

Additional Digital Privacy Resources:

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, 16, 17, 45–20, 46–20

Web Anonymization Techniques 101 | EFFector | Atlas of Surveillance | https://www.privacytools.io/

information security & privacy researcher

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store