Boletín de Privacidad de z3r0trust_48.20

Un conciso resumen semanal sobre privacidad, con información de un experto en ciberseguridad. Un agradecimiento especial a @151mp137471n por traducir del inglés al español.

“La postura estándar de nuestros dispositivos y programas informáticos ha sido la de desparramar nuestros datos más sensibles delante de cualquiera que se preocupara por verlos.” — Cory Doctorow

Esta semana en las noticias sobre privacidad digital, te contaré por qué ese televisor inteligente en realidad no es una buena compra en lo que respecta a tu privacidad y seguridad, que Microsoft 365 agregó características que permiten a los empleadores rastrear la productividad de sus empleados, y cómo Facebook tuvo que pagar el mayor acuerdo de la historia en lo que tiene que ver con demandas sobre privacidad.

Dispositivos IoT y Privacidad

Los televisores inteligentes y otros dispositivos de la Internet de las Cosas (IoT) se han convertido en algo omnipresente y que se vende como pan caliente. Pero, ¿sabías que estos dispositivos “inteligentes” vienen con todo tipo de tecnología de espionaje instalada de fábrica? Es cierto. Si no me crees, echa un vistazo a este aviso del FBI de 2019 sobre los televisores inteligentes. Aunque la tecnología que proporcionan estos dispositivos puede ser cómoda o entretenida, los dispositivos IoT son famosos por estar diseñados con una seguridad pobre o nula, como contraseñas predeterminadas o codificadas de manera en la que es fácil de romper por los hackers.

Los dispositivos IoT traen toneladas de ad-trackers (software publicitario) en el software que los ejecuta, por no hablar de micrófonos y a veces hasta cámaras web. Si compras un televisor inteligente u otro dispositivo IoT para ver entretenimiento, asegúrate de actualizar el firmware con frecuencia (al menos trimestralmente), cambia las contraseñas por defecto y conecta los dispositivos a la red WiFi para invitados de tu casa, no a la red WiFi principal a la que están conectados tus ordenadores. De este modo, segmentarás el riesgo de seguridad.

Privacidad de las Apps de Smartphones

Microsoft Office 365 se ha convertido esencialmente en una herramienta de vigilancia la oficina gracias a las nuevas características de productividad personal y empresarial. Se trata de una función relativamente nueva que proporciona análisis de datos para todos los terminales conectados de los que una organización quiera hacer un seguimiento. No está claro cuántas empresas y organizaciones están pagando por este servicio de Microsoft, pero seguro que aquí hay mucho que investigar con respecto a las violaciones de la privacidad.

¿Deben los empresarios hacer un seguimiento de tu productividad? Están en su derecho de hacerlo, pero tú, como empleado, deberías poder opinar sobre el grado de invasión que se les permite hacer. En mi opinión, utilizar tecnologías avanzadas para controlar cuántas veces envías correos electrónicos, revisas las redes sociales, utilizas Skype o tu pantalla se queda inactiva porque has ido al baño o, Dios no lo quiera, te has tomado un descanso, es algo súper siniestro. Está garantizado que los gerentes abusarán de ello.

Muchas cadenas de restaurantes de comida rápida, como McDonald’s, han visto cómo sus negocios se volcaban principalmente hacia las ventas de comida para llevar debido a la pandemia. Sin embargo, después del COVID-19, McDonald’s planea cambiar su modelo de negocios implementando la tecnología de geofencing en sus restaurantes, para poder preparar los pedidos a medida que los clientes se acercan físicamente a los restaurantes. Sin embargo, ¿qué implicaciones tiene el geofencing en nuestra privacidad?

“Imagínate lo que puede pasar cuando empecemos a saber que Brian viene al restaurante y lo que podemos hacer”, dice Lucy Brady. “Somos bastante optimistas y creemos que los beneficios que estamos viendo ahora no harán más que acelerarse”.

Esta tecnología se basará en una app, por lo que ya sabemos que la aplicación “MyMcDonald’s” requerirá permisos de acceso a la ubicación de tu smartphone. Una vez que la aplicación tenga ese acceso, podrá rastrear todos tus movimientos, incluso cuando no estés cerca de un McDonald’s, e incluso podrá crear un perfil de cliente sobre los alimentos y bebidas que sueles pedir, así como la frecuencia y lugar de los restaurantes que más visitas. No voy a optar por ello. No, gracias.

Brechas de Datos y Exposiciones de Privacidad

Los investigadores de seguridad de vpnMentor descubrieron que la aplicación de pago por suscripción de la fe cristiana Pray.com había filtrado los datos privados de 10 millones de clientes desde cubos AWS S3 mal asegurados. Entre los datos comprometidos había información de identificación personal (PII) de decenas de millones de usuarios incluso más allá del propio Pray.com, incluyendo fotos subidas por los usuarios, direcciones personales, direcciones de correo electrónico, números de teléfono, monto de las donaciones, y estados civiles. Los investigadores no lograron contactar con Pray.com a pesar de múltiples intentos, pero una vez que se notificó la situación a AWS, la situación se resolvió. Este es un ejemplo clásico de un propietario de datos irresponsable.

El 20 de noviembre, los centros médicos de la Universidad Estatal de Luisiana (LSU) en Nueva Orleans fueron víctimas de una filtración de datos que afectó a la información médica personal (PHI, por sus siglas en inglés) protegida por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Al parecer, el ataque fue perpetrado a través del compromiso del correo electrónico de un empleado que contenía PHI protegida por la HIPAA además de una cantidad limitada de información bancaria, fechas de nacimiento, números de servicio social, fechas de servicios médicos, tipos de atención médica recibida, números de teléfono, direcciones personales y números de identificación del seguro de salud. El sistema hospitalario no pudo proporcionar una estimación de cuántos datos personales de los pacientes se vieron afectados por esta filtración.

Demandas Relacionadas a la Privacidad

Facebook llegó a un acuerdo con el estado de Illinois en la mayor demanda colectiva de privacidad de la historia de Estados Unidos y acordó pagar 650 millones de dólares a unos 1,57 millones de residentes de Illinois. Se determinó que Facebook había violado la Ley de Información de Privacidad Biométrica de Illinois, una nueva ley que también se está utilizando para demandar a Clearview AI, que alega que tiene el derecho de recolectar imágenes de personas en línea utilizando su software de reconocimiento facial mejorado por IA.

NIST SP 800–53 (rev. 5) Control de Privacidad de la Semana

PM-15 — Grupos y asociaciones de seguridad y privacidad- requiere que las organizaciones establezcan e institucionalicen el contacto con grupos y asociaciones seleccionados dentro de las comunidades de seguridad y privacidad:

a. Facilitar la educación y la formación continuas en materia de seguridad y privacidad para el personal de la organización;

b. Mantener la actualización de las prácticas, técnicas y tecnologías de seguridad y privacidad recomendadas; y

c. Compartir información actual sobre seguridad y privacidad, incluyendo amenazas, vulnerabilidades e incidentes.

Este control pone de subraya la importancia de mantenerse al día sobre la legislación de privacidad, sobre las noticias, las amenazas, las vulnerabilidades y la información sobre incidentes, así como de las técnicas de cumplimiento, las políticas y los problemas de privacidad.

Tips de Privacidad de Baja Tecnología

Uno de los consejos de privacidad más sencillos y de baja tecnología es simplemente reducir tu huella digital. Si utilizas un gestor de contraseñas, revísalo con cuidado para determinar los sitios para los que tienes contraseñas guardadas que realmente necesitas conservar y de cuáles puedes deshacerte. Haz lo mismo con tu cuenta de correo electrónico. Revisa los correos electrónicos antiguos de los sitios en los que te has inscrito pero que has olvidado por completo y entra en ellos y borra tu cuenta, ya que no la necesitas. Lo último que necesitas es que toda esa información personal sobre ti esté alojada en sitios web que ya han sido hackeados o lo serán pronto.

Esto es todo por esta semana, amigos. Mantengan un perfil bajo y estén seguros ahí fuera.

No confíes en nadie. Verifica todo. No dejes ningún rastro.

Additional Digital Privacy Resources:

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20

Web Anonymization Techniques 101 | EFFector | Atlas of Surveillance | https://www.privacytools.io/

information security & privacy researcher

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store