Boletín de Privacidad de z3r0trust #6–21

Un compendio mensual sobre privacidad elaborado con ideas expertas en seguridad para quienes son capaces de pensar por sí mismos. Un agradecimiento especial a @151mp137471n por traducir del inglés al español.

Laura Poitras, galardonada directora y productora de documentales estadounidense

Bienvenidos de nuevo, fieles lectores, a la más reciente resurrección del Boletín de Privacidad de z3r0trust, la edición de junio de 2021. Dicen que a la tercera va la vencida, así que brindaré por que este boletín siga siendo una salida semipermanente de mis volúmenes de trabajo escritos. Búscalo, como siempre, a finales de cada mes si te gusta la privacidad. Me ahorraré las explicaciones de por qué me tomé un descanso en la redacción de esta serie y volveré al punto donde lo dejé. En resumen, creo que la privacidad y la seguridad son temas extremadamente importantes y no tengo intención de dejar de escribir sobre estos temas para ayudar a la divulgación de la conciencia y tal vez, en alguna pequeña medida, ayudar a lograr un un cambio positivo.

La privacidad nunca es tan importante para alguien como cuando su privacidad se ha visto afectada negativamente por algún incidente grave que amenaza con exponer su Información Personal de Identidad/Salud (PII/PHI) a todo el mundo conectado. Entonces, de repente, ante una crisis y los legisladores deben hacer algo en este mismo momento. ¿No es extraño cómo funciona esto? Este boletín es una serie mensual que se centra en la evolución de la privacidad digital y ofrezco información y técnicas que los lectores pueden utilizar para mejorar su privacidad tanto digital como física. En el boletín de este mes voy a cubrir la negativa de Apple a permitir la carga lateral de aplicaciones en iOS, de la decisión de Google de retrasar su iniciativa Privacy Sandbox, del el honeypot de la plataforma de mensajería segura Anom del FBI y su impacto en el mundo criminal y comentaré algunas cosas más.

Exposiciónes de aplicaciones y sus datos privados

Cada semana que pasa, nos enteramos de nuevas violaciones de datos o infecciones de ransomware y quiero dejar completamente claro a los lectores que un ataque exitoso de ransomware tiene el mismo efecto neto que una violación de datos. Ambos son casos potenciales en los que nuestra información personal identificable/de salud (PII)/(PHI) y posiblemente también los datos de propiedad intelectual (IP) han sido comprometidos de alguna manera y luego podrían ser vendidos con fines de lucro al mejor postor en las redes oscuras. Las empresas no pueden decirte si tu información privada se está vendiendo o no en la red oscura, no tienen ni la más mínima idea de dónde buscar y mucho menos de cómo acceder a esos mercados negros de datos clandestinos

Apple no engaña a nadie con su última iniciativa de relaciones públicas para restringir a los usuarios de iPhone la carga lateral (“sideloading”) de aplicaciones porque perjudicará a los ecosistemas iOS y a los usuarios de iPhone. Este es el último de una serie de movimientos controvertidos de Apple para hacer que sus productos no sean interoperables con otros dispositivos, aplicaciones y servicios. Es justamente la razón por la que se necesita una fuerte legislación federal para evitar que las empresas tecnológicas como Apple tomen medidas anti-interoperabilidad como ésta y también antimonopolio para evitar que las empresas tecnológicas compren empresas tecnológicas más pequeñas que podrían amenazarlas más adelante.

El argumento de Apple que se encuentra en su whitepaper de prohibir a los usuarios la carga lateral (‘sideloading’) de aplicaciones de tiendas de aplicaciones de terceros o directamente de sitios de proveedores de aplicaciones se basa principalmente en la posibilidad de que los usuarios descarguen “aplicaciones maliciosas e invasivas para la privacidad” y en una actitud general de “sabemos lo que es mejor para nuestros clientes” (Axon, 2021). El consejo es sólido, ya que ha sido publicado por la Agencia de Ciberseguridad de la UE en 2016 y por el DHS estadounidense en 2017 (Axon, 2021). Sin embargo, Apple no menciona que ellos [una empresa tecnológica] tienen acceso a los datos privados de los usuarios y se benefician de la recopilación de datos

Cuando se permite a los usuarios la carga lateral de aplicaciones en sus dispositivos, la recogida de datos no está monopolizada por Apple y, por tanto, ésta sale perdiendo. Esto tiene que ver menos con la privacidad y la seguridad y más con la codicia de Apple y su deseo de monopolizar el mercado de las aplicaciones para sí misma. Por eso los productos de Apple son cada vez menos interoperables con los productos y dispositivos de otros proveedores. ¿Es la privacidad de Apple mejor que la de otros fabricantes de smartphones? Sin duda lo es, pero eso no significa que Apple deba tener derechos exclusivos de restricción de las aplicaciones que cada usuario de iPhone pone en su teléfono.

En un testimonio de la eficacia de la oposición a las empresas tecnológicas que emplean características invasivas de la privacidad en sus productos y animan a los ciudadanos a presionar a los legisladores para que promuevan una legislación más estricta en materia de privacidad, Google ha retrasado sus planes de eliminar gradualmente el apoyo a las cookies de terceros para el seguimiento de la actividad web. En el último blog de Google, Privacy Sandbox, se anuncia que la empresa lo retrasa porque “…ha quedado claro que se necesita más tiempo en todo el ecosistema para hacerlo bien” (Goel, 2021).

El Privacy Sandbox de Google es, supuestamente, una iniciativa para mejorar la privacidad de los usuarios y, al mismo tiempo, proporcionar a los desarrolladores de aplicaciones/empresas “las herramientas para construir negocios digitales prósperos que mantengan la web abierta y accesible para todos, ahora y en el futuro” (Goel, 2021). Sin embargo, los lectores como yo nos rascamos la cabeza preguntándonos cómo puede Google contentar a estas dos fuerzas diametralmente opuestas al mismo tiempo. Realmente no se puede tener privacidad en línea y seguir permitiendo que las empresas de aplicaciones rastreen la actividad web de los usuarios de cualquier manera…

La medida de retrasar es probablemente un movimiento sabio por parte de Google, pero en lugar de errar en el lado de la privacidad del usuario, Google ha optado por seguir apoyando las cookies de seguimiento de actividad web de terceros hasta que pueda determinar mejor la dirección de la nueva legislación eventual de privacidad. Después de todo, las empresas tecnológicas como Google y Facebook ganan millones con la industria del marketing publicitario y leyes como el GDPR de la UE, así como las leyes estatales individuales, están dejando claro que la gente se preocupa más por la privacidad de lo que Google pensaba en un principio.

Si parece que cada mes hay un nuevo descubrimiento de un fallo en la aplicación de Google para Android que es potencialmente catastrófico para la privacidad y la seguridad del usuario, es porque prácticamente lo ha habido. En la última cacofonía de errores, el código que compone la aplicación de Google se basaba en bibliotecas de código que no estaban incluidas en la aplicación de Google (Whittaker, 2021). Este fallo de código podría haber permitido a una aplicación maliciosa heredar los permisos de la propia aplicación de Google y, a su vez, permitir el “acceso no autorizado, que incluye el acceso a las cuentas de Google del usuario, el historial de búsquedas, el correo electrónico, los mensajes de texto, los contactos y el historial de llamadas, así como poder activar el micrófono y la cámara, y acceder a la ubicación del usuario” (Whittaker, 2021). Por supuesto, Google dijo que no tiene ninguna prueba de que la vulnerabilidad haya sido explotada por los atacantes.

La Policía Federal Australiana y el FBI se unieron desde 2018 para las operaciones “Trojan Shield” y “Greenlight” que nuevamente pusieron de manifiesto al submundo criminal que las fuerzas del orden están dispuestas a hacer todo lo posible para acabar con sus redes de delincuencia sindicada por los medios legales que sean necesarios, incluyendo la creación de una plataforma de mensajería segura (Brodkin, 2021).

Desarrollaron y operaron estratégicamente una empresa de dispositivos encriptados, llamada ANOM, que creció hasta dar servicio a más de 12.000 dispositivos encriptados a más de 300 sindicatos criminales que operan en más de 100 países, incluyendo el crimen organizado italiano, bandas de motociclistas ilegales y organizaciones internacionales de tráfico de drogas”. Dijo hoy Europol

Unos delincuentes desprevenidos compraron los smartphones Anom “cifrados de extremo a extremo” en la web oscura, que solo incluían una aplicación, una calculadora que, una vez introducido un código, podía utilizarse para enviar mensajes e imágenes cifrados, y que contaba con funciones de borrado remoto y contraseña de coacción (Brodkin, 2021). Por supuesto, el mayor golpe de efecto fue que los delincuentes no eran conscientes de que la aplicación para teléfonos inteligentes estaba siendo vigilada por las autoridades policiales, que habían estado recopilando datos sobre los delincuentes durante 18 meses (Brodkin, 2021). Estamos hablando de redes enteras de empresas criminales.

Tras 18 meses de seguimiento, las fuerzas del orden, entre ellas el FBI de EE.UU., la DEA y la Europol de 16 países diferentes, llevaron a cabo redadas coordinadas en más de 700 casas, consiguiendo más de 800 detenciones, 8 toneladas de coca, 22 toneladas de marihuana, 2 toneladas de drogas sintéticas, 6 toneladas de precursores químicos de drogas sintéticas, 250 armas de fuego, 55 coches de lujo y más de 48 millones de dólares en diferentes monedas mundiales (Brodkin, 2021). Eso es a lo que se llama un enorme honeypot. Sin embargo, esto también pone de manifiesto el hecho de que el FBI y otras agencias policiales estadounidenses no necesitan una puerta trasera para el cifrado. Si pueden simplemente crear una empresa falsa y vender dispositivos encriptados a la gente, entonces no se debería pedir a la gran tecnología que cree puertas traseras de encriptación — nunca.

Este honeypot tuvo éxito, en parte, porque los oficiales de policía de todo el mundo desmontaron las plataformas de mensajería encriptada EncroChat y Sky ECC antes del anuncio del teléfono Anom del FBI. Esto demuestra que siempre hay una necesidad de mercado negro para los delincuentes que buscan utilizar aplicaciones de mensajería segura para llevar a cabo sus empresas delictivas. No hay duda de que están utilizando la encriptación, la cuestión es de qué tipo y qué herramientas. Cuando decimos “no confíes en nadie”, es por una buena razón. Cualquier tecnología que decidamos utilizar podría estar protegida por la NSA, el FBI o cualquier otra entidad. ¿Cómo vamos a saberlo si no somos expertos en tecnología de la comunicación y en piratería de hardware y software? Y seamos sinceros, la mayoría de la gente no lo es.

El viernes 25 de junio se anunció que Amazon Web Services (AWS) adquiere la aplicación de mensajería segura Wickr (Gagliordi, 2021). Si ha notado una tendencia entre las grandes empresas tecnológicas GAFAM (Google, Apple, Facebook, Amazon y Microsoft), cada una de las cuales absorbe una empresa de aplicaciones de mensajería segura, entonces tiene puntos de bonificación por prestar atención a los acontecimientos actuales. AWS planea ofrecer a los clientes los servicios de Wickr inmediatamente después de la adquisición y también utilizará el servicio para las comunicaciones internas de AWS.

La aplicación Premise paga a los trabajadores del concierto para que recolecten OSINT tomando fotografías y respondiendo preguntas; credit: Premise

Premise es una aplicación que paga a personas normales y corrientes como usted o yo -trabajadores por turnos- para que lleven a cabo la recopilación de inteligencia de código abierto (OSINT), un servicio que la empresa ofrece tanto a clientes privados como públicos, como la inteligencia militar de Estados Unidos. Los registros de gastos federales revelaron que Premise ha recibido al menos 5 millones de dólares desde 2017 en proyectos militares -como en contratos de la Fuerza Aérea y el Ejército y como subcontratista de otras entidades de defensa (Tau, 2021).

“A veces esas tareas implican la recopilación de datos sobre las señales inalámbricas cercanas u otros teléfonos móviles, dijo la compañía, comparando la práctica con la forma en que Google y Apple mapean las redes Wi-Fi con los teléfonos que utilizan sus sistemas operativos” (Tau, 2021)

Imagina cómo aplicaciones como esta pueden ser aprovechadas por gobiernos orwellianos o cuerpos de seguridad de todo el mundo para rastrear y vigilar a manifestantes o disidentes políticos no solo aquí en Estados Unidos, como vimos con la horriblemente corrupta administración Trump ensañándose con los matones del Departamento de Justicia contra reporteros y adversarios políticos, sino también en el extranjero en países con autócratas o dictadores que tienen cero reparos en cazar a sus propios ciudadanos y castigarlos o algo peor.

Sin embargo, esta fusión de tecnología e inteligencia militar no es nueva, se ha desarrollado de forma constante desde el 11 de septiembre y sus raíces de tecnología de espionaje se remontan a mucho antes. Lee el libro “@War” de Shane Harris para saber más sobre el desarrollo de la OSINT y el uso de la tecnología para espiar por parte de las agencias de inteligencia.

Personalmente, creo que hay una línea muy fina sobre abuso de poder cuando los gobiernos están pagando a ciudadanos privados para espiar a los ciudadanos de alguna forma o capacidad utilizando el dinero de los contribuyentes. Sea como sea, eso es esencialmente lo que está ocurriendo aquí con Premise y hay muchos otros ejemplos que son demasiado numerosos para mencionarlos aquí.

Novedades en la leyes de privacidad

Colorado se ha convertido en el tercer estado del país, sólo por detrás de California y Virginia, en aprobar una legislación sobre privacidad de datos. El proyecto de ley 21–190 del Senado regula el modo en que las empresas pueden recoger y utilizar la información de identificación personal de los consumidores (Miller, 2021). Esta ley de Colorado, sin embargo, tiene un alcance aún mayor que la Ley de Privacidad del Consumidor de California (CCPA), ya que ofrece a los habitantes de Colorado las mismas protecciones de privacidad que la CCPA, pero también otorga a los consumidores el derecho a corregir la información personal, así como el derecho a la portabilidad de datos. Amazon, AT&T, Comcast y Facebook, entre otras empresas tecnológicas, querían introducir cambios en la ley SB 21–190, pero los legisladores la aprobaron sin ceder a sus presiones (Miller, 2021).

Tips de Privacidad

Tu mejor arma para la privacidad será siempre mantener un perfil bajo y abstenerte de usar ciertos tipos de tecnología. Sencillamente, no podemos confiar en que las grandes tecnologías, o cualquier gobierno o corporación, protejan nuestra privacidad. Por lo tanto, debemos intentar hacer lo que podamos para limitar la exposición de nuestros datos privados.

En algunos aspectos, no puedes limitar la exposición de tus datos privados porque los recogen agencias y empresas externas, como en las violaciones de datos de la OPM o Equifax.

Pero como he dicho antes, la privacidad no consiste en convertirse en un ludita y evitar todo tipo de tecnología moderna. Se trata de ser inteligente con tu información privada, de cómo la proteges, de la cantidad de información que ofreces voluntariamente en diversos contextos, tanto en línea como en persona. Hay herramientas tecnológicas de privacidad, como aplicaciones, que pueden ayudarnos a mejorar nuestra privacidad personal, pero ninguna es tan poderosa como tu capacidad para mantener un perfil bajo en todos los aspectos de tu vida, pero especialmente en el trabajo y en Internet..

Algunas herramientas de privsec que puedes utilizar en casa y en tus dispositivos móviles son:

· Red privada virtual (VPN) (e.g., ProtonVPN, Mullvad, IVPN)

· Navegador web centrado en la privacidad (e.g., Tor, Firefox, Brave, Safari, Opera)

· Extensiones del navegador para el bloqueo de anuncios (e.g., Ghostery, Privacy Badger, DuckDuckGo)

· Sistema de nombres de dominio encriptados (DNS) (i.e., 1.1.1.1=Cloudflare WARP)

· Aplicación de destrucción de datos (e.g., Hard Disk Scrubber, WipeDrive, DBAN)

· Aplicación de mensajería segura (e.g., Threema, Signal, Wire, Wickr, Telegram)

· Gestor de contraseñas (e.g., BitWarden, KeePass, 1Password, Dashlane)

· 2FA/MFA (Por ejemplo, intente utilizar la clave de seguridad o la autenticación universal de 2 factores si el sitio web lo permite; de lo contrario, las aplicaciones de autenticación como Google Authenticator, Duo o similares son la siguiente mejor opción; la 2FA basada en mensajes de texto es la opción menos favorable, pero sigue siendo mejor que no usarla.)

· Encriptación completa del dispositivo (e.g., Windows- BitLocker, BitLocker To Go, DiskCryptor, VeraCrypt; Mac- enable FileVault protection, Disk Utility; Linux- TecMint, cryptmount, cryFS, VeraCrypt)

Pensamientos Finales

La privacidad sigue siendo muy difícil de vender en el mundo actual porque mucha gente ha renunciado a ella. Los que han renunciado asumen que la vigilancia y el rastreo en Internet se han vuelto tan omnipresentes que ya no se puede esperar ningún nivel de privacidad. Pero eso es falso, todavía podemos conseguir un mínimo de privacidad, aunque no tanto como una persona podía razonablemente hace cincuenta años, antes de que se creara Internet. Tal vez podamos estar de acuerdo en que no se puede escapar del software de reconocimiento facial o de la tecnología de lectura automática de matrículas, junto con las omnipresentes cámaras de vigilancia CCTV, porque la mayoría de nosotros tenemos que salir al mundo y dejar nuestras casas. Sin embargo, podemos esforzarnos por minimizar nuestras huellas digitales en línea y emplear buenos hábitos de seguridad operativa (OPSEC).

Nunca confíes. Verifica siempre. Piensa como un adversario.

¡Gracias por leer! Si disfrutas de estos artículos y quieres apoyarme como escritor, puedes convertirte en miembro de Medium. Por $ 5 por mes o $ 50 por año (una mejor oferta), recibe acceso ilimitado a las historias medianas. Si usa mi enlace de referencia, recibo una pequeña comisión. ¡Salud!

Additional Privacy Resources

z3r0trust Privacy Newsletters: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, #4–20, #5–20, #6–20, #32–20, #33–20, #8–20, #9–20, 16, 17, 45–20, 46–20, 47–20, 48–20, #1–21, #2–21, #3–21, #6–21

*Privacy-related articles also published by the author can be found here.

Other helpful privacy info: EFFector | Atlas of Surveillance | Privacy Tools | IAPP | ACLU | PogoWasRight.org | DataBreaches.net

Referencias

Apple. (2021, June). Building a trusted ecosystem for millions of apps: the important role of app store protections. Retrieved from https://www.apple.com/privacy/docs/Building_a_Trusted_Ecosystem_for_Millions_of_Apps.pdf

Axon, S. (2021, June 23). Apple exec: “Sideloading in this case is actually eliminating choice”. Retrieved from https://arstechnica.com/gadgets/2021/06/apples-anti-sideloading-pr-blitz-includes-white-papers-interviews/

Brodkin, J. (2021, June 8). FBI sold phones to organized crime and read 27 million “encrypted” messages. Retrieved from https://arstechnica.com/tech-policy/2021/06/fbi-sold-phones-to-organized-crime-and-read-27-million-encrypted-messages/

Gagliordi, N. (2021, June 25). AWS acquires encrypted messaging app Wickr. Retrieved from https://zd.net/2T3F4Om

Goel, V. (2021, June 24). An updated timeline for Privacy Sandbox milestones. Retrieved from https://blog.google/products/chrome/updated-timeline-privacy-sandbox-milestones/

Miller, F. (2021, June 18). Colorado third in the nation to pass sweeping data privacy legislation: Another bill aims to safeguard immigrants’ personal information. Retrieved from https://coloradonewsline.com/2021/06/18/colorado-third-in-the-nation-to-pass-sweeping-data-privacy-legislation/

Tau, B. (2021, June 24). App Taps Unwitting Users Abroad to Gather Open-Source Intelligence. Retrieved from https://www.wsj.com/articles/app-taps-unwitting-users-abroad-to-gather-open-source-intelligence-11624544026

Whittaker, Z. (2021, June 17). A security bug in Google’s Android app put users’ data at risk. Retrieved from https://techcrunch.com/2021/06/17/a-security-bug-in-googles-android-app-installed-on-billions-of-devices-put-user-data-at-risk/

--

--

experienced privacy & security engineer **stepping away from blogging for an undetermined amount of time to focus elsewhere**

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Ian Barwise

Ian Barwise

experienced privacy & security engineer **stepping away from blogging for an undetermined amount of time to focus elsewhere**