Google ha dado su versión, actualización disponible al final del post.

Ha sido el diario Wall Street Journal el que ha revelado en su edición de esta mañana el seguimiento del gigante sobre los usuarios que utilizan el navegador Safari. Según el diario, tanto Google como un grupo de empresas de publicidad habrían utilizado una serie de códigos de programación para realizar este “espionaje”, presuntamente para conocer el comportamiento de cada uno y mejorar la venta de publicidad. Mientras, Google se defiende alegando que las cookies no recogen información personal y que están trabajando en eliminar el proceso.

Hablamos de Safari, el navegador por defecto de los usuarios de Apple utilizado ampliamente tanto en OS X como en iOS, razón por la cual nos podemos hacer una idea del número de personas que supuestamente podrían haber sido seguidas y por tanto del alcance de la noticia publicada por el diario.

Lo primero que hay que decir sobre el caso es que la práctica ya se ha detenido. Google ha informado al diario que ha desactivado el código que lo hacía lo posible.

La historia habría comenzado cuando el investigador de Stanford, Jonathan Mayer y Ashkan Soltani encontraron anuncios en 20 de las 100 webs más famosas. Cada uno de estos anuncios contenía el código instalado que posteriormente se activaba cuando el usuario visitaba la página en cuestión.

A Google y el resto de empresas se le acusa principalmente de haber de violado las directrices del propio navegador, el cual bloquea las cookies de forma predeterminada. No sólo eso, según cuenta el diario, la técnica va mucho más allá de esos sitios web ya que una vez que la codificación se ha activado, puede habilitar el seguimiento de Google a través de la mayoría de sitios webs.

La respuesta de Google ante la denuncia ha sido la siguiente:

El diario ha comunicado erróneamente lo que ha pasado y por qué. Lo que ha ocurrido es que los usuarios de Google habilitaron ciertas funciones. Además, es importante destacar que estas cookies de publicidad no recopilan información personal…

Mientras, desde Apple se comunicó al diario que estaban trabajando en la erradicación de este acceso así como en la mejora de la configuración de la privacidad en el navegador.

Otra de las empresas de publicidad implicadas, Vibrant Media, habla de esta técnica como una “solución” para que Safari opere como el resto de navegadores. Vibrant explica que el resto de navegadores no bloquean el seguimiento de forma predeterminada, por lo que la técnica es una forma de identificar a un usuario único “sin recoger información personal como el nombre o datos de cuentas”.

Según el diario, se han llevado a cabo pruebas para verificar el alcance del código. El resultado, al parecer, mostraba cómo Google y el resto de implicados habría colocado el código dentro de los anuncios en todos los sitios más populares de la red, aunque advierten que no se sabe si las webs conocían o no el uso de ellas.

Lo que sí parece cierto es la forma en la que Google consiguió el acceso. La compañía habría utilizado esta cookie aprovechando una vulnerabilidad en la configuración de privacidad de Safari. Mientras que Safari bloquea la mayoría de seguimientos, existe una excepción en aquellos sitios donde el usuario interactúa a través de formularios. De esta forma, Google habría incluido el código en algunos anuncios que hicieron que el navegador pensara que se trataba de un usuario. La cookie instalada era temporal y vencía tras 12-24 horas de su instalación.

Sea como fuere, el movimiento vuelve a poner de manifiesto la importancia de la seguridad en la privacidad de los usuarios, más en materia de recopilación de datos sobre nuestros usos y comportamientos. La implementación de cookies, o en su defecto, de códigos que puedan llevar a cabo el seguimiento de los usuarios con fines publicitarios, es una de las grandes luchas entre compañías, unas veces en un bando y otras en el otro, dependiendo de su implicación y posibles beneficios. En este caso, a nadie se le escapa que Google compite con Apple en la telefonía móvil con Android, razón de peso por la que podría pensarse que el gigante busca recopilar información de los hábitos de la competencia.

Actualización (por Elías Notario): Google ha dado su versión de los hechos sobre el caso. Empiezan comentando que el Wall Street Journal “ha descrito erróneamente lo que ha ocurrido y cómo” y continúan explicando que el año pasado comenzaron a utilizar la posibilidad que ofrece Safari para “brindar funcionalidades a aquellos usuarios que habían iniciado sesión en Google y que habían optado por ver anunciar personalizados y utilizar el botón “+1” en los temas que le podían interesar”.

Para lograr lo anterior, crearon un enlace de comunicación entre Safari y los servidores de Google, de tal forma que la información que pasara entre el navegador y los servidores fuera anónima. Pero Safari tiene otra funcionalidad que permitió a otras cookies de Google relacionadas con los anuncios instalarse en el equipo, lo cual:

No anticipamos que esto pudiera pasar y por eso hemos comenzado a eliminar estas cookies de los navegadores de Safari. Es importante volver a destacar que, como en otros navegadores, estas cookies relacionadas con la publicidad no recaban información personal.

Resumiendo, dejan claro que en ningún momento se recabó información personal y están eliminando las cookies de la discordia.

Stop, this is a restricted area and your photograph is being taken. It will be sent for processing if you don’t leave the area now.

Alto, esta es un área reestringida y se le esta tomando una fotografía. Será enviada para ser procesada si usted no abandona el área ahora.

La persona que grabó este video vive en el conjunto habitacional en donde la cámara le ordenó alejarse.

La cámara funciona por medio de sensores de movimiento que emite alertas cuando detecta la presencia de alguien no autorizado. ¿Quién esta autorizado y quién no para caminar a través de un conjunto habitacional? ¿Cómo es que una cámara puede reconocer las intenciones de alguien? La estúpidez no tiene límite.

Según la organización Big Brother Watch, un funcionario del ayuntamiento de Camden explicó que al parecer la cámara emitió este mensaje porque se le estaba acabando la batería.

Reino Unido tiene una larga de historia de vigilancia masiva contra su población la cual ha sido resistida por años, sin embargo, es el país con más cámaras de vigilancia per cápita en el mundo. El costo social de una sociedad vigilada es alto, pero también el costo económico al cual no se le presta mucha atención aunque sea de la alucinante cantidad de £321,331,453.18 libras esterlinas.

Big Brother Watch condena fuertemente el uso de este dispositivo:

Este equipo resalta el absurdo entusiasmo por la vigilancia que prevalece en algunas autoridades de este país. La idea de que una grabación (estilo) Robocop va a detener el comportamiento antisocial y el crimen, es ridícula y una invasión total de la privacidad. ¿Quién sabía los ayuntamientos podían tomar tu fotografía simplemente porque caminas en un jardín comunal?

Es necesaria una regulación acerca del cómo y cuándo se va a utilizar este equipo. Este tipo de tecnología puede ser aceptable en un estado policial o una película de ciencia ficción, pero absolutamente no en un Reino Unido moderno.

Al parecer la administración británica no aprendió nada de las revueltas del año pasado… El sentido común es un cuento de ficción.

Chubut, una de las provincias más australes de la República Argentina está sufriendo en las últimas horas un apagón en sus comunicaciones incluyendo telefonos fijos, móviles e internet. El corte es producto de dos atentados en distintos puntos de la red de fibra óptica que enlaza a la provincia.

El corte afecta principalmente a las ciudades de Trelew, Rawson y Puerto Madryn entre otras, deja fuera del sistema a organismos gubernamentales, bancos, aeropuertos y otros servicios.

Desde Buenos Aires, donde había concurrido con motivo de un acto presidencial, el gobernador de la provincia Martín Buzzi declaró:

Los sabotajes se produjeron en la fibra óptica, uno hacia el norte de Trelew y otro hacia Madryn. Esto provocó que el valle y Península de Valdés esté incomunicada.

Han roto de manera deliberada la fibra óptica en dos lugares generando un aislamiento extremadamente difícil porque ninguna operación bancaria se ha podido realizar e incluso se vio afectada la operación aeroportuaria. Por eso queremos la máxima intervención de la Justicia. Son cosas que no vamos a dejar pasar

Los hechos fueron denunciados por la empresa Telefónica y rápidamente el Gobierno Provincial verificó lo sucedido. La empresa cree que conseguirá reparar la red antes de la medianoche y todavía no se animan a adjudicarle la autoría a ninguna organización en particular. Sin embargo el intendente de Comodoro no descarta que el ataque haya sido producto del conflicto entre la UOCRA (Unión Obrera de la Construcción de la República Argentina) y la empresa española de telefonía. Este tipo de ataque a la red comunicacional del país no tiene antecedente cercano por lo que la provincia solicitará la participación de la justicia federal en la investigación de los atentados.

La provincia es una de las más grandes del país con más de 220.000 km² cuadrados (apenas más pequeña que el Reino Unido), tiene más de 500.000 habitantes aunque es una de las provincias con menor densidad poblacional. El atentado pone en la mirada de todos el funcionamiento concentrado de la red de comunicaciones, donde en un punto específico puede dejar a una gran población fuera de sistema.

Iremos actualizando el artículo a medida que haya más información.

Foto (cc): four12, thejourney1972

Muchas veces se habla de la paranoia con la que viven los norteamericanos y la forma en que se vigila con la seguridad nacional como excusa. En este caso, dos jóvenes turistas británicos fueron detenidos luego de arribar al aeropuerto de Los Angeles por una serie de bromas desafortunadas publicadas en twitter algunas semanas antes.

El joven Leigh Van Bryan, entusiasmado por sus prontas vacaciones en la costa oeste de los Estados Unidos publicó en su cuenta de twitter una serie de intentos humorísticos. Dos de los mensajes hicieron sonar la alarma de los sistemas de seguridad de este país, uno que explicaba que iban a desenterrar a Marilyn Monroe y otro días después que decía que iban a destruir América.

Los agentes dispuestos en el Aeropuerto Internacional de Los Ángeles los recibieron apenas su avión arribó separando a Leigh de su acompañante. La pareja estuvo detenida incomunicada por más de 12 horas, siendo interrogados por agentes de seguridad federales. Para los rigurosos controles norteamericanos los justificativos del británico no fueron suficientes. Cuando los agentes consiguieron la declaración del joven, a pesar de que él les recordara que se trataba de una broma y que destroy es un término que en Gran Bretaña se usa para fiestas intensas, fueron deportados.

Durante la segunda interrogación, el Señor Bryan fue puesto bajo juramento y juró su declaración tomada por el oficial Wahmann, Sr. Bryan confirmó haber posteado en su cuenta de Twitter que venía a Estados Unidos para desenterrar el cadaver de Marilyn Monroe. También en su Twitter Sr. Bryan confirmó estar viniendo a destruir América.

Este torpe caso será una llamada de atención para más de un viajero que pueda escribir chistes malos o descargarse por algún problema a través de la red social, los aeropuertos se han convertido en lugares de mucho nerviosismo y la red social de microblogging está siendo observada intensamente. Personalmente soy de usar Twitter con humor en muchos casos sin tener que preocuparme demasiado por las consecuencias, este servicio se ha caracterizado por mucho tiempo por ser un medio de absoluta honestidad y libertad, siendo tomado por muchos como lugar de catársis. Probablemente tanta observación determine que sea momento de buscar otros medios para expresarse.

Foto (CC): akunamatata

A pocos días del post donde se discutía el proyecto biométrico propuesto por el gobierno argentino, nos encontramos con esta noticia relacionada con la tarjeta SUBE (Sistema Único de Boleto Electrónico para medios de transporte dentro del área metropolitana de Buenos Aires). Según el sitio Segu-Info que publica información sobre seguridad informática Anonymus habría hackeado servidores del sistema develando datos privados que incluyen rutas, recargas y horarios de pasajeros con nombre y apellido.

La tarjeta está actualmente en discusión por medios y algunos usuarios principalmente debido al intenso empuje que está recibiendo por parte del Gobierno Nacional. A través de la quita de subsidios al uso efectivo y al rechazo de beneficios a otros medios digitales (como Monedero y Subtepass), la tarjeta SUBE es impuesta como único medio para viajar con tarifa reducida pasado el 10 de febrero cuando se incremente el costo del pasaje de colectivos. Gracias a esto, en los últimos días se ha visto repetidamente usuarios haciendo colas interminables (como la que se ve en la foto) para solicitar su tarjeta. El trámite requiere presentar Documento Nacional de Identidad y completar un formulario, lleva aproximadamente 5 minutos y se está haciendo en más de 600 puntos.

El secretario de transporte, Juan Pablo Schiavi declaró:

Es importante que todos seamos parte de este sistema que apunta a la facilidad, equidad y donde el Estado pueda controla mucho más los recursos que gasta en el transporte público de pasajeros

En medio de este delirio por las tarjetas SUBE, los usuarios se veían sorprendidos por ver toda la información de sus viajes accesible fácilmente por su web y sospechaban lo que ayer publicó Anonymous: la información es almacenada en base de datos del gobierno con total lujo de detalles y muy baja protección.

En todo el mundo existe un avance del control del estado sobre la poblacion. Con excusas como al lucha contra la pirateria, la lucha contra el terrorismo y la proteccion de la economia se derogan derechos.

En Argentina a diario se observan problemáticas por cuestiones de control por parte del estado. Camaras en la calle cada dos cuadras, edificios y patrulleros, la creacion de una base de datos con informacion biometrica de cada ciudadano desde que nace y el rastreo de sus movimientos.

El proyecto de monedero virtual (SUBE) impuesto por el gobierno Argentino exige identificación por DNI cuando no es necesaria y luego rastrea cada uso de esta tarjeta, creando una base de datos del ir y venir de cada ciudadano.

Como si este sistema de monitoreo de la poblacion y la existencia de esta base de datos sensibles signos de una sociedad de control no fueran suficientes, los datos estan practicamente al alcance de cualquiera.

La incompetencia y el desinterés demostrado a la hora de manejar nuestra información privada es tal que anonymous considera que *NO se les puede confiar esta información.*

Convocamos a todos a que hagan circular esta información para comunicar a la gente sobre el peligro de este sistema y cambiarlo para que no afecte la privacidad de los ciudadanos.

No se dejen controlar, no consuman la información que les venden. Infórmense por sus propios medios, el conocimiento y la información objetiva es la única manera de lograr un mundo más justo.

Exigimos que las tarjetas SUBE sean anónimas
Somos Anonymous. Somos legión. No perdonamos. No olvidamos. Esperénnos.
Anons.ar

Quien dice MIL dice UN MILLON o TODAS

La organización civil Vía Libre, que se había manifestado recientemente contra el proyecto biométrico, también lo hizo sobre el sistema de pago electrónico de transporte controlado por el gobierno:

La recolección por parte del Estado de los datos de transporte de todos los ciudadanos y su posterior guarda en una base de datos, es una medida abusiva e innecesaria que invade la privacidad y viola el derecho a la intimidad del que gozan los ciudadanos. […] Teniendo en cuenta las experiencias dictatoriales que azotaron a Argentina hace nada más que 36 años, la pasada fragilidad institucional de los gobiernos democráticos latinoamericanos y las experiencias políticas predecesoras, el gobierno debería ser más responsable respecto de las políticas de recolección de datos que realiza actualmente. Sumado al SIBIOS, estas bases de datos constituyen enormes acervos de información que cualquier empresa y/o dictadura militar estaría más que dispuesta a utilizar con fines absolutamente diferentes para los que fueron recolectados.

El control como política de Estado excede con mucho el accionar y las ventajas o desventajas de un gobierno particular, y es por ello que debe manejarse con extremo cuidado la recolección abusiva de datos innecesarios. Estos sistemas de control deben encender alarmas de alerta para todos los ciudadanos, puesto que vulneran sus derechos civiles más elementales, como el derecho a la privacidad y a la intimidad.

Esta resolución responde a la línea del gobierno que busca centralizar la toma de decisiones, el manejo de información y el flujo de capital en todo el país. Entre las medidas que siguen esta línea se pueden enumerar varias. La decisión de reformular la generación del DNI y Pasaporte aún cuando esto significaba incurrir en costos excesivos, servicio que antes lo realizaba la Policía Federal Argentina. También anunciaron SIBIOS, la base de datos biométrica para ciudadanos Argentinos. Se adjudicaron el control de los fondos jubilatorios. Crearon un inestable y dudoso sistema para compra de dólares donde cada ciudadano es sometido a una aprobación informática. De manera similar se requiere aprobar las importaciones a través de la aduana, para ello hay que solicitarlo por un sistema que se implementó de manera apurada y sin proveer información adecuada a los comerciantes.

El caso de SUBE es un ejemplo de violación de los derechos de Protección de Datos Personales en la ley Argentina, asi sea por una implementación apresurada que no protege los datos o por una confusión sobre lo que significa la información privada en el pais, este sistema debe ser revisado. Según lo que se publica en el reclamo lo hacen pidiendo un medio de pago que sea anónimo, que no recolecte ninguna información de los pasajeros y que sea transparente.

Aún cuando no haya plan macabro detrás de todo esto y sólo se trate de incompetencia, es necesario sentar las bases sobre lo que queremos para nuestra información privada porque un descuido puede ser la puerta hacia nuevos métodos de vigilancia que revivan el duro pasado del país.

Varias semanas después de que se conociera que un grupo de hackers habían robado el código fuente de las versiones del 2006 de soluciones Norton Antivirus y la herramienta de acceso remoto pcAnywhere, Symantec avisa en una carta del peligro que corren los clientes que mantengan activo este último. La compañía alerta que hasta que no llegue una nueva actualización los usuarios deben desactivar pcAnywhere.

Según Symantec, el robo que se habían adjudicado un colectivo bajo el nombre de The Lords of Dharmaraja, ocurrió realmente en el año 2006. Robo del código fuente de dos de sus productos al que ahora habían tenido acceso este grupo con la noticia de su publicación en la red.

Lo primero que ha querido aclarar la compañía una vez más es que los usuarios actuales de Norton no corren ningún riesgo de seguridad. La razón no es otra que la antigüedad del código fuente. Desde ese robo en el 2006 se han realizado todo tipo de mejoras.

No así con el software pcAnywhere, sistema para acceder a ordenadores de forma remota. Symantec confirma que todos los usuarios que actualmente lo utilicen están en riesgo:

Los clientes de pcAnywhere de Symantec tienen un mayor riesgo como resultado de este incidente. Hemos publicado un parche sobre tres vulnerabilidades encontradas en la versión pcAnywhere 12.5 (la más actual) y continuaremos emitiendo parches hasta que una nueva versión de pcAnywhere se ocupe de todas las vulnerabilidades actuales.

Luego pasó directamente a recomendar su “no uso” a no ser que sea por causa mayor:

En este momento, Symantec recomienda desactivar el producto hasta que la compañía libere un conjunto final de actualizaciones de software que resuelvan todos los riesgos. Para los clientes que requieran de pcAnywhere por ecesidad crítica en algún tipo de negocio, se recomienda que los clientes comprendan los riesgos actuales, asegúrense de que tienen la versión 12.5 instalada y de que han aplicado los parches que hemos liberado junto a las prácticas de seguridad que comentamos en el documento.

Queda claro por tanto que el robo ha acabado afectando, y de qué manera, a uno de sus productos. Si una compañía como Symantec alerta sobre la desactivación de uno de sus productos en vez de reducir el riesgo por otros cauces, significa que la situación es más que crítica.

El viernes pasado muchos nos sorprendíamos con la retirada de WhatsApp de la iTunes Store, y uso el verbo sorprender pero lo cierto y verdad es que con el historial que llevaba la aplicación en cuanto a vulneraciones de seguridad y la política estricta que tiene Apple en torno a su tienda de aplicaciones bien pensado lo raro es que no hubiese sucedido antes.

Los motivos siguen siendo inciertos, lo más probable es que nunca lleguemos a saberlos del todo. Y es que una de las cosas más inquietantes en torno a la plataforma ha sido siempre el exceso de secretismo, apenas sabemos un poco sobre los tres fundadores (antiguos trabajadores de Yahoo), los orígenes de la empresa y que su éxito se debe a haber sabido encontrar un hueco (un hueco estupendo además) en el mercado emergente de los smartphones replicando funciones que ya existían como BlackBerry Messenger y haciéndola completamente multiplataforma. De momento la propia compañía ha hecho oficial la retirada de la tienda de Apple a través de Twitter e informa que ya han mandado una nueva versión que está a la espera de revisión y aprobación.

Ya en mayo conocíamos que la aplicación enviaba todo el tráfico sin cifrar, con el riesgo que esto suponía en redes WiFis abiertas por ejemplo, donde los datos transmitidos pueden ser interceptados fácilmente. Hace unas semanas también se conocía un exploit por el cual cualquiera, haciendo uso además de determinadas webs que facilitaban el proceso, podía cambiar el estado de otro usuario, aunque fue cerrado posteriormente.

Lo malo en torno a WhatsApp realmente no es la aparición de problemas de seguridad, que son naturales y propios de cualquier sistema y se subsanan lo antes posible por sus responsables, es la flagrante falta de respuesta, que llega a durar meses incluso y el proceso tan opaco y secreto con el que se realiza. Parece que alguna de estas ha sido demasiado para Apple y ha decidido retirar completamente la aplicación hasta que lo solucionen.

Lo normal (sólo lo normal) que ante el caudal de dinero que tienen que estar perdiendo, pues usualmente WhatsApp se colocaba la primera en las listas de pagos de casi todas las tiendas de aplicaciones, es que esté de vuelta en un periodo razonable de tiempo. Mientras tanto se están produciendo algunos sucesos bastante hilarantes, por ejemplo, Whatsmsapp, una aplicaicón que no haca nada remotamente parecido pero que tiene un nombre muy similar está ahora mismo la primera en la lista de aplicaciones de pago de la AppStore, con unos desarrolladores que tienen que estar frotándose las manos ante el aluvión de dólares inesperados y unos usuarios que dejan comentarios del tipo: ‘hoyga hamijo porque no me funsiona wasap’.

Los agujeros de seguridad de WhatsApp son de proporciones pianísiticas, aunque eso no haya hecho que casi ninguno de nosotros deje de usarlo, algo que debería plantear una interesante reflexión acerca de la dependencia a ciertos sentidos y sobre hasta qué punto la seguridad muchas veces nos importa un comino mientras el sistema funcione. Sin embargo, y gracias fundamentalmente al éxito de esta primera hay muchas y buenas alternativas ahí fuera que pueden subsanar, al menos temporalmente, la falta de WhatsApp en la App Store. Es importante notar para los que ya la hubiesen adquirido no ha dejado de funcionar, como muchos pensaban, simplemente no se puede comprar en dispositivos Apple.

GroupMe: Se hizo muy popular tras su lanzamiento y para mí fue durante un tiempo una gran promesa hasta que su lentitud, una interfaz terriblemente diseñada y el exceso de funciones que en la mayor parte de los casos no se usan para nada me hicese desistir de usarla. Su gran punto a favor es un cliente de escritorio vía navegador, que ya la tienen instalada un buen número de usuario y la posiblidad de enviar tanto geolocalización como imágenes de manera sencilla. Gratuita.

ChatOn: Mi segunda favorita, se cuela en esta lista por los pelos y es que hace sólo unos días que ha lanzado su aplicación para iOS, con lo que se ha convertido en multiplataforma (también está para Android) y en una alternativa muy interesante. Se trata del servicio de mensajería propio de Samsung, permite enviar notas de voz, de vídeo, fotos, geolocalización, contactos e incluso pequeños dibujos que podemos trazar en la pantalla. Tiene una interfaz muy limpia, cuidada y personalizable, además de cliente de escritorio, cuando se expandan a más plataformas, no deberían tardar para Blackberry, será una interesante opción a tener en cuenta. Gratuita.

Kik Messenger: Es una veterana y que también es bastante popular en algunos países aparte de WhatsApp, es rápida, sencilla, compacta y permite chats grupales. Permite saber si la otra persona leyó el mensaje, si está escribiendo y está para iOS, Windows Phone, Android, Symbian y Blackberry, con lo que podremos comunicarnos con prácticamente cualquier usuario de smartphone, hace poco renovaron la interfaz y mejoraron completamente el funcionanimiento. También muy recomendable. Gratuita.

Y como nota final observar que la mayoría de estas apps le dan mil vueltas en algunos aspectos a WhatsApp, como en tener un cliente de escritorio, muchas veces la importancia de ser el primero y el más extendido puede más que las más poderosas de las funcionalidades.

La lucha contra el spam es tradicional en la red de redes, los servicios de email siempre se han enfrentado a este problema y las redes sociales también se ven acechadas por este problema. Cuanta más importancia tiene una red social más interesante será para lanzar spam en ellas. Por ello no es de extrañar que en Facebook sea un objetivo claro, que ha hecho que la empresa tenga que dedicar esfuerzos especiales para luchar contra este problema.

Según ha admitido uno de los ejecutivos de Facebook en la actualidad tienen a 30 personas trabajando dedicadamente a luchar contra el spam así como los hackers que intentan aprovecharse de las posibles vulnerabilidades que no hayan sido cubiertas en la red social. Uno de los miembros de este equipo señala que suelen prestar mucha atención a lo que se publica en el News Feed ya que si se cuela algo de spam ahí es muy probable que los usuarios hagan click sobre el enlace.

Aunque señala que hay un miedo exagerado ya que las cifras de spam en Facebook es baja, de los enlaces publicados menos del 4 por ciento corresponde a spam y tan sólo un 5% de los usuarios ha visto spam en algún momento. A pesar de estos resultados no bajan la guardía y los 30 empleados de la empresa tienen medios técnicos para detectar los mensajes maliciosos en tiempo real

Tenemos cientos de empleados y decenas de millones en infraestructura. Con cada producto, llevamos a cabo auditorias sobre nuevas formas de spam que pueden llegar a los sistemas

También destacan el hecho de la protección de las cuentas de usuario con las opciones de inicio de sesión que tienen, si se hace un usuario accede a la red social en un punto de planeta y pocos minutos después lo hace desde otro punto la red social le pedirá que se identifique correctamete. Todo ello acompañado con los mensajes que podemos recibir cada vez que iniciamos sesión en un nuevo dispositivo o desde el que no hemos accedido desde hace un tiempo.

Y ciertamente todos estos esfuerzos son necesarios. Imaginense que la red social más popular de Internet tuviese poco cuidado con el spam y los agueros de seguridad, millones de usuarios se podría ver afectados de forma bastante seria. Por ello es completamente comprensible que tanto Facebook como otras empresas pongan mucha atención en la lucha contra estos asuntos.

Bajo el título de “revisión de cumplimiento de privacidad”, el centro nacional de operaciones ha estado operando en el interior del mapa digital, ya sean redes sociales, blogs o medios de comunicación, en un seguimiento diario de lo que se hacía o se decía.

Según el documento, el propósito de la vigilancia es:

… recopilar información utilizada en provisión del conocimiento de la situación y establecer un cuadro de operaciones común.

En otras palabras y usando un lenguajes más llano, este control diseñado por Homeland Security se diseñó para ayudar al departamento y sus numerosas agencias en las que se incluyen el Servicios Secreto de los Estados Unidos o la Agencia Federal de Emergencias, todas con la idea de gestionar las posibles respuestas del gobierno ante diferentes tipos de eventos.

Según reuters, quién se puso en contacto con un funcionario del programa de monitoreo, la intención era simplemente permitir a los comandos “mantener el contacto con diversos medios de comunicación en Internet”. Además, el funcionario acabó comentando a la agencia que:

El programa de vigilancia de todos los sitios webs y el uso de estos datos públicos a través de las redes sociales fue con el único propósito de tener un conocimiento más preciso de la situación, una información oportuna para la toma de decisiones…

Aunque también se asegura que bajo las “reglas” por las que se regía el programa el departamento no guardaba las copias permanentemente del tráfico en Internet supervisado, la filtración en Crytome describe que el programa puede conservar los datos durante un máximo de cinco años.

Y aquí viene la lista de espionajes. Cinco páginas completas donde se incluyen redes sociales como Facebook y Twitter (donde se incluye la posibilidad de búsquedas por mensajes en la plataforma), docenas de webs, agregadores de noticias o medios de comunicación.

De entre los blogs destacan la inclusión de la bitácora de investigación The Blotter de ABC News, blogs de investigación científica, blogs “activistas” extranjeros fuera de Estados Unidos, blogs que cubren el narcotráfico o el crimen cibernético.

También se encuentran medios conocidos como New York Times o Huffington Post. En Wired también han realizado una extensa recopilación de datos poniendo especial énfasis en Danger Room y Threat Level. Junto a Wired, un gran número de blogs relacionados con información sobre terrorismo o seguridad. En la lista se incluye la web de WikiLeaks o el mismo Cryptome de donde se han filtrado estos documentos.

Por último, el monitoreo ha estado realizando un barrido a las webs de vídeos y fotos como YouTube, Flickr o Hulu.

Desde reuters confirman que los funcionarios que participan en el programa han dado autenticidad a los documentos aunque se negaron a responder sobre la lista en sí. Monitorización que se presuponía y de la que hoy se tiene certeza. Una lista que como avanzan desde Boing Boing, puede llevar al espionajes de terceros:

Los sitios iniciales indicados pueden vincular a otros sitios que no figuran en la lista. El documento indica que también puede controlar los sitios que se encuentren dentro del alcance de esta iniciativa.

El video anterior muestra que la Presidente Cristina Fernández de Argentina se maravilló cuando se enteró de lo que se podía hacer con biometría y por tanto se “empecinó” en hacerlo — raro que no recordará del nombre del desafortunado proyecto al presentarlo — ya que lo considera “un salto cualitativo” y “absolutamente novedoso” que va a permitir, en sus palabras, “conocer en tiempo real quién es la persona que se encuentra enfrente de un personal de seguridad, o en cualquier otro lado, y sí es esa persona es o no esa persona”.Fernández además, considera a SIBIOS un gran paso para los derechos de la gente (!) por lo que se trasladará a “todos los recién nacidos en todos los hospitales del país” a partir del primero de enero de este año.

Desgraciadamente la paranoía, la ignorancia de quienes gobiernan y el incremento de las tecnologías de vigilancia masiva disponibles, han dado paso a que los gobiernos vulneren la privacidad de forma masiva con el argumento de la “seguridad nacional”y los “delitos”.

La Fundación Vía Libre de Argentina ha lanzado en conjunto con Electronic Frontier Foundation (EFF) una campaña de información acerca de la peligrosa (y vergonzosa en un país que sufrió una dictadura) vigilancia como política de estado que impulsa la Presidente Fernández por medio de la identificación biométrica mandatoria.

A pesar de las alabanzas que hace al sistema de identificación biométrica la Presidente Fernández, EFF señala en su comunicado que el Reino Unido desmanteló su sistema de identidad nacional hace dos años debido a la intrusión a los derechos de privacidad de sus ciudadanos. Pero al parecer, la característica más grande de quienes tienen poder, es hacer lo que no deben— y aún más, tienen una memoria histórica muy corta. El Documento de Identidad Nacional en Argentina surgió durante la dictadura militar, un hecho histórico imposible de ignorar cuando se trata de dar poderes a agencias de seguridad para cruzar referencias de información con datos biométricos. Según el post de EFF:

Ahora, el gobierno planea redimensionar esa base de datos para facilitar “acceso fácil” al integrar esos datos en un nuevo sistema integrado orientado a la seguridad. Esto aumenta el grado de vigilancia generalizada, ya que las agencias de seguridad de Argentina tendrán acceso a repositorios masivos de información de ciudadanos, y serán capaces de mejorar las capacidades de hacer reconocimiento facial y por huellas digitales con tecnologías que permitan identificar a cualquier ciudadano en cualquier lugar.

En los últimos días de 2011, la Presidente Argentina, Cristina Fernández, emitió un Decreto del Poder Ejecutivo ordenando la creación del Sistema Federal de Identificación Biométrica (SIBIOS), un nuevo servicio de identificación biométrica centralizado, con cobertura nacional, que permitirá a las agencias de seguridad hacer “referencias cruzadas” de información con datos biométricos y otros datos inicialmente recogidos con el fin de mantener la operatoria del Registro Nacional de DNI.

El SIBIOS estará completamente integrado con las bases de datos de identificación, que además de los identificadores biométricos, incluyen imagen digital, estado civil, grupo sanguíneo y otras informaciones básicas que se recolectan desde el nacimiento y a través de la vida de las personas. Además, no sólo la Policía Federal tendrá acceso a este sistema integrado. SIBIOS fue diseñado para el uso de otras fuerzas de seguridad y organismos, incluyendo la Dirección de Migraciones, la Policía Aeroportuaria y la Gendarmería Nacional, incluso estará disponible a las fuerzas policiales y entidades provinciales, a través de un Acuerdo con el Estado Nacional. Sin embargo, no ha habido discusión pública sobre las condiciones bajo las cuales los oficiales públicos tendrán acceso a los datos. Los promotores de SIBIOS argumentan que el programa facilitará la aplicación de la ley y el acceso en tiempo real a los datos de los individuos, sin embargo las precauciones mínimas usadas para prevenir la vigilancia masiva por parte del estado siguen siendo una incógnita.

Beatriz Busaniche, de la Fundación Vía Libre, alerta del peligro de abuso por parte del gobierno que el SIBIOS puede representar para el disenso político:

En nombre de la seguridad pública, Argentina ha impulsado políticas de vigilancia masiva incluyendo un monitoreo generalizado de los espacios públicos. La privacidad es particularmente esencial en un país que a lo largo de su historia ha tenido importantes movimientos sociales y políticos que han ganado las calles para hacer oir su voz. Es de enorme importancia que los activistas puedan permanecer anónimos en las manifestaciones públicas, en particular cuando están en desacuerdo con el gobierno. De esta manera, SIBIOS no sólo amenaza la privacidad de los ciudadanos y el derecho a la protección de sus datos personales, sino que también involucra una seria amenaza a los derechos civiles y políticos.

Lo siguiente ya lo había escrito antes en referencia a una pésima idea similar que el gobierno mexicano intentó imponer hace dos años, llamada RENAUT. Lo repito nuevamente: los datos son frágiles por la facilidad con la que pueden ser copiados. Los datos son personales, importan demasiado y los biométricos, simplemente no deberían de ser recolectados por nadie. La información esta compuesta por datos que tienen un valor para los mercados que dependen de ellos, pero también determinan integridad personal, por lo tanto su protección es fundamental. Este valor es precisamente lo que el mercado legítimo e ilegítimo utiliza para controlar, extorsionar o vigilar a la gente. También aplica a los gobiernos.

Conectados o no, todos somos afectados por la forma en la que la información se colecta, maneja, almacena y transmiten datos. Por esta razón, claro que son muy necesarias las legislaciones al respecto, pero ¿las leyes son un instrumento para oprimir, vulnerar y controlar? O, ¿un instrumento para proteger los derechos de la gente y garantizar, sobre todo, su integridad personal? Una base de datos biométricos puede ser abusada con fines políticos, puede ser hackeada con fines comerciales, puede fallar y cruzar mal los datos resultando en identificaciones erróneas con sin fin de consecuencias, por mencionar algunas. No hay sistema infalible, la identificación biométrica no es la panacea.

Privacy International se refiere a la identificación biométrica como una tecnología lejana de haberse probado segura y garante en su estudio titulado “TOUCHING BIG BROTHER: cómo la biometría fusionará la piel y las máquinas”:

…se requieren grandes cambios organizacionales para poder ser manejados (los datos biométricos). Hay muchos problemas prácticos involucrados en sus complejas y automatizadas rutinas, y al enfrentarse con excepciones, bajas de los sistemas y errores de la base de datos. La imposición de procedimientos intrusivos de identificación cambia la naturaleza de las relaciones y transacciones entre clientes y organizaciones. Por lo menos existe la percepción, y probablemente es cierto, de que incrementan el poder de las organizaciones sobre los individuos. Los datos biométricos, mucho más que otros modelos de identificación, ponen en peligro la sensación de individualidad.

EFF no podría ser más acertado al llamar irracional a la recolección de información biométrica a esta escala. La vigilancia sistemática como política de Estado es una característica de las dictaduras. Argentina ya pasó por eso y dijeron “nunca más”. La vigilancia masiva va en sentido contrario.

ACTUALIZACION El texto íntegro de “Biometría en Argentina: la vigilancia masiva como política de estado” esta disponible en Fundación Vía Libre y en EFF.

Imágen vía leechypics

Fue una acción muy rápida. Un hacker que dice ser parte de Anonymous pudo adueñarse por algunos minutos del sitio web de Sony Pictures. Es decir, otra vez la seguridad del gigante japonés vulnerada, como si de un colador se tratase.

Y no sólo eso. También Anonymous logró apoderarse del perfil de Facebook de la división de films de la empresa tecnología. Los ciberdelincuentes llamados S3rver.exe, Anonnerd y N3m35151 incluso publicaron un par de vídeos en YouTube para demostrar el éxito de la operación. Videos que duraron lo que un suspiro, ya que el portal de internet lo dio de baja a posteriori.

¿Las razones del hack? Anonymous dice que es una manara de “demostrar agradecimiento” a los creadores de la PlayStation por apoyar SOPA. El grupo denominó a la acción #OpSony.

¿Anonymous ve en Sony una cabeza de playa para empezar a atacar a todas las compañías que han dado el visto bueno al proyecto de ley más controvertido sobre internet? ¿O sólo se aprovecha de las demostradas falencias de seguridad la empresa? Como ya es de público conocimiento, esta no es la primera vez que un sitio web de Sony es víctima de una operación de “intromisión”. En junio, Sony Pictures confirmó que el grupo LulzSec accedió a la base de datos de la red de PlayStation y que quedaron expuestas alrededor de 1.000.000 contraseñas de texto no cifrado.

Ahora, volvamos a los “justicieros por mano propia”:

“El apoyo de la ley SOPA es una sentencia de muerte firmada para la empresa Sony y los Asociados. Por lo tanto, hemos decidido destruir vuestra red. Vamos a hacer que vuestra fantasma desaparezca desde internet. Preparaos para ser extinguidos. La justicia será rápida, y será para el pueblo, aunque a algunos les guste o no”, dijo Anonymous hace unos días.

Los hackers no hicieron ningún daño aparente pero confesaron que obtuvieron acceso a la base de datos completa del sitio. Y al parecer, en Facebook sólo se “divirtieron” dejando comentarios.

El primer vídeo, que fue quitado rápidamente, mostraba una imagen de un panel de Sony Pictures Mobile. El segundo, cómo comenzaron los hackers a publicar mensajes en la página oficial de Facebook pertenecientes a Sony Pictures como si se tratase de un usuario autenticado.

2011 fue el año de la inseguridad informática. Pero 2012 también lo será, y así sucesivamente porque el acceso e influencia de la tecnología en nuestra vida crece exponencialmente, inexorable. Nuestra existencia material fluye de forma acelerada hacia una existencia virtual donde las reglas de privacidad y anonimato tienen que replantearse ante nuevos escenarios de ataque. Más aún cuando nuestra inconsciencia como usuarios de tecnología es alarmante: en general somos una colección de malas prácticas de seguridad informática (en las escuelas primarias deberían darse clases de cibercivismo con reglas básicas de seguridad informática, pero este es otro tema). En fin. En lo que respecta a 2011, éste nos dejó con la boca abierta a raíz de lo que grupos con fines políticos fueron capaces de hacer, tanto hackers anónimos como los contratados por estados. Esta es la recopilación de los mayores ataques informáticos de 2011, o una muestra que consideramos representativa.

Anonymous vs. Sony

Sony fue un banquete para los hackers este año. El ataque distribuido de denegación de servicio (DDoS) coordinado por Anonymous desde varias botnets fue para darle una lección a la empresa a raíz de las demandas contra Geohot y fail0verflow:

Tus prácticas de negocio corruptas son indicadores de una filosofía corporativa que niega a sus clientes el uso adecuado de los productos por los que pagaron…

En consecuencia unas 77 millones de cuentas fueron tomadas de la PlayStation Network y Sony dio de baja el sitió por semanas hasta poder asomar la cabeza con seguridad. La escalada de ataques continuó.

Duqu

Duqu es hijo del gran Stuxnet, el malware de estado del que mucho hablamos desde 2010, diseñado expresamente para atacar instalaciones nucleares. Fue descubierto a principios de 2011 y su propósito es específico: recabar información para futuros ataques. Al igual que Stuxnet, Duqu ataca los sistemas Windows que controlan equipos Siemens. Asimismo, la sofisticación de Duqu sugiere que un gobierno está detrás de este troyano. En 2012 este tipo de malware aumentará sin duda.

Lulzsec vs. Fox

Risas, caos y hacking, eso fue Lulzsec. Nos dejaron decenas de ataques informáticos a lo largo del año, uno de ellos en comunión con Anonymous, la llamada Operación AntiSec, con afectaciones diversas para empresas, gobiernos y personas. La idea de Lulzsec fue ante todo, decían ellos, exponer las pésimas prácticas de seguridad informática de empresas (básicamente Sony, Sony y Sony) e instituciones gubernamentales (CIA, FBI, PBS). Incluso se dieron el lujo de poner a disposición del público una línea telefónica para solicitar ataques. Y el ataque que puso a temblar a más de uno fue el que hicieron contra Fox.com, por la relevancia del objetivo y la calidad de los datos expuestos: configuración del servidor y datos de contactos de venta (nombres, emails, contraseñas) de una de las mayores empresas de medios del planeta. Con el ataque a Fox, Lulzsec inició su escalada de ataques… y risas.

Comodohacker vs. DigiNotar

Un tal comodohacker, supuestamente iraní de 21 años en defensa del gobierno de su país, tuvo a bien tomar certificados de seguridad la empresa holandesa DigiNotar. Con esto pudo interceptar el flujo de información hacia Gmail desde Irán, y de esta manera puso en peligro a una buena cantidad de disidentes (y ciudadanos) iraníes. DigiNotar, por su cuenta se convirtió en la primera empresa de su tipo en ser bloqueada por navegadores por su debilidad informática. Este ataque demostró en la práctica la debilidad del sistema de certificados digitales en los que confiamos ciegamente cada día.

RSA

Millones de usuarios de banca en línea alrededor del mundo usan tokens RSA. Hablo de esos pequeños dispositivos que generan un número temporal pseudo-aleatorio que ayuda en el proceso de autenticación para la banca en línea. En marzo de 2011 se dio a conocer que fue extraída información del diseño de esos dispositivos como parte de una nueva familia de ataques llamada APT (amenaza persistente avanzada), a la que pertenecen Stuxnet y Duqu, en la que hackers en extremo hábiles son contratados por organizaciones para tareas específicas. El ataque APT a la empresa RSA todavía implica un riesgo para la banca en línea de todo el planeta.

Mucho antes de la era de Internet, a comienzos del siglo pasado, existió un hombre que podría considerarse como el primero en llevar a cabo con éxito un hack. Según cuentan desde la publicación New Scientist, para nombrar al primer hacker de la historia nos debemos remontar muchas décadas atrás en el tiempo. En 1903, el que fuera mago de la familia de ilusionistas Maskelyne (su nieto fue Jasper Maskelyne), Nevil Maskelyne, debería ser considerado el primer hombre que descubrió un agujero de seguridad. Lo había conseguido a través del telégrafo inalámbrico que desarrolló Marconi.

Cuenta la publicación que el momento que quedó para los anales de la historia tuvo lugar a comienzos del siglo XX. En 1903, el mago e ilusionista se encontraba en un local de tenía su padre. Al mismo tiempo, en la Royal Institution de Londres se encontraba un equipo dirigido por el físico John Ambroise Fleming. El físico iba a preparar una demostración del dispositivo inventado por Marconi. Trataba de enviar un mensaje telégráfico de larga distancia que fuera entre Londres y Cornwall (punto donde se encontraba Marconi).

En ese preciso momento, Maskelyne quiso poner a prueba el invento y demostrar a los presentes en la Royal las posibles vulnerabilidades que tenía el telégrafo inalámbrico que había inventado el Premio Nobel de Física.

Lo que ocurrió finalmente fue el primer acto hacker según la revista. La demostración de Fleming falló poco antes de iniciarse. El sistema comenzaba a recibir un mensaje, una especie de poema donde se acusaba a Macorni y Fleming de fraude al público asistente.

¿Cómo lo hizo? Al parecer, Maskelyne había instalado un transmisor de código morse en el local en el que se encontraba. Junto al transmisor instaló una antena de 50 metros y se aprovechó de la vulnerabilidad en la transmisión y recepción de mensajes.

La demostración continuó pero ya no fue lo mismo. Los periódicos se hicieron eco del “hackeo” del mago y de la posibilidad de interceptación de mensajes en el telégrafo. Marconi acusaría posteriormente a Maskelyne de sabotaje y vandalismo científico a través del diario The Times.

Maskelyne por su parte respondería al inventor en el mismo periódico. Según el ilusionista lo hizo con el único motivo de “sacar las carencias del telégrafo inalámbrico en materia de seguridad”.

Lo que Maskelyne seguro que nunca se propuso es el apelativo que hoy podría tener de manera oficial. El de ser el primer hacker de la historia (hasta que la propia historia nos muestre a uno anterior).

Ah, el Chaos Computer Club, cuna de grandes hackers, ideas y un congreso anual: Chaos Communication Congress, que estos días celebra su edición número 28 (también llamado 28C3). En éste hemos visto la presentación de hackings impresionantes y ponentes de talla mundial. Fue justamente hace un año cuando hablamos de unos investigadores que presentaron en el 27C3 un kit de código abierto para espiar telefonía GSM. Traigo este asunto a la memoria porque hace unas horas esos mismos investigadores dieron a conocer un método para tomar el lugar de otros en una red GSM.

¿Qué significa eso? Según Karsten Nohl y Luca Melette, los hackers de Security Research Labs, significa que con ayuda de software de código abierto desarrollado por ellos mismos (OsmocomBB) y un teléfono sencillo es posible “tomar” otros teléfonos móviles GSM y a razón de esto hacer llamadas, enviar mensajes de texto, e incluso revisar el buzón de voz del número teléfonico en cuestión.

Resulta que cada vez que hacemos llamadas bajo una red GSM, ésta asigna de forma automática una llave secreta y un identificador temporales al dispositivo móvil. Luego de capturar una conversación con la tecnología de espionaje GSM antes mencionada, es posible descifrar ese par de datos y usarlos para hacerse pasar por el móvil espiado. Los hackers cuentan que este método es factible principalmente porque el cifrado GSM (2G) es débil. Tranquilos: no sucede lo mismo con redes 3G y 4G (por ahora).

Aunque este tipo de hacks no son del todo nuevos, lo cierto es que hay pocas precauciones al respecto. Nohl comenta:

Un mónton de personas me dicen que nunca hablan nada interesante en sus teléfonos… Así que la intercepción de sus llamadas no les afecta. Ahora, finalmente, esto sí.

Los hackers exhortan a las operadores a mejorar sus estándares de cifrado y ofrecen varios consejos en ese sentido. Se sabe que hace un par de años que el cifrado debió mejorar, pero el proceso es lento y burocrático.

Recordemos que 80% del mercado móvil a nivel mundial usa redes GSM: tres mil millones de móviles, aproximadamente.

El verdadero conocimiento no está en las cosas, que son pocas, sino en encontrar las conexiones entre ellas — Daniel H. Wilson en Robopocalypse: A Novel

¿Sabes lo que Facebook sabe de ti? Probablemente estés claro sobre las políticas de privacidad de esa red social, de cómo han evolucionado con los años, pero tal vez quedes en jaque con una pregunta como esa. El siguiente vídeo echa luces sobre el asunto. Está en inglés, pero lo explico en seguida.

Vamos por partes:

• Max Schrems, austriaco, solicitó hace unos meses a Facebook una copia de todos los datos que tenía almacenado de su perfil.

• Facebook, en respuesta, le entregó un paquete con poco más de 1200 archivos PDF.

• Max indagó en tal archivo y se dedico a investigar sobre posibles violaciones a sus derechos. Entre otras cosas, encontró que Facebook lleva un registro de

  • cada ingreso y salida
  • cada mensaje y su contenido
  • likes, geolocalización, posts, pokes, amistades…
  • incluso todos los datos que él había creído eliminados

• Max recabó información similar de 22 personas, todos usuarios europeos, varios amigos entre ellos, e inició el proyecto Europe vs. Facebook con todos esos datos en línea.

El proyecto Europe vs. Facebook dice sobre los datos que

Toda persona en la Unión Europea tiene derecho a acceder a todos los datos que una compañía tiene ella o él… Después de que tuvimos respuesta de Facebook fue claro para nosotros que teníamos que publicar esa información en línea. De esta manera, queremos que Facebook sea más transparente y mostrar a cada usuario lo que Facebook sabe de nosotros.

Y agregan algo escalofriante (la cita con la que arranco el artículo tiene que ver con esto):

Hay más datos. Muchos grupos de datos que no fueron incluidos en el primer conjunto de datos enviado por Facebook. Por ejemplo, datos relacionados con la función “like”, el rastreo en otras páginas web, reconocimiento facial, vídeos, posts en los muros de otros usuarios, indicadores de la intensidad de las relaciones, etiquetas que fueron eliminadas y mucho, mucho más no revelado por Facebook.

Hace pocas semanas Mark Zuckerberg ofrecía (otra) disculpa por los errores de Facebook a la hora de tratar la privacidad de las personas. Pero Facebook y privacidad son como agua y aceite, donde no solo los datos puntuales son importantes, sino también la red de datos y metadatos y la mina de oro conocimientos en ella…

Así que de nueva cuenta, sirva este pequeño artículo para que cada quién, si así lo quiere, reflexione sobre este asunto, importante no sólo para usuarios de Facebook sino para toda la red.

Y es que tras más de dos años de investigar el alcance y la amplitud de la Patriot Act, de entre cuyas peculiaridades el gobierno de Estados Unidos puede obtener el acceso a los datos europeos, el nuevo proyecto de ley incluirá medidas para contrarrestar la forma de aplicación de ley norteamericana y su posibilidad de adquirir de manera secreta los datos de los europeos.

Hasta ahora, la esta ley chocaba frontalmente sobre la protección de datos de la UE. Aún así, las organizaciones norteamericanas estarían obligadas a revelar aquello que pidiera el gobierno. The USA Patriot Act no sólo permite este acceso, sino que da cumplimiento de ley a impedir que las empresas revelen a los usuarios la entrega de los datos, una controvertida regulación que se estableció como herramienta para la lucha contra el terrorismo (ahora ciberterrorismo).

En el mes de julio fue Gordon Frazer, director general de Microsoft en el Reino Unido, el que lanzaba la noticia donde explicaba que ninguna empresa podía garantizar los datos europeos si la Ley Patriota se utilizaba sobre una compañía norteamericana. Este hecho sumado a la posterior noticia de Google como compañía que podría haber enviado información bajo mandato de la ley, supuso que el Parlamento europeo comenzará los borradores de la nueva legislación sobre protección de datos. Una legislación que Zdnet muestra en primicia e indica como modificará y reemplazará a las actuales leyes dándose a conocer en enero del 2012.

Serán dos proyectos de instrumento legal elaborados por la Comisión Europea. Antes de que se aprueben, podrán ser comentados y modificados en un proceso legislativo de la UE que puede llevar meses a un máximo de dos o tres años para que se convierta en ley.

Estos dos proyectos de regulación serían aplicables a los 27 estados miembros y significan la primera gran respuesta a la ley que se apica en Estados Unidos, un campo de duras medidas contra cualquier empresa que trabaje en Europa y tenga sede en Estados Unidos (o cualquier otro país fuera de Europa) enfrentándose a duras repercusiones financieras si rompen la nueva legislación. De entre las propuestas se destaca:

• Habrá total armonización entre todas las leyes de ptotección de datos en el futuro.
• La regulación obligará a las empresas con operaciones en los estados miembros a la jurisdicción del sistema legal de los estados incluyendo sus leyes de protección de datos.
• Empresas como Microsoft o Google, procesadoras de datos, que almacenan y gestionan datos a través de sus servicios en la nube, estarán bajo las mismas obligaciones que el resto de empresas.
• Las compañías fuera de Europa (como Estados Unidos) seguirán estando sujetas a la legislación europea si tienen oficinas con sede en Europa o clientes europeos.
• Se requerirá consentimiento expreso de los titulares ante cualquier tratamiento de datos de marketing.
• El conocido como “derecho al olvido” será sancionado en Bruselas, una medida que permitirá a los usuarios eliminar sus datos privados de las empresas.
• Si una empresa sufre una pérdida de datos o violación de los mismos, tanto la autoridad de protección de datos como los individuos deberán ser informados en 24 horas desde el descubrimiento.
• Todas las empresas públicas o de más de 250 empleados deberán tener agentes de protección de datos internos.

Todos y cada uno de los epígrafes significan la respuesta de Europa por proporcionar a los ciudadanos europeos un nivel exigente de control de los datos. A la vez significa para Estados Unidos que invocar la Patriot Act en territorio europeo sería ilegal y por lo tanto empresas como Microsoft y Google o cualquier otra compañía con servicios almacenados en la nube chocarían con la nueva legislación.

Por otra parte aparecen las sanciones. Si alguna de estas reglas se rompiera, las autoridades de los estados miembros sobre la protección de datos impondrían multas que podrían alcanzar un máximo del 5% de la facturación anual en el mundo de la compañía en cuestión.

Los Angeles Times informa que la Administración Federal de Aviación de los Estados Unidos presentará en enero una propuesta para regular el vuelo de artefactos de aviación caseros como drones y quadracópteros.

La innovación independiente de quadracópteros con fines de investigación y recreación experimento un gran avance este año, así como también incrementó el uso de drones de alta tecnología con fines bélicos, específicamente para bombardear objetivos en países como Pakistán o realizar labores de“inteligencia” en el territorio mexicano.

Como indica el periódico angelino, la realidad es que estos artefactos tienen utilidad para toda la sociedad.

La policía quiere drones para ayudarlos a identificar criminales que huyen. Las compañías creen que les pueden ser útiles para monitorear tuberías de petróleo, gas y agua. Los agricultores piensan que los drones pueden ayudar a regar sus cosechas con pesticidas.

La Agencia de Aviación informa que su principal preocupación es que los drones civiles carecen de la tecnología para detectar y evitar choques en el aire, además de que los drones — al ser un artefacto diseñado para atraer la menor atención posible en el aire — pueden ser usados por los mismos criminales y terroristas a los que pretenden combatir. Otro punto que menciona el artículo es la privacidad: ¿qué pasa si ves un drone encima de tu jardín y éste resulta que esta equipado con una cámara?

Me parece excelente que se pretenda hacer el espacio áereo más seguro y evitar las colisiones aéreas es algo absolutamente necesario. Lo que me parece delicado es que siempre que se menciona la palabra regulación se invoque en el nombre del terrorismo y los criminalidad. La paranoía que heredó Bush al mundo no nos ha dejado nada bueno, solo abusos. En fin, como siempre surge la cuestión del balance entre seguridad y libertad y seguirá siendo así en todos los temas que involucran el desarrollo de tecnología independiente utilizada para fines de transparencia y con el potencial del empoderar a los ciudadanos.

Las protestas mundiales en contra de los sistemas de poder abusivos y corruptos, también han encontrado en los artefactos de aviación no tripulados una ventaja para poder documentar la brutalidad policial y lo que sucede en estos espacios de conflicto, de una forma más o menos objetiva.

Todas las tecnologías, ya sean digitales, mecánicas o electrónicas (etcétera) pueden ser utilizadas de forma ética o de un modo abusivo por civiles, gobiernos o criminales. Un ejemplo reciente: la CIA perdió control de un drone espía cerca de Afganistán, la semana pasada. El gobierno de Irán lo capturó al invadir su espacio aéreo. Como vemos, aunque exista regulación del espacio aéreo internacional, no es una garantía que los gobiernos lo respeten.

Esperemos que esta regulación anunciada, no obstruya la increíble investigación en torno a estas tecnologías y las posibilidades que ofrecen los drones y los quadracópteros, para todos los mortales y entusiastas interesados en la innovación para el bien común.

“Va a suceder” afirmo Dan Elwell, vicepresidente de la asociación civil AeroSpace Industries. “Ahora es el tiempo para decidir como asimilar esta tecnología de forma segura en el espacio áereo”.

Imagen vía Asbestos Bill

Compañías de “seguridad y vigilancia” pueden usar un smartphone para tomar fotos de ti o tus alrededores sin que lo sepas, según lo dicho por Pratap Chatterjee de la Oficina de Periodismo Investigativo (Bureau of Investigative Journalism) durante una mesa redonda en Londres, moderada por Julian Assange, uno de los fundadores de Wikileaks, quien al dato decidió “prender en fuego” la sala diciendo:

Quién tiene aquí un iPhone? Quién tiene aquí un BlackBerry? Quién aquí usa Gmail? están todos jodidos.

Por otro lado, Stefania Maurizi, una periodista de L’Espresso de Italia mostró documentos que demostrarían que este tipo de software no solo es capaz de espiar a usuarios, también puede modificar mensajes enviados o crear nuevos.

Las declaraciones simplemente avivan aún más el fuego iniciado con la revelación de Carrier IQ, un software que bien podría ser descrito como u rootkit que espía en Androids, BlackBerrys, Nokias y está instalado en 130 millones de móviles de todo el mundo.

Para hacer las cosas aún peores, resulta que Carrier IQ también está presente en iOS, aunque con un recabado de datos, aparentemente, no tan extenso.

¿Deberíamos tomarnos tan en serio nuestra privacidad o este tipo de recabado de datos? A lo primero: Sí y a medida que pase el tiempo nuestra privacidad se hará más y más importante ya que nuestros hábitos de comportamiento son cada vez más valiosos. Si el recabado de datos que mencionan en la mesa redonda de Julian Assange es capaz de identificar usuarios individuales entonces debería no solo preocuparnos, tiene que alarmarnos y tomar decisiones fuertes (como el dejar de usar dispositivos y servicios hasta estar seguros que no nos espían de esta forma).

De acuerdo a la Revista Eme-equis, el argumento del legislador priísta, José Adán Ignacio Rubí Salazar es que la medida serviría para frenar los altos índices de impunidad en que operan las bandas del crimen organizado en el país. La comunicación del Senado afirma:

La Comisión de Comunicaciones aprobó un dictamen para que las empresas concesionarias y permisionarias del servicio telefónico colaboren con la Procuraduría General de la República en el combate a delitos de secuestro, extorsión o amenaza.

La Comisión, presidida por el diputado José Adán Ignacio Rubí Salazar (PRI), avaló que en investigaciones en materia de delincuencia organizada, delitos contra la salud, secuestro, extorsión o amenazas, la autoridad judicial pueda solicitar la localización geográfica, en tiempo real, de los equipos de comunicación móvil asociados a una línea que se encuentren relacionados con algún ilícito.

El documento establece que el concesionario o permisionario del servicio de telecomunicaciones que no colabore con las autoridades se le impondrán una multa de doscientos cincuenta a dos mil quinientos días de salario mínimo.

Señala que los concesionarios de telecomunicaciones deberán bloquear de inmediato las líneas reportadas como robadas o extraviadas, y suspender el servicio para efectos de aseguramiento cuando así lo instruya la Comisión Federal de Telecomunicaciones.

En este contexto, el dictamen indica que las cárceles contarán con equipos que permitan bloquear o anular las señales de telefonía celular, de radiocomunicación, o de transmisión de datos o imagen dentro del perímetro de los centros de readaptación social.

Sin duda alguna, es deber del Estado combatir al crímen organizado pero no a costa de los derechos de los demás. Las legislaciones de vigilancia masiva que han surgido en México desde el fiasco de RENAUT, desgraciadamente carecen de legitimidad ya que los actores institucionales que lo promueven , no se han ganado la confianza de la sociedad.

En el caso de esta legislación que permitiría obtener datos de localización, no esta claro si incluye una una órden judicial, por lo cual los afectados podrían terminar siendo precisamente la sociedad a la que se pretende proteger — no aquellos a los que se pretende combatir — ya que el potencial de abuso por parte de las autoridades es mayúsculo.

El asunto de las multas por otro lado, es patético, ya que se asume que la autoridad tiene la razón y que no abusan de sus poderes — cuando hay pruebas contundentes y recientes de que no es así.

¿En qué clase de democracia se sanciona económicamente a un carrier si no da datos personales? ¿Es la extorsión legal cuando la práctica el Estado o de qué estamos hablando?

Otro punto que en realidad es motivo de preocupación grave (al menos para mí) es el hecho de que se promueva la adopción de “equipos que permitan bloquear o anular la transmisión de datos.” ¿Recuerdan cuando se apagó el internet en Egipto o el reciente fiasco de Blue Coat en Siria? ¿Qué autoridad va a garantizar que estos equipos no serán utilizados con otros propósitos? ¿Dónde se describe con detalle la clase de equipos, bajo que condiciones se operarían y cuáles son las limitaciones? ¿IFAI?

Las preguntas me sobran, desafortunadamente no existió un debate serio e informado acerca de este peligroso paso que una administración que se ha caracterizado por su autoritarismo, esta a punto de dar.

Hay varios problemas serios con esta legislación, para empezar no se discutió con la sociedad y por las implicaciones tan delicadas para la privacidad — un derecho de los individuos— debería de tener un proceso legitimizado por la confianza y la transparencia total — esto último, una obligación de las instituciones. La integridad física de gente inocente puede ponerse en peligro si los datos que darían los carriers para no ser sancionados, caen en las manos equívocadas. ¿Cuántos salarios mínimos vale la integridad de un ciudadano para el gobierno?

Es verdaderamente inaúdito e insultante que después de que en México se celebró recientemente la Conferencia Internacional de Privacidad de Datos — en donde estuvieron presentes especialistas de altísimo nivel como Christopher Soghoian y autoridades mexicanas—, ahora salgan con esta locura que en algunos países han considerado como anticonstitucional y en otros, se ha estipulado claramente que estos tipos de datos — sí es que se revelan— se hace como debe ser: con una órden judicial de por medio, no por medio de extorsiones de la autoridad, disfrazadas de multas. Y esto no me lo saco de la manga, ejemplos hay varios.

Por ejemplo, en Europa la Directiva de Retención de Datos específica que datos pueden ser almacenados para telefonía móvil y sus especificaciones para su acceso son públicas, además de estipular los procedimientos legales para la obtención de estos datos, y promoviendo con especial enfásis la mediación por medio de instituciones de protección de datos, como lo sería el IFAI en México. Esta legislación asume que los carriers deben de monitorear los geodatos de sus clientes. ¿Será? Ahí tenemos el escándalo de Carrier IQ. Me pregunto si COFETEL y el IFAI, están enterados….

Otro ejemplo, hace unas semanas la Suprema Corte de los Estados Unidos rechazó el monitoreo vía GPS en automóviles sin órden judicial. Los abogados del caso, explican que los mismos argumentos aplican para las telecomunicaciones:

La misma lógica aplica en el caso del monitoreo vía telefonía móvil y esperamos que esta decisión sea considerada en cortes que estan analizando actualmente sí el gobierno debe obtener o no, una órden judicial antes de utilzar tu teléfono como dispositivo de monitoreo.

Otro de los argumentos para declarar anticonstitucional el monitoreo vía GPS en este caso fue literalmente “el potencial para el abuso y eliminación de la privacidad”, por sí aún no queda claro.

Claro que México no es Estados Unidos (en teoría) y nuestras autoridades son infinitamente más ignorantes en materia de tecnología,datos y privacidad, lo cual abona para hacer el potencial de abuso aún más grande. Esta legislación es claramente anticonstitucional y seguramente las autoridades van a necesitar informarse y actúar (te estoy viendo IFAI) para poder garantizar que la ley sea un instrumento que proteja la integridad y derechos de los individuos y no, un instrumento de opresión, abuso y control.

En Canadá también se estan proponiéndo este tipo de deformaciones legales que presentan un gran riesgo no solo para la privacidad sino para la democracia. La diferencia es que en Canadá la sociedad esta actúando y hay una gran campaña para hacer saber a todos que no hay evidencia para argumentar que más vigilancia sistemática por parte de la autoridad, garantiza la seguridad.

Este legislación que los brillantes legisladores mexicanos estan impulsando, es claramente producto de la aberrante epidemia del lawful interception que nos legó a todos el Patriot Act. Esto no es una buena idea, mucho menos justa, tan no lo es, que existe un artículo constitucional, el número 16 para ser más exacta, que específica la inviolabilidad de las comunicaciones, y las autoridades y procedimientos involucrados con la obtención de datos privados. En ningún lado dice que se puede multar a un servicio por no cooperar.

Esta legislación ya fue aprobada por el Senado y si es aprobada también por el Pleno de los Diputados, solo necesitaría llegar al poder Ejecutivo y ser publicada en el Diario Oficial de la Nación, para que el vulnerar la privacidad dependa de que un servicio de telefonía decida pagar una multa millonaria o no.

No se porque me sorprende que esto suceda en un país que se cae a pedazos…pero aún así, que no nos engañen, no se trata de escoger entre seguridad y libertad: sin libertad, no hay seguridad.

PD: Wired recomienda últimamente usar TinFoil Hats….

Trevor Eckhart es un programador de 25 años de edad asentado en Connecticut, EE. UU., un hombre destacado dentro de la comunidad Android. Desde allí analizó y luego reveló al mundo uno de los casos más indignantes de spyware en telefonía móvil de los que se tenga memoria. Lo que Eckhart encontró fue que la compañía Carrier IQ preinstaló sin consentimiento de los usuarios un software para registrar todas, todas sus actividades: un keylogger, o más bien un rootkit, que envía todos los datos recabados a los servidores de la compañía.

La polémica inició el hace un par de semanas cuando Eckhart hizo el primer señalamiento. Carrier IQ reviró con una demanda de cese y desista. Pero Eckhart fue cuidadoso al respaldar los resultados de su investigación de diferentes servidores, además la EFF le apoyó como bien suele hacer en estos casos de censura diciendo que al hacker le protege la primera enmienda

el uso justo de material con copyright… para propósitos de crítica, comentario, reporte de noticias… o investigación, eso no es una infracción de copyright.

Eventualmente Carrier IQ desistió en su demanda. Eckhart por su parte contraatacó hace unas horas con este vídeo escalofriante que no deja lugar a dudas (atención a partir de 8:34):

Allí puede apreciarse la cantidad enorme de información que Carrier IQ recoge del uso del móvil, como datos de geolocalización y mensajes SMS. Es más alarmante a partir de 13:34 cuando a Eckhart usa Google con HTTPS (para búsquedas web por un canal cifrado), no obstante la información viaja transparente para Carrier IQ. Esto es indignante. El hacker demostró también que el spyware no puede eliminarse sin rootear el teléfono o reemplazando el sistema operativo por completo. Peor aún, el spyware recoge la información incluso sin 3G, conectado sólo con Wifi.

Wired, Forbes y CNET mencionan que el software de Carrier IQ está instalado en 130 millones de móviles de todo el mundo, Android, BlackBerry y Nokia.

Y a todo esto, ¿quién es Carrier IQ? Según lo dicen ellos mismos, son un:

…proveedor líder de Soluciones Inteligentes en Servicios Móviles para la industria inalámbrica. La única compañía de estadísticas embebidas que soporta millones de dispositivos simultáneamente, le ofrecemos a las operadoras y fabricantes un conocimiento sin precedentes sobre la experiencia móvil de sus clientes.

Hay más:

En la industria inalámbrica, el servicio lo es todo. Sin él, tus clientes volarán hacia la competencia. Pero el servicio es casi imposible de optimizar si no sabes exactamente lo que tus clientes están experimentando.

FierceWireless nombró a Carrier IQ, fundada en 2005, como una de las compañías más importantes de tecnología inalámbrica en 2008.

La lista de clientes de Carrier IQ incluye a Sprint [Nextel] y Sierra Wireless. El CEO Quinlivan [en 2011 el CEO es Larry Lenhart] dice que la compañía trabaja con al menos 7 de los 10 principales OEM. Busca que su empresa extienda sus servicios a más clientes y operadoras el siguiente año [2009].

Forbes entrevistó a Paul Ohm, especialista legal de estos temas. Dijo que lo que Carrier IQ hace es básicamente una intervención telefónica. Así que las personas afectadas tienen derecho a demandar altas sumas de dinero.

Incluso si solo fueron recolectadas métricas anónimas, no significa que no rompieron la ley… En los próximos días alguien demandará y entonces la compañía se verá envuelta en una litigación muy costosa.

En su defensa, Carrier IQ sólo ha mencionado los siguiente:

Mientras observamos muchos aspectos del desempeño del dispositivo… no registramos las pulsaciones del usuarios ni ofrecemos herramientas de rastreo… no tenemos intención alguna de desarrollar tales herramientas. La información recabada es de uso exclusivo del cliente [la operadora móvil], ni vendemos información personar a terceros. La información derivada de los dispositivos es cifrada y está segura en la red de nuestros clientes o en nuestras instalaciones para ser auditada.

Sin embargo, el vídeo de Trevor Eckhart demuestra que sucede exactamente lo contrario.

Preguntas elementales: ¿quiénes son los clientes de Carrier IQ? ¿Cuál es su postura al respecto? ¿Carrier IQ tiene clientes fuera de los EE. UU.? ¿Clientes en Argentina, México, España…? Movistar, Telcel, Vodafone, Iusacell… ¿Están enterados? Vamos, si soy usuario en Iberoamérica de Nokia, BlackBerry o algún móvil Android, ¿mi operadora me está vigilando de esa manera? Creo que tendrían que salir a decir algo.

Sirva este caso para concienciarnos sobre la relevancia de la privacidad, el anonimato, asimismo de los excesos en la vigilancia disfrazada como “monitoreo en pro de la calidad del servicio” de empresas y Estados, y de cómo la información personal masiva es el petróleo de nuestros días.

Como ya dije en mi post dedicado de la ponencia de Vigilancia y Censura de Jacob Appelbaum en “The power of adhocracy” — más allá del asunto del Wikileaks — es importante no perder de vista el pensamiento del hacker californiano quien además de dominar técnicamente el tema de la seguridad y privacidad, trabaja e investiga activa y constantemente por medio del desarrollo de TOR.

Appelbaum es una persona muy informada y extremadamente lúcida que sin duda alguna (como dice mi compañero Alan Lazalde) es una de las voces más interesantes e influyentes de nuestra generación y ciertamente, con un gran potencial de inspirar a muchas más.

Jacob Appelbaum también ofreció una conferencia en #net4change [VIDEO] y al terminar su ponencia, el adorable hacker (es adorable, no exagero) me dió una pequeña entrevista mientras un grupo de documentalistas hacían fila para hablar con él acerca de hackerspaces y se preparaba una tromba de periodistas para entrevistarlo.

La Entrevista

• ALT1040 En tu conferencia hablaste acerca de la importancia de la transparencia gubernamental como requerimiento fundamental para que los gobiernos no se vuelvan peligrosos para la sociedad.

Jacob Appelbaum: Hay que comprender que un gobierno se vuelve una amenaza cuando no son transaparentes. Estoy hablando de la rendición de cuentas.

Antes no era ni siquiera una cuestión si los gobiernos podían ser peligrosos o no. Es importante recordar que históricamente mucha gente esta contenta con las cosas como estan. Como ahora. Ellos son parte del status quo y los escuchas todo el tiempo diciendo ‘todo esta bien’. Pero lo que ellos estan diciendo es ‘todo esta bien, para mí’.

Algo que nos puede ayudar a comprender los peligros que un gobierno puede presentar, es revisar la historia de la gobernabilidad y reconocer las luchas que ha tenido la humanidad para poder obtener explicaciones y una representación más directa. La forma en que Jefferson pensó la democracia en los Estados Unidos, en el fondo, es la idea de que la gente se puede sentar en la mesa.

• ALT140: Sentar a 300 millones de ciudadanos en una mesa no es posible.

Jacob: Claro, estamos lejos de eso pero el objetivo es lo importante. El ideal utópico es que aunque solamente estuvieran diez personas en la mesa, esas diez personas sean iguales.

• ALT140: ¿Cuándo o cómo se convierte el gobierno se convierte en un peligro?

Jacob: Cuando el gobierno no reconoce que el objetivo al que tenemos que llegar es al de la igualdad y los gobiernos dicen: “no, tú no eres especial, tu no puedes acceder a esta información, tú no tienes permiso de saber esto” — lo que pasa es que se fragmenta nuestra sociedad de una forma que ya hemos visto en el pasado, en donde ciertas personas tienen privilegios y permisos especiales… Estas personas son de hecho más libres que otras personas, incluso son más libres de tomar decisiones porque tienen informacional adicional que otros no.

• ALT140: Es la inversa a los derechos humanos…

Jacob: Exacto, deriva en la negación de los derechos humanos. Entonces, el Estado en sí mismo puede ser un peligro pero a la vez ofrece mucha esperanza porque el Estado no es simplemente gente e instituciones con distintos intereses. Lo que pasa es que tienen un gran poder, un poder muy especial, por lo cual cuando el Estado pide algo, la gente salta. Por ejemplo cuando una corporación es citada por el gobierno tienen la obligación legal de saltar. Pero a veces, ni siquiera reciben un citatorio (subpoena) y también saltan porque quieren quedar bien con las agencias de justicia. Entonces, uno de los principales peligros es que sin transparencia no sabes si existió algún abuso, excepto vía informantes (whistleblowing), filtraciones de documentos o cosas por el estilo.

Es de extrema importancia recordar que históricamente han existido abusos, pero aún sabiéndolo como sucede ahora, no significa necesariamente que podemos cambiarlo. Las instituciones no se han actualizado: los burócratas no son electos y se quedan toda la vida en sus puestos. Los representantes que de hecho son electos, son solo una pequeña porción de los aparatos de gobierno.

• ALT1040: Además tienes a todos los lobbies que controlan a quienes sí son electos..

Jacob: Sí pero ese es un problema de corrupción. Estoy de acuerdo en que es un grave problema pero lo que hay que pensar aquí es que no hay que demostrar porque el gobierno puede ser peligroso para la libertad, más bien, cómo es que no lo sería. ¿Qué es lo que el gobierno hace bien? Quiero verlo. Hay ejemplos positivos.

• ALT1040: ¿Cómo…?

Jacob: El departamento de bomberos. En Estados Unidos antes funcionaba estilo ‘mercado libre’ pero no funciono, existían brigadas de protección a las que les pagabas por estar asegurado y si no lo hacías, dejaban que tu casa se quemara o bien, sí le pagabas a la brigada equívocada quemaban tu casa.

El mercado libre no sirve para la protección.

(Nota:la entrevista continúa en las siguientes páginas)

Steam, plataforma digital de videojuegos desarrollada por Valve, ha sufrido importante ataque. Así lo ha comunicado Gabe Newell, co-fundador del servicio, mediante un email enviado a los usuarios de la misma así como también a través de un mensaje en los foros del sitio.

Concretamente el ataque, supuestamente capitaneado por un grupo denominado fkn0wned, se produjo el pasado domingo 6 de noviembre contra una de las bases de datos de los foros de Steam y tras investigación descubrieron que los delincuentes también lograron acceder a una de las bases de datos de la plataforma en la que había información sensible de los usuarios (nombres, contraseñas, historiales de compra o datos de tarjetas de crédito por ejemplo).

Como consecuencia del ataque Valve ha decidido cerrar temporalmente los foros solicitando a los usuarios que cambien sus contraseñas. Por otro lado no se tiene constancia de que ninguna cuenta de Steam fuera quebrantada por lo que no obligan a cambiar las contraseñas de las mismas -aunque es muy recomendable- y la información crediticia a la que el grupo tuvo acceso estaba cifrada y no se encontraron evidencias de que “los datos personales o de las tarjetas de crédito se hayan robado, o que hayan roto la seguridad de las tarjetas y contraseñas”.

A pesar de ello Newell recomienda revisar los últimos movimientos bancarios por si hubiera alguno irregular ya que la investigación continúa y aún no se tiene claro al cien por cien la gravedad exacta de la intrusión y sus consecuencias.

Con este último ataque Valve se suma a la lista de grandes compañías del sector de los videojuegos atacadas por delincuentes entre las que se encuentran desde Nintendo hasta Sony o BioWare. Uno de los casos más sonados, como todos recordaréis, fue la reciente sucesión de ataques sufrida por Sony quienes entre otras cosas llegaron a verse obligados a cerrar durante días su plataforma PlayStation Network. Sin duda, una verdadera pena que algunos se estén cebando de esta forma con las plataformas digitales de distribución de videojuegos. Esperemos que la oleada de ataques sirva al menos para que las compañías se pongan las pilas en cuanto a seguridad (en el caso de Sony mucha culpa de los problemas que sufrieron la tuvieron ellos mismos por alarmante falta de seguridad en sus plataformas).

Estaremos información sobre cualquier nueva información que se produzca relacionada con el caso.

Blue Coat es una compañía que ofrece hardware y software para ejecutar web caching, crear proxies, filtrar contenido y monitorear virus. Los archivos liberados demuestran que que Syrian Telecom utiliza los dispositivos de Blue Coat para filtrar y monitorear conexiones HTTP.

La censura gubernamental es un síntoma del abuso del poder y no hay forma de ejercer una represión tal como la que sucede en Siria, sin espíar o vigilar a sus ciudadanos. No olvidemos el por qué Mubarak apagó el Internet a principios de este año.

De acuerdo a los logs de Telecomix, las aplicaciones que más se bloquean en la dictadura siria son los de mensajería instantánea, seguidos por las redes sociales, proxies, servicios de VPN y pornografía. (Gráfica animada)

Blue Coat simplemente negó por semanas la situación hasta que el Wall Street Journal publicó una nota en la cual la compañía estadounidense de soluciones de seguridad aceptó que había 13 cajas Blue Coat en Siria.

De acuerdo al WSJ, los dispositivos de filtrado — llamados ProxySG 9000 — fueron vendidos en 2010 a una compañía en Dubai y tenían como destino el Ministerio de Comunicaciones de Iraq, por lo cual la compañía cree que hubo una ”transferencia inapropiada” de sus productos.

Mala suerte. El gobierno sirio mientras tanto persigue a sus ciudadanos y la vigilancia que realizan en la red les ayuda a encontrar a opositores de la represiva dictadura del presidente Bashar al-Assad. Las cifras de los muertos desde Abril de este año van desde los 2,550 hasta los 4,200.

Blue Coat emitió un comunicado de prensa en el que declara que no saben ni quién ni cómo son usados sus productos, además afirman que no existe un kill-switch o la posibilidad de conectarse de forma remota para desactivar las cajas.

Blue Coat esta consciente de la violencia en Siria y le causa tristeza el sufrimiento humano y la pérdida de vidas humanas, resultado de un régimen represor. No queremos que nuestros productos sean usados por el gobierno de Siria u otro país bajo embargo por parte de los Estados Unidos.

A esto yo le llamó lágrimas de cocodrilo.

Como indica Electronic Frontier Foundation la posición de Blue Coat al respecto no tiene nada que ver nada con los derechos humanos si no con la posibilidad de enfrentar cargos criminales, ya que el Departamento de Estado ha iniciado una investigación:

Blue Coat esta preocupado por las violaciones a la ley, no por ayudar en relación a violaciones de los derechos humanos. [..]Las penalizaciones criminales pueden ser desde 50,000 doláres hasta 10 millones con prisión de 10 a 30 años.

Afortunadamente, aquí no termina todo ya que el papel que juegan las compañías que venden tecnología de seguridad tiene que ser completamente transparente, especialmente en una época en donde los gobiernos y los mercados estan cada vez más asustados —incluyendo desde las democracias más disfuncionales (como la mexicana) o las supuestamente consolidadas (como la alemana) — y creen que espíar o censurar a sus gobernados resolverá su falta de legitimidad.

Repressionware

Con repressionware me refiero a software y hardware utilizado para la represión política. Aún no hay evidencia que compruebe que Blue Coat desconocía por completo el uso de su tecnología en Siria, es díficil creer en la palabra de la industria de la llamada cyberseguridad — que de hecho se dedica en gran medida a convertir el internet en un espacio más inseguro y poco confíable — después de revisar la evidencia técnica que ya existe al respecto, la cual comprueba que su tecnología esta al menos, en Siria y Burma.

Open Net Initiative y Citizen Lab han conducido una investigación técnica en torno al fiasco de Blue Coat, misma que fue publicada el día de hoy. Los investigadores solicitaron información a Blue Coat al inicio de la misma y hasta hoy, no han recibido respuesta. Los resultados son devastadores:

• Contrario a lo que afirma Blue Coat, hay al menos 15 dispositivos activos en Siria y su certificado es verificado por esta compañía

• Se detectaron cambios en las cajas de Blue Coat y sus logs hechos durante el mes de octubre, posiblemente para minimizar la información relacionada con esa compañía. Por ejemplo cambiaron los nombres de las cajas “Blue Coat” por “Bue” or “Blue” y las de “NetApp”, simplemente a “Net”.

• Se sabe que los dispositivos han sido utilizados desde el mes de abril de este año, un mes después del inicio de las protestas en Siria, sin embargo los datos del tráfico fueron removidos aunque se reportaba actividad desde el mes de Febrero de este año. Ahora las cajas reportan que el tráfico inció el 17 de Octubre.

• Los dispositivos de Blue Coat también son utilizados en Burma, un régimen caracterizado por sus abusos a los derechos humanos.

• Los mensajes de error recibidos son casi idénticos a los que se recibían en la red siria. Citizen Lab afirma que hay evidencia de que este mensaje es generado por el sistema ProxySG de Blue Coat.

• En Burma, se encontraron 326 URLS que se sospecha estan bloqueados al 100%. El contenido corresponde a las categorías que ofrece el software de Blue Coat: pornografía, temas de LBGT, lencería y trajes baño, educación sexual, botnets, email, hacking y circunvención de proxies.

Puedes leer la investigación completa — Behind Blue Coat, en el sitio de Citizen Lab de la Universidad de Toronto.

Mientras tanto, Blue Coat tiene muchas preguntas que responder. En el fondo no estamos ante una situación nueva: la industria armamentista funciona exactamente igual.

Un buen día Charlie Miller programó y colocó en la App Store una aplicación inocente en apariencia, una capaz de sortear los meticulosos procesos de revisión de Apple mientras que dentro de sí traía código para descargar y ejecutar, por vez primera, comandos a voluntad desde el servidor de un potencial atacante. La aplicación tenía por nombre Instastock y sucedió que en cuestión de horas fue retirada de la tienda de aplicaciones y su creador fue bloqueado (quizá de por vida) del iOS Developer program.

Instanstock, que será presentada la siguiente semana en Taiwan durante la SysCan 2011, implicaba lo siguiente:

tener un programa en la App Store como Angry Birds que puede ejecutar código en tu teléfono que Apple nunca tuvo oportunidad de revisar.

Este vídeo demuestra lo dicho:

Miller es un experto hacker de dispositivos Apple. Pero no es un hacker cualquiera, es un investigador reconocido, ex miembro de la NSA (National Security Agency) de los EE. UU. y ser bloqueado de esa manera es una torpeza, no de los contratos o de los principios rectores de la tienda de aplicaciones seguramente bien revisados por los abogados, sino de la empresa que a decir del trato que le propinó a Miller no sabe distinguir “investigación en seguridad informática” de un verdadero ataque contra ella y sus usuarios. Creo que Apple tuvo un ataque de espanto.

Esta fue la reacción del hacker en Twitter hace unos minutos:

Primero me dan acceso como investigador a los programas de desarrollo, (aunque pagué por el mío) entonces ellos me sacan… por hacer investigación. Enojado.

Históricamente hablando, Android cargaba con buena parte de los problemas de seguridad en sistemas operativos móviles, no tanto por cuestiones técnicas, sino por el proceso de revisión más laxo de las aplicaciones en comparación con las de iOS. “Android ha sido como el Salvaje Oeste”, dijo Miller, y

ese agujero de seguridad básicamente reduce la seguridad de iOS a la de Android.

Comentan en Forbes que la compañía no ha hecho ninguna declaración oficial.

Symantec publicó los resultados de un estudio en el que desvelan una campaña de ciberespionaje contra la industria química a nivel mundial. El origen de la campaña es chino y el propósito es recolectar material industrial sensible, como fórmulas, documentos de diseño y procesos de fabricación.

Nitro (archivo PDF) el es nombre clave dado por Symantec a esa serie de ataques ocurridos entre julio y septiembre de este año. La empresa, mejor conocida por el desarrollo de software anti-virus, considera que la obtención de toda esa propiedad industrial servirá para restar ventaja competitiva a sus propietarios.

Datos a tomar en cuenta:

• 29 empresas del sector químico confirmaron el ataque
• 19 empresas, principalmente de la milicia, también se vieron afectadas
• Probablemente otras compañías fueron atacadas
• Entre las compañías, muchas pertenecen a la lista Fortune 100 de las más importantes del mundo
• Entre las empresas atacadas hubo productoras de materiales químicos para vehículos militares

Aquí está un diagrama con los países más atacados, con EE. UU. en primer lugar. Me sorprende la aparición de Bangladesh y Argentina en segundo y cuarto lugar, respectivamente. Sin embargo, por la variada distribución de países atacados Symantec concluye que los blancos del ataque fueron estrategicamente elegidos.

¿Cómo se realizó el ataque? Como es usual en este tipo de casos, con engaños vía correo electrónico:

• Los atacantes enviaron correos a un conjunto de blancos específicos
• Enviaron entre 100 y 500 correos por organización
• Hubo dos tipos de correos falsos: 1) invitaciones de socios y 2) actualizaciones de seguridad
• Los correos tenía un archivo ajunto con apariencia de archivo de texto, pero que en realidad era un archivo ejecutable con un troyano nombrado PoisonIvy, completamente made in China
• Una vez ejecutado el troyano, éste abría una “puerta” para el acceso y control remoto del equipo infectado, para lo cual usaron la herramienta Poison Ivy (nótese que el nombre del troyano no lleva espacio entre las palabras)
• Desde el equipo controlado los atacantes aumentaron sus posibilidades de acceder a equipos de mayor jerarquía; una vez que llegaron a ellos extrajeron una copia de la información deseada

Además, Symantec pudo determinar que los atacantes directos fueron unos 20 hombres ubicados en Hebei, China. Se sabe que todos ellos recibieron un breve entrenamiento en seguridad de redes, y que otros grupos también atacaron a las compañías, aunque se desconoce si están relacionados de alguna manera.

Lo dicho, ciberguerras, ciberespionaje, ciberejércitos, malware fabricado por estados (como Stuxnet) u organizaciones criminales, entre otros, son asuntos sumamente relevantes y de los que recibiremos todavía más noticias.