En medio de graves denuncias por irregularidad en la protección de datos en el sistema operativo de Apple para dispositivos móviles derivados del escándalo de la aplicación Path. Los legisladores del Congreso de los Estados Unidos G.K. Butterfield y Henry A. Waxman enviaron una carta a Tim Cook para que clarifique cuán seguros están los datos privados en los dispositivos iOS tiene para ello hasta el 29 de febrero.

La situación descubierta gracias a la aplicación Path sirvió para demostrar un gran bache en la seguridad de los datos de los usuarios de tabletas y teléfonos inteligentes de Apple. Arun Thampi descubrió que la aplicación estaba copiando todos los datos de la libreta de direcciones del usuario y enviándolos a los servidores de la empresa, por supuesto, sin ningún tipo de consentimiento. Algunas aplicaciones estaban accediendo a información sensible pero siempre con un mensaje de alerta que pedía autorización, los más conocidos son las solicitudes de posicionamiento y las que revisan la agenda para enviar invitaciones a contactos.

La empresa responsable por la aplicación no pidió disculpas ni dió explicaciones, simplemente agregaron el opt-in mediante una actualización. Según sus declaraciones la interacción automática entre los datos y la aplicación mejora la experiencia para el usuario especialmente en redes sociales. Los que ya instalaron la aplicación deben saber que su lista de contactos puede seguir en sus servidores.

El problema, más allá de lo realizado en la aplicación mencionada, gira en torno a los permisos que Apple otorga a desarrolladores sobre el acceso a datos sensibles de los usuarios. Parecería que son muy rigurosos en algunos elementos y totalmente permisibles en otros. Por ello, el representante del Energy and Commerce Committee junto con su par de Commerce, Manufacturing, and Trade Subcommittee prepararon el documento enviado a las oficinas de Apple en Cupertino.

Según plantean:

El incidente nos hace cuestionarnos si las políticas de desarrollo de aplicaciones de iOS de Apple se quedan cortas en lo que refiere a proteger la información de los usuarios de iPhone y sus contactos

En el mismo envio los políticos estadounidenses amablemente solicitan que el CEO de Apple responda a los siguientes puntos:

• Por favor describa todos los lineamientos para las Apps que mencionen los criterios de privacidad y seguridad relacionado con el acceso y posibilidad de transmisión de datos por las apps.

• Por favor describa cómo determina si una aplicación cumple con esos criterios

• ¿Qué considera como “información sobre el usuario” que es sujeto de aprobación previa por el usuario para ser compartida?

• ¿Cuántas aplicaciones de iOS en la tienda de iTunes en los Estados Unidos transmiten “información sobre el usuario”?

• ¿Considera que el contenido de la libreta de direcciones es “información sobre el usuario”?

• ¿Cómo protege la privacidad y seguridad de la información de los contactos en la libreta de direcciones?

• ¿Cuántas aplicaciones de iOS en la tienda de iTunes en los Estados Unidos transmiten información de la libreta de direcciones? ¿Cuántas de ellas requieren el consentimiento antes de hacerlo?

• Por favor explique porqué decidieron solicitar autorización para acceder a determinados servicios del teléfono y no para la información en la libreta de direcciones.

En lo personal debo decir que comparto el pensamiento que cierta integración con información en el teléfono mejora la experiencia del usuario, pero es bueno fijar un límite. De la misma manera que un usuario de iOS elige las apliciones que pueden usar las geolocalización, debería poder elegir a qué información puede acceder cada una de ellas. Por lo pronto, según publican en The Verge en próximas actualizaciones del iOS incluirán el requerimiento para que el usuario apruebe el acceso a esos datos.

Stop, this is a restricted area and your photograph is being taken. It will be sent for processing if you don’t leave the area now.

Alto, esta es un área reestringida y se le esta tomando una fotografía. Será enviada para ser procesada si usted no abandona el área ahora.

La persona que grabó este video vive en el conjunto habitacional en donde la cámara le ordenó alejarse.

La cámara funciona por medio de sensores de movimiento que emite alertas cuando detecta la presencia de alguien no autorizado. ¿Quién esta autorizado y quién no para caminar a través de un conjunto habitacional? ¿Cómo es que una cámara puede reconocer las intenciones de alguien? La estúpidez no tiene límite.

Según la organización Big Brother Watch, un funcionario del ayuntamiento de Camden explicó que al parecer la cámara emitió este mensaje porque se le estaba acabando la batería.

Reino Unido tiene una larga de historia de vigilancia masiva contra su población la cual ha sido resistida por años, sin embargo, es el país con más cámaras de vigilancia per cápita en el mundo. El costo social de una sociedad vigilada es alto, pero también el costo económico al cual no se le presta mucha atención aunque sea de la alucinante cantidad de £321,331,453.18 libras esterlinas.

Big Brother Watch condena fuertemente el uso de este dispositivo:

Este equipo resalta el absurdo entusiasmo por la vigilancia que prevalece en algunas autoridades de este país. La idea de que una grabación (estilo) Robocop va a detener el comportamiento antisocial y el crimen, es ridícula y una invasión total de la privacidad. ¿Quién sabía los ayuntamientos podían tomar tu fotografía simplemente porque caminas en un jardín comunal?

Es necesaria una regulación acerca del cómo y cuándo se va a utilizar este equipo. Este tipo de tecnología puede ser aceptable en un estado policial o una película de ciencia ficción, pero absolutamente no en un Reino Unido moderno.

Al parecer la administración británica no aprendió nada de las revueltas del año pasado… El sentido común es un cuento de ficción.

El video anterior muestra que la Presidente Cristina Fernández de Argentina se maravilló cuando se enteró de lo que se podía hacer con biometría y por tanto se “empecinó” en hacerlo — raro que no recordará del nombre del desafortunado proyecto al presentarlo — ya que lo considera “un salto cualitativo” y “absolutamente novedoso” que va a permitir, en sus palabras, “conocer en tiempo real quién es la persona que se encuentra enfrente de un personal de seguridad, o en cualquier otro lado, y sí es esa persona es o no esa persona”.Fernández además, considera a SIBIOS un gran paso para los derechos de la gente (!) por lo que se trasladará a “todos los recién nacidos en todos los hospitales del país” a partir del primero de enero de este año.

Desgraciadamente la paranoía, la ignorancia de quienes gobiernan y el incremento de las tecnologías de vigilancia masiva disponibles, han dado paso a que los gobiernos vulneren la privacidad de forma masiva con el argumento de la “seguridad nacional”y los “delitos”.

La Fundación Vía Libre de Argentina ha lanzado en conjunto con Electronic Frontier Foundation (EFF) una campaña de información acerca de la peligrosa (y vergonzosa en un país que sufrió una dictadura) vigilancia como política de estado que impulsa la Presidente Fernández por medio de la identificación biométrica mandatoria.

A pesar de las alabanzas que hace al sistema de identificación biométrica la Presidente Fernández, EFF señala en su comunicado que el Reino Unido desmanteló su sistema de identidad nacional hace dos años debido a la intrusión a los derechos de privacidad de sus ciudadanos. Pero al parecer, la característica más grande de quienes tienen poder, es hacer lo que no deben— y aún más, tienen una memoria histórica muy corta. El Documento de Identidad Nacional en Argentina surgió durante la dictadura militar, un hecho histórico imposible de ignorar cuando se trata de dar poderes a agencias de seguridad para cruzar referencias de información con datos biométricos. Según el post de EFF:

Ahora, el gobierno planea redimensionar esa base de datos para facilitar “acceso fácil” al integrar esos datos en un nuevo sistema integrado orientado a la seguridad. Esto aumenta el grado de vigilancia generalizada, ya que las agencias de seguridad de Argentina tendrán acceso a repositorios masivos de información de ciudadanos, y serán capaces de mejorar las capacidades de hacer reconocimiento facial y por huellas digitales con tecnologías que permitan identificar a cualquier ciudadano en cualquier lugar.

En los últimos días de 2011, la Presidente Argentina, Cristina Fernández, emitió un Decreto del Poder Ejecutivo ordenando la creación del Sistema Federal de Identificación Biométrica (SIBIOS), un nuevo servicio de identificación biométrica centralizado, con cobertura nacional, que permitirá a las agencias de seguridad hacer “referencias cruzadas” de información con datos biométricos y otros datos inicialmente recogidos con el fin de mantener la operatoria del Registro Nacional de DNI.

El SIBIOS estará completamente integrado con las bases de datos de identificación, que además de los identificadores biométricos, incluyen imagen digital, estado civil, grupo sanguíneo y otras informaciones básicas que se recolectan desde el nacimiento y a través de la vida de las personas. Además, no sólo la Policía Federal tendrá acceso a este sistema integrado. SIBIOS fue diseñado para el uso de otras fuerzas de seguridad y organismos, incluyendo la Dirección de Migraciones, la Policía Aeroportuaria y la Gendarmería Nacional, incluso estará disponible a las fuerzas policiales y entidades provinciales, a través de un Acuerdo con el Estado Nacional. Sin embargo, no ha habido discusión pública sobre las condiciones bajo las cuales los oficiales públicos tendrán acceso a los datos. Los promotores de SIBIOS argumentan que el programa facilitará la aplicación de la ley y el acceso en tiempo real a los datos de los individuos, sin embargo las precauciones mínimas usadas para prevenir la vigilancia masiva por parte del estado siguen siendo una incógnita.

Beatriz Busaniche, de la Fundación Vía Libre, alerta del peligro de abuso por parte del gobierno que el SIBIOS puede representar para el disenso político:

En nombre de la seguridad pública, Argentina ha impulsado políticas de vigilancia masiva incluyendo un monitoreo generalizado de los espacios públicos. La privacidad es particularmente esencial en un país que a lo largo de su historia ha tenido importantes movimientos sociales y políticos que han ganado las calles para hacer oir su voz. Es de enorme importancia que los activistas puedan permanecer anónimos en las manifestaciones públicas, en particular cuando están en desacuerdo con el gobierno. De esta manera, SIBIOS no sólo amenaza la privacidad de los ciudadanos y el derecho a la protección de sus datos personales, sino que también involucra una seria amenaza a los derechos civiles y políticos.

Lo siguiente ya lo había escrito antes en referencia a una pésima idea similar que el gobierno mexicano intentó imponer hace dos años, llamada RENAUT. Lo repito nuevamente: los datos son frágiles por la facilidad con la que pueden ser copiados. Los datos son personales, importan demasiado y los biométricos, simplemente no deberían de ser recolectados por nadie. La información esta compuesta por datos que tienen un valor para los mercados que dependen de ellos, pero también determinan integridad personal, por lo tanto su protección es fundamental. Este valor es precisamente lo que el mercado legítimo e ilegítimo utiliza para controlar, extorsionar o vigilar a la gente. También aplica a los gobiernos.

Conectados o no, todos somos afectados por la forma en la que la información se colecta, maneja, almacena y transmiten datos. Por esta razón, claro que son muy necesarias las legislaciones al respecto, pero ¿las leyes son un instrumento para oprimir, vulnerar y controlar? O, ¿un instrumento para proteger los derechos de la gente y garantizar, sobre todo, su integridad personal? Una base de datos biométricos puede ser abusada con fines políticos, puede ser hackeada con fines comerciales, puede fallar y cruzar mal los datos resultando en identificaciones erróneas con sin fin de consecuencias, por mencionar algunas. No hay sistema infalible, la identificación biométrica no es la panacea.

Privacy International se refiere a la identificación biométrica como una tecnología lejana de haberse probado segura y garante en su estudio titulado “TOUCHING BIG BROTHER: cómo la biometría fusionará la piel y las máquinas”:

…se requieren grandes cambios organizacionales para poder ser manejados (los datos biométricos). Hay muchos problemas prácticos involucrados en sus complejas y automatizadas rutinas, y al enfrentarse con excepciones, bajas de los sistemas y errores de la base de datos. La imposición de procedimientos intrusivos de identificación cambia la naturaleza de las relaciones y transacciones entre clientes y organizaciones. Por lo menos existe la percepción, y probablemente es cierto, de que incrementan el poder de las organizaciones sobre los individuos. Los datos biométricos, mucho más que otros modelos de identificación, ponen en peligro la sensación de individualidad.

EFF no podría ser más acertado al llamar irracional a la recolección de información biométrica a esta escala. La vigilancia sistemática como política de Estado es una característica de las dictaduras. Argentina ya pasó por eso y dijeron “nunca más”. La vigilancia masiva va en sentido contrario.

ACTUALIZACION El texto íntegro de “Biometría en Argentina: la vigilancia masiva como política de estado” esta disponible en Fundación Vía Libre y en EFF.

Imágen vía leechypics

El verdadero conocimiento no está en las cosas, que son pocas, sino en encontrar las conexiones entre ellas — Daniel H. Wilson en Robopocalypse: A Novel

¿Sabes lo que Facebook sabe de ti? Probablemente estés claro sobre las políticas de privacidad de esa red social, de cómo han evolucionado con los años, pero tal vez quedes en jaque con una pregunta como esa. El siguiente vídeo echa luces sobre el asunto. Está en inglés, pero lo explico en seguida.

Vamos por partes:

• Max Schrems, austriaco, solicitó hace unos meses a Facebook una copia de todos los datos que tenía almacenado de su perfil.

• Facebook, en respuesta, le entregó un paquete con poco más de 1200 archivos PDF.

• Max indagó en tal archivo y se dedico a investigar sobre posibles violaciones a sus derechos. Entre otras cosas, encontró que Facebook lleva un registro de

  • cada ingreso y salida
  • cada mensaje y su contenido
  • likes, geolocalización, posts, pokes, amistades…
  • incluso todos los datos que él había creído eliminados

• Max recabó información similar de 22 personas, todos usuarios europeos, varios amigos entre ellos, e inició el proyecto Europe vs. Facebook con todos esos datos en línea.

El proyecto Europe vs. Facebook dice sobre los datos que

Toda persona en la Unión Europea tiene derecho a acceder a todos los datos que una compañía tiene ella o él… Después de que tuvimos respuesta de Facebook fue claro para nosotros que teníamos que publicar esa información en línea. De esta manera, queremos que Facebook sea más transparente y mostrar a cada usuario lo que Facebook sabe de nosotros.

Y agregan algo escalofriante (la cita con la que arranco el artículo tiene que ver con esto):

Hay más datos. Muchos grupos de datos que no fueron incluidos en el primer conjunto de datos enviado por Facebook. Por ejemplo, datos relacionados con la función “like”, el rastreo en otras páginas web, reconocimiento facial, vídeos, posts en los muros de otros usuarios, indicadores de la intensidad de las relaciones, etiquetas que fueron eliminadas y mucho, mucho más no revelado por Facebook.

Hace pocas semanas Mark Zuckerberg ofrecía (otra) disculpa por los errores de Facebook a la hora de tratar la privacidad de las personas. Pero Facebook y privacidad son como agua y aceite, donde no solo los datos puntuales son importantes, sino también la red de datos y metadatos y la mina de oro conocimientos en ella…

Así que de nueva cuenta, sirva este pequeño artículo para que cada quién, si así lo quiere, reflexione sobre este asunto, importante no sólo para usuarios de Facebook sino para toda la red.

BitTorrent es un protocolo P2P para el intercambio de archivos que, además de ser bastante popular, es la base de BitTorrent Inc, una compañía fundada en el año 2004 responsable del desarrollo de este protocolo y de los respectivos clientes para utilizarlo. Hoy en día, salvo que utilicemos un servicio de VPN, es muy difícil afirmar que no dejamos huella de lo que hacemos; lógicamente, esta ausencia de anonimato es algo con lo que vivimos y, más o menos, asumimos; pero una página web de Rusia ha llevado al extremo este hecho monitorizando parte de los archivos más populares de BitTorrent y recopilando las direcciones IP y los datos de los usuarios que los descargan.

YouHaveDownloaded.com, que es como se llama este sitio web, monitoriza la actividad del 20% de los archivos públicos más populares de BitTorrent y, partir de ahí, construir una base de datos con las direcciones IP de los usuarios que contiene registros de actividad de más de 51 millones de usuarios que han estado compartiendo más de cien mil torrents.

¿Y para qué desarrollar un servicio web así? ¿Quieren poner en evidencia a los usuarios y ponérselo algo más fácil a las operadoras o a las entidades que representan a la industria de los contenidos? Afortunadamente, los creadores de este sitio web, simplemente, quieren dar un toque de atención a los usuarios del servicio para que sean conscientes que toda su actividad se puede monitorizar y también a BitTorrent para que mejore la privacidad del protocolo:

Simplemente queremos recordar a la gente que Internet no es un lugar en el que puedan esperar encontrar la privacidad. Actualmente, mucha gente lo usa sin ser conscientes de la información y el rastro que dejan tras de sí; incluso los que conocen todo esto, deciden ignorarlo con demasiada frecuencia

Dado que este sitio web es una llamada de atención, los usuarios que no quieran terminar en estas listas, lógicamente, deberían poner los medios oportunos para cifrar su tráfico:

Chicos, esto es Internet y no hay privacidad. Estás sentado en la privacidad de tu hogar, haciendo clic en enlaces, leyendo noticias o viendo películas. Parece que estás solo pero hay gente lista mirando lo que haces. Miran cada movimiento que realizas. Para ellos no eres una persona, eres un objetivo, un consumidor

De todas formas, además de dejar patente el hecho de la ausencia de privacidad, los autores de este sitio web están barajando la posibilidad de desarrollar un nuevo protocolo de intercambio de archivos que vele por la privacidad de los usuarios; de hecho, algo tienen ya pensado basándose en Bitcoin pero aún están lejos de desarrollar un cliente que los usuarios puedan utilizar.

La idea es similar al funcionamiento de Bitcoin. La clave está en obtener una identidad para cada extremo que permita el anonimato del usuario y una firma digital como la del algoritmo de Bitcoin podría ayudar

Por ahora los desarrolladores están evaluando la viabilidad de su idea y, en caso que ésta sea realizable, decidirán si abordan o no el proyecto. Mientras tanto, el sitio web sigue disponible para que los usuarios reflexionen y, echando un ojo a la página y a la información publicada, la verdad es que da bastante que pensar.

Imagen: TorrentFreak

Compañías de “seguridad y vigilancia” pueden usar un smartphone para tomar fotos de ti o tus alrededores sin que lo sepas, según lo dicho por Pratap Chatterjee de la Oficina de Periodismo Investigativo (Bureau of Investigative Journalism) durante una mesa redonda en Londres, moderada por Julian Assange, uno de los fundadores de Wikileaks, quien al dato decidió “prender en fuego” la sala diciendo:

Quién tiene aquí un iPhone? Quién tiene aquí un BlackBerry? Quién aquí usa Gmail? están todos jodidos.

Por otro lado, Stefania Maurizi, una periodista de L’Espresso de Italia mostró documentos que demostrarían que este tipo de software no solo es capaz de espiar a usuarios, también puede modificar mensajes enviados o crear nuevos.

Las declaraciones simplemente avivan aún más el fuego iniciado con la revelación de Carrier IQ, un software que bien podría ser descrito como u rootkit que espía en Androids, BlackBerrys, Nokias y está instalado en 130 millones de móviles de todo el mundo.

Para hacer las cosas aún peores, resulta que Carrier IQ también está presente en iOS, aunque con un recabado de datos, aparentemente, no tan extenso.

¿Deberíamos tomarnos tan en serio nuestra privacidad o este tipo de recabado de datos? A lo primero: Sí y a medida que pase el tiempo nuestra privacidad se hará más y más importante ya que nuestros hábitos de comportamiento son cada vez más valiosos. Si el recabado de datos que mencionan en la mesa redonda de Julian Assange es capaz de identificar usuarios individuales entonces debería no solo preocuparnos, tiene que alarmarnos y tomar decisiones fuertes (como el dejar de usar dispositivos y servicios hasta estar seguros que no nos espían de esta forma).

De acuerdo a la Revista Eme-equis, el argumento del legislador priísta, José Adán Ignacio Rubí Salazar es que la medida serviría para frenar los altos índices de impunidad en que operan las bandas del crimen organizado en el país. La comunicación del Senado afirma:

La Comisión de Comunicaciones aprobó un dictamen para que las empresas concesionarias y permisionarias del servicio telefónico colaboren con la Procuraduría General de la República en el combate a delitos de secuestro, extorsión o amenaza.

La Comisión, presidida por el diputado José Adán Ignacio Rubí Salazar (PRI), avaló que en investigaciones en materia de delincuencia organizada, delitos contra la salud, secuestro, extorsión o amenazas, la autoridad judicial pueda solicitar la localización geográfica, en tiempo real, de los equipos de comunicación móvil asociados a una línea que se encuentren relacionados con algún ilícito.

El documento establece que el concesionario o permisionario del servicio de telecomunicaciones que no colabore con las autoridades se le impondrán una multa de doscientos cincuenta a dos mil quinientos días de salario mínimo.

Señala que los concesionarios de telecomunicaciones deberán bloquear de inmediato las líneas reportadas como robadas o extraviadas, y suspender el servicio para efectos de aseguramiento cuando así lo instruya la Comisión Federal de Telecomunicaciones.

En este contexto, el dictamen indica que las cárceles contarán con equipos que permitan bloquear o anular las señales de telefonía celular, de radiocomunicación, o de transmisión de datos o imagen dentro del perímetro de los centros de readaptación social.

Sin duda alguna, es deber del Estado combatir al crímen organizado pero no a costa de los derechos de los demás. Las legislaciones de vigilancia masiva que han surgido en México desde el fiasco de RENAUT, desgraciadamente carecen de legitimidad ya que los actores institucionales que lo promueven , no se han ganado la confianza de la sociedad.

En el caso de esta legislación que permitiría obtener datos de localización, no esta claro si incluye una una órden judicial, por lo cual los afectados podrían terminar siendo precisamente la sociedad a la que se pretende proteger — no aquellos a los que se pretende combatir — ya que el potencial de abuso por parte de las autoridades es mayúsculo.

El asunto de las multas por otro lado, es patético, ya que se asume que la autoridad tiene la razón y que no abusan de sus poderes — cuando hay pruebas contundentes y recientes de que no es así.

¿En qué clase de democracia se sanciona económicamente a un carrier si no da datos personales? ¿Es la extorsión legal cuando la práctica el Estado o de qué estamos hablando?

Otro punto que en realidad es motivo de preocupación grave (al menos para mí) es el hecho de que se promueva la adopción de “equipos que permitan bloquear o anular la transmisión de datos.” ¿Recuerdan cuando se apagó el internet en Egipto o el reciente fiasco de Blue Coat en Siria? ¿Qué autoridad va a garantizar que estos equipos no serán utilizados con otros propósitos? ¿Dónde se describe con detalle la clase de equipos, bajo que condiciones se operarían y cuáles son las limitaciones? ¿IFAI?

Las preguntas me sobran, desafortunadamente no existió un debate serio e informado acerca de este peligroso paso que una administración que se ha caracterizado por su autoritarismo, esta a punto de dar.

Hay varios problemas serios con esta legislación, para empezar no se discutió con la sociedad y por las implicaciones tan delicadas para la privacidad — un derecho de los individuos— debería de tener un proceso legitimizado por la confianza y la transparencia total — esto último, una obligación de las instituciones. La integridad física de gente inocente puede ponerse en peligro si los datos que darían los carriers para no ser sancionados, caen en las manos equívocadas. ¿Cuántos salarios mínimos vale la integridad de un ciudadano para el gobierno?

Es verdaderamente inaúdito e insultante que después de que en México se celebró recientemente la Conferencia Internacional de Privacidad de Datos — en donde estuvieron presentes especialistas de altísimo nivel como Christopher Soghoian y autoridades mexicanas—, ahora salgan con esta locura que en algunos países han considerado como anticonstitucional y en otros, se ha estipulado claramente que estos tipos de datos — sí es que se revelan— se hace como debe ser: con una órden judicial de por medio, no por medio de extorsiones de la autoridad, disfrazadas de multas. Y esto no me lo saco de la manga, ejemplos hay varios.

Por ejemplo, en Europa la Directiva de Retención de Datos específica que datos pueden ser almacenados para telefonía móvil y sus especificaciones para su acceso son públicas, además de estipular los procedimientos legales para la obtención de estos datos, y promoviendo con especial enfásis la mediación por medio de instituciones de protección de datos, como lo sería el IFAI en México. Esta legislación asume que los carriers deben de monitorear los geodatos de sus clientes. ¿Será? Ahí tenemos el escándalo de Carrier IQ. Me pregunto si COFETEL y el IFAI, están enterados….

Otro ejemplo, hace unas semanas la Suprema Corte de los Estados Unidos rechazó el monitoreo vía GPS en automóviles sin órden judicial. Los abogados del caso, explican que los mismos argumentos aplican para las telecomunicaciones:

La misma lógica aplica en el caso del monitoreo vía telefonía móvil y esperamos que esta decisión sea considerada en cortes que estan analizando actualmente sí el gobierno debe obtener o no, una órden judicial antes de utilzar tu teléfono como dispositivo de monitoreo.

Otro de los argumentos para declarar anticonstitucional el monitoreo vía GPS en este caso fue literalmente “el potencial para el abuso y eliminación de la privacidad”, por sí aún no queda claro.

Claro que México no es Estados Unidos (en teoría) y nuestras autoridades son infinitamente más ignorantes en materia de tecnología,datos y privacidad, lo cual abona para hacer el potencial de abuso aún más grande. Esta legislación es claramente anticonstitucional y seguramente las autoridades van a necesitar informarse y actúar (te estoy viendo IFAI) para poder garantizar que la ley sea un instrumento que proteja la integridad y derechos de los individuos y no, un instrumento de opresión, abuso y control.

En Canadá también se estan proponiéndo este tipo de deformaciones legales que presentan un gran riesgo no solo para la privacidad sino para la democracia. La diferencia es que en Canadá la sociedad esta actúando y hay una gran campaña para hacer saber a todos que no hay evidencia para argumentar que más vigilancia sistemática por parte de la autoridad, garantiza la seguridad.

Este legislación que los brillantes legisladores mexicanos estan impulsando, es claramente producto de la aberrante epidemia del lawful interception que nos legó a todos el Patriot Act. Esto no es una buena idea, mucho menos justa, tan no lo es, que existe un artículo constitucional, el número 16 para ser más exacta, que específica la inviolabilidad de las comunicaciones, y las autoridades y procedimientos involucrados con la obtención de datos privados. En ningún lado dice que se puede multar a un servicio por no cooperar.

Esta legislación ya fue aprobada por el Senado y si es aprobada también por el Pleno de los Diputados, solo necesitaría llegar al poder Ejecutivo y ser publicada en el Diario Oficial de la Nación, para que el vulnerar la privacidad dependa de que un servicio de telefonía decida pagar una multa millonaria o no.

No se porque me sorprende que esto suceda en un país que se cae a pedazos…pero aún así, que no nos engañen, no se trata de escoger entre seguridad y libertad: sin libertad, no hay seguridad.

PD: Wired recomienda últimamente usar TinFoil Hats….

Como ya dije en mi post dedicado de la ponencia de Vigilancia y Censura de Jacob Appelbaum en “The power of adhocracy” — más allá del asunto del Wikileaks — es importante no perder de vista el pensamiento del hacker californiano quien además de dominar técnicamente el tema de la seguridad y privacidad, trabaja e investiga activa y constantemente por medio del desarrollo de TOR.

Appelbaum es una persona muy informada y extremadamente lúcida que sin duda alguna (como dice mi compañero Alan Lazalde) es una de las voces más interesantes e influyentes de nuestra generación y ciertamente, con un gran potencial de inspirar a muchas más.

Jacob Appelbaum también ofreció una conferencia en #net4change [VIDEO] y al terminar su ponencia, el adorable hacker (es adorable, no exagero) me dió una pequeña entrevista mientras un grupo de documentalistas hacían fila para hablar con él acerca de hackerspaces y se preparaba una tromba de periodistas para entrevistarlo.

La Entrevista

• ALT1040 En tu conferencia hablaste acerca de la importancia de la transparencia gubernamental como requerimiento fundamental para que los gobiernos no se vuelvan peligrosos para la sociedad.

Jacob Appelbaum: Hay que comprender que un gobierno se vuelve una amenaza cuando no son transaparentes. Estoy hablando de la rendición de cuentas.

Antes no era ni siquiera una cuestión si los gobiernos podían ser peligrosos o no. Es importante recordar que históricamente mucha gente esta contenta con las cosas como estan. Como ahora. Ellos son parte del status quo y los escuchas todo el tiempo diciendo ‘todo esta bien’. Pero lo que ellos estan diciendo es ‘todo esta bien, para mí’.

Algo que nos puede ayudar a comprender los peligros que un gobierno puede presentar, es revisar la historia de la gobernabilidad y reconocer las luchas que ha tenido la humanidad para poder obtener explicaciones y una representación más directa. La forma en que Jefferson pensó la democracia en los Estados Unidos, en el fondo, es la idea de que la gente se puede sentar en la mesa.

• ALT140: Sentar a 300 millones de ciudadanos en una mesa no es posible.

Jacob: Claro, estamos lejos de eso pero el objetivo es lo importante. El ideal utópico es que aunque solamente estuvieran diez personas en la mesa, esas diez personas sean iguales.

• ALT140: ¿Cuándo o cómo se convierte el gobierno se convierte en un peligro?

Jacob: Cuando el gobierno no reconoce que el objetivo al que tenemos que llegar es al de la igualdad y los gobiernos dicen: “no, tú no eres especial, tu no puedes acceder a esta información, tú no tienes permiso de saber esto” — lo que pasa es que se fragmenta nuestra sociedad de una forma que ya hemos visto en el pasado, en donde ciertas personas tienen privilegios y permisos especiales… Estas personas son de hecho más libres que otras personas, incluso son más libres de tomar decisiones porque tienen informacional adicional que otros no.

• ALT140: Es la inversa a los derechos humanos…

Jacob: Exacto, deriva en la negación de los derechos humanos. Entonces, el Estado en sí mismo puede ser un peligro pero a la vez ofrece mucha esperanza porque el Estado no es simplemente gente e instituciones con distintos intereses. Lo que pasa es que tienen un gran poder, un poder muy especial, por lo cual cuando el Estado pide algo, la gente salta. Por ejemplo cuando una corporación es citada por el gobierno tienen la obligación legal de saltar. Pero a veces, ni siquiera reciben un citatorio (subpoena) y también saltan porque quieren quedar bien con las agencias de justicia. Entonces, uno de los principales peligros es que sin transparencia no sabes si existió algún abuso, excepto vía informantes (whistleblowing), filtraciones de documentos o cosas por el estilo.

Es de extrema importancia recordar que históricamente han existido abusos, pero aún sabiéndolo como sucede ahora, no significa necesariamente que podemos cambiarlo. Las instituciones no se han actualizado: los burócratas no son electos y se quedan toda la vida en sus puestos. Los representantes que de hecho son electos, son solo una pequeña porción de los aparatos de gobierno.

• ALT1040: Además tienes a todos los lobbies que controlan a quienes sí son electos..

Jacob: Sí pero ese es un problema de corrupción. Estoy de acuerdo en que es un grave problema pero lo que hay que pensar aquí es que no hay que demostrar porque el gobierno puede ser peligroso para la libertad, más bien, cómo es que no lo sería. ¿Qué es lo que el gobierno hace bien? Quiero verlo. Hay ejemplos positivos.

• ALT1040: ¿Cómo…?

Jacob: El departamento de bomberos. En Estados Unidos antes funcionaba estilo ‘mercado libre’ pero no funciono, existían brigadas de protección a las que les pagabas por estar asegurado y si no lo hacías, dejaban que tu casa se quemara o bien, sí le pagabas a la brigada equívocada quemaban tu casa.

El mercado libre no sirve para la protección.

(Nota:la entrevista continúa en las siguientes páginas)

En el marco de la conferencia “Internet y Cambio Democrático”, hace dos semanas se celebró en la ciudad de Estocolmo un evento paralelo en la sede de la Internet Society en Suecia, titulado “El poder de la Adhocracia”.

Adhocracia es lo opuesto a la burocracia: la ausencia de jerarquía como modelo de organización en la cual todos sus miembros tienen autoridad para tomar decisiones. El legendario libro The Future Shock de Alvin Toffler, plantea la posibilidad de las adhocracias como estructuras sociales temporales, enfocadas a resolver un problema específico para resolver un problema.

Los temas que dicha conferencia abordó se centraron en proyectos que operan bajo principios de descentralización de autoridad y la capacidad de crear alternativas para resolver problemas específicos: hacktivismo, BitCoin, Tor.

La presentación titulada “Beyond circumvention” estuvo a cargo del hacker Jacob Appelbaum, desarrollador de Tor, hacker, investigador en la Universidad de Washington y experto en seguridad — más conocido (desgraciadamente) por el acoso sistemático que el gobierno de los Estados Unidos ejerce contra los ex-colaboradores de Wikileaks. Google dió acceso al Departamento de Estado a la cuenta de Appelbaum. Twitter se fue a la corte para impedir que el gobierno pudiera accediera a sus datos.

Sí tocan a uno, nos tocan a todos dicen por ahí y por eso hay que estar todos atentos de lo que sucede con Jacob Appelbaum y toda la gente (no solo activistas, tuiteros, blogueros o protestantes, estoy hablando de seres humanos) que es perseguida por querer traer un poco de transparencia al oscuro mundo del poder. Sin embargo, me parece importante no perder de vista las ideas y el conocimiento de las personas detrás de lo que solo es noticia para algunos, y no perder la oportunidad de aprender y comprender mejor la dimensión social de estos conflictos y cómo nos afectan.

No es díficil entender por que un ciudadano como Appelbaum resulta amenazante para el status quo. La razón es que la burocracia en el poder no tolera a los ciudadanos informados. Platique muy poco con él, asistí a su conferencia y le hice una breve entrevista, pero me queda claro que Jacob es una persona informada, comprometida, congruente, pacífica, sociable y con mezcla de conocimiento técnico y claridad intelectual; que simplemente inspira mucha confianza, un concepto bastante subversivo en estos días.

Ya deben estar preguntándose el por qué hablo de confianza, cuando el tema que aquí nos interesa es la tecnología. Volviéndo a la conferencia y el concepto de la adhocracia ¿cómo podemos distribuír la autoridad entre todos, sí no existe confianza? No podemos trabajar con gente en la que no confíamos: un programador que no confía en un proyecto díficilmente puede comprometerse con una comunidad open-source, alguien que no confía en un proyecto de crowdfunding no le va dar su dinero a un desconocido, cómo puedes confíar en un sistema de vigilancia (surveillance) si no sabes cómo funciona o bien, un ciudadano que no confía en su gobierno, ¿cómo sabe que éste no abusa los sistemas que utiliza para espíar?

La información necesaria para poder tomar la decisión de confíar en alguien o algo, depende de que sepamos qué es lo que sucede. Por esto la transparencia y la rendición de cuentas son fundamentales para entender al poder y las tácticas contemporáneas para controlarlo: monitoreo y filtrado de redes, intercepción legal y los backdoors que la hacen posible, retención de datos, censura y un largo etcétera.

En realidad todo lo que dijo Jacob es importante — incluyéndo sus bromas — pero a continuación les comparto lo que me pareció más relevante acerca de su visión acerca de la censura y la vigilancia. Básicamente hay que pensar más allá de ellas y considerar todas sus aristas para poder combatirlo.

Vigilancia y Censura

El panorama completo de la vigilancia es la vinculación (linkability). Todos estos eventos, estos datos que se recolectan automáticamente, deben de organizarse de una forma que tengan sentido. La razón por la cuál lo hacen es para proteger estructuras de poder. La idea es que la gente en el poder se quiere quedar en el poder, en el fondo es control social y económico.

No es el caso que la vigilancia funciona igual en todos los contextos. El el occidente vemos mucha intercepción legal, por ejemplo, la máquina más común de vigilancia es tú teléfono y básicamente entre más dinero tengas mejor te vigila. Hay muchas puertas traseras en los teléfonos móviles.

Creamos un dispositivo de vigilancia que accidentalmente hace llamadas. Con la retención de datos, además se convierte en un dispositivo de rastreo. Cuando haces una conexión o una llamada, todo esa información crea un log y también muchos metadatos.

La vigilancia es la esencia pero la censura es el síntoma. Cuando vemos censura es que la vigilancia ha fallado.

La solución para combatir la vigilancia es la ayuda mutúa, todo depende de tus expectativas ¿En quién confías?

Intercepción Legal y backdoors

De hecho, legal e ilegal es lo mismo que bien y mal.

El problema de la intercepción legal es que se asume que la autoridad actúa siempre de buena fe, y lo que esta en juego es la privacidad y para Jacob, comprometerla técnicamente “es inaceptable, estas puertas traseras no nos darán más seguridad”. En Estados Unidos por ejemplo, se requiere que los sistemas cumplan con las específicaciones de CALEA (Communications Assistance for Law Enforcement), una ley que obliga a los prestadores de servicios de comunicación a ”cooperar con la interecepción legal de comunicaciones para efectos de aplicación de la ley, y para otros propósitos”, que en resumen significa que todo servicio o dispositivo de telecomunicaciones esten equipadas con capacidades de vigilancia para facilitar a las agencias federales a monitorear el tráfico telefónico, de internet y VoIP en tiempo real.

Todos los sistemas tienen que cumplir con los requerimentos de CALEA. Si no lo hacen, no venden. Las compañías son forzadas a convertirse en policías para hacer negocio. La gente que construye backdoors compromete toda la infraestructura vía vigilancia — lo cual puede extenderse a la censura — pero ellos no saben si tienen éxito o fallan. Hacen la infraestructura, la distribuyen y después no se enteran de nada. Las corporaciones no estan obligadas a hacer las cosas bien, son utilizadas por el estado como proxy para hacer las cosas mal. Nadie puede hablar de ello. Nada. Pero estan creando estas tecnologías y exportándolas.

Appelbaum señaló que de hecho el caso de Blue Coat es el resultado de hasta donde ha llegado la intercepción legal:

Todo esto no es acerca de otredad. Sucede en todas partes de distintas formas. Occidente construye la tecnología que usan en Medio Oriente, a ellos les gusta este software porque tienen puertas traseras.

No hay nada de bueno en construír backdoors. Siria es el ejemplo perfecto de hasta donde hemos llegado. Ellos guardan cada paquete, completo. Todo lo que haces en el internet lo guardan 6 meses. El problema de Blue Coat es fascinante porque podrían estar violando leyes. Ellos reciben hits de Siria pero no saben nada… podrían apagar las cajas pero no lo hacen. Son como vendedores de armas pero no son honestos y no lo aceptan.

Filtrar los DNS produce una realidad alterna. Y la información moldea tu realidad. Estas compañías viven en un mundo en donde hay una visión abstracta de que están ayudando a combatir el terrorismo. Pero más bien estan ayudando a matar gente que esta demandando democracia en régimenes autoritarios. Les importa el dinero más que la humanidad, estan construyéndo la tecnología necesaria para crear un Estado de Vigilancia.

Claro que todo suena a teoría de la conspiración, hasta que ves los logs.

Privacidad

Jacob describe la privacidad como una especie comprensión mútua, un acuerdo y también:

Es autonomía y poder, es agencia individual que nos permite elegir.

Para el las políticas de privacidad son un fracaso rotundo ya que se fundamentan en promesas y ”sin la habilidad técnica y social de entender como se comprometen los datos, la ley es incapaz de proteger o adaptarse”. Una opción viable es privacy by design.

Si yo utilizó un sistema que por default no revela datos acerca de mí, se mantiene la agencia y la autonomía lo cual nos empodera ya que entendemos qué es lo que estamos haciendo. No hay tal cosa como usuario estúpido. Necesitamos privacidad vía diseño para dejar de culpar al usuario. Los protocolos seguros ni siquiera utilizan la palabra protocolo. Si tu sistema no funciona de una forma que tu usuario entiende, es un desastre.

Criptografía

Para Jacob no es solamente acerca de crear herramientas y diseminar el conocimiento para ser utilizadas, sino que es aún más importante conocer las oportunidades, los peligros y necesidades locales de comunicación, en contextos específicos para poder decidir que herramientas pueden usarse y para que propósitos.

No puedes dar un consejo acerca de un contexto que no conoces, lo ideal sería hacer que los países con de alto alfabetismo tecnológico definieran que es lo que esta “OK”. Se necesita que la gente se encuentre físicamente en el contexto social para saber sí algo sirve o no, porque los aspectos tecnológicos son importantes pero lo es más el contexto social.

Todo mundo presume la criptografía como la panacéa.. La verdad es que solamente compra tiempo pero no es tiempo teórico, significa que si alguien va a tu oficina en Twitter y no les das las claves, cierran tu negocio.

Y mientras edito este post me entero del desastroso fallo de una Corte estadounidense que permitiría acceder a los datos de las cuentas de Twitter de Birgitta Jonsdottir, Rop Gonggrijp y Jacob. La ironía sobra y la justicia falta.

No puedes confíar en redes que estan construídas en núcleos podridos. Las redes median a la sociedad y las están vigilando.

TOR

Tor es esta idea de que todo lo que haces debe ser seguro por default. Privacidad desde el diseño. También esta creado bajo la idea de que no necesitas pagar por un servicio, no hay logs y no hay passwords, todo es software libre y estándares abiertos, para que otras personas puedan implementarlo y mejorarlo.

La increíble noticia es que Tor ya tiene un prototipo del TOR router:

Lo conectas, abres tu red wi-fi y todo tu tráfico se rútea automáticamente sobre la red de TOR. Nadie ve tu tráfico. Nadie te rastrea hasta tu casa. Además con este dispositivo ayudas a que crezca la red de TOR, es un relay más. Esta hecho en Debian y todo es software libre.

TOR router estará listo en aproximadamente 6 meses y su costo será de alrededor de 100 doláres.

Necesitamos gente que no sepa nada acerca de seguridad. La clave es que queremos normalizarlo, esto no es solo para hackers. Queremos que todo mundo pueda usar cosas que son lo más seguras posibles. Lo que queremos es devolver un poco de agencia a los individuos, esa es la clave.

Si Jacob Appelbaum les parece tan fascinante como a mí y además estan interesados en departamentos de bomberos, la subversiva idea de autonomía, la conflictiva relación Estados Unidos-México, hackerspaces y aprender más acerca de la postura política de este inspirador hacker, no se pierdan la entrevista que les tengo preparada la próxima semana.

Por el momento, les dejó un avance:

Cuando los gobiernos dicen: “no, tú no eres especial, tu no puedes acceder a esta información, tú no tienes permiso de saber esto” — lo que pasa es que se fragmenta nuestra sociedad de una forma que ya hemos visto en el pasado, en donde ciertas personas tienen privilegios y permisos especiales… Estas personas son de hecho más libres que otras personas, incluso son más libres de tomar decisiones porque tienen informacional adicional que otros no.

“Aunque no es fácil y nos va a tomar tiempo, debemos encontrar la forma de hacerlo de otra manera” dijó Appelbaum en algún momento de su conferencia. Parece que Jacob es de aquellos que cree que se puede cambiar el mundo, yo por mi parte, confíare en él.

Imagenes vía Wikipedia. y Geraldine Juárez.

Facebook vuelve a enfrentarse a una serie de problemas por las diferentes políticas de privacidad de datos que se aplican en la red social. No cabe duda de que esto haya mejorado mucho con los años, pero no es perfecto y muestra de ello es que la red social podría ser multada por guardar información eliminada por los usuarios.

Esta historia la protagoniza el austriaco Max Schrems, aprovechando que se encontraba en un programa de intercambio con la Universidad de Santa Clara decidió solicitar a Facebook una copia de todos los datos que tenían almacenados sobre su perfil. Los responsables de la red social atendieron la petición y esta persona recibió un disco con un total de 1200 páginas, pero algunas de ellas contenía información que había sido eliminada por el usuario.

Entre la información que fue eliminada según este usuario y recibió con en el disco se encuentran solicitudes de amistades rechazadas, comentarios eliminados del muro, fotografías en las que fue etiquetado y posteriormente eliminó la etiqueta, así como otro tipo de datos, como solicitudes de eventos o a juegos.

Viendo esto y aprovechando sus conocimientos de derecho decidió ponerse manos a la obra y realizó una lista de 22 incidentes de otros usuarios europeos y fueron presentados ante la Agencia de Protección de datos de Irlanda para pedir una auditoria, que es precisamente el punto en el que se encuentra la investigación. El comisionado deberá decidir si hay algún tipo de violación de los derechos de estos usuarios y en ese caso la red social podría ser multada por un montante de cien mil dólares, lo cual es calderilla para ellos. Max Schrems explica en una entrevista:

Descubrí que Facebook había mantenido mensajes muy personales que yo había escrito y después elimine, lo cual, de hacerse público podría ser muy perjudicial para mi reputación […] No estoy diciendo que haya nada criminal o prohibido en ellos, pero vamos a decir que, como alguien que quiere trabajar en la ley, había cosas que podría hacer prácticamente imposible para mi conseguir un trabajo.

Independientemente del contenido que haya sido eliminado por este usuario nos debemos preguntar hasta qué punto puede la red social almacenar información que haya sido eliminada por sus usuarios. Desde mi punto vista, de confirmarse todo esto, sería algo muy a tener en cuenta por todos, sobre todo si no se trata de un error. Ya que si están almacenando la información eliminada, podemos pensar también que guardan información de las cuentas que son canceladas.

¿Facebook espía a sus usuarios incluso desconectados? Sí, al menos esto lo que concluyó el hacker Nik Cubrilovic luego de revisar a detalle la nueva interfaz de programación de la red social y caer en la cuenta de que una cookie envía información de las actividades de los usuarios en todos los sitios con Facebook integrado. Días después, Facebook lanzó un pronunciamiento:

[nosotros] no rastreamos usuarios por la web… En cambio, usamos cookies con plugins sociales para personalizar contenido… ayudar a mantener y mejorar lo que hacemos… para cuestiones de seguridad… borramos o hacemos anónima esa información en un periodo de 90 días, y nunca vendemos su información.

Dicho esto, Uncrunched encontró algo que tachó de deshonestidad brutal: una solicitud de patente de Facebook para rastrear a sus usuarios en dominios ajenos, con fecha del 22 de septiembre de 2011. Específicamente, el documento inicia así:

se describe un método para rastrear información de las actividades de los usuarios de un sistema de red social mientras se encuentran otro dominio.

Como en toda patente, la lectura es extensa, engorrosa, confusa por la terminología legal sólo apta para criptoabogados, así que es fácil caer en acusaciones infundadas, superficiales o alimentadas por prejuicios (Facebook es malo, y cosas así). Lo cierto es que la evidencia contra Facebook parece abrumadora y las reacciones de molestia crecen como avalancha contra la empresa azul.

Andrew Noyes de la oficina de comunicación de Facebook escribió en el post de Uncrunched

Algunas personas han sugerido que esa solicitud es para patentar el rastreo de usuarios desconectados. Nada más lejos de la verdad.

Y cita el párrafo [0099] de la solicitud (agrego negritas):

Lo que se describe en la sección [0099] de la solicitud es el hecho de que no tienes que conectarte de nueva cuenta a Facebook en cada sitio de terceros para ver contenido social mediante el plugin. Sólo tienes que estar conectado a Facebook cuando visites el sitio… las compañías de tecnología patentan muchas ideas. Algunas de ellas llegan a convertirse en productos o características y algunas no.

Si Facebook espía a sus usuarios es algo que, obvio, la empresa siempre negará. Por el otro lado sus usuarios tienen la responsabilidad de salvaguardar en lo posible la privacidad de sus datos personales en esa y todas las redes sociales, en Internet y cualquiera de los dispositivos conectados a la red. No olvidemos que la información personal (explícita e implícita) en Internet es el petróleo que mueve una nueva economía.

Tres investigadores de Carnegie Mellon University, Alessandro Acquisti, Ralph Gross y Fred Stutzman, dieron a conocer recientemente un estudio con resultados inquietantes. Mediante la convergencia de tres tecnologías comunes hoy en día: reconocimiento facial, cómputo en la nube y redes sociales, lograron la identificación automática, a gran escala, de usuarios de Facebook tanto dentro como fuera de Internet.

El estudio lleva por nombre “Rostros en Facebook: Privacidad en la era de la realidad aumentada” (Faces of Facebook: Privacy in the Age of Augmented Reality), y consta de tres experimentos:

• Primer experimento: reconocimiento online-to-online. Los investigadores se hicieron de una cantidad no precisada de fotos de perfil de un sitio de citas por Internet, donde las identidades no son reveladas, salvo por la propia foto. Tomaron cada una de las imágenes para compararlas con las de usuarios de Facebook gracias a un software de reconocimiento facial. Ni siquiera tuvieron que conectarse a Facebook para reconocer e identificar de forma automática a una cantidad importante de las personas del sitio de citas.

• Segundo experimento: reconocimiento offline-to-online. Los investigadores lograron identificar personas (estudiantes de un campus universitario) a partir de imágenes tomadas por una webcam, que luego fueron comparadas con fotos de perfiles de usuario de Facebook. Alrededor del 30% de las personas fueron identificadas en línea.

• Tercer experimento: uso de realidad aumentada. Esto es, mezclaron datos tomados en línea como fuera de ella para identificar personas. La hipótesis fue que si una persona puede identificarse en la calle o en Internet, entonces más información puede asociarse a esa persona, información personal y sensible. En la fase de pruebas los investigadores se hicieron de los números de seguridad social (SSN) de las personas identificadas (ver imagen). Incluso desarrollaron una aplicación móvil para hacerlo en tiempo real.

Según los investigadores, tres factores posibilitan el éxito de este tipo de sistemas.

• En primer lugar la cantidad de fotografías que por sí mismas identifican a los usuarios. Aquí cabe mencionar que en 2010 fueron subidas 2.5 mil millones de imágenes cada mes por los usuarios.

• En segundo, que los usuarios usan su nombre verdadero en redes sociales: Facebook lo exhorta, Google+ lo obliga.

• Y tercero, que la tecnología de reconocimiento facial ha mejorado de forma dramática durante la última década y seguirá avanzando. Vale decir que recientemente Facebook, Apple y Google adquirieron empresas especializadas en el ramo.

Además, el estudio prueba que es posible lograr todo eso con relativamente pocos recursos, con ayuda del poder del cómputo en la nube, la vastedad de datos disponibles de las redes móviles, así como los avances en inteligencia artificial y estadística. En suma, sucede lo que los investigadores llaman la democratización de la vigilancia.

Las implicaciones son muchas y las soluciones difíciles. Los científicos lograron hacer que el solo rostro de una persona les diera acceso a datos personales, algo que ellos nombran información personalmente predecible, o PPI, que merece estudios más profundos, entre ellos claro, sobre el futuro de la privacidad. Recomiendo la lectura de la presentación que hicieron para la Black Hat de agosto pasado para mayores detalles.

Imagen: The Anti Social Media

Alemania se ha mostrado durante los últimos meses un país que cuida mucho la privacidad de sus ciudadanos, al menos en lo que al uso que se pueda dar a estos en temas relacionados con Internet. La Autoridad de Protección de Datos continua trabajando y en esta ocasión ha solicitado la eliminación del sistema de reconocimiento facial de Facebook.

El principal problema radica de que este sistema podría permitir a cualquier persona identificar a otras como demostró la Universidad Carnegie Mellon. El responsable de la anterior organización alemana ** Johannes Caspar** ha solicitado a la red social que elimine su sistema de reconocimiento facial así como todos los datos que ha recogido con esta.

Si los datos de los usuarios caen en las manos equivocadas, sería posible comparar e identificar a cualquier persona capturada en una foto tomada con un teléfono móvil. Esto no es lo más problemático, el programa se nutre de una base de datos diseñada para identificar físicamente a millones de usuarios.

Indicaba Caspar al diario Abenblatt, mostrando todas sus dudas sobre este sistema que está empleado la red social para facilitar a los usuarios las labores de etiquetado en las fotografías.

Hay que recordar que la Unión Europea inició el mes pasado un proceso legal contra Facebook por violaciones de la privacidad. En dicho proceso los responsables de la red social tienen de plazo hasta el próximo día 11 de agosto para ofrecer su versión de los hechos. Probablemente la red social de Mark Zuckerberg no realice ninguna modificación en el sistema y por supuesto no lo eliminará hasta que se cumpla esa fecha. Posteriormente si el proceso judicial lo requiere es probable que tengan que hacer modificaciones, si no se quieren enfrentar a los pagos de importantes multas por violación de privacidad.

No sé qué opinión tendréis vosotros, queridos lectores, pero si nos paramos a pensar la gran base de datos que está consiguiendo Facebook con todos los datos que les estamos dando es increíble y ahora le tenemos que sumar los perfiles biométricos que están creado gracias a esta características. Simplemente recordar que la red social cuenta en la actualidad con más de 75 mil millones de imágenes subidas a sus servidores, una cantidad de información impresionante.

Vía: Bitelia

Parece que los suecos de Spotify acaban de meterse en un buen lío, según una investigación realizada por la Universidad de Berkeley la compañía habría estado usando una cookie cuya particularidad consiste en que no puede ser borrada, con la consiguiente amenaza que esto supone para el usuario. Sigue funcionando incluso si este tiene actividada la opción de no permitir cookies en su ordenador e incluso si este está con el modo privacidad activado que ya incluyen muchos navegadores como Firefox o Google Chrome, ocurra lo que ocurra y estén activas las opciones que estén activas no se puede evitar que se instale, es más, si intentamos borrarla se vuelve a regenerar en una especie de juego de whack-a-mole siniestro.

La cookie en cuestión parece que les ha sido proporcionada por KISSmetrics, una compañía cuyas tácticas sucias ya han sido puestas en entredicho y que también presta servicios a gigantes de internet tales como Hulu, que dicho sea de paso también hace uso de la cookie en cuestión. Según el email de un investigador de seguridad a Wired básicamente lo que hace es utilizar toda una serie de artimañas y puertas de seguridad para evitar ser bloqueados por todos los métodos más populares de bloqueo antitracking, haciendo seguimiento del usuario incluso si este no quiere.

De momento la respuesta de la compañía ha sido fulminante en cuanto a dejar de usar la cookie maldita (como si les quedase otra posible solución) y están trabajando para averiguar hasta qué punto está implicada KISSmetrics en el asunto, algo que huele mucho a cargarle el muerto a otro, incluso aunque este otro sea igual o más responsable que la propia Spotify; la respuesta de Hulu también ha sido similar. Desconozco si ambas compañías desconocían el uso de las cookies que empleaba KISSmetrics, aunque de ser así y en desconocimiento de sus clientes es probable que en estos momento estén llamando a todos sus abogados para hacer frente a la demanda que se les avecina.

¿Cuál es el objetivo de una cookie que no se puede borrar? A efectos de rastreo puede ser bastante nefasto, por ejemplo, si un visitante entra en Hulu o hace uso de Spotify, la cookie proporcionada por KISSmetrics se instalaría y le daría al usuario un ID concreto que podría usar Hulu para sus propios fines, en cuanto ese visitante entra en otro sitio que hace uso del mismo servicio la cookie obtendría la misma ID lo que hace potencialmente posible que dos compañías o incluso la propia KISSmetrics compartan o utilicen información privilegiada del usuario que no sólo este no ha autorizado sino para la que se ha protegido incluyendo métodos como el bloqueo de cookies. De momento está todo en el aire y la compañía acaba de pronunciarse al respecto, habrá que ir viendo hasta qué punto llega la invasión de privacidad y ver cómo sale Spotify del atolladero.

Actualización (2 de Agosto):

Actualización (fecha): Hemos intentado hablar con el representante de Spotify en España, Lutz Emmerich y no ha sido posible por estar de vacaciones. Cuando preguntamos a Spotify sobre el tema nos dicen que sólo pueden decir lo siguiente:

“We take the privacy of our users incredibly seriously and are concerned by this report. As a result, we have taken immediate action in suspending our use of KISSmetrics whilst the situation is investigated.”

Por nuestra parte, haremos un seguimiento del tema y seguiremos informando

Puede que sea únicamente una sensación personal, pero tengo la impresión de que últimamente a Facebook no le está saliendo nada de lo que hace. Hace unas semanas, tras el brillante lanzamiento de Google+, la compañía anunció que a la semana siguiente iban a realizar una gran presentación con una gran novedad, la expectación levantada fue bastante grande y recuerdo que en el streaming oficial, cuando todavía quedaba como una hora antes de que comenzase la presentación había como unos 30.000 usuarios esperando pacientes. Así que hype había, y mucho. La pobre respuesta de Facebook fue un rediseño ligero de la apariencia, un nuevo chat (que se ha convertido en algo de lo más odiado por muchos usuarios al ser intrusivo y aparatoso) y por último un servicio de videollamada en alianza con Skype, que no es que sea malo, pero que no tiene nada que hacer por ejemplo contra las Quedadas de Google+, mucho más dinámicas y sobre todo mucho más sociales, ya no estamos en 2007.

Estos son cinco motivos por los que creo que Facebook está llegando a esta situación y que creo que la compañía debería cambiar cuanto antes:

• No está escuchando a sus usuarios: Si a tus usuarios no les gusta una nueva funcionalidad que has incorporado, plantéate que a lo mejor algo estás haciendo mal y que a lo mejor lo tienes que cambiar. Las peticiones de videollamada por ejemplo llevaban también largo tiempo sin ser atendidas (lo concreto esto un par de puntos más abajo) y al final llegaron tarde y mal, pasó lo mismo con mejor control de la privacidad, de las dichosas notificaciones de Farmville y de muchas otras funciones que pese a ser bastante demandadas no parecen tener respuesta por parte de la compañía. Una red social se debe a sus usuarios, y a veces Zuckerberg se comporta como si él siempre supiese lo que les conviene, cuando no tiene por qué ser necesariamente así.

• La clave está en el control de lo que publicas: Siento decirlo, pero la gestión de la privacidad es para frikis, para los geeks que llevamos largo tiempo criticando las pésimas opciones para controlar lo compartido que siempre ha tenido Facebook. Y es que el 70% de los usuarios de la red social jamás han tocado las opciones de privacidad ¿A qué se debe entonces el abrumador éxito de Google+? ¿A la gestión de la privacidad? No, creo que más bien se debe al control sobre lo publicado, los usuarios no quieren perderse en las complejas opciones de privacidad de Facebook, que además son incompletas, ni en su manera de gestionar listas, quieren hacer unos cuantos grupos, meter a sus amigos ahí (algo que Google resolvió de manera magistral con Circles) y empezar a compartir con un control sobre ese contenido, nada más, nada menos. En Google+ tengo sensación de seguridad, sé incluso gracias a un pequeño menú, las personas exactas que lo han visto, echo de menos algo así.

• No está observando a la competencia: Google+ no lleva apenas un mes en funcionamiento (y encima en beta cerrada) y según algunas estimaciones ya supera los 20 millones de usuarios, aún está lejos de la trayectoria tan larga que lleva Facebook y de sus 700 millones, pero yo en su lugar no me descuidaría por que es posible que dentro de poco al mirar por el retrovisor los de Zuckerberg vean a los chicos de Google pidiendo paso para adelantar. La competencia parte además de la ventaja de que gran parte del camino que ha recorrido Facebook todos estos años lo ha recorrido solo, o casi solo, y ahora está preparada para aprender de los errores de este, para no volver a cometerlos y para atacar justo donde más duele.

• Se está volviendo lento a la hora de incluir funcionalidades: Era algo que comentaba antes ¿Videollamada bidireccional? ¿De verdad Facebook? Lleva Skype con lo mismo varios años, Apple intentando meterlo con calzador con FaceTime entre los Macs y los dispositivos iOS y ahora de repente tú intentas triunfar con una tecnología y una manera de entenderla que es como poco del 2006. Las Quedadas de Google son el mejor ejemplo de una función (videollamada) pero resuelta desde una perspectiva social, de compartir momentos, entre múltiples personas, lo más parecido a una reunión informal de amigos pero trasladado a una red social ¿Tan difícil es? Eso por no hablar de Places, un fracaso estrepitoso y de las direcciones de correo de Facebook, que van camino de ser otro tanto. Son funciones que o bien ya están controladas por otra red (en el caso de Places es Foursquare) o que bien ya resultan demasiado atrasadas ¡Como en el caso de videollamada à la Skype y la dirección de correo electrónico, como si no hubiese oferta suficiente!

• Es demasiado complejo: Una de las cosas que me gustan de Twitter, y en menor medida pero también de Google+ es que son sencillos, interfaces limpias y despejadas, funciones suficientes pero concretas, opciones visibles y configurables sin demasiados conocimientos. Facebook es la antítesis de todo eso, con el tiempo te acostumbras y aprendes a quererla tal y como es, que se suele decir, pero estoy convencido de que tiene que haber alguna manera de organizar todas esas funciones de manera más intuitiva. Las preferencias son lo más enrevesado que se puede encontrar, para compartir un enlace en el muro te pide un captcha, cuando rechazamos una solicitud de amistad no lo hacemos de manera frontal sino que se queda en ‘Responder en otro momento’ … todo eso sobra, funciones claras, concretas, usables.

No sé si seré el único con la sensación de que Facebook tiene que ponerse las pilas, pero lo que cada vez me empieza a parecer más innegable es que quien sí se está poniendo a tope es la competencia, y más le vale a la compañía volver a coger impulso y no descuidarse ni un segundo, que no sería la primera vez en la que cae un grande, el rey destronado, si no que se lo digan a MySpace.

India lleva ya tiempo persiguiendo a RIM para que sus servicios de inteligencia tengan acceso a los servidores de BlackBerry (que se encuentran en Estados Unidos y Canadá). A pesar de la mediación del gobierno canadiense, el ambiente anda bastante crispado y el país ha lanzado un ultimátum final a la empresa para que sus demandas sean satisfechas y poder monitorizar las conversaciones y mensajes de sus ciudadanos, como no, en pos de la seguridad nacional. Viendo los planes de expansión de BlackBerry en India, es de esperar que RIM termine pasando por el aro, así que el gobierno de Nueva Delhi ha puesto en su punto de mira a otras compañías entre las que se encuentran dos grandes de la red, Google y Skype, a las que también solicitará acceso para monitorizar las comunicaciones de sus usuarios.

Según el Ministerio de Telecomunicaciones y Tecnologías de la Información, se ha confeccionado una lista de servicios cuyas comunicaciones estarían cifradas y de los que necesitarían las claves para acceder a ellos y monitorizar las comunicaciones en busca de mensajes relacionados con grupos terroristas. Durante un evento, el ministro, Sachin Pilot, declaró que:

Existe una lista de empresas a las que les hemos solicitado que nos den acceso a sus sistemas para que las fuerzas de seguridad, el Ministerio del Interior y las agencias de inteligencia puedan obtener información relevante para nuestra seguridad nacional

Al igual que alegó en el caso de RIM, India considera que los servicios de comunicaciones “privativos” de empresas como Google (por Gmail) o Skype, pueden ser una efectiva vía de comunicación para grupos terroristas, que escaparían del control del gobierno. De hecho, bajo determinadas circunstancias, la legislación india permite que el Estado solicite acceso a los sistemas de las empresas que prestan servicios en el país, sin embargo, tal y como alegó RIM, un acceso completo y continuo supone un riesgo para la integridad del propio servicio.

Por ahora, ni Google ni Skype han dicho nada al respecto, si bien para Google este tipo de peticiones no son nada nuevo. No hace mucho, Google rechazó la petición de la India para que la empresa de Mountain View “relajase” el cifrado de sus comunicaciones y permitiese la monitorización de las comunicaciones. Google alegó que Gmail opera bajo la legislación de Estados Unidos y, además, este tipo de acceso podría comprometer a los usuarios del resto del mundo. Vinay Goel, responsable de producto en Google India comentó

Cuando los usuarios nos confían sus datos se espera de nosotros que los protejamos, por tanto, la privacidad del usuario es muy importante para Google. No nos estamos cerrando a la petición y estamos abiertos a ofrecerle al gobierno Indio acceso a las comunicaciones de Gmail en situaciones de extrema gravedad.

Yo creo que aquí está la clave de todo este asunto: las situaciones de extrema gravedad que, bajo mandato judicial, podrían ser el único caso con la suficiente base como para sustentar este tipo de peticiones. Con esto no quiero decir que me haga mucha gracia que un país quiera monitorizar todas las conversaciones que se producen en Skype o Gmail, de hecho, me parece una auténtica barbaridad; pero creo que tendría algo de sentido frente al despropósito del acceso generalizado. La petición de la India parece una traslación de 1984 de Orwell al mundo de Internet, donde todos los ciudadanos son sospechosos y, por tanto, las comunicaciones deben ser inspeccionadas sin necesidad de un mandato judicial o una investigación en curso.

No hace mucho, en el trabajo, me surgía una duda sobre la legislación que aplicaba a cualquier servicio prestado a través de Internet: ¿el de mi país como usuario que soy del servicio? ¿el de la empresa que presta el servicio? ¿la legislación vigente en el país en el que se encuentra el centro de datos? En el caso de España, según comentaba en una conferencia el director de la Agencia de Protección de Datos, se está a la espera de que la Audiencia Nacional se pronuncie porque sigue sin estar claro si hay que aplicar la legislación del país origen del que presta servicio o la del país en el que se opera.

En el caso de la India parecen tenerlo claro, su legislación, aunque estén llevándola al extremo. Creo que la respuesta de Google fue muy acertada, ya que dieron un “sí” con condiciones y un “no” al acceso generalizado (aunque decir que Gmail se encuentra bajo las leyes de Estados Unidos es decir demasiado). Creo que, bajo mandato judicial, esta debería ser la forma de operar porque, si Google, RIM, Skype o cualquier otra compañía diesen su brazo a torcer, un país como India mandaría al traste la privacidad de, prácticamente, todos los usuarios del mundo.

Ojalá todas estas empresas respondan con una rotunda negativa, en caso contrario, estarían dándole una tremenda patada a todos sus usuarios.

Imágenes: Innovative CSI y Blippit

Privacidad, algo muy importante para todos los usuarios y tenida muy en cuenta últimamente en las redes sociales. La más popular, Facebook, siempre ha recibido muchas críticas por la privacidad de las cuentas y el uso que hacía de nuestros datos. Ahora tendremos que mirar también que hace la nueva red social, Google+, ya que recientemente han anunciado un cambio importante sobre los perfiles que sean creados en la red social de Google.

Google ha informado que a partir del próximo de 31 de julio no se permitirán perfiles privados en Google+. La compañía explica en la página de ayuda que

El objetivo de los perfiles de Google es que puedas controlar tu identidad online. Hoy en día, casi todos los perfiles de Google son públicos. Creemos que el mejor uso de estos perfiles es precisamente ayudar a que te encuentren y se pongan en contacto contigo online. Los perfiles privados no ofrecen esta posibilidad, por lo que hemos decidido que todos los perfiles sean públicos.

En esta misma página se informa de los únicos datos obligatorios que se mostrarán en los perfiles, el nombre completo y el sexo. El resto de datos se podrá modificar o eliminar, siendo el usuario el que decida lo que quiere poner en la red social, salvo los dos datos ya mencionados anteriormente.

De este modo, apuntan que todos los perfiles privados serán eliminados automáticamente después del 31 de julio, salvo que se modifiquen y se hagan públicos.

La lectura que podemos sacar de esto es que Google considera que un perfil privado no tiene demasiada utilidad, ya que no se puede contactar con la persona que lo tenga. Esto puede ser algo muy discutible, pero en cierto modo y desde mi punto de vista, los campos obligatorios no son demasiados y quizá pueda resultar no demasiado escandaloso, algo que depende de la visión de cada uno. Muchas de las personas que conozco no pondrían reparos en dar estos dos datos, pero evidentemente habrá gente a la que no le guste que le obliguen a hacerlo. ¿Qué piensan sobre esta modificación que ha realizado Google?

La privacidad es necesaria para una sociedad abierta en la era electrónica.

La privacidad no es secretismo. Una cuestión privada es algo que no queremos que todo el mundo sepa, pero una cuestión secreta es algo que no queremos que nadie sepa. La privacidad es la capacidad de revelarse selectivamente al mundo.

— Eric Hughes, A Cypherpunk Manifesto (1993) | Traducción: Suburbia (2003)

La llamada era electrónica ya está aquí, o quizá ya la rebasamos por completo y estamos en una etapa más compleja que acelera sin parar hacia la singularidad… Quién sabe. Lo cierto hoy es que movilidad e información son conceptos inseparables de nosotros: producimos y transportamos información —propia y ajena— prácticamente todo el tiempo.

Hemos llegado al punto en el que las fronteras entre información personal, privada, secreta quedaron nulificadas a fuerza de una interminable avalancha de servicios, aplicaciones, Internet y sus increíbles redes sociales. Fronteras borradas por nuestra impaciencia y asombro. Así lo deseamos.

Justamente por eso el Manifiesto Cypherpunk sigue vigente. Más que nunca, creo. Porque expresa con claridad abrumadora las prioridades de una sociedad verdaderamente libre, ésa a la cual sirve la criptografía y sus sequito de hackers: los cypherpunks, John Gilmore (cofundador de la EFF), Bram Cohen (creador de BitTorrent), Len Sassaman (gran criptógrafo recién fallecido), Julian Assange (fundador de WikiLeaks), y otros personas de ese calibre.

Sociedad libre en términos de la sociedad que somos, no en los de una sociedad del siglo XIX cuando apenas emergían las comunicaciones alámbricas. Libre porque

la libertad de expresión es aún más fundamental para una sociedad abierta que la privacidad

Primero la libertad. En seguida las leyes. Leyes para un mundo hipervinculado, de Internet de las cosas, en vías de transhumanidad. De modo que

Cuando le pido a mi proveedor de correo electrónico la capacidad de recibir y enviar mensajes, mi proveedor no tiene por qué saber con quién hablo, qué digo o qué me dicen. Mi proveedor sólo tiene que saber dónde obtener el mensaje y cuánto le debo. Cuando mi identidad se revela debido al mecanismo de la transacción, no tengo privacidad. No puedo por tanto revelarme selectivamente; estoy obligado a revelarme siempre.

Prácticamente ningún proveedor de servicios en Internet cae en esa categoría. Hablo de los grandes: Apple, Google, Microsoft, mucho menos Facebook. La mayoría decidimos aceptar términos de servicio ilegibles o, peor, que dejamos sin leer. Y cuando esos gigantes entraron al terreno móvil resultó más grave.

Ahora son cientos de apps que nos rastrean, saben mucho de nosotros. También los navegadores. Y países.

Un sistema anónimo ofrece la capacidad a los individuos para revelar su identidad sólo cuando lo deseen; esta es la esencia de la privacidad. Asimismo la privacidad en una sociedad abierta requiere la criptografía.

El usuario es quien debe tener el control. No lo tenemos. No una vez que entramos al juego. Ni qué decir de patentes que buscan entregar nuestras comunicaciones.

Si yo digo algo, quiero que lo oigan sólo aquellos a los que iba dirigido lo que decía. Si el contenido de mi discurso está al alcance de todo el mundo, no tengo privacidad.

La privacidad es un derecho. No la ejercemos. O es nuestra moneda a cambio de un bien digital.

No podemos esperar que los gobiernos, la corporaciones y otras grandes organizaciones sin cara nos garanticen la privacidad sin sacar beneficios de ello. A ellos les resulta beneficioso hablar de nosotros, y podemos esperar que lo harán. Intentar evitar sus discursos es luchar contra la esencia de la información. La información no sólo quiere ser libre, anhela ser libre. La información se expande hasta ocupar todo el espacio disponible. La información es el primo más joven y más fuerte del Rumor. La información tiene más ojos, sabe más y entiende menos que el Rumor.

Tenemos que defender nuestra privacidad si es que queremos tenerla.

El Manifiesto grita una razón de ser:

Nosotros los cypherpunks nos dedicamos a construir sistemas anónimos.

Y predice:

La criptografía va a extenderse en todo el mundo, y con ella los sistemas de transacciones anónimas que la hacen posible.

Por lo que Bitcoin es apenas un ensayo.

La privacidad sólo se extenderá mientras los miembros de la sociedad cooperen entre sí.

Así que la criptografía es una arma de lucha y libertad, un baluarte que el movimiento cypherpunk concibe sobre arte, técnica y matemáticas puras. Su Manifiesto, un recordatorio de los temas que de ninguna manera debemos dejar a un lado, en el olvido sistemático de cada botón Aceptar.

Facebook está siendo desde hace tiempo vigilado de cerca por los usuarios por los fallos de privacidad que ha tenido, pero la mayor red social no es la única que tiene estos fallos y otros servicios también sufren de estos. El último en conocerse es Twitter, del cual conocemos un caso que publica TechCrunch en el que una aplicación puede tener acceso a los mensajes directos del usuario aun cuando se indica explícitamente que esto no sucederá.

Cuando damos acceso a un servicio a nuestra cuenta mediante OAuth se nos dice muy claramente lo que podrá y no podrá hacer dicho servicio con nuestra cuenta, dependiendo de la configuración que dé el desarrollador a la aplicación podrá no tener acceso a los mensajes privados, sin embargo hay casos en los que el desarrollador considera que no es necesario tener acceso a estos, así se informa al usuario, pero después la aplicación puede acceder a los datos mensajes directos. El desarrollador Simon Colijn se puso en contacto con TechCrunch para hacerles llegar esta información y sensibilizar a la gente sobre este hecho.

Para demostrar esta información Simon Colijn ha creado esta aplicación, la cual al pedir tener conexión con nuestra cuenta se indica claramente que no tendrá acceso a nuestros mensajes privados. Pero el contrario de esto, vemos que cuando se ha hecho la conexión se pueden listar tanto los mensajes que hemos enviado como los que hemos recibido.

En la creación de la aplicación este desarrollador indicó que la aplicación tendría acceso de lectura, sin acceso a los mensajes directos. De ese modo, cuando el usuario da autorización a la aplicación se le muestra que no tendrá acceso a los mensajes privados —como vemos en la imagen que acompaña a este texto— pero el resultado es completamente diferente. Es decir, el usuario cree que la aplicación no tendrá acceso a los mensajes directos, pero vemos como con esta vulnerabilidad si tienen acceso.

Según creen varios desarrolladores lo que puede haber pasado es que Twitter realizó recientemente una actualización de estas pantallas de autorización, la cual vendría junto con otros modelos de acceso a datos más restrictivo, pero esto último se aplazó y como resultado la información que está recibiendo el usuario en estas pantallas es errónea. Esta vulnerabilidad ha sido verificada por otros desarrolladores, los cuales en tan solo unos minutos han podido modificar sus aplicaciones pudiendo explotar esta vulnerabilidad. Así que tengan cuidado y piénsalo dos veces antes de autorizar aplicaciones en su cuenta de Twitter ya que desarrolladores malintencionados podrían usar esta vulnerabilidad para acceder a los mensajes privados de los usuarios.

Twitter ha sido contactada e informada sobre este fallo de privacidad, pero por el momento no han dado ningún tipo de respuesta. Cabe esperar que esta no se produzca hasta que el problema sea solucionado, mientras tanto, sean cuidadosos con las aplicaciones a las que dan acceso.

Google vive de la publicidad. Esto no es un secreto. Google crea publicidad a partir del rastreo y registro de nuestro comportamiento en la web. Esto tampoco es un secreto. Google mejora sus docenas de servicios web, gratuitos en su mayoría, en la medida que los utilicemos, mientras más, mejor —Google Translate es un ejemplo clarísimo—. Esto, evidentemente, coloca la privacidad en el centro del debate.

Las palabras que titulan este artículo fueron dichas por Eric Schmidt, antes CEO y hoy Executive Chairman de Google, en el Reino Unido durante una conferencia sobre privacidad. Además de eso, Schmidt afirmó tajante que Google se toma la privacidad como un tema “muy serio”. ¿En serio? Por lo pronto Google, a través de Schmidt, dice que están trabajando “en una serie de proyectos” al respecto.

El tema de la privacidad es de naturaleza muy sensible. Si bien somos nosotros los usuarios los primeros responsables de nuestra información, lo cierto es que las empresas deben —o deberían— compartir esa responsabilidad por lo menos informando de forma adecuada cómo utilizan nuestros datos.

Informar de manera adecuada es ofrecer términos de servicio claros, sencillos, además de los kilométricos e ilegibles que prácticamente nadie lee. Algunos hablan de que Google deben entregar un dashboard o tablero de administración donde nosotros veamos el qué, el cómo y el cuándo de nuestros datos; uno donde podamos modificar también de forma clara y sencilla todo eso que es nuestro.

El problema de la privacidad se agrava cuando de móviles hablamos. Este es un segmento muy vulnerable como se ha demostrado a últimas fechas y del que no están exentos Android ni iOS, por lo que representa un cúmulo de problemas cada vez mayor y con pocas soluciones.

Así que si Google ha de marcar otra revolución tecnológica en el futuro próximo, espero que tenga que ver con el manejo apropiado —respetuoso, informado, seguro, privado, etc.— de nuestros datos.

HADOPI se perfilaba como un desastre en potencia desde el momento que el gobierno de Nicolás Sarkozy decidió rendir a los intereses de la IFPI la democracia del país que mal representa. Antes que nada recordemos que HADOPI no es sólo una ley sino de hecho, una agencia burocrática con funciones policiales para defender el derecho de autor en el internet.

Lo anterior significa que para implementar la barbárica ley de los 3 avisos dedicada a monitorear las conexiones de los clientes de los proveedores de internet para encontrar contenido protegido por derechos de autor, se requieren los servicios de deep packet inspection de una compañía privada, dedicada a darle las direcciones de IP a los monopolios dedicados a gestionar derechos de explotación de obras, de esta forma pueden solicitar al proveedor de Internet se envíen avisos a los sospechosos de infracciones al derecho de autor, quienes sí supuestamente lo hacen en 3 ocasiones, se ganan la desconexión al internet y además de que se le agrega a una lista negra para que otros ISPs no puedan ofrecer el servicio.

El usuario puede apelar únicamente al haberse ordenado la desconexión.

Bueno ¿y la noticia?

Platicando acerca de una compañía que maneja grades cantidades de datos personales sin control eh?

Trident Media Gard (TMG), el grupo seleccionado por la industria para monitorear el tráfico P2P y entregarlo a HADOPI, al parecer no protege nada bien su sistema:

Una máquina virtual derramó (leak) mucha información como scripts, clientes P2P para generar peers falsos, direcciones locales de su centro de datos e incluso passwords que podrían ocasionar un vulnerabilidad de seguridad global

El investigador Olivier Laurelli que reportó esta negligente vulnerabilidad se pregunta si TMG no es de hecho una subsidiaria de SONY, pero, respetuosamente avisó de su falla para que la arreglarán, no sin antes considerar la opción de que fuera un honeypot, es decir, una trampa de las cuales acostumbra la industria arrojar a la red.

Felicidades por hacer todo mal una vez más. Es increíblemente inepta la forma en la que la industria persigue a la sociedad, para muestra la defensa de TMG:

Los datos que pertenecen TMG publicados este fin de semana en el internet, pertenecen a un servidor de prueba dedicado a desarrollo e investigación (R&D)

5342 direcciones de IP que incluyen países fuera de Francia como USA, Italia y Suecia, un ¿test? Para Erik Walter, el director de HADOPI, no es menor cosa y tuiteó que se han suspedido las conexiones de HADOPI con TMG como medida de precaución:

Al no detenerse la relación del gobierno con esta negligente empresa al servicio de la *industria, HADOPI se suspende, ya que de acuerdo a la ley la tarea de TGM era envíar a HADOPI las direcciones de IP sospechosas de infracción, durante las 24 horas siguientes a la supuesta ofensa. No hay quién realice tal tarea.

Recordémos que la primera versión de HADOPI fue declarada anti-constitucional por violar el principio de presunción de inocencia, ignorar la separación de poderes y limitar la libertad de expresión. Sin embargo la ley fue revisada y eventualmente aprobada a pesar de todo el criticismo y las advertencias acerca de sus ahora, comprobados peligros.

La necedad del presidente de Francia logró entre otras cosas que el balance necesario entre los derechos fundamentales de los ciudadanos y los derechos de propiedad de los titulares se fuera por la borda en el mundo entero; abriéndo la puerta para que gobiernos como el de México, se llenen la boca al poner como ejemplo a HADOPI, a pesar de que la piratería incrementó en ese país y su agenda represora ha sido expuesta.

Pero hay más: muchas de las direcciones de IP que recolecta TMG son desde el 2008, cuando HADOPI no existía. No se han realizado las auditorías programadas a TMG que ordena la ley. Y aún más importante: ¿Por qué la Comisión de Privacidad de Datos esta tan preocupada si una dirección de IP no no es un dato personal?

Tal vez, en vísperas de la celebración del casino e-G8, podrá explicar a detalle el pequeño problemita de HADOPI a todos los gobiernos que toman de ejemplo este sistema fallido.

Esta fue una aventura más del sistema de propiedad más patético del planeta, el cuál ni con todo el dinero del mundo puede siquiera garantizar la seguridad mínima de su sistema de represión.

HA-HA-HADOPI

Copyright Cops from Julio Secchin on Vimeo.

Por cierto, la lista de contenido que TMG monitorea se encuentra disponible en PasteBin.

En enero, publicamos en ALT1040 un post acerca de las intenciones de Nicolás Sarkozy de realizar un G-20 Internet para discutir la situación de los derechos de autor “porque el día que no se remunere la creación, se mata la creación”.

El día ha llegado: el 24 y el 25 de mayo se celebrará el e-G8 titulado “El Internet: Acelerando el crecimiento” (The Internet: Accelerating Growth), en un despampanante foro a la medida en los Jardines de las Tullerías (entre el Museo de Louvre y la Plaza de la Concordia en el centro de París), de acuerdo a la información que proporciona el escueto sitio de tan importante reunión, que por cierto no menciona nada acerca de derechos de autor.

A pesar de que el internet es un bien público en el cual sus partes interesadas incluyen a lo que la élite del e-G8 llama usuarios (ciudadanos), la invitación al este club privado es explícitamente por invitación.

Pero pisotear la democracia no es gratis, para participar usted solo necesita €100,000 , €250,000 o €500,000 euros. El organizador, Maurice Levy, director de la agencia Publicis, explica a Le Figaro que a partir de los 250 mil euros los asistentes pueden:

además de tener exposición de sus marcas en billboards, podrán tener el status de ‘co-chairman’ (Maurice Levy preside) del E-G8. [..] Con este status los participantes pueden tomar parte de las sesiones plenarias, mesas redondas y estar en contacto con los organizadores del programa”

Quizá solo valdría la pena específicar que la legítimidad no se compra, muy a pesar de que la lógica de la opacidad y el lobbying. Por otra parte es absolutamente rídiculo que un publicista presida esta reunión, aunque si nos ponemos en sus zapatos y entendemos que algunos solo ven el internet como un mall, tiene todo el sentido.

Algunos de los nombres que figuran para reunirse con los gobiernos de EE.UU, Rusia, Japón, Alemania, Francia, Italia, Canadá e Inglaterra son Jimmy Walles (Wikipedia) Mark Zuckenberg, (Facebook) Jeff Bezos (Amazon) y Eric Schmidt (Google) y … el magnate Rupert Murdoch de News Corp.

Pregunta: ¿Quién representa a los ciudadanos? Los gobiernos han sido capturados por intereses privados, la Ley Sinde y las turbias negociaciones de ACTA son ejemplos irrefutables de esta realidad. ¿Seguiremos conformándonos con denunciar su colusión únicamente?

Cuando Sarkozy anunció sus intenciones en enero se refirió específicamente a la regulación de los derechos de autor en el internet, pero como todos sabemos, las agencias de relaciones públicas son muy buenas para maquillar las cosas y en el sitio oficial no se mencionan las palabras copyright o privacidad.

Lo anterior es relevante ya que las tres corporaciones más prominentes que participarán en el e-G8 han estado involucradas en violaciones a los derechos de privacidad, que incluyen desde recolección ilegal de direcciones IP, pirateo de datos privados e incluso wiretapping ilegal. El mensaje al parecer es que aquellos que violan la privacidad de sus clientes, tienen un lugar en el e-G8, ¿será que a los gobiernos más poderosos tiene algún interés en el negocio de los datos personales?

Para mí, el formato de e-G8 es una consecuncia del lobbying salvaje y el descaro con el que la plutocracia ejerce influencia en la política pública internacional y que cada vez fortalece la idea del splinternet, la cual se define como la fragmentación del internet debido factores tecnológicos y políticos como el nacionalismo, que gradualmente generan una balcanización de la red.

La neutralidad de la red ya no existe, solamente se esta acentúando más su ausencia. Pregúntenle a Jeff Bezos de Amazon y su precaria nube al servicio del Departamento de Estado de los Estados Unidos.

Debido al crecimiento del splinternet conviene poner atención al hecho de que en vísperas de tan oscuro evento, los Estados Unidos publicaron el día de ayer su Estrategia de Cyberseguridad, un exceso de retórica y contradicciones que demuestra una vez más que la hipocresía es la única agenda creíble del gobierno de Barack Obama.

La estrategia de la administración de un presidente incapaz de implementar el cambio que tanto prometió, incluye joyitas pro-splinternet como:

Filtros a nivel nacional y firewalls ofrecen solo una ilusión de seguridad nacional

¿Sugieren un filtro global? Tal vez Obama debería de invitar al gobierno chino al e-G8 para que los asesore en como bloquear la red.

Por sí no tuvieramos suficientes malas ideas para el e-G8, las ONGs European Digital Rights y Article19 publicaron la semana pasada el PowerPoint del plan para crear una Cortina de Hierro Virtual en Europa, es decir, una cyber-frontera segura en Europa. Claro, los argumentos se los pueden imaginar: pornografía infantil y nacionalismo. Disco rayado. Puedes descargar la presentación para más detalles del sitio de EDRI.

Algunos blogs consideran que es una buena idea que se reunan gigantes del internet con legisladores y políticos completamente ignorantes de cómo es que funciona el internet. Sin embargo, la suma de oligopolios de internet más puertas cerradas, multiplicado por dinero y una organización bajo la tutela del culpable de la existencia de la Ley HADOPI, díficilmente puede inspirar confianza.

Afortunadamente bloggers invitados al e-G8 como Aaron Fulkerson de ReadWriteWeb prometen aprovechar la oportunidad para poner en la mesa temas como la neutralidad de la red, los estándares abiertos y la reforma de las leyes de copyright, además de reportar al público.

El e-G8 surge en un momentum en donde los ciudadanos de todo el mundo estamos hartos de estar hartos de una democracia que no lo es. . No te quedes sentado presenciando el espectáculo del e-G8, ya hay una convocatoria de G8 vs Internet para actúar al respecto:

El Internet nos permite expresar nuestras ideas universalmente. El Internet nos une y nos hace fuertes. Nuestra imaginación, a través de todo tipo de material que creamos y publicamos, nos ayuda a proteger nuestros derechos y el internet libre. Mientras los líderes mundiales se reúnen a final de mes, todos tenemos que unirnos y usar nuestra creatividad para rechazar cuaquier intento de volver el Internet un herramienta de represión y control.

Envía tus creaciones a submit@g8internet.com

e-G8 en Twitter.

Apple ha publicado una serie de preguntas y respuestas frecuentes con relación al registro de ubicación del iPhone que debería aclarar la gran mayoría de dudas que las personas tienen y sobre todo, eliminar cualquier miedo de “me están siguiendo” que recientemente ha aparecido a partir de titulares amarillistas, desconocimiento o paranoia.

Lo primero y más importante: Apple no está registrando la ubicación de los usuarios de iPhone. No planea hacerlo y no lo hará. La compañía acepta que no ha tomado los pasos suficientes para explicar los retos tecnológicos que implica ofrecer posicionamiento rápido y exacto manteniendo la privacidad y seguridad de los usuarios.

Lo que está haciendo la compañía es mantener una gran base de datos de puntos de acceso Wi-Fi y torres celulares (tal y como lo explicamos antes) a partir de los datos recabados entre miles de iPhones que mandan esta información a Apple de forma anónima y cifrada. Debido a que esa base de datos es tan grande, el archivo que se guarda en los teléfonos no es otra cosa que un cache de una porción de esa base de datos basada en los lugares físicos que más se frecuentan.

¿Para qué armar una base de datos usando crowdsourcing entre todos los iPhones? porque triangular posición usando únicamente GPS puede tardar entre 5 y 10 minutos, dependiendo de la zona y el equipo usado (usuarios del primer Nokia N95 con GPS recordarán todo lo que se tardaba el teléfono en posicionar a falta de la asistencia por triangulación de torres celulares), por medio de este método, el posicionamiento se hace en apenas unos segundos.

El cache de esta base de datos sí se guarda cuando se genera respaldos de la información del iPhone y sí se cifra si el usuario lo elige (si no lo tienes activado, deberías hacerlo desde iTunes). Por medio de una actualización de software Apple reducirá el tamaño de este archivo cache (explican que debido a un bug se guardaba muchos más datos de los necesarios) y dejará de respaldarlo.

Por último con la próxima actualización de software el desactivar los Servicios de Posicionamiento (dentro de la configuración de iOS) borrará por completo el cache guardado en local de la base de datos, que insisto, no es un archivo por medio del cual se lleve registro de dónde has estado.

Demasiadas cosas se han dicho últimamente después de que la noticia que el iPhone (y el iPad 1 o 2 con 3G) recolectan datos de geolocalización, es decir, lleva un registro de todos los lugares donde ha estado el aparato. Muchas de estas son exageraciones producto del desconocimiento, de asumir hechos que no han sido comprobados, de una mala interpretación de qué son los datos o simplemente el efecto de “teléfono descompuesto” que se da entre medios.

Estos son cinco mitos y falacias acerca del registro de ubicación del iPhone:

1. Alasdair Allan y Pete Warden descubrieron el archivo consolidated.db (donde se guardan todos los datos de ubicación).
   En realidad su existencia fue revelada hace seis meses. ¿Por qué ahora llamó tanto la atención? Porque se presentó en una conferencia junto al software que ponía en un mapa dichos puntos. Demostrando que la alarma no es generada por preocupación (lo hubiéramos estado desde hace seis meses), sino por titulares alarmistas.

2. Si haces respaldo de los datos del iPhone, es muy sencillo obtenerlos desde el archivo guardado en la computadora
   Falso. iTunes permite cifrar los respaldos hechos de los dispositivos móviles que soporta (iPhone, iPod touch y iPad), por lo tanto esos datos no pueden ser leídos por nadie que obtenga el archivo a menos que tenga la contraseña que tu hayas asignado. Tampoco hay forma de obtener los datos de un iPhone o iPad si lo conectas a un equipo que no es propio para obtener tales datos si le has puesto una contraseña a tu dispositivo móvil. Por lo tanto, aunque te lo roben (siempre y cuando hayas puesto un password) no hay forma de obtener esos datos almacenados en el teléfono (o el iPad).

3. El archivo guarda datos obtenidos por medio del GPS del iPhone o iPad
   Otra mentira reportada en diferentes medios. Lo que se registra son ubicaciones de las antenas de telefonía a los que el teléfono se ha conectado. Por lo tanto, el objetivo no es obtener registros de ubicación del usuario sino tener un registro de las antenas usadas, su potencia, calidad de señal y ubicación. Uno de los grandes objetivos de los fabricantes de teléfonos es siempre oferecer la mejor señal posible, este tipo de datos ayudan a que el dispositivo siempre esté conectado a la mejor antena. Y en un futuro, no tenga que volver a buscarlas, ya sabe perfectamente dónde está. Y ¡oh sorpresa!, esta información también las tienen las operadoras telefónicas. Tal vez no deberías estar preocupándote de el archivo en tu teléfono (del cual solo tu tienes control) sino de cómo son tratados tus datos por los proveedores de servicio.

4. Apple mantiene en secreto sus intenciones
   Estos días vemos a periodistas, medios, opinadores, gobiernos y políticos están exigiéndole a Apple que explique en detalle la política de recolección de datos de ubicación. Resulta que la compañía ya ofreció explicaciones —bastante detalladas— el pasado julio 12 de 2010 por medio de una carta al congresista demócrata Edward J. Markey y al congresista republicano Joe Barton.

5. Apple puede saber dónde estoy en todo momento
   Que sería la mayor falacia de todas. Muchos están culpando al equivocado. Empezando porque si usas Facebook Places, Foursquare, Gowalla y otros servicios de geolocalización ya estás compartiendo muchísima más información, y sobre todo, más detallada. A diferencia del consolidated.db o de la información recabada por tu operadora telefónica, esos datos publicados en redes sociales generalmente se hacen públicos (por los mismos usuarios). Pero puede ser aún peor, hay muchas, muchísimas aplicaciones móviles que están periódicamente enviando información de localización física a sus servidores (y tu les diste permiso cuando la abriste por primera vez y lo aprobaste).

El principio de la navaja de Occam es perfectamente aplicable en este caso. ¿Qué es más probable, que Apple quiere saber la ubicación de las más de 100 millones de personas que tienen un iPhone o que la compañía tiene una base de datos para mejorar la señal y acelerar el proceso de descubrimiento de celdas? Considerando que estamos hablando de un teléfono, el segundo caso me resulta la explicación simple, sencilla y probable.

Y la realidad es que hay cosas muchísimo más graves, más inmediatas y sobre todo, más peligrosas por las cuales preocuparnos cuando se trata de nuestra privacidad. Voy a poner un solo ejemplo: ¿Te conectas habitualmente a redes Wi-Fi sin protección desde tu teléfono cuando andas en la calle, en un cafe, en un evento o en una conferencia? Sabías que es excesivamente sencillo obtener todo el tráfico que circula por la red abierta para obtener tus contraseñas, sesiones autentificadas en redes sociales y otros servicios? No es necesario ser el administrador del punto de acceso, cualquiera lo puede hacer, toma aproximadamente dos minutos: descargar un add-on para Firefox e instalarlo. ¡Eso es todo!. ¿Te conectas a redes Wi-Fi sin protección y confias plenamente en ellas? Eso, en cambio, si me parece grave. Cifrar la conexión por medio de un VPN debería ser un paso básico en cualquier persona que se conecta a internet desde lugares públicos.

Imagen: Dave Nakayama

Todo esto viene porque como os comentábamos esta mañana hay un fichero secreto almacenado en cada iPhone que guarda datos de la localización de los usuarios. El caso es que su existencia se conocía desde hace seis meses, pero no ha sido hasta que Alasdair Allan y Pete Warden han liberado un programa de código abierto disponible sólo para Mac OS X que permite extraer toda esa información y mostrarla de un modo mucho más gráfico sobre un mapa con lo cual toda la geolocalización revelada tiene mucho más impacto y da rienda a todo tipo de teorías conspiratorias y alusiones al Gran Hermano que todo lo ve.

Poco a poco se han ido revelando interesantes datos en torno a la aplicación y a lo que verdaderamente recolecta, que no resulta ser la posición exacta del teléfono sino más bien las distintas antenas de telefonía a las que ha estado conectado. También aclarar que la aplicación no muestra realmente toda la información en bruto que se puede sacar del archivo sino que la estructura convenientemente en cuadrículas, como puede apreciarse en la imagen, con el objetivo de minimizar el impacto en la privacidad.

Si se lee el FAQ allí explican como se puede extraer y leer los datos de manera manual, algo no demasiado complicado puesto que no están encriptados en absoluto. Pero aún así y observando todos los datos tampoco puede deducirse con demasiada precisión algo más que las regiones geográficas en las que ha estado el usuario, por ejemplo, no creo que nadie viendo la imagen pueda deducir dónde vivo en Madrid, un punto geográfico en el que presumiblemente mi teléfono se ha usado con más frecuencia. Simplemente puede deducirse eso, que he estado ahí, algo que pone incluso en mi perfil de Twitter, como si fuese un secreto para alguien.

Muy interesante también este artículo en el que se describe omo las entradas y los registros no se corresponden con pautas fijas, sino que de repente se escriben unas cuantas, llegando incluso a corresponder varios puntos geográficos con una misma hora, con una misma timestamp, con lo que se hace imposible saber en qué punto estaba realmente el usuario. Esto es así porque la localización se basa usando la triangulación de redes de telefonía, un método muchísimo menos preciso que el GPS pero que presumiblemente consume menos batería. En resumen, sea cual sea el objeto de este archivo y sean cuales sean las intenciones de Apple para con él, algo que de momento continúa siendo un misterio, no es, ni muchísimo menos espiar al usuario.

Los motivos exactos por los que de Cupertino tienen este fichero incluido en todo los teléfonos los desconozco, pero no es la primera vez que dentro del código de iOS se encuentran rastros de nuevas funcionalidades y este podría ser un buen ejemplo de ello. La información contenida no se transfiere de manera automática a ningún servidor externo y permanece en todo momento en el teléfono, al no estar encriptado es accesible para cualquiera, eso sí, pero hace falta tener acceso físico al mismo, conectarlo mediante un cable y visualizar la información. A este tipo de datos, a qué antenas de telefonía se ha conectado el teléfono tiene acceso las compañías de teléfonos, tampoco es nada nuevo.

En otras palabras, todo el asunto del iPhone Tracker no supone una violación directa de la privacidad sino más bien una cagada monumental, no puede decirse de otra manera, por parte de Apple, por incluir un archivo así sin dar mayores explicaciones sin que haya una razón evidente y justificada (no se han encontrado, de momento, rastros, de archivos similares ni en Android ni en Blackberry y sobre todo por no encriptar el archivo que tampoco cuesta tanto. El problema no pasa a mayores mientras nadie tenga acceso al teléfono y mientras nadie tenga un interés oculto y secreto en saber donde hemos estado, que en mi caso personal y supongo que en el de la mayoría no es mayor problema porque no soy precisamente un superespía que necesita mantener sus viajes al extranjero en secreto, todos mis conocidos y familiares saben a donde voy y donde he estado. De momento la compañía no se ha pronunciado pero no estaría de más que lo hiciese y, sobre todo, que encriptase el dichoso archivo de marras para la próxima versión de iOS.