El día de ayer Aljazeera publicó una editorial de activistas de EFF en la cual denuncian una licitación pública para adquirir un “Sistema de Vigilancia Técnica” para México que financiará Estados Unidos, y en la cual expresan su profunda preocupación por el ataque a la privacidad y los peligros que esto significa para los ciudadanos mexicanos:

La editorial de activistas de Electronic Frontier Foundation afirma:

En una convocatoria para recibir propuestas publicada el 27 de Abril, el US Bureau of International Narcotics and Law Enforcement Affairs otorgará un contrato para actualizar el sistema de vigilancia de 30 a 107 estaciones de monitoreo.

La noticia llega en vísperas de la aprobación de las nuevas reglas anticonstitucionales en la ley federal mexicana - revisiones que provocaron una protesta por parte de defensores de la privacidad. Las enmiendas darán a las agencias de seguridad poderes sin precedentes para triangular la localización de usuarios de teléfonos celulares, sin supervisión judicial. El Ombudsman mexicano ya presentó una acción de anticonstitucionalidad contra esta ley.

Estas nuevas reglas se llaman ley de geolocalización.

Nextgov, la fuente de esta preocupante editorial, afirma que el sistema será usado por la Secretaría de Seguridad Pública para “continuar ayudando a detener, prevenir y mitigar la comisión de crímenes federales mayores en México que incluyen el tráfico de drogas y terrorismo”.

El Departamento de Estado comprará un sistema de monitoreo que habilita “la intercepción oportuna, procesamiento, análisis y almacenamiento de comunicaciones de telefonía nacional y otros servicios de comunicación en México”.

Este es el segundo contrato que el Departamento de Estado ha financiado para explotar los sistemas de telecomunicación mexicanos. En febrero del 2007, otorgó un contrato de 2.9 millones de doláres a Verint, conocido como “sistema de intercepción de comunicaciones” para equipar otra entidad del gobierno mexicano, la AFI.

El contrato pedía a Verint que ofreciera un sistema capaz de interceptar comunicaciones por cableado o inalámbricas, así como servicios de VoIP en México con capacidad para almacenar en línea 25.000 horas de llamadas. Este sistema también fue diseñado para interceptar correos electrónicos, Internet Relay Chat y transferencia de archivos a la Agencia Federal de Investigaciones.

El presidente Obama autorizó sanciones en relación a la venta de sistemas de vigilancia a gobiernos no democráticos en abril de este año. Específicamente en relación al desastre humanitario que los sistemas de deep packet inspection de Blue Coat causaron en Siria al facilitar la localización y represión de opositores al régimen de Bashar al-Assad.

El presidente Obama declaró en su momento que:

Tenemos que hacer todo lo que podamos para prevenir y responder a este tipo de atrocidades, porque la soberanía nacional no es ninguna licencia para masacrar a tu gente. Estas tecnologías deben usarse para empoderar a los ciudadanos, no para reprimirlos.

La órden ejectiva de Obama emitida el 23 de abril de este año declara:

Yo, Barack Obama, Presidente de los Estados Unidos de América, determino que la comisión de serios abusos a los derechos humanos contra la gente de Iran y Siria por parte de sus gobiernos, facilitado por computadoras y la disrupción de redes, monitoreo y localización por parte del gobierno, y entidades implicadas en Irán y Siria, son cómplices del mal uso de la tecnología para estos propósitos y amenazan la seguridad nacional y la política internacional de los Estados Unidos.

México no es Siria…pero ¡no sé qué parte de 60000 muertos, 10000 desaparecidos, cientos de impunes asesinatos de activistas y periodistas que han convertido a México en el lugar más peligroso para ejercer el periodismo — no entiende el presidente de Estados Unidos! La guerra contra las drogas ha fracasado, pero en vez de explorar otras opciones más sensatas y más valientes que la guerra, se licita un sistema de vigilancia sin salvaguardas que eviten su abuso en contra de la población en un delicado momento de coyuntura política. Sin palabras.

EFF deja muy claro en su editorial en Aljazeera que la táctica de de financiar sistemas de vigilancia para combatir el narcotráfico ha sido probada un arma de doble filo y que ha sido abusada por los gobiernos contra su gente, específicamente en Colombia:

Los esfuerzos de Estados Unidos para detener a los narcotraficante equipando con tecnología de vigilancia a gobiernos extranjeros ha fracasado en el pasado. Por ejemplo, En Colombia, el gobierno uso el dinero americano y su equipo para perseguir oponentes políticos y activistas de derechos humanos en vez de ir detrás de narcotraficantes. El escándalo de “Las Chuzadas” explotó en tiempos de Alvaro Uribe y la agencia de inteligencia colombiana en 2009. Como resultado, el líder de la agencia de inteligencia del 2002 al 2005, Jorge Noguera, fue sentenciado a 25 años de cárcel por perseguir a activistas políticos y colaborar con los paramilitares.

En vez de utilizar el equipo que Estados Unidos dio a la DAS con los narcotraficantes, DAS lo utilizó para intervenir dispositivos y en sistemas de intercepción de llamadas para espiar a oponentes políticos, periodistas y uniones de trabajadores, e incluso, ONGs que buscaban remediar los abusos.

Katitza Rodríguez y Rebeca Bowe concluyen:

Ya sea para obtener beneficios políticos o en las manos de los organismos víctimas de la corrupción, la actualización de la capacidad de vigilancia puede ser utilizada ilegalmente y poner en peligro la provacidad y la vida de opositores y periodistas que respetan la ley, poniéndolos en peligro físico o en riesgo de muerte. Sin extrema cautela, los resultados de la vigilancia impulsada por los Estados Unidos en los esfuerzos de lucha contra las drogas puede ser la antítesis de su mandato de libertad y la democracia.

La relación de Estados Unidos y México ya no puede estar basada en guerra y vigilancia, y mucho menos en estas insultantes actitudes colonialistas. Es necesario que nos respeten y nos demos a respetar para poder decidir juntos de forma ética y democrática la forma en la cual podemos coexistir. La intercepción “legal” de comunicaciones privadas, en efecto, no tiene nada que ver con la democracia.

Que las elecciones no se conviertan en un cortina de humo para que estos asuntos no sean atendidos. El derecho a la información depende más de nuestra integridad física y de redes sanas de comunicación, que de las noticias en la televisión. #just sayin’

Finalmente, recomiendo ver este pequeño documental acerca de la intercepción (i)legal de comunicaciones privadas por parte de los gobiernos, por cierto, comunicaciones protegidas por la Constitución Mexicana.

Editorial íntegra de Aljazeera
Noticia en Nextgov

La agenda del combate al terrorismo, una vez más es responsable del ataque a la privacidad de los individuos y la soberanía de las regiones. El Parlamento Europeo aprobó el día de hoy la ley Passenger Name Record (NPR) y la cual permite compartir con el gobierno de los Estados Unidos los datos personales de pasajeros que viajan en aerolíneas que operan vuelos entre Europa y el país norteamericano.

La información que se compartirá incluye números de tarjetas de crédito, número de asiento, nombres, direccción, número telefónico, origen étnico, datos personales de salud, posiciones políticas, religión y hasta la comida que pides en la aerolínea. No vayan a ser peligrosos los vegetarianos…

El sistema aparentemente filtrará de forma automática los “datos sensibles” que permitan combatir terrorismo y crímenes transnacionales serios. Es decir, que un sistema será el encargado de calcular si una persona representa una amenaza y para identificar a ”individuos que puedan estar sujetos a interrogación o examinación más detallada”.

¿Qué puede ir mal?

Las aerolíneas ya han recopilado mucha de esta información en sus bases datos, ahora, solo serán trasladadas al Department of Homeland Security quienes almacenarán los datos por 5 años. Después de este tiempo mandatorio, los datos pasaran a una base de datos durmiente en donde los datos serán despersonalizados y solo existirán como un archivo de datos anónimos que serán retenidos por 15 años. Después de los 6 primeros meses, los datos que sean retenidos serán codificados, es decir la información personal pasará a ser una clave.

Los ciudadanos europeos que crean que sus datos esta siendo abusados, podrán pedir revisión al gobierno de Estados Unidos y además podrán pedir acceso a los datos retenidos para que sean rectificados y existirá la posibilidad de que sean borrados sí no son correctos. Sí, señores y señoras, la burocratización de la vigilancia.

La relatora de NPR del Parlamento, Sofie Veld, advirtió que esta ley permite que sea usada para otros propósitos como migración y asuntos de salud pública, señalando además que los estándares de NPR no eran aceptables para la protección de datos y certeza jurídica de los ciudadanos europeos, ultimadamente:

Algunas cosas no son negociables, tales como los derechos fundamentales.

El MEP Jan Albrecht de la fracción Verde destrozó la aprobación de NPR:

Los términos de este acuerdo son desproporcionados, y muy notoriamente la duración de los términos de retención de datos de los pasajeros, el uso de los datos para hacer perfiles de individuos y la falta de remedios legales. Estas preocupaciones, que han sido señaladas previamente en el Parlamento y confirmadas independientemente por investigaciones y fallos de las cortes de los estados miembros, ahora simplemente se pondrán debajo del tapete.

La Comisión Europea quiere continuar el acuerdo entre la UE-EUA con una un sistema de retención de datos europeo y un costoso sistema para el monitoreo electrónico de nuestras fronteras. No hay evidencia que el gran impacto de la retención de datos hace algo para lograr su objetivo de mayor seguridad. En cambio, comprometen la privacidad y libertades civiles de los ciudadanos europeos

NPR fue aprobada con 409 votos a favor y 226 en contra en el Parlamento Europeo.

Por cierto, sí la base de datos es vulnerada y los datos se publican en Pastebin…¿quiénes serán responsables?

Imagen vía GreensEFA

Respetar los datos privados de sus usuarios, tanto a través de los medios tecnológicos como a través de una política de vanguardia. Según Merrill esto significaría luchar por mantener la información de sus clientes ante cualquier intento de vigilancia externa. Una propuesta de ISP que nace como medio para combatir proyectos como CISPA.

El propio Nicholas Merrill no ha sido ajeno a los problemas sobre privacidad en la red. Merrill tenía en el 2004 un pequeño proveedor de servicios en Nueva York. Durante ese año recibió una carta del FBI (sin orden judicial) donde se le pedía que le entregara a la agencia cierta información sobre sus usuarios. Una petición que sonaba a exigencia con la que tuvo que luchar durante varios años (hasta el 2010) para evitar ofrecer los datos de sus clientes.

Con la llegada de propuestas como SOPA o ahora CISPA Merrill habló para Cnet sobre la construcción de este tipo de proveedor de servicios. Un ISP que tendrá las siguientes características:

• El cliente y su privacidad serían los dos pilares más importantes.
• Cifrado de todos los datos de navegación web y correo electrónico de manera que incluso el propio proveedor no fuera capaz de “vigilar” si lo quisiera.
• Una serie de políticas donde el proveedor no podría hacer caso a solicitudes de gobiernos sobre información privada.

Con esta serie de “reglas” Merrill explica que se podría combatir la posible llegada de proyectos como CISPA, regulación que daría derecho a gobierno y empresas a obtener los datos que quisieran amparados en el término “ciber seguridad”. Además, y según las leyes de Estados Unidos, un ISP no puede ser responsable del descifrado de datos de un cliente si no tiene las claves necesarias para hacerlo, por lo que la propuesta tiraría por tierra la obligación de ofrecer dicha información.

Merrill se encuentra en estos momentos buscando financiación y fondos para el servicio y tiene como objetivo iniciarlo a finales de este año. Una idea simple que podría resultar el mejor slogan para el futuro que parece acercarse. Un ISP cuyo principal valor y característica para sus clientes sea la “privacidad”.

La polémica sobre los niveles de privacidad y la geolocalización vuelve a estar encima de la mesa. Foursquare acaba de banear el acceso a su API a una aplicación para iOS, Girls Around Me cuyo objetivo es, expuesto de manera básica, localizar a mujeres cercanas a tu ubicación en base a la actividad pública de estas en Foursquare. La información se muestra (o se mostraba) sobre un mapa convencional y gracias a Facebook también permite conocer sus intereses, sus fotografías, su edad y toda la información que la otra persona haya decidido hacer pública.

La aplicación en sí no es nada del otro mundo, se basa en el simple acceso a una API, la correlación de esta con los datos de Facebook y a mostrarla debidamente en un mapa según tu ubicación, la idea, y sobre todo las consecuencias y las implicaciones detrás de la misma son lo realmente espeluznante. Todo surgía a raíz de un post publicado en Cult Of Mac, que rápidamente se convirtió en viral y provocó horas después el cierre por parte de Foursquare.

Lo que sí es interesante es hasta qué punto muestra el doble juego que tiene el rol de la privacidad en una red social. Porque está muy bien poner a parir a Foursquare y a Facebook sobre la privacidad en sus servicios, pero no puede uno dejar de preguntarse si realmente, aparte de las redes que no son más que simples herramientas, el problema recae en el uso de las mismas.

Es tan simple como que si vas a compartir la información sobre tu ubicación, tus intereses y cualquier otro dato más al que hubiese podido tener acceso Girls Around Me, tienes que entender lo que eso significa y aplicar el sentido común. O lo que es lo mismo, con un mínimo de cuidado por parte del usuario y unos ajustes adecuados en la privacidad la aplicación no habría mostrado absolutamente ningún resultado.

Pero la otra cara de la moneda es precisamente esa, los ajustes por parte del usuario, y donde entra en acción la parte punible por parte de Foursquare y Facebook, que las opciones de privacidad suelen ser lo más laxas posible y que por otro lado es de conocimiento general que el interés de un usuario medio por sus ajustes y las consecuencias de su actividad es técnicamente nulo.

Así que en el fondo se resume en un doble juego, uno en el que por un lado los usuarios son culpables de no aplicar el sentido común y ser consecuentes con la información vertida en las redes sociales y al mismo tiempo las redes (Facebook especialmente, Foursquare es más estricto en ese sentido) mejorar o establecer unas opciones por defecto, que son las que permanecen en el 99% de los casos más respetuosas con la privacidad del usuario.

Intentar achacar o asumir toda la responsabilidad y el peso de la privacidad a uno de los dos extremos es, a mi consideración, un error. La privacidad tiene que entenderse como la consecuencia lógica de ambas partes, una en tanto que pone las herramientas necesarias para que esta no se vea vulnerada y la otra en tanto que aplica el sentido común a las consecuencias de su actividad y es consecuente con ello.

Una de las funciones que el buscador de Google ofrece desde hace bastante tiempo, y que encuentro bastante útil, es la función de autocompletar los términos de búsqueda mientras los estamos introduciendo. Esta función, junto a Google Instant, nos permite ahorrar tiempo en nuestras búsquedas y afinar mucho más los términos que estamos usando para buscar pero, sin embargo, hay veces que la función de autocompletar puede jugar malas pasadas y llevarnos a términos excesivamente extraños. En Japón, precisamente, un hombre ha denunciado a Google a raíz de la función de autocompletar los términos de búsqueda y ha conseguido que un juez ordene a la empresa de Mountain View a desactivar dicha opción en el país.

La decisión proviene de una demanda que interpuso un ciudadano japonés contra Google porque consideraba que la función de autocompletar violaba su privacidad y le perjudicaba laboralmente puesto que si introducía su nombre en el buscador aparecían los términos se autocompletaban con hasta 10.000 combinaciones de palabras lo difamaban o lo desprestigiaban. Si bien la identidad de esta persona permanece en el anonimato y es su abogado el que ejerce de portavoz con los medios, sí que ha trascendido que al nombre del demandante se asocian términos relacionados con delitos y, por tanto, las páginas de resultados que se mostrarían estarían relacionadas con noticias y comentarios alrededor de unos delitos que otra persona con su mismo nombre habría cometido.

El caso, vinculado con el derecho al olvido que ya le ha dado a Google algún que otro quebradero de cabeza, toma como base el hecho de que esta persona ha perdido su empleo y le está siendo muy difícil encontrar uno nuevo:

Podría conducir a daños irreparables como la pérdida del trabajo o la quiebra con sólo mostrar los resultados de búsqueda que constituyen difamación o una violación de la privacidad de una persona física o empresas pequeñas y medianas empresas

Tras haber contactado con Google en varias ocasiones pidiendo una rectificación en los resultados, la compañía alegó que el procesamiento de los datos se realizaba en Mountain View y, por tanto, no estaban sujetos a la leyes vigentes en Japón; de ahí haber emprendido acciones legales que han derivado en la suspensión del servicio en el país en una decisión tomada el pasado lunes pero que, hasta ahora, Google no ha hecho efectiva alegando que está fuera de la jurisdicción de Japón.

Google, por ahora, no he realizado comentario alguno sobre este hecho pero el abogado del demandante está estudiando la posibilidad de articular una demanda por daños y perjuicios contra Google para así presionar a los de Mountain View para que ejecuten el mandamiento judicial de suspensión del servicio de autocompletar en Japón.

El caso es bastante curioso puesto que, hasta la fecha, los casos que conocíamos sí tocaban de lleno a los perjudicados (multas, embargos, etc) pero, en esta ocasión, el demandante es víctima de un daño colateral del propio proceso de indexación del buscador de Google puesto que se llama igual que otra persona que sí que ha generado “ríos de tinta virtual”. ¿Corregirá Google este hecho? ¿Llegará a suspender el servicio en Japón? Quizás podría llegarse a una situación intermedia porque la función de autocompletar, a veces, sugiere cosas muy extrañas o que rozan el mal gusto (de hecho hay hasta páginas que recogen este tipo de combinaciones extrañas).

En México no hubo ni una protesta, nadie se quejó y muy pocos fueron los que intentaron difundir la información al respecto, parecería que a los mexicanos les tiene sin cuidado la erosión de sus derechos. Pero afortunadamente, Electronic Frontier Foundation emitió un comunicado en el cual informa al mundo entero de esta deplorable ley, calificándola de “alarmante”:

Hay un potencial significante para el abuso de estos nuevos poderes. La ley ignora el hecho de que todos los teléfonos celulares transmiten datos de localización detallados de cada individuo a las operadoras, al ser almacenada en un solo lugar — en el proveedor de servicios de telecomunicación — la policía tendrá acceso a datos más precisos, comprensivos y penetrantes que jamás hubieran sido posibles de obtener con el uso de dispositivos de localización. El gobierno mexicano debe de ser más sensible ante el hecho de que las compañías de servicios móviles ahora graban huellas detalladas de nuestras vidas cotidianas.

La sensibilidad y honestidad no son unas de las características del gobierno mexicano. EFF ha señalado con anterioridad como tanto las autoridades como los criminales abusan de su poder para vulnerar los derechos y libertades de sus ciudadanos. El caso de @MareoFlores y de los llamados Tuiterroristas son solo algunos de los casos más visibles, pero no los únicos ni los más graves.

Uno de sus principales impulsores, Alejandro Martí, publicó ayer en el sitio de noticias Animal Político, una editorial en la cual aplaude su adopción y explica sus bondades desde su punto de vista. En palabras del orgullo impulsor la Ley de Geolocalización promoverá un sistema de justicia más justo y eficaz:

- Regulará legalmente un comportamiento que ya existe de facto. (Actualmente las autoridades ya acceden a información de localización geográfica sin necesidad de un proceso y de manera totalmente discrecional)
- Permitirá el bloqueo inmediato de los equipos reportados como robados o extraviados, para evitar sus utilización para fines delincuenciales.
- Obligará a que los teléfonos cuenten con una combinación de teclas de fácil acceso que permitan enviar señales de auxilio.
- Establece responsables operativos en la función de colaborar con las autoridades en la localización geográfica, es decir, sabremos quienes son los responsables de brindar la información de geolocalización de una persona.
- Contempla la geolocalización en tiempo real de llamadas telefónicas en caso de secuestro.
- Cortará señales de celular al interior de los penales para eliminar las llamadas de extorsión.

No se debería de tratar de legalizar un comportamiento ilegal de facto sino más bien de legislar para que ese comportamiento abusivo no fuera posible en lo absoluto. El ideal sería que la protección de los datos personales, los derechos humanos y la seguridad de las personas fuera un comportamiento de facto, no solapar los abusos.

EFF explica como Alemania — un país en el cual la privacidad sí es valorada por sus ciudadanos (históricamente) y la rendición de cuentas por parte del gobierno no se considera un favor sino una obligación— el político y entusiasta de la protección la privacidad, Malte Spitz, forzó a su compañía de teléfono a revelarle sus datos que retenían. El resultado fueron 35,831 datos que revelan información personal detallada: hábitos, preferencias… la forma en la que vives. El periódico alemán ZEIT, creó un mapa interactivo de la forma en la cual estas intrusivas prácticas traicionan por medio de sus propios datos a los usuarios de servicios de telecomunicación:

En México la Ley de Geolocalización sancionará a las operadoras que no entreguen la información solicitada y además tendrán la obligación de crear departamentos internos para colaborar con las autoridades. ¿Cuántos salarios mínimos de multa vale la integridad de un ciudadano y la cual, depende de sus datos personales?

El experto e investigador en seguridad y privacidad, Jacob Appelbaum, explicó claramente cual es el propósito de la retención de datos en una entrevista para ALT1040 realizada hace algunos meses:

El panorama completo de la vigilancia es la vinculación (linkability). Todos estos eventos, estos datos que se recolectan automáticamente, deben de organizarse de una forma que tengan sentido. La razón por la cuál lo hacen es para proteger estructuras de poder. La idea es que la gente en el poder se quiere quedar en el poder, en el fondo es control social y económico.

No es el caso que la vigilancia funciona igual en todos los contextos. En occidente vemos mucha de la llamada intercepción legal, por ejemplo, la máquina más común de vigilancia es tú teléfono y básicamente entre más dinero tengas mejor te vigila. Hay muchas puertas traseras (backdoors) en los teléfonos móviles.

(La idea es) creamos un dispositivo de vigilancia que accidentalmente hace llamadas. Con la retención de datos, además se convierte en un dispositivo de rastreo. Cuando haces una conexión o una llamada, todo esa información crea un log y también muchos metadatos.

El gobierno mexicano y su sistema judicial demuestran diariamente que no son confiables. ¿Estamos seguros de que esta ley no será abusada? Tan solo el día de ayer la Comisión Interamericana de los Derechos Humanos de la OEA, liberó un reporte acerca de la situación actual de los defensores de derechos humanos en Latinoamérica— las observaciones en relación a México son absolutamente devastadoras: (PDF - pág 14)

De acuerdo a la información recibida por la CIDH, los ataques provendrían de actores no estatales pertenecientes al crimen organizado, así como a sectores opositores a las causas lideradas por las defensoras y defensores, sin que las autoridades impidan los ataques, y por el contrario, de acuerdo a la información recibida, habría ocasiones en que éstas solicitarían al crimen organizado realizar el “trabajo sucio” como método para eludir su responsabilidad.

En su justificación editorial, el Sr. Martí omite el hecho de que la confianza es un algoritmo complicado que ninguna tecnología puede proveer. La Ley de Geolocalización es exactamente lo opuesto a lo que se necesita para generar un clima de justicia y legalidad en México. El caso de RENAUT no fue suficiente para los legisladores mexicanos reconocieran los riesgos que implican bases de datos masivas de datos personales y evaluaran de una forma más ética y justa, y menos moralista — las implicaciones de la aprobación de esta ley en medio del clima de violencia, corrupción y colusión que existe en México.

EFF recomienda comenzar por pedir acceso a los datos de los usuarios que retienen las compañías telefónicas:

Los datos sensibles de esta naturaleza necesitan una protección sólida, no un pase de acceso total. Los defensores de derechos humanos evaluarán todas las opciones legales para cuestionar la legalidad de esta medida. Mientras tanto,, los ciudadanos mexicanos deberían de evaluar la posibilidad de pedir acceso a sus datos personales que las operadoras retienen de acuerdo a la Ley de Protección de Datos.

La Ley de Geolocalización en México debería de ser impugnada de la misma forma en la cual se hizó con la Ley Duarte y rechazada por la ciudadanía al igual que la autoritaria Ley de Seguridad Nacional.. Existe un artículo en la Constitución, el 16, para ser más específica que valdría la pena valorar.

En el blog de Human Rights Geek del abogado Luis Fernando García, se describen las opciones que existen (no quedan muchas) para que se inicie una controversia constitucional contra esta inaceptable y anti-democrática ley. García es puntual:

No debemos ser rehenes del falso debate entre seguridad y derechos. Debemos rechazar que para obtener seguridad debemos otorgar poderes y facultades a la autoridad sin velar por que existan las salvaguardas que eviten el abuso de dichas medidas. Y no hay duda alguna de que esta nueva facultad será abusada. Simplemente existen todos los incentivos para utilizar esta herramienta de manera arbitraria.

Más información: en: La (in)constitucionalidad de la Ley de Geolocalización

El Electronic Privacy Information Center, algo asi como un centro de privacidad informática enfocado en los derechos de los ciudadanos, reveló documentos proporcionados por el Departamento de Seguridad Nacional de los Estados Unidos donde se explicita la metodología utilizada para seleccionar los mensajes a revisar en redes sociales incluyendo las palabras claves buscadas. Se destacan términos como Medios Sociales, Nieve, Subterráneo, Gripe o México.

El acceso por parte del centro de privacidad informática fue gracias a un litigio legal, en el mismo pedían que la oficina del estado revelara los métodos y técnicas utilizados para conseguir la información. Ahora que han conseguido su primer objetivo, el próximo será intentar evitar que revisen lugares “públicos” de Internet como foros, blogs o webs.

Según lo que dice el documento presentado, el Departamento de Seguridad Nacional a través de General Dynamics, subcontratada para dar soporte tecnológico, revisa los tweets y otras redes buscando Items of Interest (según sus propios términos). Aunque la mayoría de los datos personales sensibles se protegen cuando se produce la revisión, los sujetos en posiciones de riesgo por ser víctimas o posibles criminales se pueden concoer con exactitud.

En una carta al Congreso de los Estados Unidos manifestaron que claramente viola lo escrito en la primer enmienda de su constitución:

La agencia no ha demostrado fundamento legal para su programa de monitoreo de redes sociales y otros medios, el cual amenaza derechos de libertad de expresión.

La lista es muy extensa pero compartiremos los términos más relevantes:

• Los más elementales: Assassination (asesinato), Attack (ataque), Iran, Bomb (bomba), Militia (milicia), Deaths (muertes), Hostage (rehén), Gangs (pandillas), Riots (protestas), Nuclear, Toxic (tóxico), Radiation (radiación), Epidemic (epidemia), Anthrax, etc.

• Palabras de cualquier charla: Virus, Bacteria, Flu (gripe), Sick (enfermo), Airport (aeropuerto), Metro, Subway (subterráneo), Port (puerto), Dock (muelle), Delays (demora), Mexico (México), Terror, La Familia, Twister (tornado), Tsunami, Snow (nieve), Relief (alivio), Aid (ayuda), Interstate (interestatal), Social Media (medios sociales), etc.

• Términos informáticos: DDOS, Malware, Virus, Trojan, Spammer, Worms, Phishing, Rootkit, Hacker, etc

Naturalmente también se revisan las menciones a departamentos del estado estadounidense, oficinas de seguridad y otros organismos relacionados.

No sorprende que busquen términos tan conocidos por informáticos después de haber definido a los hackers como una amenaza peligrosa como el terrorismo y potencialmente peor. Seguramente viendo el listados de palabras se darán cuenta que en algún momento deben haber hecho sonar alguna alarma.

Foto: Animalnewyork, akunamatata

Hay una buena práctica que, realmente, pocos usuarios suelen aplicar a la hora de instalar una aplicación móvil en su smartphone: los términos y condiciones del servicio que, aunque sean una parrafada de verborrea legal, a veces muestran que las aplicaciones acceden a más información de la que realmente requieren. Los datos personales de los usuarios son un negocio que sirve, por ejemplo, para segmentar a los usuarios de una plataforma y ofrecer publicidad mucho más dirigida y enfocada al usuarios; un negocio bastante lucrativo para compañías como Facebook. Precisamente, según un informe publicado el Sunday Times, la aplicación móvil de Facebook podría estar accediendo a los SMS almacenados en el smartphone del usuario.

Según informa el diario británico Sunday Times y se han hecho ecos otros medios, Facebook habría admitido que accede al almacén de mensajes del smartphone de los usuarios que tienen instalada la aplicación móvil de esta red social con el objeto de preparar el lanzamiento de un nuevo sistema de mensajería. Si bien este hecho no se puede decir que sea una buena práctica o una jugada limpia por parte de Facebook, tampoco creo que sea necesario “rasgarse las vestiduras” puesto que hay muchas otras aplicaciones que tienen acceso a más datos de los que deberían, por ejemplo Flickr también accede a los mensajes al igual que Yahoo Messenger.

¿Y por qué es llamativo entonces? Parece que este tipo de situaciones comienza a ser una práctica habitual dentro del sector de las aplicaciones móviles hasta llegar al punto de detectarse aplicaciones que podrían interceptar las llamadas del usuario o permitir acceso a la cámara de fotos o vídeo del terminal.

No es cuestión de alarmarse, sino que los usuarios deberían prestar atención a los contratos (porque los términos de uso son, realmente, un contrato) a los que dan consentimiento explícito y revisar a qué tipo de datos necesita acceso la aplicación que están instalando y evaluar si, realmente, tiene lógica que deban acceder a éstos datos eso sí, por parte de los desarrolladores de las aplicaciones, también se debería fomentar la transparencia e indicar, de una manera clara, todos los datos a los que tener acceso y permisos necesarios.

En otro orden de cosas, ¿qué nuevo sistema de mensajería estará preparando Facebook?

Actualización: Ante el informe publicado por el diario británico The Sunday Times, Facebook ha lanzado un breve comunicado oficial en el que indica que los permisos requeridos por su aplicación se muestran claramente a los usuarios y, efectivamente, se accede al almacén de mensajes para integrar en éstos servicios de Facebook:

El diario The Sunday Times ha creado una teoría conspirativa bastante creativa pero la idea de que leemos en secreto los mensajes de los usuarios es ridícula. En lugar de eso, los permisos se indican claramente en la página de la aplicación dentro del Android Market y están ahí en previsión de nuevas funcionalidades que permitan a los usuarios integrar funcionalidades de Facebook dentro de sus mensajes de texto. No obstante, salvo por un grupo de pruebas bastante reducido, no hemos lanzado esta funcionalidad y, por tanto, no estamos haciendo uso de dichos permisos. En cuanto lo hagamos, obviamente, informaremos a los usuarios de lo que está pasando. Informaremos de nuestros progresos.

Por tanto, en base a este comunicado, sí que es cierto que Facebook solicita permisos para acceder al almacén de mensajes pero, por ahora, la aplicación no los está utilizando si bien llegarán nuevas funcionalidades que sí requerirán de este acceso. ¿Valdrá la pena dar acceso a nuestro almacén de mensajes para disfrutar de estas funcionalidades? ¿No debería trazarse una frontera que marque hasta dónde pueden llegar?

La famosa página de contenido adulto YouPorn ha dejado expuestas las cuentas de correo y contraseñas de más de un millón de usuarios registrados a través de su chat. Lo que en un principio parecía un hack a la web finalmente se debe al fallo de un proveedor externo que deja en una posición más que “comprometida” a sus visitantes registrados.

La primera en dar la voz de alarma fue la agencia AP, quienes no confirmaban el número de cuentas comprometidas pero sí hacían alusión a un posible ataque al famoso sitio (una de las cien páginas más vistas en todo el mundo). Luego fue Anders Nilsson, de la empresa de seguridad EuroSecure, quién escribiría que el acceso a la información superaba el millón de cuentas. Finalmente y a través de Kate Miller, portavoz de Manwin Holding (compañía propietaria de YouPorn), se informaba que no se trataba de un ataque:

El chat ha tenido un fallo en sus medidas de seguridad de los datos de los usuarios, desde entonces se ha bloqueado en espera de una investigación abierta. Mientras, YouPorn seguirá velando para que las medidas y herramientas apropiadas mantengan la seguridad en la infraestructura y con ella se mantenga segura la privacidad de sus usuarios. En estos momentos YouPorn sigue funcionando como debería.

El problema principal que nos encontramos es que tanto las cuentas de correo electrónico como las contraseñas se han hecho disponibles online. Junto a la exposición pública de muchos usuarios a ver su cuenta asociada a la página de contenido adulto existe un dato aún más grave, las contraseñas. Y es que como hemos hablado tantas veces, muchos usuarios utilizan la misma clave para varias cuentas o incluso aún peor, para sus tarjetas bancarias.

Desde Naked Security lo explican claramente:

Si su contraseña en YouPorn se conoce, los hackers podrían intentar probar la misma contraseña para su dirección de correo electrónico, su cuenta de PayPal, su cuenta en Amazon o cualquier otro espacio que se les pase por la cabeza.

Y todo porque según cuentan desde YouPorn, un fallo de programación en los registros de uno de los proveedores comenzó a hacer públicos y visibles los datos de los usuarios. Si tenemos en cuenta que YouPorn se encuentra en el número 98 del ranking de Alexa de los sitios más visitados, podemos hacernos una idea del alcance del fallo. Un incidente que, tratándose de una página de contenido adulto, adquiere un doble matiz, a la posible utilización de los hackers hay que sumarle la exposición pública como usuarios registrados.

Facebook, Google, Microsoft, Apple… la lista de gigantes que se ha visto inmerso de una manera u otra en el seguimiento y rastreo de usuarios para fines publicitarios es alargada. Meses de denuncia por parte de los usuarios que desde hace unas horas podrían haber obtenido sus resultados. La Casa Blanca ha anunciado la Consumer Privacy Bill of Rights, una propuesta lanzada por el propio Obama con la que se tratará de salvaguardar la privacidad de los usuarios en la red. Mientras, Google, Yahoo, Microsoft o AOL ya han mostrado su compromiso a trabajar en la tecnología anti-rastreo.

Los consumidores no pueden esperar más.

Esta frase, toda una declaración de intenciones, fue el inicio del slogan con el que Obama parece haber escuchado las demandas descritas durante estos meses. Nuevas normas sobre privacidad que incluirán un manual de “buenas intenciones” para la industria con el que evitar el seguimiento en web con fines publicitarios, dicho de otra forma, el famoso rastreo de los comportamientos de los consumidores en Internet (un ejemplo de esto es el último caso protagonizado por Google).

Un plan descrito a través de una carta en siete puntos muy clasificadores. Lo primero que hay que aclarar es que, aunque con forma de ley, se trataría de una propuesta destinada a orientar tanto a consumidores como a empresas sobre los límites y derechos de cada uno.

Para las empresas se detalla claramente las medidas a tomar, orientación sobre cómo utilizar la información personal y las medidas para incorporar esos principios en las regulaciones federales. También se incluye la negociación de un conjunto de prácticas sobre la protección del consumidor y su defensa de los datos personales. Se espera que estas “prácticas” tengan carácter ejecutivo por la Comisión Federal de Comercio en el país.

Evidentemente y para que esto tenga sentido las empresas deben de aceptar los términos. Por esta razón y durante varios meses se ha estado negociando la utilización de tecnología anti-rastreo en los navegadores. A día de hoy la mayoría de compañías están de acuerdo, gigantes como Google, Yahoo, Microsoft o AOL han acordado el modelo que abre las puertas a esta ley de los Derechos de Privacidad anunciada.

El modelo do not track permitirá a los consumidores a elegir si quieren o no optar por comercializar sus comportamientos o, por el contrario, prefieren bloquear el seguimiento de los anunciantes. Tras el anuncio de la administración, Jon Leibowitz, presidente de la Comisión Federal de Comercio (FTC), comentaba sobre el gran paso:

Es fantástico ver que las empresas están dando un paso adelante para nuestro desafío por proteger la privacidad y que los consumidores tengan más opciones y control sobre la forma en que se realiza un seguimiento online. Aún queda mucho por hacer, pero el trabajo que han hecho hasta ahora es muy alentador.

Y aquí vienen los siete principios anunciados por la administración, las disposiciones específicas que contienen este primer paso hacia los derechos de privacidad de los usuarios. Un comienzo de lo más alentador:

• Control individual: Este primer punto explica que los consumidores tienen derechos como consumidores a ejercer el control sobre lo que las organizaciones recopilan en torno a sus datos personales y cómo hacen uso de ellos.

• Transparencia: El epígrafe explica detalladamente que cada consumidor tiene derecho a obtener información comprensible sobre su privacidad y las prácticas que se lleven a cabo.

• Respeto de contexto: En este caso se explica que los consumidores tienen derecho a que la recogida de la información, así como sus usos y divulgación sean consistentes a un contexto propicio.

• Seguridad: Los consumidores tendrán derecho a proteger y manejar de manera responsable sus datos personales.

• Acceso y exactitud: En este punto se explica el derecho a acceder y corregir datos personales en formatos utilizables de manera que sea acorde a la sensibilidad de los propios datos y al riesgo de consecuencias adversas para los consumidores (si los datos son inexactos).

• Enfoque de datos: Los consumidores tendrán derecho a límites razonables de sus datos personales para que las empresas recojan y/o conserven los mismos.

• Cuentas: Finalmente, los consumidores tienen derecho a que los datos personales tratados por las empresas tengan las medidas adecuadas para asegurar que se adhieren a la Consumer Privacy Bill of Rights.

Estos son los siete puntos y principios con los que se espera regularizar las prácticas de seguimiento de los comportamientos de los usuarios. Una propuesta que trata de acercarse así a las tipificadas por la propia Unión Europea y que en muchas ocasiones chocaban con los ciudadanos del continente. Una legislación que esperemos sirva para exigir a las empresas transparencia a la hora de recopilar nuestros datos.

En medio de graves denuncias por irregularidad en la protección de datos en el sistema operativo de Apple para dispositivos móviles derivados del escándalo de la aplicación Path. Los legisladores del Congreso de los Estados Unidos G.K. Butterfield y Henry A. Waxman enviaron una carta a Tim Cook para que clarifique cuán seguros están los datos privados en los dispositivos iOS tiene para ello hasta el 29 de febrero.

La situación descubierta gracias a la aplicación Path sirvió para demostrar un gran bache en la seguridad de los datos de los usuarios de tabletas y teléfonos inteligentes de Apple. Arun Thampi descubrió que la aplicación estaba copiando todos los datos de la libreta de direcciones del usuario y enviándolos a los servidores de la empresa, por supuesto, sin ningún tipo de consentimiento. Algunas aplicaciones estaban accediendo a información sensible pero siempre con un mensaje de alerta que pedía autorización, los más conocidos son las solicitudes de posicionamiento y las que revisan la agenda para enviar invitaciones a contactos.

La empresa responsable por la aplicación no pidió disculpas ni dió explicaciones, simplemente agregaron el opt-in mediante una actualización. Según sus declaraciones la interacción automática entre los datos y la aplicación mejora la experiencia para el usuario especialmente en redes sociales. Los que ya instalaron la aplicación deben saber que su lista de contactos puede seguir en sus servidores.

El problema, más allá de lo realizado en la aplicación mencionada, gira en torno a los permisos que Apple otorga a desarrolladores sobre el acceso a datos sensibles de los usuarios. Parecería que son muy rigurosos en algunos elementos y totalmente permisibles en otros. Por ello, el representante del Energy and Commerce Committee junto con su par de Commerce, Manufacturing, and Trade Subcommittee prepararon el documento enviado a las oficinas de Apple en Cupertino.

Según plantean:

El incidente nos hace cuestionarnos si las políticas de desarrollo de aplicaciones de iOS de Apple se quedan cortas en lo que refiere a proteger la información de los usuarios de iPhone y sus contactos

En el mismo envio los políticos estadounidenses amablemente solicitan que el CEO de Apple responda a los siguientes puntos:

• Por favor describa todos los lineamientos para las Apps que mencionen los criterios de privacidad y seguridad relacionado con el acceso y posibilidad de transmisión de datos por las apps.

• Por favor describa cómo determina si una aplicación cumple con esos criterios

• ¿Qué considera como “información sobre el usuario” que es sujeto de aprobación previa por el usuario para ser compartida?

• ¿Cuántas aplicaciones de iOS en la tienda de iTunes en los Estados Unidos transmiten “información sobre el usuario”?

• ¿Considera que el contenido de la libreta de direcciones es “información sobre el usuario”?

• ¿Cómo protege la privacidad y seguridad de la información de los contactos en la libreta de direcciones?

• ¿Cuántas aplicaciones de iOS en la tienda de iTunes en los Estados Unidos transmiten información de la libreta de direcciones? ¿Cuántas de ellas requieren el consentimiento antes de hacerlo?

• Por favor explique porqué decidieron solicitar autorización para acceder a determinados servicios del teléfono y no para la información en la libreta de direcciones.

En lo personal debo decir que comparto el pensamiento que cierta integración con información en el teléfono mejora la experiencia del usuario, pero es bueno fijar un límite. De la misma manera que un usuario de iOS elige las apliciones que pueden usar las geolocalización, debería poder elegir a qué información puede acceder cada una de ellas. Por lo pronto, según publican en The Verge en próximas actualizaciones del iOS incluirán el requerimiento para que el usuario apruebe el acceso a esos datos.

Stop, this is a restricted area and your photograph is being taken. It will be sent for processing if you don’t leave the area now.

Alto, esta es un área reestringida y se le esta tomando una fotografía. Será enviada para ser procesada si usted no abandona el área ahora.

La persona que grabó este video vive en el conjunto habitacional en donde la cámara le ordenó alejarse.

La cámara funciona por medio de sensores de movimiento que emite alertas cuando detecta la presencia de alguien no autorizado. ¿Quién esta autorizado y quién no para caminar a través de un conjunto habitacional? ¿Cómo es que una cámara puede reconocer las intenciones de alguien? La estúpidez no tiene límite.

Según la organización Big Brother Watch, un funcionario del ayuntamiento de Camden explicó que al parecer la cámara emitió este mensaje porque se le estaba acabando la batería.

Reino Unido tiene una larga de historia de vigilancia masiva contra su población la cual ha sido resistida por años, sin embargo, es el país con más cámaras de vigilancia per cápita en el mundo. El costo social de una sociedad vigilada es alto, pero también el costo económico al cual no se le presta mucha atención aunque sea de la alucinante cantidad de £321,331,453.18 libras esterlinas.

Big Brother Watch condena fuertemente el uso de este dispositivo:

Este equipo resalta el absurdo entusiasmo por la vigilancia que prevalece en algunas autoridades de este país. La idea de que una grabación (estilo) Robocop va a detener el comportamiento antisocial y el crimen, es ridícula y una invasión total de la privacidad. ¿Quién sabía los ayuntamientos podían tomar tu fotografía simplemente porque caminas en un jardín comunal?

Es necesaria una regulación acerca del cómo y cuándo se va a utilizar este equipo. Este tipo de tecnología puede ser aceptable en un estado policial o una película de ciencia ficción, pero absolutamente no en un Reino Unido moderno.

Al parecer la administración británica no aprendió nada de las revueltas del año pasado… El sentido común es un cuento de ficción.

El video anterior muestra que la Presidente Cristina Fernández de Argentina se maravilló cuando se enteró de lo que se podía hacer con biometría y por tanto se “empecinó” en hacerlo — raro que no recordará del nombre del desafortunado proyecto al presentarlo — ya que lo considera “un salto cualitativo” y “absolutamente novedoso” que va a permitir, en sus palabras, “conocer en tiempo real quién es la persona que se encuentra enfrente de un personal de seguridad, o en cualquier otro lado, y sí es esa persona es o no esa persona”.Fernández además, considera a SIBIOS un gran paso para los derechos de la gente (!) por lo que se trasladará a “todos los recién nacidos en todos los hospitales del país” a partir del primero de enero de este año.

Desgraciadamente la paranoía, la ignorancia de quienes gobiernan y el incremento de las tecnologías de vigilancia masiva disponibles, han dado paso a que los gobiernos vulneren la privacidad de forma masiva con el argumento de la “seguridad nacional”y los “delitos”.

La Fundación Vía Libre de Argentina ha lanzado en conjunto con Electronic Frontier Foundation (EFF) una campaña de información acerca de la peligrosa (y vergonzosa en un país que sufrió una dictadura) vigilancia como política de estado que impulsa la Presidente Fernández por medio de la identificación biométrica mandatoria.

A pesar de las alabanzas que hace al sistema de identificación biométrica la Presidente Fernández, EFF señala en su comunicado que el Reino Unido desmanteló su sistema de identidad nacional hace dos años debido a la intrusión a los derechos de privacidad de sus ciudadanos. Pero al parecer, la característica más grande de quienes tienen poder, es hacer lo que no deben— y aún más, tienen una memoria histórica muy corta. El Documento de Identidad Nacional en Argentina surgió durante la dictadura militar, un hecho histórico imposible de ignorar cuando se trata de dar poderes a agencias de seguridad para cruzar referencias de información con datos biométricos. Según el post de EFF:

Ahora, el gobierno planea redimensionar esa base de datos para facilitar “acceso fácil” al integrar esos datos en un nuevo sistema integrado orientado a la seguridad. Esto aumenta el grado de vigilancia generalizada, ya que las agencias de seguridad de Argentina tendrán acceso a repositorios masivos de información de ciudadanos, y serán capaces de mejorar las capacidades de hacer reconocimiento facial y por huellas digitales con tecnologías que permitan identificar a cualquier ciudadano en cualquier lugar.

En los últimos días de 2011, la Presidente Argentina, Cristina Fernández, emitió un Decreto del Poder Ejecutivo ordenando la creación del Sistema Federal de Identificación Biométrica (SIBIOS), un nuevo servicio de identificación biométrica centralizado, con cobertura nacional, que permitirá a las agencias de seguridad hacer “referencias cruzadas” de información con datos biométricos y otros datos inicialmente recogidos con el fin de mantener la operatoria del Registro Nacional de DNI.

El SIBIOS estará completamente integrado con las bases de datos de identificación, que además de los identificadores biométricos, incluyen imagen digital, estado civil, grupo sanguíneo y otras informaciones básicas que se recolectan desde el nacimiento y a través de la vida de las personas. Además, no sólo la Policía Federal tendrá acceso a este sistema integrado. SIBIOS fue diseñado para el uso de otras fuerzas de seguridad y organismos, incluyendo la Dirección de Migraciones, la Policía Aeroportuaria y la Gendarmería Nacional, incluso estará disponible a las fuerzas policiales y entidades provinciales, a través de un Acuerdo con el Estado Nacional. Sin embargo, no ha habido discusión pública sobre las condiciones bajo las cuales los oficiales públicos tendrán acceso a los datos. Los promotores de SIBIOS argumentan que el programa facilitará la aplicación de la ley y el acceso en tiempo real a los datos de los individuos, sin embargo las precauciones mínimas usadas para prevenir la vigilancia masiva por parte del estado siguen siendo una incógnita.

Beatriz Busaniche, de la Fundación Vía Libre, alerta del peligro de abuso por parte del gobierno que el SIBIOS puede representar para el disenso político:

En nombre de la seguridad pública, Argentina ha impulsado políticas de vigilancia masiva incluyendo un monitoreo generalizado de los espacios públicos. La privacidad es particularmente esencial en un país que a lo largo de su historia ha tenido importantes movimientos sociales y políticos que han ganado las calles para hacer oir su voz. Es de enorme importancia que los activistas puedan permanecer anónimos en las manifestaciones públicas, en particular cuando están en desacuerdo con el gobierno. De esta manera, SIBIOS no sólo amenaza la privacidad de los ciudadanos y el derecho a la protección de sus datos personales, sino que también involucra una seria amenaza a los derechos civiles y políticos.

Lo siguiente ya lo había escrito antes en referencia a una pésima idea similar que el gobierno mexicano intentó imponer hace dos años, llamada RENAUT. Lo repito nuevamente: los datos son frágiles por la facilidad con la que pueden ser copiados. Los datos son personales, importan demasiado y los biométricos, simplemente no deberían de ser recolectados por nadie. La información esta compuesta por datos que tienen un valor para los mercados que dependen de ellos, pero también determinan integridad personal, por lo tanto su protección es fundamental. Este valor es precisamente lo que el mercado legítimo e ilegítimo utiliza para controlar, extorsionar o vigilar a la gente. También aplica a los gobiernos.

Conectados o no, todos somos afectados por la forma en la que la información se colecta, maneja, almacena y transmiten datos. Por esta razón, claro que son muy necesarias las legislaciones al respecto, pero ¿las leyes son un instrumento para oprimir, vulnerar y controlar? O, ¿un instrumento para proteger los derechos de la gente y garantizar, sobre todo, su integridad personal? Una base de datos biométricos puede ser abusada con fines políticos, puede ser hackeada con fines comerciales, puede fallar y cruzar mal los datos resultando en identificaciones erróneas con sin fin de consecuencias, por mencionar algunas. No hay sistema infalible, la identificación biométrica no es la panacea.

Privacy International se refiere a la identificación biométrica como una tecnología lejana de haberse probado segura y garante en su estudio titulado “TOUCHING BIG BROTHER: cómo la biometría fusionará la piel y las máquinas”:

…se requieren grandes cambios organizacionales para poder ser manejados (los datos biométricos). Hay muchos problemas prácticos involucrados en sus complejas y automatizadas rutinas, y al enfrentarse con excepciones, bajas de los sistemas y errores de la base de datos. La imposición de procedimientos intrusivos de identificación cambia la naturaleza de las relaciones y transacciones entre clientes y organizaciones. Por lo menos existe la percepción, y probablemente es cierto, de que incrementan el poder de las organizaciones sobre los individuos. Los datos biométricos, mucho más que otros modelos de identificación, ponen en peligro la sensación de individualidad.

EFF no podría ser más acertado al llamar irracional a la recolección de información biométrica a esta escala. La vigilancia sistemática como política de Estado es una característica de las dictaduras. Argentina ya pasó por eso y dijeron “nunca más”. La vigilancia masiva va en sentido contrario.

ACTUALIZACION El texto íntegro de “Biometría en Argentina: la vigilancia masiva como política de estado” esta disponible en Fundación Vía Libre y en EFF.

Imágen vía leechypics

El verdadero conocimiento no está en las cosas, que son pocas, sino en encontrar las conexiones entre ellas — Daniel H. Wilson en Robopocalypse: A Novel

¿Sabes lo que Facebook sabe de ti? Probablemente estés claro sobre las políticas de privacidad de esa red social, de cómo han evolucionado con los años, pero tal vez quedes en jaque con una pregunta como esa. El siguiente vídeo echa luces sobre el asunto. Está en inglés, pero lo explico en seguida.

Vamos por partes:

• Max Schrems, austriaco, solicitó hace unos meses a Facebook una copia de todos los datos que tenía almacenado de su perfil.

• Facebook, en respuesta, le entregó un paquete con poco más de 1200 archivos PDF.

• Max indagó en tal archivo y se dedico a investigar sobre posibles violaciones a sus derechos. Entre otras cosas, encontró que Facebook lleva un registro de

  • cada ingreso y salida
  • cada mensaje y su contenido
  • likes, geolocalización, posts, pokes, amistades…
  • incluso todos los datos que él había creído eliminados

• Max recabó información similar de 22 personas, todos usuarios europeos, varios amigos entre ellos, e inició el proyecto Europe vs. Facebook con todos esos datos en línea.

El proyecto Europe vs. Facebook dice sobre los datos que

Toda persona en la Unión Europea tiene derecho a acceder a todos los datos que una compañía tiene ella o él… Después de que tuvimos respuesta de Facebook fue claro para nosotros que teníamos que publicar esa información en línea. De esta manera, queremos que Facebook sea más transparente y mostrar a cada usuario lo que Facebook sabe de nosotros.

Y agregan algo escalofriante (la cita con la que arranco el artículo tiene que ver con esto):

Hay más datos. Muchos grupos de datos que no fueron incluidos en el primer conjunto de datos enviado por Facebook. Por ejemplo, datos relacionados con la función “like”, el rastreo en otras páginas web, reconocimiento facial, vídeos, posts en los muros de otros usuarios, indicadores de la intensidad de las relaciones, etiquetas que fueron eliminadas y mucho, mucho más no revelado por Facebook.

Hace pocas semanas Mark Zuckerberg ofrecía (otra) disculpa por los errores de Facebook a la hora de tratar la privacidad de las personas. Pero Facebook y privacidad son como agua y aceite, donde no solo los datos puntuales son importantes, sino también la red de datos y metadatos y la mina de oro conocimientos en ella…

Así que de nueva cuenta, sirva este pequeño artículo para que cada quién, si así lo quiere, reflexione sobre este asunto, importante no sólo para usuarios de Facebook sino para toda la red.

BitTorrent es un protocolo P2P para el intercambio de archivos que, además de ser bastante popular, es la base de BitTorrent Inc, una compañía fundada en el año 2004 responsable del desarrollo de este protocolo y de los respectivos clientes para utilizarlo. Hoy en día, salvo que utilicemos un servicio de VPN, es muy difícil afirmar que no dejamos huella de lo que hacemos; lógicamente, esta ausencia de anonimato es algo con lo que vivimos y, más o menos, asumimos; pero una página web de Rusia ha llevado al extremo este hecho monitorizando parte de los archivos más populares de BitTorrent y recopilando las direcciones IP y los datos de los usuarios que los descargan.

YouHaveDownloaded.com, que es como se llama este sitio web, monitoriza la actividad del 20% de los archivos públicos más populares de BitTorrent y, partir de ahí, construir una base de datos con las direcciones IP de los usuarios que contiene registros de actividad de más de 51 millones de usuarios que han estado compartiendo más de cien mil torrents.

¿Y para qué desarrollar un servicio web así? ¿Quieren poner en evidencia a los usuarios y ponérselo algo más fácil a las operadoras o a las entidades que representan a la industria de los contenidos? Afortunadamente, los creadores de este sitio web, simplemente, quieren dar un toque de atención a los usuarios del servicio para que sean conscientes que toda su actividad se puede monitorizar y también a BitTorrent para que mejore la privacidad del protocolo:

Simplemente queremos recordar a la gente que Internet no es un lugar en el que puedan esperar encontrar la privacidad. Actualmente, mucha gente lo usa sin ser conscientes de la información y el rastro que dejan tras de sí; incluso los que conocen todo esto, deciden ignorarlo con demasiada frecuencia

Dado que este sitio web es una llamada de atención, los usuarios que no quieran terminar en estas listas, lógicamente, deberían poner los medios oportunos para cifrar su tráfico:

Chicos, esto es Internet y no hay privacidad. Estás sentado en la privacidad de tu hogar, haciendo clic en enlaces, leyendo noticias o viendo películas. Parece que estás solo pero hay gente lista mirando lo que haces. Miran cada movimiento que realizas. Para ellos no eres una persona, eres un objetivo, un consumidor

De todas formas, además de dejar patente el hecho de la ausencia de privacidad, los autores de este sitio web están barajando la posibilidad de desarrollar un nuevo protocolo de intercambio de archivos que vele por la privacidad de los usuarios; de hecho, algo tienen ya pensado basándose en Bitcoin pero aún están lejos de desarrollar un cliente que los usuarios puedan utilizar.

La idea es similar al funcionamiento de Bitcoin. La clave está en obtener una identidad para cada extremo que permita el anonimato del usuario y una firma digital como la del algoritmo de Bitcoin podría ayudar

Por ahora los desarrolladores están evaluando la viabilidad de su idea y, en caso que ésta sea realizable, decidirán si abordan o no el proyecto. Mientras tanto, el sitio web sigue disponible para que los usuarios reflexionen y, echando un ojo a la página y a la información publicada, la verdad es que da bastante que pensar.

Imagen: TorrentFreak

Compañías de “seguridad y vigilancia” pueden usar un smartphone para tomar fotos de ti o tus alrededores sin que lo sepas, según lo dicho por Pratap Chatterjee de la Oficina de Periodismo Investigativo (Bureau of Investigative Journalism) durante una mesa redonda en Londres, moderada por Julian Assange, uno de los fundadores de Wikileaks, quien al dato decidió “prender en fuego” la sala diciendo:

Quién tiene aquí un iPhone? Quién tiene aquí un BlackBerry? Quién aquí usa Gmail? están todos jodidos.

Por otro lado, Stefania Maurizi, una periodista de L’Espresso de Italia mostró documentos que demostrarían que este tipo de software no solo es capaz de espiar a usuarios, también puede modificar mensajes enviados o crear nuevos.

Las declaraciones simplemente avivan aún más el fuego iniciado con la revelación de Carrier IQ, un software que bien podría ser descrito como u rootkit que espía en Androids, BlackBerrys, Nokias y está instalado en 130 millones de móviles de todo el mundo.

Para hacer las cosas aún peores, resulta que Carrier IQ también está presente en iOS, aunque con un recabado de datos, aparentemente, no tan extenso.

¿Deberíamos tomarnos tan en serio nuestra privacidad o este tipo de recabado de datos? A lo primero: Sí y a medida que pase el tiempo nuestra privacidad se hará más y más importante ya que nuestros hábitos de comportamiento son cada vez más valiosos. Si el recabado de datos que mencionan en la mesa redonda de Julian Assange es capaz de identificar usuarios individuales entonces debería no solo preocuparnos, tiene que alarmarnos y tomar decisiones fuertes (como el dejar de usar dispositivos y servicios hasta estar seguros que no nos espían de esta forma).

De acuerdo a la Revista Eme-equis, el argumento del legislador priísta, José Adán Ignacio Rubí Salazar es que la medida serviría para frenar los altos índices de impunidad en que operan las bandas del crimen organizado en el país. La comunicación del Senado afirma:

La Comisión de Comunicaciones aprobó un dictamen para que las empresas concesionarias y permisionarias del servicio telefónico colaboren con la Procuraduría General de la República en el combate a delitos de secuestro, extorsión o amenaza.

La Comisión, presidida por el diputado José Adán Ignacio Rubí Salazar (PRI), avaló que en investigaciones en materia de delincuencia organizada, delitos contra la salud, secuestro, extorsión o amenazas, la autoridad judicial pueda solicitar la localización geográfica, en tiempo real, de los equipos de comunicación móvil asociados a una línea que se encuentren relacionados con algún ilícito.

El documento establece que el concesionario o permisionario del servicio de telecomunicaciones que no colabore con las autoridades se le impondrán una multa de doscientos cincuenta a dos mil quinientos días de salario mínimo.

Señala que los concesionarios de telecomunicaciones deberán bloquear de inmediato las líneas reportadas como robadas o extraviadas, y suspender el servicio para efectos de aseguramiento cuando así lo instruya la Comisión Federal de Telecomunicaciones.

En este contexto, el dictamen indica que las cárceles contarán con equipos que permitan bloquear o anular las señales de telefonía celular, de radiocomunicación, o de transmisión de datos o imagen dentro del perímetro de los centros de readaptación social.

Sin duda alguna, es deber del Estado combatir al crímen organizado pero no a costa de los derechos de los demás. Las legislaciones de vigilancia masiva que han surgido en México desde el fiasco de RENAUT, desgraciadamente carecen de legitimidad ya que los actores institucionales que lo promueven , no se han ganado la confianza de la sociedad.

En el caso de esta legislación que permitiría obtener datos de localización, no esta claro si incluye una una órden judicial, por lo cual los afectados podrían terminar siendo precisamente la sociedad a la que se pretende proteger — no aquellos a los que se pretende combatir — ya que el potencial de abuso por parte de las autoridades es mayúsculo.

El asunto de las multas por otro lado, es patético, ya que se asume que la autoridad tiene la razón y que no abusan de sus poderes — cuando hay pruebas contundentes y recientes de que no es así.

¿En qué clase de democracia se sanciona económicamente a un carrier si no da datos personales? ¿Es la extorsión legal cuando la práctica el Estado o de qué estamos hablando?

Otro punto que en realidad es motivo de preocupación grave (al menos para mí) es el hecho de que se promueva la adopción de “equipos que permitan bloquear o anular la transmisión de datos.” ¿Recuerdan cuando se apagó el internet en Egipto o el reciente fiasco de Blue Coat en Siria? ¿Qué autoridad va a garantizar que estos equipos no serán utilizados con otros propósitos? ¿Dónde se describe con detalle la clase de equipos, bajo que condiciones se operarían y cuáles son las limitaciones? ¿IFAI?

Las preguntas me sobran, desafortunadamente no existió un debate serio e informado acerca de este peligroso paso que una administración que se ha caracterizado por su autoritarismo, esta a punto de dar.

Hay varios problemas serios con esta legislación, para empezar no se discutió con la sociedad y por las implicaciones tan delicadas para la privacidad — un derecho de los individuos— debería de tener un proceso legitimizado por la confianza y la transparencia total — esto último, una obligación de las instituciones. La integridad física de gente inocente puede ponerse en peligro si los datos que darían los carriers para no ser sancionados, caen en las manos equívocadas. ¿Cuántos salarios mínimos vale la integridad de un ciudadano para el gobierno?

Es verdaderamente inaúdito e insultante que después de que en México se celebró recientemente la Conferencia Internacional de Privacidad de Datos — en donde estuvieron presentes especialistas de altísimo nivel como Christopher Soghoian y autoridades mexicanas—, ahora salgan con esta locura que en algunos países han considerado como anticonstitucional y en otros, se ha estipulado claramente que estos tipos de datos — sí es que se revelan— se hace como debe ser: con una órden judicial de por medio, no por medio de extorsiones de la autoridad, disfrazadas de multas. Y esto no me lo saco de la manga, ejemplos hay varios.

Por ejemplo, en Europa la Directiva de Retención de Datos específica que datos pueden ser almacenados para telefonía móvil y sus especificaciones para su acceso son públicas, además de estipular los procedimientos legales para la obtención de estos datos, y promoviendo con especial enfásis la mediación por medio de instituciones de protección de datos, como lo sería el IFAI en México. Esta legislación asume que los carriers deben de monitorear los geodatos de sus clientes. ¿Será? Ahí tenemos el escándalo de Carrier IQ. Me pregunto si COFETEL y el IFAI, están enterados….

Otro ejemplo, hace unas semanas la Suprema Corte de los Estados Unidos rechazó el monitoreo vía GPS en automóviles sin órden judicial. Los abogados del caso, explican que los mismos argumentos aplican para las telecomunicaciones:

La misma lógica aplica en el caso del monitoreo vía telefonía móvil y esperamos que esta decisión sea considerada en cortes que estan analizando actualmente sí el gobierno debe obtener o no, una órden judicial antes de utilzar tu teléfono como dispositivo de monitoreo.

Otro de los argumentos para declarar anticonstitucional el monitoreo vía GPS en este caso fue literalmente “el potencial para el abuso y eliminación de la privacidad”, por sí aún no queda claro.

Claro que México no es Estados Unidos (en teoría) y nuestras autoridades son infinitamente más ignorantes en materia de tecnología,datos y privacidad, lo cual abona para hacer el potencial de abuso aún más grande. Esta legislación es claramente anticonstitucional y seguramente las autoridades van a necesitar informarse y actúar (te estoy viendo IFAI) para poder garantizar que la ley sea un instrumento que proteja la integridad y derechos de los individuos y no, un instrumento de opresión, abuso y control.

En Canadá también se estan proponiéndo este tipo de deformaciones legales que presentan un gran riesgo no solo para la privacidad sino para la democracia. La diferencia es que en Canadá la sociedad esta actúando y hay una gran campaña para hacer saber a todos que no hay evidencia para argumentar que más vigilancia sistemática por parte de la autoridad, garantiza la seguridad.

Este legislación que los brillantes legisladores mexicanos estan impulsando, es claramente producto de la aberrante epidemia del lawful interception que nos legó a todos el Patriot Act. Esto no es una buena idea, mucho menos justa, tan no lo es, que existe un artículo constitucional, el número 16 para ser más exacta, que específica la inviolabilidad de las comunicaciones, y las autoridades y procedimientos involucrados con la obtención de datos privados. En ningún lado dice que se puede multar a un servicio por no cooperar.

Esta legislación ya fue aprobada por el Senado y si es aprobada también por el Pleno de los Diputados, solo necesitaría llegar al poder Ejecutivo y ser publicada en el Diario Oficial de la Nación, para que el vulnerar la privacidad dependa de que un servicio de telefonía decida pagar una multa millonaria o no.

No se porque me sorprende que esto suceda en un país que se cae a pedazos…pero aún así, que no nos engañen, no se trata de escoger entre seguridad y libertad: sin libertad, no hay seguridad.

PD: Wired recomienda últimamente usar TinFoil Hats….

Como ya dije en mi post dedicado de la ponencia de Vigilancia y Censura de Jacob Appelbaum en “The power of adhocracy” — más allá del asunto del Wikileaks — es importante no perder de vista el pensamiento del hacker californiano quien además de dominar técnicamente el tema de la seguridad y privacidad, trabaja e investiga activa y constantemente por medio del desarrollo de TOR.

Appelbaum es una persona muy informada y extremadamente lúcida que sin duda alguna (como dice mi compañero Alan Lazalde) es una de las voces más interesantes e influyentes de nuestra generación y ciertamente, con un gran potencial de inspirar a muchas más.

Jacob Appelbaum también ofreció una conferencia en #net4change [VIDEO] y al terminar su ponencia, el adorable hacker (es adorable, no exagero) me dió una pequeña entrevista mientras un grupo de documentalistas hacían fila para hablar con él acerca de hackerspaces y se preparaba una tromba de periodistas para entrevistarlo.

La Entrevista

• ALT1040 En tu conferencia hablaste acerca de la importancia de la transparencia gubernamental como requerimiento fundamental para que los gobiernos no se vuelvan peligrosos para la sociedad.

Jacob Appelbaum: Hay que comprender que un gobierno se vuelve una amenaza cuando no son transaparentes. Estoy hablando de la rendición de cuentas.

Antes no era ni siquiera una cuestión si los gobiernos podían ser peligrosos o no. Es importante recordar que históricamente mucha gente esta contenta con las cosas como estan. Como ahora. Ellos son parte del status quo y los escuchas todo el tiempo diciendo ‘todo esta bien’. Pero lo que ellos estan diciendo es ‘todo esta bien, para mí’.

Algo que nos puede ayudar a comprender los peligros que un gobierno puede presentar, es revisar la historia de la gobernabilidad y reconocer las luchas que ha tenido la humanidad para poder obtener explicaciones y una representación más directa. La forma en que Jefferson pensó la democracia en los Estados Unidos, en el fondo, es la idea de que la gente se puede sentar en la mesa.

• ALT140: Sentar a 300 millones de ciudadanos en una mesa no es posible.

Jacob: Claro, estamos lejos de eso pero el objetivo es lo importante. El ideal utópico es que aunque solamente estuvieran diez personas en la mesa, esas diez personas sean iguales.

• ALT140: ¿Cuándo o cómo se convierte el gobierno se convierte en un peligro?

Jacob: Cuando el gobierno no reconoce que el objetivo al que tenemos que llegar es al de la igualdad y los gobiernos dicen: “no, tú no eres especial, tu no puedes acceder a esta información, tú no tienes permiso de saber esto” — lo que pasa es que se fragmenta nuestra sociedad de una forma que ya hemos visto en el pasado, en donde ciertas personas tienen privilegios y permisos especiales… Estas personas son de hecho más libres que otras personas, incluso son más libres de tomar decisiones porque tienen informacional adicional que otros no.

• ALT140: Es la inversa a los derechos humanos…

Jacob: Exacto, deriva en la negación de los derechos humanos. Entonces, el Estado en sí mismo puede ser un peligro pero a la vez ofrece mucha esperanza porque el Estado no es simplemente gente e instituciones con distintos intereses. Lo que pasa es que tienen un gran poder, un poder muy especial, por lo cual cuando el Estado pide algo, la gente salta. Por ejemplo cuando una corporación es citada por el gobierno tienen la obligación legal de saltar. Pero a veces, ni siquiera reciben un citatorio (subpoena) y también saltan porque quieren quedar bien con las agencias de justicia. Entonces, uno de los principales peligros es que sin transparencia no sabes si existió algún abuso, excepto vía informantes (whistleblowing), filtraciones de documentos o cosas por el estilo.

Es de extrema importancia recordar que históricamente han existido abusos, pero aún sabiéndolo como sucede ahora, no significa necesariamente que podemos cambiarlo. Las instituciones no se han actualizado: los burócratas no son electos y se quedan toda la vida en sus puestos. Los representantes que de hecho son electos, son solo una pequeña porción de los aparatos de gobierno.

• ALT1040: Además tienes a todos los lobbies que controlan a quienes sí son electos..

Jacob: Sí pero ese es un problema de corrupción. Estoy de acuerdo en que es un grave problema pero lo que hay que pensar aquí es que no hay que demostrar porque el gobierno puede ser peligroso para la libertad, más bien, cómo es que no lo sería. ¿Qué es lo que el gobierno hace bien? Quiero verlo. Hay ejemplos positivos.

• ALT1040: ¿Cómo…?

Jacob: El departamento de bomberos. En Estados Unidos antes funcionaba estilo ‘mercado libre’ pero no funciono, existían brigadas de protección a las que les pagabas por estar asegurado y si no lo hacías, dejaban que tu casa se quemara o bien, sí le pagabas a la brigada equívocada quemaban tu casa.

El mercado libre no sirve para la protección.

(Nota:la entrevista continúa en las siguientes páginas)

En el marco de la conferencia “Internet y Cambio Democrático”, hace dos semanas se celebró en la ciudad de Estocolmo un evento paralelo en la sede de la Internet Society en Suecia, titulado “El poder de la Adhocracia”.

Adhocracia es lo opuesto a la burocracia: la ausencia de jerarquía como modelo de organización en la cual todos sus miembros tienen autoridad para tomar decisiones. El legendario libro The Future Shock de Alvin Toffler, plantea la posibilidad de las adhocracias como estructuras sociales temporales, enfocadas a resolver un problema específico para resolver un problema.

Los temas que dicha conferencia abordó se centraron en proyectos que operan bajo principios de descentralización de autoridad y la capacidad de crear alternativas para resolver problemas específicos: hacktivismo, BitCoin, Tor.

La presentación titulada “Beyond circumvention” estuvo a cargo del hacker Jacob Appelbaum, desarrollador de Tor, hacker, investigador en la Universidad de Washington y experto en seguridad — más conocido (desgraciadamente) por el acoso sistemático que el gobierno de los Estados Unidos ejerce contra los ex-colaboradores de Wikileaks. Google dió acceso al Departamento de Estado a la cuenta de Appelbaum. Twitter se fue a la corte para impedir que el gobierno pudiera accediera a sus datos.

Sí tocan a uno, nos tocan a todos dicen por ahí y por eso hay que estar todos atentos de lo que sucede con Jacob Appelbaum y toda la gente (no solo activistas, tuiteros, blogueros o protestantes, estoy hablando de seres humanos) que es perseguida por querer traer un poco de transparencia al oscuro mundo del poder. Sin embargo, me parece importante no perder de vista las ideas y el conocimiento de las personas detrás de lo que solo es noticia para algunos, y no perder la oportunidad de aprender y comprender mejor la dimensión social de estos conflictos y cómo nos afectan.

No es díficil entender por que un ciudadano como Appelbaum resulta amenazante para el status quo. La razón es que la burocracia en el poder no tolera a los ciudadanos informados. Platique muy poco con él, asistí a su conferencia y le hice una breve entrevista, pero me queda claro que Jacob es una persona informada, comprometida, congruente, pacífica, sociable y con mezcla de conocimiento técnico y claridad intelectual; que simplemente inspira mucha confianza, un concepto bastante subversivo en estos días.

Ya deben estar preguntándose el por qué hablo de confianza, cuando el tema que aquí nos interesa es la tecnología. Volviéndo a la conferencia y el concepto de la adhocracia ¿cómo podemos distribuír la autoridad entre todos, sí no existe confianza? No podemos trabajar con gente en la que no confíamos: un programador que no confía en un proyecto díficilmente puede comprometerse con una comunidad open-source, alguien que no confía en un proyecto de crowdfunding no le va dar su dinero a un desconocido, cómo puedes confíar en un sistema de vigilancia (surveillance) si no sabes cómo funciona o bien, un ciudadano que no confía en su gobierno, ¿cómo sabe que éste no abusa los sistemas que utiliza para espíar?

La información necesaria para poder tomar la decisión de confíar en alguien o algo, depende de que sepamos qué es lo que sucede. Por esto la transparencia y la rendición de cuentas son fundamentales para entender al poder y las tácticas contemporáneas para controlarlo: monitoreo y filtrado de redes, intercepción legal y los backdoors que la hacen posible, retención de datos, censura y un largo etcétera.

En realidad todo lo que dijo Jacob es importante — incluyéndo sus bromas — pero a continuación les comparto lo que me pareció más relevante acerca de su visión acerca de la censura y la vigilancia. Básicamente hay que pensar más allá de ellas y considerar todas sus aristas para poder combatirlo.

Vigilancia y Censura

El panorama completo de la vigilancia es la vinculación (linkability). Todos estos eventos, estos datos que se recolectan automáticamente, deben de organizarse de una forma que tengan sentido. La razón por la cuál lo hacen es para proteger estructuras de poder. La idea es que la gente en el poder se quiere quedar en el poder, en el fondo es control social y económico.

No es el caso que la vigilancia funciona igual en todos los contextos. El el occidente vemos mucha intercepción legal, por ejemplo, la máquina más común de vigilancia es tú teléfono y básicamente entre más dinero tengas mejor te vigila. Hay muchas puertas traseras en los teléfonos móviles.

Creamos un dispositivo de vigilancia que accidentalmente hace llamadas. Con la retención de datos, además se convierte en un dispositivo de rastreo. Cuando haces una conexión o una llamada, todo esa información crea un log y también muchos metadatos.

La vigilancia es la esencia pero la censura es el síntoma. Cuando vemos censura es que la vigilancia ha fallado.

La solución para combatir la vigilancia es la ayuda mutúa, todo depende de tus expectativas ¿En quién confías?

Intercepción Legal y backdoors

De hecho, legal e ilegal es lo mismo que bien y mal.

El problema de la intercepción legal es que se asume que la autoridad actúa siempre de buena fe, y lo que esta en juego es la privacidad y para Jacob, comprometerla técnicamente “es inaceptable, estas puertas traseras no nos darán más seguridad”. En Estados Unidos por ejemplo, se requiere que los sistemas cumplan con las específicaciones de CALEA (Communications Assistance for Law Enforcement), una ley que obliga a los prestadores de servicios de comunicación a ”cooperar con la interecepción legal de comunicaciones para efectos de aplicación de la ley, y para otros propósitos”, que en resumen significa que todo servicio o dispositivo de telecomunicaciones esten equipadas con capacidades de vigilancia para facilitar a las agencias federales a monitorear el tráfico telefónico, de internet y VoIP en tiempo real.

Todos los sistemas tienen que cumplir con los requerimentos de CALEA. Si no lo hacen, no venden. Las compañías son forzadas a convertirse en policías para hacer negocio. La gente que construye backdoors compromete toda la infraestructura vía vigilancia — lo cual puede extenderse a la censura — pero ellos no saben si tienen éxito o fallan. Hacen la infraestructura, la distribuyen y después no se enteran de nada. Las corporaciones no estan obligadas a hacer las cosas bien, son utilizadas por el estado como proxy para hacer las cosas mal. Nadie puede hablar de ello. Nada. Pero estan creando estas tecnologías y exportándolas.

Appelbaum señaló que de hecho el caso de Blue Coat es el resultado de hasta donde ha llegado la intercepción legal:

Todo esto no es acerca de otredad. Sucede en todas partes de distintas formas. Occidente construye la tecnología que usan en Medio Oriente, a ellos les gusta este software porque tienen puertas traseras.

No hay nada de bueno en construír backdoors. Siria es el ejemplo perfecto de hasta donde hemos llegado. Ellos guardan cada paquete, completo. Todo lo que haces en el internet lo guardan 6 meses. El problema de Blue Coat es fascinante porque podrían estar violando leyes. Ellos reciben hits de Siria pero no saben nada… podrían apagar las cajas pero no lo hacen. Son como vendedores de armas pero no son honestos y no lo aceptan.

Filtrar los DNS produce una realidad alterna. Y la información moldea tu realidad. Estas compañías viven en un mundo en donde hay una visión abstracta de que están ayudando a combatir el terrorismo. Pero más bien estan ayudando a matar gente que esta demandando democracia en régimenes autoritarios. Les importa el dinero más que la humanidad, estan construyéndo la tecnología necesaria para crear un Estado de Vigilancia.

Claro que todo suena a teoría de la conspiración, hasta que ves los logs.

Privacidad

Jacob describe la privacidad como una especie comprensión mútua, un acuerdo y también:

Es autonomía y poder, es agencia individual que nos permite elegir.

Para el las políticas de privacidad son un fracaso rotundo ya que se fundamentan en promesas y ”sin la habilidad técnica y social de entender como se comprometen los datos, la ley es incapaz de proteger o adaptarse”. Una opción viable es privacy by design.

Si yo utilizó un sistema que por default no revela datos acerca de mí, se mantiene la agencia y la autonomía lo cual nos empodera ya que entendemos qué es lo que estamos haciendo. No hay tal cosa como usuario estúpido. Necesitamos privacidad vía diseño para dejar de culpar al usuario. Los protocolos seguros ni siquiera utilizan la palabra protocolo. Si tu sistema no funciona de una forma que tu usuario entiende, es un desastre.

Criptografía

Para Jacob no es solamente acerca de crear herramientas y diseminar el conocimiento para ser utilizadas, sino que es aún más importante conocer las oportunidades, los peligros y necesidades locales de comunicación, en contextos específicos para poder decidir que herramientas pueden usarse y para que propósitos.

No puedes dar un consejo acerca de un contexto que no conoces, lo ideal sería hacer que los países con de alto alfabetismo tecnológico definieran que es lo que esta “OK”. Se necesita que la gente se encuentre físicamente en el contexto social para saber sí algo sirve o no, porque los aspectos tecnológicos son importantes pero lo es más el contexto social.

Todo mundo presume la criptografía como la panacéa.. La verdad es que solamente compra tiempo pero no es tiempo teórico, significa que si alguien va a tu oficina en Twitter y no les das las claves, cierran tu negocio.

Y mientras edito este post me entero del desastroso fallo de una Corte estadounidense que permitiría acceder a los datos de las cuentas de Twitter de Birgitta Jonsdottir, Rop Gonggrijp y Jacob. La ironía sobra y la justicia falta.

No puedes confíar en redes que estan construídas en núcleos podridos. Las redes median a la sociedad y las están vigilando.

TOR

Tor es esta idea de que todo lo que haces debe ser seguro por default. Privacidad desde el diseño. También esta creado bajo la idea de que no necesitas pagar por un servicio, no hay logs y no hay passwords, todo es software libre y estándares abiertos, para que otras personas puedan implementarlo y mejorarlo.

La increíble noticia es que Tor ya tiene un prototipo del TOR router:

Lo conectas, abres tu red wi-fi y todo tu tráfico se rútea automáticamente sobre la red de TOR. Nadie ve tu tráfico. Nadie te rastrea hasta tu casa. Además con este dispositivo ayudas a que crezca la red de TOR, es un relay más. Esta hecho en Debian y todo es software libre.

TOR router estará listo en aproximadamente 6 meses y su costo será de alrededor de 100 doláres.

Necesitamos gente que no sepa nada acerca de seguridad. La clave es que queremos normalizarlo, esto no es solo para hackers. Queremos que todo mundo pueda usar cosas que son lo más seguras posibles. Lo que queremos es devolver un poco de agencia a los individuos, esa es la clave.

Si Jacob Appelbaum les parece tan fascinante como a mí y además estan interesados en departamentos de bomberos, la subversiva idea de autonomía, la conflictiva relación Estados Unidos-México, hackerspaces y aprender más acerca de la postura política de este inspirador hacker, no se pierdan la entrevista que les tengo preparada la próxima semana.

Por el momento, les dejó un avance:

Cuando los gobiernos dicen: “no, tú no eres especial, tu no puedes acceder a esta información, tú no tienes permiso de saber esto” — lo que pasa es que se fragmenta nuestra sociedad de una forma que ya hemos visto en el pasado, en donde ciertas personas tienen privilegios y permisos especiales… Estas personas son de hecho más libres que otras personas, incluso son más libres de tomar decisiones porque tienen informacional adicional que otros no.

“Aunque no es fácil y nos va a tomar tiempo, debemos encontrar la forma de hacerlo de otra manera” dijó Appelbaum en algún momento de su conferencia. Parece que Jacob es de aquellos que cree que se puede cambiar el mundo, yo por mi parte, confíare en él.

Imagenes vía Wikipedia. y Geraldine Juárez.

Facebook vuelve a enfrentarse a una serie de problemas por las diferentes políticas de privacidad de datos que se aplican en la red social. No cabe duda de que esto haya mejorado mucho con los años, pero no es perfecto y muestra de ello es que la red social podría ser multada por guardar información eliminada por los usuarios.

Esta historia la protagoniza el austriaco Max Schrems, aprovechando que se encontraba en un programa de intercambio con la Universidad de Santa Clara decidió solicitar a Facebook una copia de todos los datos que tenían almacenados sobre su perfil. Los responsables de la red social atendieron la petición y esta persona recibió un disco con un total de 1200 páginas, pero algunas de ellas contenía información que había sido eliminada por el usuario.

Entre la información que fue eliminada según este usuario y recibió con en el disco se encuentran solicitudes de amistades rechazadas, comentarios eliminados del muro, fotografías en las que fue etiquetado y posteriormente eliminó la etiqueta, así como otro tipo de datos, como solicitudes de eventos o a juegos.

Viendo esto y aprovechando sus conocimientos de derecho decidió ponerse manos a la obra y realizó una lista de 22 incidentes de otros usuarios europeos y fueron presentados ante la Agencia de Protección de datos de Irlanda para pedir una auditoria, que es precisamente el punto en el que se encuentra la investigación. El comisionado deberá decidir si hay algún tipo de violación de los derechos de estos usuarios y en ese caso la red social podría ser multada por un montante de cien mil dólares, lo cual es calderilla para ellos. Max Schrems explica en una entrevista:

Descubrí que Facebook había mantenido mensajes muy personales que yo había escrito y después elimine, lo cual, de hacerse público podría ser muy perjudicial para mi reputación […] No estoy diciendo que haya nada criminal o prohibido en ellos, pero vamos a decir que, como alguien que quiere trabajar en la ley, había cosas que podría hacer prácticamente imposible para mi conseguir un trabajo.

Independientemente del contenido que haya sido eliminado por este usuario nos debemos preguntar hasta qué punto puede la red social almacenar información que haya sido eliminada por sus usuarios. Desde mi punto vista, de confirmarse todo esto, sería algo muy a tener en cuenta por todos, sobre todo si no se trata de un error. Ya que si están almacenando la información eliminada, podemos pensar también que guardan información de las cuentas que son canceladas.

¿Facebook espía a sus usuarios incluso desconectados? Sí, al menos esto lo que concluyó el hacker Nik Cubrilovic luego de revisar a detalle la nueva interfaz de programación de la red social y caer en la cuenta de que una cookie envía información de las actividades de los usuarios en todos los sitios con Facebook integrado. Días después, Facebook lanzó un pronunciamiento:

[nosotros] no rastreamos usuarios por la web… En cambio, usamos cookies con plugins sociales para personalizar contenido… ayudar a mantener y mejorar lo que hacemos… para cuestiones de seguridad… borramos o hacemos anónima esa información en un periodo de 90 días, y nunca vendemos su información.

Dicho esto, Uncrunched encontró algo que tachó de deshonestidad brutal: una solicitud de patente de Facebook para rastrear a sus usuarios en dominios ajenos, con fecha del 22 de septiembre de 2011. Específicamente, el documento inicia así:

se describe un método para rastrear información de las actividades de los usuarios de un sistema de red social mientras se encuentran otro dominio.

Como en toda patente, la lectura es extensa, engorrosa, confusa por la terminología legal sólo apta para criptoabogados, así que es fácil caer en acusaciones infundadas, superficiales o alimentadas por prejuicios (Facebook es malo, y cosas así). Lo cierto es que la evidencia contra Facebook parece abrumadora y las reacciones de molestia crecen como avalancha contra la empresa azul.

Andrew Noyes de la oficina de comunicación de Facebook escribió en el post de Uncrunched

Algunas personas han sugerido que esa solicitud es para patentar el rastreo de usuarios desconectados. Nada más lejos de la verdad.

Y cita el párrafo [0099] de la solicitud (agrego negritas):

Lo que se describe en la sección [0099] de la solicitud es el hecho de que no tienes que conectarte de nueva cuenta a Facebook en cada sitio de terceros para ver contenido social mediante el plugin. Sólo tienes que estar conectado a Facebook cuando visites el sitio… las compañías de tecnología patentan muchas ideas. Algunas de ellas llegan a convertirse en productos o características y algunas no.

Si Facebook espía a sus usuarios es algo que, obvio, la empresa siempre negará. Por el otro lado sus usuarios tienen la responsabilidad de salvaguardar en lo posible la privacidad de sus datos personales en esa y todas las redes sociales, en Internet y cualquiera de los dispositivos conectados a la red. No olvidemos que la información personal (explícita e implícita) en Internet es el petróleo que mueve una nueva economía.

Tres investigadores de Carnegie Mellon University, Alessandro Acquisti, Ralph Gross y Fred Stutzman, dieron a conocer recientemente un estudio con resultados inquietantes. Mediante la convergencia de tres tecnologías comunes hoy en día: reconocimiento facial, cómputo en la nube y redes sociales, lograron la identificación automática, a gran escala, de usuarios de Facebook tanto dentro como fuera de Internet.

El estudio lleva por nombre “Rostros en Facebook: Privacidad en la era de la realidad aumentada” (Faces of Facebook: Privacy in the Age of Augmented Reality), y consta de tres experimentos:

• Primer experimento: reconocimiento online-to-online. Los investigadores se hicieron de una cantidad no precisada de fotos de perfil de un sitio de citas por Internet, donde las identidades no son reveladas, salvo por la propia foto. Tomaron cada una de las imágenes para compararlas con las de usuarios de Facebook gracias a un software de reconocimiento facial. Ni siquiera tuvieron que conectarse a Facebook para reconocer e identificar de forma automática a una cantidad importante de las personas del sitio de citas.

• Segundo experimento: reconocimiento offline-to-online. Los investigadores lograron identificar personas (estudiantes de un campus universitario) a partir de imágenes tomadas por una webcam, que luego fueron comparadas con fotos de perfiles de usuario de Facebook. Alrededor del 30% de las personas fueron identificadas en línea.

• Tercer experimento: uso de realidad aumentada. Esto es, mezclaron datos tomados en línea como fuera de ella para identificar personas. La hipótesis fue que si una persona puede identificarse en la calle o en Internet, entonces más información puede asociarse a esa persona, información personal y sensible. En la fase de pruebas los investigadores se hicieron de los números de seguridad social (SSN) de las personas identificadas (ver imagen). Incluso desarrollaron una aplicación móvil para hacerlo en tiempo real.

Según los investigadores, tres factores posibilitan el éxito de este tipo de sistemas.

• En primer lugar la cantidad de fotografías que por sí mismas identifican a los usuarios. Aquí cabe mencionar que en 2010 fueron subidas 2.5 mil millones de imágenes cada mes por los usuarios.

• En segundo, que los usuarios usan su nombre verdadero en redes sociales: Facebook lo exhorta, Google+ lo obliga.

• Y tercero, que la tecnología de reconocimiento facial ha mejorado de forma dramática durante la última década y seguirá avanzando. Vale decir que recientemente Facebook, Apple y Google adquirieron empresas especializadas en el ramo.

Además, el estudio prueba que es posible lograr todo eso con relativamente pocos recursos, con ayuda del poder del cómputo en la nube, la vastedad de datos disponibles de las redes móviles, así como los avances en inteligencia artificial y estadística. En suma, sucede lo que los investigadores llaman la democratización de la vigilancia.

Las implicaciones son muchas y las soluciones difíciles. Los científicos lograron hacer que el solo rostro de una persona les diera acceso a datos personales, algo que ellos nombran información personalmente predecible, o PPI, que merece estudios más profundos, entre ellos claro, sobre el futuro de la privacidad. Recomiendo la lectura de la presentación que hicieron para la Black Hat de agosto pasado para mayores detalles.

Imagen: The Anti Social Media

Alemania se ha mostrado durante los últimos meses un país que cuida mucho la privacidad de sus ciudadanos, al menos en lo que al uso que se pueda dar a estos en temas relacionados con Internet. La Autoridad de Protección de Datos continua trabajando y en esta ocasión ha solicitado la eliminación del sistema de reconocimiento facial de Facebook.

El principal problema radica de que este sistema podría permitir a cualquier persona identificar a otras como demostró la Universidad Carnegie Mellon. El responsable de la anterior organización alemana ** Johannes Caspar** ha solicitado a la red social que elimine su sistema de reconocimiento facial así como todos los datos que ha recogido con esta.

Si los datos de los usuarios caen en las manos equivocadas, sería posible comparar e identificar a cualquier persona capturada en una foto tomada con un teléfono móvil. Esto no es lo más problemático, el programa se nutre de una base de datos diseñada para identificar físicamente a millones de usuarios.

Indicaba Caspar al diario Abenblatt, mostrando todas sus dudas sobre este sistema que está empleado la red social para facilitar a los usuarios las labores de etiquetado en las fotografías.

Hay que recordar que la Unión Europea inició el mes pasado un proceso legal contra Facebook por violaciones de la privacidad. En dicho proceso los responsables de la red social tienen de plazo hasta el próximo día 11 de agosto para ofrecer su versión de los hechos. Probablemente la red social de Mark Zuckerberg no realice ninguna modificación en el sistema y por supuesto no lo eliminará hasta que se cumpla esa fecha. Posteriormente si el proceso judicial lo requiere es probable que tengan que hacer modificaciones, si no se quieren enfrentar a los pagos de importantes multas por violación de privacidad.

No sé qué opinión tendréis vosotros, queridos lectores, pero si nos paramos a pensar la gran base de datos que está consiguiendo Facebook con todos los datos que les estamos dando es increíble y ahora le tenemos que sumar los perfiles biométricos que están creado gracias a esta características. Simplemente recordar que la red social cuenta en la actualidad con más de 75 mil millones de imágenes subidas a sus servidores, una cantidad de información impresionante.

Vía: Bitelia

Parece que los suecos de Spotify acaban de meterse en un buen lío, según una investigación realizada por la Universidad de Berkeley la compañía habría estado usando una cookie cuya particularidad consiste en que no puede ser borrada, con la consiguiente amenaza que esto supone para el usuario. Sigue funcionando incluso si este tiene actividada la opción de no permitir cookies en su ordenador e incluso si este está con el modo privacidad activado que ya incluyen muchos navegadores como Firefox o Google Chrome, ocurra lo que ocurra y estén activas las opciones que estén activas no se puede evitar que se instale, es más, si intentamos borrarla se vuelve a regenerar en una especie de juego de whack-a-mole siniestro.

La cookie en cuestión parece que les ha sido proporcionada por KISSmetrics, una compañía cuyas tácticas sucias ya han sido puestas en entredicho y que también presta servicios a gigantes de internet tales como Hulu, que dicho sea de paso también hace uso de la cookie en cuestión. Según el email de un investigador de seguridad a Wired básicamente lo que hace es utilizar toda una serie de artimañas y puertas de seguridad para evitar ser bloqueados por todos los métodos más populares de bloqueo antitracking, haciendo seguimiento del usuario incluso si este no quiere.

De momento la respuesta de la compañía ha sido fulminante en cuanto a dejar de usar la cookie maldita (como si les quedase otra posible solución) y están trabajando para averiguar hasta qué punto está implicada KISSmetrics en el asunto, algo que huele mucho a cargarle el muerto a otro, incluso aunque este otro sea igual o más responsable que la propia Spotify; la respuesta de Hulu también ha sido similar. Desconozco si ambas compañías desconocían el uso de las cookies que empleaba KISSmetrics, aunque de ser así y en desconocimiento de sus clientes es probable que en estos momento estén llamando a todos sus abogados para hacer frente a la demanda que se les avecina.

¿Cuál es el objetivo de una cookie que no se puede borrar? A efectos de rastreo puede ser bastante nefasto, por ejemplo, si un visitante entra en Hulu o hace uso de Spotify, la cookie proporcionada por KISSmetrics se instalaría y le daría al usuario un ID concreto que podría usar Hulu para sus propios fines, en cuanto ese visitante entra en otro sitio que hace uso del mismo servicio la cookie obtendría la misma ID lo que hace potencialmente posible que dos compañías o incluso la propia KISSmetrics compartan o utilicen información privilegiada del usuario que no sólo este no ha autorizado sino para la que se ha protegido incluyendo métodos como el bloqueo de cookies. De momento está todo en el aire y la compañía acaba de pronunciarse al respecto, habrá que ir viendo hasta qué punto llega la invasión de privacidad y ver cómo sale Spotify del atolladero.

Actualización (2 de Agosto):

Actualización (fecha): Hemos intentado hablar con el representante de Spotify en España, Lutz Emmerich y no ha sido posible por estar de vacaciones. Cuando preguntamos a Spotify sobre el tema nos dicen que sólo pueden decir lo siguiente:

“We take the privacy of our users incredibly seriously and are concerned by this report. As a result, we have taken immediate action in suspending our use of KISSmetrics whilst the situation is investigated.”

Por nuestra parte, haremos un seguimiento del tema y seguiremos informando

Puede que sea únicamente una sensación personal, pero tengo la impresión de que últimamente a Facebook no le está saliendo nada de lo que hace. Hace unas semanas, tras el brillante lanzamiento de Google+, la compañía anunció que a la semana siguiente iban a realizar una gran presentación con una gran novedad, la expectación levantada fue bastante grande y recuerdo que en el streaming oficial, cuando todavía quedaba como una hora antes de que comenzase la presentación había como unos 30.000 usuarios esperando pacientes. Así que hype había, y mucho. La pobre respuesta de Facebook fue un rediseño ligero de la apariencia, un nuevo chat (que se ha convertido en algo de lo más odiado por muchos usuarios al ser intrusivo y aparatoso) y por último un servicio de videollamada en alianza con Skype, que no es que sea malo, pero que no tiene nada que hacer por ejemplo contra las Quedadas de Google+, mucho más dinámicas y sobre todo mucho más sociales, ya no estamos en 2007.

Estos son cinco motivos por los que creo que Facebook está llegando a esta situación y que creo que la compañía debería cambiar cuanto antes:

• No está escuchando a sus usuarios: Si a tus usuarios no les gusta una nueva funcionalidad que has incorporado, plantéate que a lo mejor algo estás haciendo mal y que a lo mejor lo tienes que cambiar. Las peticiones de videollamada por ejemplo llevaban también largo tiempo sin ser atendidas (lo concreto esto un par de puntos más abajo) y al final llegaron tarde y mal, pasó lo mismo con mejor control de la privacidad, de las dichosas notificaciones de Farmville y de muchas otras funciones que pese a ser bastante demandadas no parecen tener respuesta por parte de la compañía. Una red social se debe a sus usuarios, y a veces Zuckerberg se comporta como si él siempre supiese lo que les conviene, cuando no tiene por qué ser necesariamente así.

• La clave está en el control de lo que publicas: Siento decirlo, pero la gestión de la privacidad es para frikis, para los geeks que llevamos largo tiempo criticando las pésimas opciones para controlar lo compartido que siempre ha tenido Facebook. Y es que el 70% de los usuarios de la red social jamás han tocado las opciones de privacidad ¿A qué se debe entonces el abrumador éxito de Google+? ¿A la gestión de la privacidad? No, creo que más bien se debe al control sobre lo publicado, los usuarios no quieren perderse en las complejas opciones de privacidad de Facebook, que además son incompletas, ni en su manera de gestionar listas, quieren hacer unos cuantos grupos, meter a sus amigos ahí (algo que Google resolvió de manera magistral con Circles) y empezar a compartir con un control sobre ese contenido, nada más, nada menos. En Google+ tengo sensación de seguridad, sé incluso gracias a un pequeño menú, las personas exactas que lo han visto, echo de menos algo así.

• No está observando a la competencia: Google+ no lleva apenas un mes en funcionamiento (y encima en beta cerrada) y según algunas estimaciones ya supera los 20 millones de usuarios, aún está lejos de la trayectoria tan larga que lleva Facebook y de sus 700 millones, pero yo en su lugar no me descuidaría por que es posible que dentro de poco al mirar por el retrovisor los de Zuckerberg vean a los chicos de Google pidiendo paso para adelantar. La competencia parte además de la ventaja de que gran parte del camino que ha recorrido Facebook todos estos años lo ha recorrido solo, o casi solo, y ahora está preparada para aprender de los errores de este, para no volver a cometerlos y para atacar justo donde más duele.

• Se está volviendo lento a la hora de incluir funcionalidades: Era algo que comentaba antes ¿Videollamada bidireccional? ¿De verdad Facebook? Lleva Skype con lo mismo varios años, Apple intentando meterlo con calzador con FaceTime entre los Macs y los dispositivos iOS y ahora de repente tú intentas triunfar con una tecnología y una manera de entenderla que es como poco del 2006. Las Quedadas de Google son el mejor ejemplo de una función (videollamada) pero resuelta desde una perspectiva social, de compartir momentos, entre múltiples personas, lo más parecido a una reunión informal de amigos pero trasladado a una red social ¿Tan difícil es? Eso por no hablar de Places, un fracaso estrepitoso y de las direcciones de correo de Facebook, que van camino de ser otro tanto. Son funciones que o bien ya están controladas por otra red (en el caso de Places es Foursquare) o que bien ya resultan demasiado atrasadas ¡Como en el caso de videollamada à la Skype y la dirección de correo electrónico, como si no hubiese oferta suficiente!

• Es demasiado complejo: Una de las cosas que me gustan de Twitter, y en menor medida pero también de Google+ es que son sencillos, interfaces limpias y despejadas, funciones suficientes pero concretas, opciones visibles y configurables sin demasiados conocimientos. Facebook es la antítesis de todo eso, con el tiempo te acostumbras y aprendes a quererla tal y como es, que se suele decir, pero estoy convencido de que tiene que haber alguna manera de organizar todas esas funciones de manera más intuitiva. Las preferencias son lo más enrevesado que se puede encontrar, para compartir un enlace en el muro te pide un captcha, cuando rechazamos una solicitud de amistad no lo hacemos de manera frontal sino que se queda en ‘Responder en otro momento’ … todo eso sobra, funciones claras, concretas, usables.

No sé si seré el único con la sensación de que Facebook tiene que ponerse las pilas, pero lo que cada vez me empieza a parecer más innegable es que quien sí se está poniendo a tope es la competencia, y más le vale a la compañía volver a coger impulso y no descuidarse ni un segundo, que no sería la primera vez en la que cae un grande, el rey destronado, si no que se lo digan a MySpace.