Archivos de Tags: Privacidad

Día mundial de la privacidad

Vía el blog de Bruce Schneier me he enterado de que hoy jueves es el día mundial de la privacidad.
De ahí puedes saltar a la Declaración de Madrid a favor de la privacidad que, si la lees pues hay de todo, pero no está mal.

Es curioso el tema de los sponsors… quien patrocina esta declaración o este día o esta iniciativa… hay empresas que no se por qué, me cuesta relacionarlas con el término privacidad!!

Bueno, cada uno mete el dinero donde quiere pero lo suyo sería que fuéramos un poco más coherentes ¿no?

Sistema de escuchas telefónicas

Tenía este apunte en la recámara desde hace tiempo y entre unas cosas y otras ahí estaba… El tema ya no es de actualidad pero os dejo el apunte:

Parece que está de moda hablar del sistema del gobierno para hacer escuchas a la telefonía móvil (SITEL).

Es un poco ingenuo pensar que hasta ahora no era posible escuchar o acceder a las conversaciones telefónicas desde equipos del gobierno con la ayuda de las operadoras… porque sin ellas no seria posible, supongo que en eso estamos todos de acuerdo.

El problema no es hacer un seguimiento en particular o escuchar y grabar lo que dice fulanito… eso es fácil y me da que está resuelto desde hace tiempo, el problema es procesar toda la información interesante que hay en el ruido de todas las conversaciones. El problema es la inteligencia, el obtener información útil de la fuente, de todo el ruido que es la telefonía móvil.

Realmente a nadie le importa, o no se puede sacar mucha información útil de lo que yo pueda estar diciendo por teléfono cuando hablo con un amigo o un familiar en una conversación estrictamente privada… Otro caso es si hablara de determinados temas más o menos sensibles, temas que pudieran afectar a la seguridad nacional…

¿Cómo saben los señores del gobierno que al que tienen que escuchar es a mi? ¿Cómo saben cuando hay que escucharme? Ese es el problema.

Los recursos son limitados y, aunque consigan grabar TODAS las conversaciones que se producen en un día… ¿Van a poder analizarlas todas? Eso es más difícil, hay que decidir a quien se escucha y/o hacer muestreos más o menos aleatorios con la esperanza de pescar a alguien.

La otra cara de la moneda.

Las personas que tienen cosas que el gobierno puede querer escuchar deberían saberlo y me da a mi que lo saben, y si lo saben, probablemente tomen las medidas oportunas para que no sea posible (o al menos no sea sencillo) que se intercepten sus comunicaciones.

Por ejemplo, existen móviles con chips criptográficos (hardware) que cifran las comunicaciones extremo a extremo… algo así como encapsular la conversación de voz en un tunel, como haríamos con los datos si usamos un tunel SSH.

Esos móviles pueden ser caros y no se pueden conseguir con puntos en tu operadora favorita. Muchas veces están controlados y, aunque tuvieras el dinero, no están a la venta.

De nuevo… la gente que tiene miedo de que el gobierno pueda estar detrás de ellos probablemente tengan el dinero y los contactos para acceder a esos teléfonos con criptografía.

Como resumen… esos sistemas de escucha que usa el gobierno no valen para escuchar a los que realmente no quieren ser escuchados… solo sirven para escuchar a los particulares o delincuentes sin medios que no pueden acceder a esos terminales con criptografía para cifrar las conversaciones… o a los que, teniendo cosas que esconder no son conscientes del riesgo.

¿Qué podemos hacer los particulares que queremos tener más tranquilidad de que no se interceptan nuestras conversaciones y, lamentablemente también los delincuentes?

Hoy en día tenemos teléfonos con potencia suficiente como para cifrar/descifrar por software las conversaciones telefónicas. A día de hoy podemos hacer llamadas mediante un smartphone que cifre la voz antes de enviarla a nuestro interlocutor que la descifrará y nos devolverá cifrada la respuesta de una forma confidencial.

Criptografía (¿simétrica?) lo suficientemente ligera como para poderla hacer en tiempo real con un teléfono más o menos normal y lo suicientemente robusta como para dificultar la escucha.

A ver si me doy una vuelta por la Internet y busco algún programa de esos… 🙂

Discurso de Obama

Via EDans y a través del blog de B. Schneier he conocido el discurso de Obama sobre la seguridad de la ciberinfraestructura.

Es interesante, un político, un presidente de un país hablando de Internet, de banda ancha para todos, de seguridad informática, … y de privacidad. Es curioso que el presidente de un país que siempre se ha caracterizado por cosas como CARNIVORE o ECHELON hable de privacidad… ¿no? 🙂

Habla de lo importante que es la seguridad de la información, el dinero que se mueve en la red, de los riesgos y de los problemas que pueden venir si no se tiene cuidado. Habla de uno de los incidentes más importantes contra sus redes – Conficker -, de la descoordinación, de infraestructuras, de terrorismo, de Al Qaeda, e incluso de la neutralidad de la red y es más, dice textualmente:

"I remain firmly committed to net neutrality so we can keep the Internet as it should be -- open and free."

Una red abierta y libre. Haz lo que digo, no lo que hago.
Increíble… ¿Se atreverían a decir eso nuestros políticos…? bueno, mejor dicho ¿se atreverían a cumplir con sus palabras si lo dijeran?

Obama ha decidido tratar su infraestructura digital, sus redes y ordenadores como activos estratégicos, ni más ni menos. La protección de su infraestructura será una prioridad nacional… básicamente como en España o como en las empresas… prioridad número uno, la protección de la seguridad de los activos de información. La palabra budget aparece alguna que otra vez… y claro, es que hablar de seguridad, de medidas de protección sin hablar de presupuesto y dólares sería estúpido.

Pero no todo son medidas técnicas, procedimientos, la NSA y otras cosas más o menos oscuras, … habla de concienciación, de educación, de enseñar a los estudiantes, de social networking, alfabetización tecnológica, … y así es como se pueden prevenir gran parte de los problemas. Educando y concienciando a los usuarios de los sistemas de información.

Terminando, merece la pena leer el discurso, ya quisiera yo escuchar a nuestro presidente o incluso a la oposición hablando de estas cosas y en estos términos… pero no, aquí las noticias relacionadas con la neutralidad tecnológica, privacidad, Internet, … son siempre para hablar de piratería, SGAE, de prácticas abusivas, chanchullos, …

¿Qué hacemos cuando nadie mira?

En el mundo real hay muchas personas que se comportan de forma diferente si piensan que nadie les mira. En función de si pensamos que nos miran o no hacemos o dejamos de hacer algunas cosas.

Alguno dirá – “no me importa que me miren, no tengo nada que esconder” – ya que es lo típico, lo que estoy harto de escuchar, pero claro, una cosa es que no tengamos nada que esconder y otra cosa es que no queramos tranquilidad para movernos sin tener a alguien encima, …

Como comenté hace unos días, el hecho es que cada vez es más difícil estar en una situación en la que no mire nadie. Lo sepamos o no, es muy probable que alguien está mirando. La privacidad está infravalorada.

Como experimento, hace unos meses monté PleaseProxy.me, un sistema de proxy anónimo a través del que, supuestamente, se puede navegar sin dejar rastros…
Evidentemente eso no es del todo cierto, cuando navegas dejas rastros, lo quieras o no los dejas en:

  • el ordenador desde el que navegas,
  • el servidor al que te conectas,
  • el proxy de tu proveedor de Internet o de tu oficina, …
  • el trayecto, posiblemente en los routers por los que pasan tus paquetes.

Con PleaseProxy.me limitas un poco el impacto en la privacidad de tu navegación pero como contrapartida (no hay nada gratis) dejas muchos de los rastros de tu navegación en PleaseProxy.me además de que tu proveedor (o en tu empresa si navegas desde la oficina) pensaré que tienes algo que esconder porque usas un proxy anónimo y el servidor al que te conectas puede denegarte el acceso por el mismo motivo.

Además los proxys anónimos no son del todo anónimos y todo depende del administrador del proxy en concreto.

Independientemente del tema del proxy y volviendo al título de este apunte, os dejo una captura de los sitios más visitados en PleaseProxy.me y cada cual que saque sus conclusiones. 🙂

Las redes sociales y el porno, eso es lo que hacemos en Internet cuando creemos que nadie mira.

Paranoia… ¿o no?

En el blog de Bruce Schneier hay una entrada para reflexionar.

No dice nada nuevo… así que debe ser por cómo lo dice pero recomiendo su lectura (aviso, la entrada es en inglés).

Básicamente expone una serie de hechos que pueden llegar a generar paranoia… ¿o no?

En el artículo habla, sin entrar en detalles de que a día de hoy vamos dejando huellas digitales en nuestra vida diaria y todo se graba.

Nuestras compras con tarjetas de débito/crédito se almacenan, nuestras operaciones con tarjetas de programas de cliente se guardan y es posible establecer patrones de compra de cada uno de nosotros, nuestras visitas a distintas tiendas on-line permiten analizar todas y cada una de nuestras búsquedas, … los chips de RFID que se empiezan a integrar en pasaportes, DNI y otras tarjetas y productos, de las cámaras que existen en las ciudades y que es posible que puedan incorporar (si no lo hacen ya, en un futuro próximo) capacidad de reconocimiento facial, reconocimiento automático de las matrículas de los coches en los aparcamientos (supongo que los habreis visto ya porque están puestos en casi todos los aparcamientos públicos), en los coches de la policía, …

Habla también de los códigos de identificación que incluyen las máquinas digitales de fotografías e impresoras que permiten identificar exactamente con qué dispositivo se ha hecho una fotografía o se ha imprimido una hoja en particular, …

No dice nada en el artículo de los teléfonos móviles de los que no nos despegamos ni un minuto a lo largo de las 24h del día y que permiten al menos a las operadoras saber exactamente dónde estamos físicamente, con quien nos comunicamos… y dónde está la persona con la que nos comunicamos.

Tampoco menciona los buscadores de Internet (Google y compañía) que conocen exactamente nuestros intereses mediante las búsquedas que realizamos, el uso de nuestros ordenadores personales queda registrado por cualquiera de las barras de herramientas gratuítas de esas que se instalan y que supuestamente nos ofrecen ayudas de seguridad para la navegación, o … evidentemente que nuestros desplazamientos físicos en el mundo real quedan siempre registrados ya sean por los billetes de avión, tren que compramos o bien cuando respostamos en cualquier gasolinera con sus cámaras de seguridad o los pagos del combustible con tarjeta, …

Las compañías de gas o luz pueden conocer los patrones de ocupación de nuestra vivienda, saber y/o preveer cuando estamos en nuestra casa, las horas, nuestros periodos vacacionales, ausencias largas, …

Las compañías de seguros (médicos y de cualquier otro tipo) conocer y preveer nuestras enfermedades, alergias o cualquier otro problema, …

Todo se graba, es posible hacer un análisis a posteriori de toda esa informacióninteligencia… pero claro ¿dónde queda la privacidad del ciudadano?

A veces me da por pensar que no se si interesa profundizar mucho en todo esto porque la mayoría de las cosas, aunque lo puedan parecer no son exageraciones futuristas y catastrofistas… son el presente y no se habla de cosas que pueden suceder sino de cosas que están sucediendo aquí y ahora.

Todo es paranoia… o no.

Copiando pasaportes RFID a distancia

Leo en The Register que ya no es una prueba de concepto, sino un hecho la posibilidad de duplicar a distancia y sin conocimiento de la víctima los pasaportes americanos con RFID.

Parece claro que la tecnología RFID es algo MUY útil y práctico para determinadas aplicaciones.

Por ejemplo, la sustitución de las etiquetas de los precios habituales de códigos de barras por etiquetas con chips RFID permitiría la instalación de arcos con dispositivos lectores en las cajas registradoras de los supermercados. Con esos dispositivos sería posible el que, con sólo pasar los carros cargados de productos por el arco, se leyeran todas las etiquetas y no haría falta descargar el carro para pasarlo por la actual cinta de la caja para que la cajera pasara los productos por el lector uno a uno.
Es evidente el ahorro en tiempo (y dinero), la eliminación de colas en los supermercados y demás… ¿no?

Otro ejemplo, en bibliotecas, almacenes de cualquier tipo, permite mantener el inventario automáticamente y de una forma precisa al poder leer qué dispositivos hay en cada momento a distancia…

La utilización principal del RFID es clara, la identificación y seguimiento rápido, cómodo, a distancia, barato, …

Esto aporta no sólo ventajas… también tiene algunos inconvenientes: la identificacién y seguimiento cómodo, a distancia barato, … sí, las ventajas son también inconvenientes en función de cómo se use la tecnología (como casi siempre).

Con esta tecnología es sencillo hacer seguimientos a personas, identificarlas sin que ellas mismas se den cuenta (algo parecido a lo que pasa en la película de Minority report). Puede desaparecer la privacidad que nos permite el podernos mover libremente sin ser vigilados… Evidentemente eso suena a paranoia pero la posibilidad y la tecnología son reales.

Es fácil, sólo hace falta que no quiten las etiquetas RFID (antirrobo) de las prendas que compramos o que llevemos el pasaporte.

Antes el problema era sólo el seguimiento al que podían someternos, un seguimiento sencillo y del que no seríamos conscientes pero ahora no es sólo eso, ahora también pueden duplicar nuestro pasaporte a distancia, desde un coche y sin que nos demos cuenta.

Se imponen las carteras, fundas de pasaporte y demás accesorios con jaulas de Faraday como ya comentaba en el apunte sobre datos biométricos en el pasaporte.

Estudio con los datos financieros de los usuarios de Mint

El sábado hablaba de la web de finanzas personales de Mint… y los riegos y la absoluta falta de privacidad de tus datos bancarios que para usar esa web debes asumir.
Siempre asumiendo que nuestros datos y nuestro dinero se quedan en su sitio, en nuestras cuentas, asumiendo que los sistemas de Mint son absolutamente seguros y nadie va a hacerse con nuestra contraseña desde donde tendría acceso a todos nuestros datos y, … ¡Uff!

Pues hoy, casualmente a través de un feed de delicio.us me entero de que Mint ha publicado una especie de estudio sobre los gastos y estadísticas de consumo de sus usuarios.
Es una barbaridadun poco fuerte… esta gente está accediendo a los datos de sus usuarios, supuestamente los anonimizan y luego hacen sus cálculos…
Esto confirma mis sospechas de la falta de privacidad de los datos bancarios de los usuarios de Mint.

Sí. Los cálculos, las gráficas y los datos son interesantes.
Mantienen (según sus propias palabras) casi el 1% de todas las finanzas personales de Estados Unidos… un buen muestreo, desde luego. Te permite saber por dónde van los tiros en esto de la crisis al menos en EEUU.

Desde España hay cosas que no dejan de llamar la atención… como el nivel medio de gasto mensual de los americanos que está alrededor de los 4100 dolares (unos 3500 euros)!! 🙂

Si me pudiera quedar alguna duda sobre el uso de Mint, estas se han despejado. A ver qué me encuentro mañana o pasado sobre esta web… miedo me da.

Actualización: Casualmente Rodrigo cuenta en su blog que ha escrito un apunte sobre finanzas personales con Money Trackin. Aun no se si en Money Trackin los datos los subes tú o también tienes que dar usuario y contraseña de tus bancos.

Finanzas personales con Mint.com

A través de este apunte de LifeHacker he conocido Mint.com, un servicio on-line de finanzas personales.

A primera vista tiene MUY buena pinta… un interfaz cuidado, muchas funcionalidades, estadísticas que te permiten saber en qué gastas el dinero, te permite fijar alertas, notas, te avisa por correo electrónico, … un poco de todo.

Así que con una cuenta de correo electrónico que tengo para registros de este tipo me doy de alta… vamos a investigar un poco más qué es esto.

Piden cuenta de correo, una contraseña, nombre, apellido y código postal ¿?.
Una vez te has dado de alta… viene la ¿sorpresa?


Te piden directamente el usuario y contraseña de cada una de las cuentas de los bancos con los que trabajas para poder entrar en tus cuentas… esto es un poco difícilse acabó la prueba.

La verdad es que la idea es buena, muy buena… ellos tienen acceso a tus cuentas bancarias, se conectan, descargan todos tus movimientos, los categorizan, hacen los cílculos, preparan los gráficos, … y tú al día siguiente tienes toda la información actualizada, sabes en qué te gastas el dinero, puedes ver si te pasas de presupuesto, como llevas los pagos, … en dos palabras: parece perfecto.

Sólo tiene un problema… tienes que meterle el usuario y contraseña para darles acceso a tus cuentas bancarias y del phising ya hablaré otro día.

Robo de credenciales en Monster

El día 23 la web de empleo Monster.com anunció que se había producido un robo de las credenciales de los usuarios de su web. No dicen cómo se ha hecho… sólo que ha pasado.

Han puesto un comunicado en su web diciendo que los datos que se han robado son: id de usuario, contraseña, dirección de correo electrónico, nombre, teléfonos y lo que ellos llaman datos demográficos pero dicen que los ladrones no han conseguido los currículums… a saber.

Una de las preguntas es… ¿Cómo es que han conseguido las contraseñas? ¿Las guardaban en claro? ¿Ni siquiera un hash? (luego el MD5 se rompe pero eso es otra historia).

Para tranquilizarnos nos dicen que en su nueva web, la seguridad es primordial… 😛

En España, quiero pensar que, un problema de estos llevaría asociada una sanción de la Agencia Española de Protección de Datos. Si se trata sólo de esos datos, supongo que estarían clasificados como de nivel bajo pero a saber qué es exactamente lo que se ha perdido.

A los que tengais vuestros datos en Monster… ya podeis correr a cambiar las contraseñas de vuestros usuarios… y eso si no compartís cuenta de correo-e/contraseñas entre Monster y otros sitios… Una práctica tan poco recomendable como habitual es la de compartir datos de registro (correo-e y contraseña) en varios/muchos/todos los sitios web.

¡A cambiar contraseñas tocan!

Datos biométricos en el pasaporte

¿Hasta dónde van a llegar para controlarnos? ¿Qué es lo que hay que proteger? ¿Dónde está el límite de la privacidad? ¿Cómo de intrusivos deben o pueden ser los sistemas de autenticación y seguridad? ¿Cuánto estamos los usuarios dispuestos a tragar? ¿Ni una protesta? ¿Nadie se queja?

La Eurocámara ha aprobado una medida que obliga a la inclusión de datos biométricos en los pasaportes.
¿Incluirá esta medida también los requisitos mínimos de seguridad que deben incluir los pasaportes para garantizar nuestra privacidad?

Tenemos dispositivos RFID y datos biométricos en los pasaportes… mala mezcla… los vendedores de carteras y fundas con jaulas de faraday se van a hartar a vender.

¿Han valorado el coste de lo que pretenden proteger y el coste de la implantación de esas medidas?

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies