miércoles, 21 de noviembre de 2018

SI USAS PROTONMAIL, GOOGLE ESTÁ LEYENDO IGUALMENTE TUS CORREOS A TRAVÉS DE CHROME


          Existen otros servidores de correo alternativos, como ProtonMail, que ofrecen al usuario una seguridad y una privacidad superior para sus comunicaciones. Sin embargo, aunque usemos este servidor de correo, nuestra privacidad no es infalible, sino que igualmente puede verse comprometida por el simple hecho de estar utilizando Google Chrome.

   Google, Gmail, Google Chrome, Android… todos los productos de Google recopilan datos de sus usuarios, datos que se utilizan con fines comerciales (por ejemplo, para conocer sus gustos e intereses y poder enfocar la publicidad a ellos). Lo que seguramente no sepamos es lo agresivo que es este control por parte de Google que es capaz de leer hasta los mensajes de correo que enviamos o recibimos a través de servidores seguros como ProtonMail.

   Aparecía en Reddit un hilo en el que una pareja de usuarios contaba cómo se habían enviado un correo el uno al otro y el destinatario, al leerlo, veía cómo muchas de las frases no tenían mucho sentido.
   Tras comprobar que el correo se había escrito y enviado correctamente, ambos empezaron a investigar a ver por qué el destinatario lo veía de manera diferente, y finalmente descubrieron que la culpa era del navegador, Google Chrome. Como podemos ver, la función de sugerir automáticamente traducciones de un lenguaje diferente al nuestro estaba haciendo de las suyas, leyendo todo el mensaje (y, por lo tanto, enviándolo a los propios servidores de Google) para, después, traducirlo del francés al inglés, y de ahí de nuevo al francés.

   Esto demuestra, una vez más, que todo lo que aparece en pantalla desde Google Chrome es enviado a los servidores de Google, ya sean las búsquedas del navegador como un correo que hemos enviado desde una plataforma que promete comunicaciones seguras como es el caso de ProtonMail.

ProtonMail lo tiene claro: si te preocupa la privacidad no te acerques a Google Chrome

   Está claro que este no es un problema de ProtonMail, sino de Google Chrome. En Twitter no pasó mucho tiempo hasta que este hecho se dio a conocer, y tampoco hasta que algunos usuarios pidieron explicaciones a los responsables de ProtonMail.

   Aquí, el servidor de correo electrónico privado dejó clara su postura diciendo que si te asusta el hecho de que Google lea los correos que mandas a través de su servidor, lo mejor que puedes hacer es no usar Chrome.

    If you are worried about this, don't use Chrome (or other Google products for that matter).

    — ProtonMail (@ProtonMail) November 20, 2018


   Actualmente existen alternativas a todos los servicios de Google mucho más privadas. ProtonMail, por ejemplo, sería una alternativa a Gmail para enviar correos electrónicos privados, pero también tenemos otras como Firefox o Ungoogled Chromium como alternativa a Chrome, LinegaeOS como alternativa a Android sin Google o StartPage y DuckDuckGo como alternativa al propio buscador de Google.

Fuente: RedesZone

GOOGLE QUIERE PONER CÁMARAS Y MICRÓFONOS EN TU CASA PARA RECOGER DATOS



     Google recopila información de todo tipo sobre nosotros, como Facebook, y sobre estos datos estructura su negocio de publicidad personalizada. A mayor segmentación, mayor ingreso por anuncio. Así que cada vez van más allá estas dos y otras tantas compañías dedicadas a lo mismo. Pero lo próximo que trama Google es llamativo, a la vez que inquietante, porque han registrado un par de patentes relacionadas con el hogar, para ‘escanear el entorno’ y llevar a cabo escuchas.

   De un registro de patente tecnológica, a una tecnología aplicada a nivel comercial, hay un paso. En cualquier caso, la compañía de Mountain View ha previsto dispositivos que se dediquen al escáner y análisis del entorno, en el ámbito del hogar, para la confección de publicidad basada precisamente en ello. Cámaras inteligentes domésticas que pueda, por ejemplo, reconocer la cara de Will Smith en una camiseta, en nuestro armario, y que puedan cruzar esta información con nuestro historial de búsquedas en Internet –por ejemplo- para decirle al usuario, en voz alta: ‘Parece que te gusta Will Smith ¿sabes que hay una nueva película suya en un cine cerca de ti?

LOS PARTIDOS POLÍTICOS 'ESPIARÁN' LOS DATOS PERSONALES DE LOS CIUDADANOS PARA CAPTAR VOTOS


             Al uso comercial de datos personales on line por parte de empresas se suman ahora los partidos políticos. El Senado ratifica la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales -ya votada en el Congreso-, que blinda a los partidos para "utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral".

   Las formaciones políticas han aprovechado la tramitación en el Congreso y Senado de esta Ley Orgánica para modificar la ley electoral y dar luz verde a la "recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales" y que "se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas". Además, los partidos han establecido que el envío de propaganda electoral "no tendrá la consideración de actividad o comunicación comercial".

   Este uso de datos personales de la ciudadanía por parte de los políticos no estaba contemplado en la propuesta del Gobierno -que es quien planteó la iniciativa-, pero el PSOE presentó una enmienda con este contenido. Fue avalado por todos los partidos. El dictamen de la ley fue aprobado por unanimidad en el Congreso y ninguna formación ha puesto objeciones a esta práctica. Los socialistas justificaron esta práctica con la necesidad de "adecuar el Reglamento a las especificidades nacionales y establecer salvaguardas para impedir casos como el que vincula a Cambridge Analytica con el uso ilícito de datos de 50 millones de usuarios de Facebook para mercadotecnia electoral".

   Y es que, como ratifican los expertos en campañas electorales consultados por este diario, los partidos políticos ya usan estos datos, lo que hacen ahora es regularlo, blindarse para evitar posible problemas o denuncias.

Enlace a la Ley Orgánica: Ley Orgánica de Protección de datos
Fuente: El Mundo



INSTAGRAM Y FACEBOOK RASTREARÁN TU CUENTA PARA SABER CON QUIÉN VIVES Y ENVIAR ANUNCIOS DIRIGIDOS


             Ya sabemos que nuestros datos son muy valiosos en Internet. Las empresas buscan obtener información para posteriormente enviar anuncios relacionados a los usuarios. Buscan estos datos para acertar con productos que realmente interesen.
   Instagram y Facebook van a hacer algo así, después de obtener información sobre las personas con las que vivimos. Se trata de una patente creada por Facebook con el objetivo de utilizar la tecnología para averiguar quiénes son nuestra familia y otros miembros del hogar. El objetivo, lo que hemos comentado: poder enviar publicidad dirigida.

   Hay que mencionar que esta patente se desarrolló hace un año, aunque ha sido pública ahora. Pero, ¿cómo podría saber Facebook con quién vivimos? Para ello va a utilizar el reconocimiento facial, así como diferentes modelos para encontrar palabras o etiquetas en las fotos. Algo exactamente igual pasaría en Instagram.

Diferentes parámetros a tener en cuenta

   Esta tecnología va a tener en cuenta el número de veces que salimos con esas personas, así como diferentes etiquetas que podamos poner: #Familia #Casa… Lo que buscan con esto es identificar a las personas con las que vivimos. Pero además, también rastreará información del dispositivo, así como la dirección IP utilizada de manera colectiva.

   Aunque la idea de esta patente es obtener más datos para poder dirigir publicidad a los usuarios, está claro que muchos podrían ver reducida su privacidad. A fin de cuentas, estas redes sociales cada vez obtienen más información sobre nuestro día a día. Saben dónde nos conectamos, con qué dispositivo, con qué frecuencia…

MICROSOFT RECOPILA DATOS A GRAN ESCALA SOBRE EL USO INDIVIDUAL DE WORD, EXCEL, POWERPOINT Y OUTLOOK


        Según dice la organización Privacycampany.eu, que lucha por la privacidad de los usuarios, Microsoft recopila datos a gran escala del uso de su suite ofimática:

"Microsoft recopila sistemáticamente datos a gran escala sobre el uso individual de Word, Excel, PowerPoint y Outlook. De forma encubierta, sin informar a la gente. Microsoft no ofrece ninguna opción con respecto a la cantidad de datos, ni la posibilidad de desactivar la recopilación, ni la capacidad de ver qué datos se recopilan, porque el flujo de datos está codificado. Al igual que en Windows 10, Microsoft ha incluido software separado en el software de Office que envía regularmente datos de telemetría a sus propios servidores en los Estados Unidos. Por ejemplo, Microsoft recopila información sobre eventos en Word, cuando se utiliza la tecla de retroceso varias veces seguidas, lo que probablemente significa que no se conoce la ortografía correcta. Pero también la frase antes y después de una palabra que se busca en el corrector ortográfico en línea o en el servicio de traducción. Microsoft no sólo recopila los datos de uso a través del cliente de telemetría incorporado, sino que también registra y almacena el uso individual de los Servicios conectados. Por ejemplo, si los usuarios acceden a un servicio conectado como el servicio de traducción a través del software de Office, Microsoft puede almacenar los datos personales sobre este uso en los llamados registros de eventos generados por el sistema."

  Pero hay más..

lunes, 5 de noviembre de 2018

NUEVAS TÉCNICAS CON LAS QUE PODRÍAN RECOPILAR TU HISTORIAL DE NAVEGACIÓN


         Ya sabemos el gran valor de los datos en Internet. Hoy vamos a hablar de nuevas técnicas que pueden utilizar los ciberdelincuentes para averiguar qué sitios visitan los usuarios y obtener el historial de navegación. Un nuevo informe realizado por investigadores de seguridad de la Universidad de San Diego ha mostrado nuevos ataques a través de los cuales los ciberdelincuentes podrían recopilar el historial de navegación de los usuarios.

   Todos estos ataques que los investigadores desarrollaron en su documento funcionaron en Google Chrome. Dos de los ataques también funcionaron en una variedad de otros navegadores, como Mozilla Firefox o Microsoft Edge. Eso sí, el único navegador que se mostró inmune a todos los ataques ha sido el navegador Tor, que no guarda un registro del historial de navegación.
   Los investigadores esperan que gracias a su informe los desarrolladores tomen nota y mejoren los navegadores. La idea es sumar para hacer que este tipo de software tan utilizado sean más seguros.

   Un ciberdelincuente puede tener especial interés en recopilar el historial de navegación de la víctima. Esto es así ya que puede aprender sobre cómo utiliza la red, qué páginas visita, qué plataformas y servicios usa, etc. Posteriormente pueden realizar ataques phishing según esta información. Puede determinar si tenemos cuenta en un banco concreto, por ejemplo.
   Los ataques que los investigadores desarrollaron, en forma de código JavaScript, hacen que los navegadores se comporten de manera diferente según si un sitio web ha sido visitado o no. El código puede observar estas diferencias. Un ejemplo es el tiempo que tarda una operación en ejecutarse o la forma en que se maneja un determinado elemento gráfico para recopilar el historial de navegación.

   Para diseñar los ataques, los investigadores explotaron características que les permiten a los programadores personalizar la apariencia de su página web, controlando fuentes, colores, fondos… Para ello utilizan CSS, así como un caché destinado a mejorar el rendimiento del código web.
  En total han sido cuatro ataques desarrollados por los investigadores. Todos ellos aprovechan características recientes de los navegadores. Funciones que permiten que, por ejemplo, una página web proporcione código personalizado gracias a una característica de Chrome que se llama CSS Pain API y que sirve para pintar.
   Pero descubrieron hasta otros tres tipos de ataques que podrían afectar a los principales navegadores. Todos ellos relacionados con nuevas funciones de los mismos.

   La mejor manera de prevenir este tipo de ataques es mantener actualizados nuestros sistemas. En ocasiones surgen vulnerabilidades que son utilizadas por parte de los ciberdelincuentes. Los desarrolladores lanzan parches de seguridad para evitar estos problemas. También, como hemos mencionado, hay algunos navegadores especializados en la privacidad, como es el caso de Tor, en el que estos métodos no tienen efecto.

Fuente: RedesZone


A LA VENTA, MENSAJES PRIVADOS DE 81.000 USUARIOS DE FACEBOOK


               Según Facebook, la culpa no es suya, y los datos se podrían haber robado a través de extensiones de navegador maliciosas. Sea como fuere, ahora mismo hay a la venta mensajes privados de nada menos que 81.000 usuarios de la red social de Mark Zuckerberg. Y quienes han puesto a la venta esta información privada aseguran que tienen detalles de un total de 120 millones de cuentas de usuarios de Facebook. Es decir, que solo están vendiendo ‘un paquete’, de todo lo que tienen disponible en bases de datos.

   Hay información privada de usuarios de todo el mundo en este ‘paquete’ que está a la venta, aunque la mayoría de ellos son de Ucrania y Rusia; otra parte importante son de Reino Unido, Estados Unidos, Brasil y, como decíamos, muchos otros países de todo el mundo. Los hackers, según el anuncio, venden el acceso a cada cuenta y sus mensajes privados a un precio de 10 centavos –por cada una, claro-. Y desde Facebook, como anticipábamos, han asegurado que el robo no se lo han hecho a ellos de forma directa. Por eso, desde la red social dicen que ‘han contactado con los principales navegadores’ para asegurarse de que no estén ya disponibles ‘extensiones maliciosas conocidas’.

   En septiembre de este año fue cuando, por primera vez, se vio un anuncio relacionado con esta importante filtración de datos de usuarios de la red social. Un usuario publicó, en un foro en inglés, el correspondiente mensaje asegurando que ‘venden información personal de usuarios de Facebook, una base de datos que incluye 120 millones de cuentas de la red social’. Y en estas bases de datos, según ha confirmado una empresa de seguridad informática, hay mensajes privados de más de 81.000 perfiles de usuario que están activos en la red social. Además, algunas de las víctimas han confirmado la veracidad de la información.
   Aunque esta filtración masiva de datos podría no ser ‘culpa’ de la red social, lo cierto es que ha sido un año complicado para Facebook. Que ha tenido que enfrentarse a su brecha de seguridad más importante a lo largo de su historia, y al polémico escándalo de Cambridge Analytica.

Fuente: ADSLZone



LOS SMS PUEDEN GEOLOCALIZARTE


         Todas sabemos que gracias al GPS y la conectividad constante de nuestros aparatos de telefonía móvil es fácil monitorizar nuestra ubicación, hemos visto por televisión como la policía puede triangular la posición de un dispositivo en un momento concreto del pasado gracias a la información suministrada por la compañía operadora y la posición de antenas cercanas en ese momento con una precisión bastante cuidada, también sabemos que con un móvil en el bolsillo es misión imposible el anonimato.
   Lo que quizás no tanta gente sabe es que con un simple mensaje de texto SMS, la policía también puede saber información de ti en tiempo real. Para lograr esto se utiliza un mensaje silencioso conocido como Silent SMS o Ping SMS aunque técnicamente es conociendo como mensajes de tipo 0, un sistema que ya se utiliza hace años y que se basa en una característica técnica de GSM que dice : "el teléfono al que se envía acusará recibo del mensaje corto pero puede descartar su contenido". En otras palabras, que es posible enviar un mensaje que el destinatario no recibirá ninguna notificación ni advertencia visual o sonora ni será visible en la su buzón de entrada.

   De entrada con el acuse de recibo la policía puede saber que tu móvil está encendido, hay datos sobre que las oficinas de investigación criminal alemanas enviaron al 2010 440.000 sms silenciosos esto quiere decir que es una técnica que se utiliza menudo.

¿Cómo funciona?

   Una entrega de un mensaje 0 actualizará la base de datos de la central local (Centro de conmutación móvil o VMSC) con la información actualizada del cliente en ese momento. El VMSC conoce el área aproximada a la que se encuentra el teléfono móvil, si el teléfono se mueve a otra área informará obligatoriamente con lo que se conoce como última área de ubicación. Cuando recibe una llamada o SMS al móvil también se recibe información de la comunicación y ésta se guarda en una base de datos del VMSC. 
   De esta manera la policía con un envío constante de SMS de tipo 0 puede ir marcando tu recorregut.Sembla que existen otros tipos de mensaje con protocolos disponibles de señalización (Anytime, Interrogation, ProveSubscriberinformation, ProveInsubscriberLocation por ejemplo) que no requieren de SMS para hacer lo mismo, si se utilizan estos mensajes eL VMSC devuelve la ubicación actual en el sistema central de proceso.

   En la web de Replicant para quien no lo sepa es un sistema operativo Android conducido por la comunidad que se basa en la privacidad y la libertad se habla de este tema, incluso hablan de una posible forma de detectar SMS silenciosos aunque en contra del estándar. Muy interesante, no lo he encontrado en los foros de LineageOS.
Por último deciros que a f-droid puede encontrar una app que permite enviar este tipo de mensajes para quien quiera experimentar.




miércoles, 24 de octubre de 2018

SIGNAL HA ESTADO GUARDANDO LOS CHATS Y LOS DATOS DE LOS USUARIOS SIN CIFRAR


         Aunque lo relacionado con la seguridad de las comunicaciones es cierto, la verdad es que esta aplicación tiene graves debilidades por otros lados, y es que ha estado poniendo seriamente en peligro la privacidad de los usuarios al guardar sus chats sin cifrar en el disco duro.

   Signal comenzó a funcionar inicialmente en dispositivos móviles Android y iOS, aunque poco a poco fue lanzando otros clientes para que los usuarios pudieran utilizar esta aplicación desde cualquier sitio, como, por ejemplo, desde el ordenador. La versión de PC de esta herramienta de mensajería llegó en forma de extensión para Chrome, aunque desde hace un año existe también una versión de escritorio convencional que no depende del navegador.

   A día de hoy la versión de Signal para Google Chrome está obsoleta y la compañía la hará caducar en un mes. Por ello, esta herramienta está ofreciendo a los usuarios la posibilidad de actualizar a la versión de escritorio guardando todos los chats y todos los datos intercambiados a través de la aplicación. Y es aquí donde ocurre todo.
   Para poder copiar los datos de la versión de Google Chrome a la versión de escritorio de esta herramienta de mensajería la herramienta extrae los datos de la carpeta de local de Chrome y los copia a la nueva carpeta de la versión de escritorio, importándolos así en esta versión y permitiendo a los usuarios seguir utilizando estos archivos.

   Signal en ningún momento debería descifrar los datos de los usuarios (ya que este cifrado es una de sus principales virtudes), ni siquiera para un proceso de actualización. Y mucho menos debería guardarlos de nuevo sin cifrar en nuestro disco duro.
   Desde luego esto es un despiste muy grave que, sin duda, a más de uno le hará replantearse la seguridad de esta aplicación. Los datos copiados de la versión de Chrome a la versión de escritorio de Signal se guardan en plano en el disco duro, sin ningún tipo de cifrado o seguridad.

LAS APLICACIONES DE TU MÓVIL PUEDEN RASTREARTE INCLUSO DESPUÉS DE DESINSTALADAS



       Normalmente cuando eliminamos una aplicación esta desaparece de nuestro dispositivo y dejamos de saber nada de ella, sin embargo, un reciente estudio acaba de demostrar que, probablemente, esto no sea así, sino que es posible que algunas aplicaciones puedan seguir controlando nuestros dispositivos incluso después de eliminadas.

   Las notificaciones push son una función de los sistemas operativos móviles que permiten a los desarrolladores actualizar las aplicaciones en segundo plano sin que los usuarios vean avisos en sus smartphones y enviar avisos a los usuarios cuando tengan notificaciones pendientes incluso antes de que la aplicación como tal se haya actualizado en segundo plano.

   Las notificaciones push son muy útiles, no podemos negarlo. Sin embargo, un reciente estudio de Bloomberg acaba de demostrar cómo muchos desarrolladores se aprovechan de estas notificaciones para controlar los smartphones de los usuarios y saber si una aplicación está instalada o no. Esto es posible dado que cada smartphone cuenta con un ID único, por lo que si se intenta enviar una notificación push a este ID (como un ping) para controlar una determinada aplicación y esta notificación no se puede entregar implica que la app ha sido borrada del sistema.