miércoles, 23 de diciembre de 2015

LOCALIZANDOTE DESDE TWITTER


        A mucha gente le gusta la opción “Añadir localización a los Tweets” que trae twitter (por defecto desactivada), porque parece ser que cuantos más datos des de tu actividad, más de moda estás, serás más "cool".
   Pero la verdad es que la combinación de las API de Google Maps y Twitter producen resultados que, en muchas ocasiones, atentan contra la intimidad de las personas.

  Se hizo un experimento con ocasión de las #MarchasDeLaDignidad el 29 de noviembre con personas avisadas del estudio que se iba a hacer, activando voluntariamente la casilla en sus cuentas. Decir que durante todo el experimento, las zonas donde abundaban dotaciones de UIP estaban “aclaradas” de geolocalizaciones. Los hashtags (que también pueden localizarse en el mapa) nos decían quiénes apoyaban, pasaban o criticaban la acción que se llevaba a cabo en esa zona de la capital.

  Unos apagaron la casilla de geolocalización, mientras que a otros que no lo hicieron se les pudo extraer, mediante unas herramientas (tinfoleaks y twaps), 500 tuits a cada uno, lo que facilitó un fichero de coordenadas de donde podía deducirse desde qué lugares tenían la mayor actividad (casa, trabajo, bares que frecuentaban, zonas por las que les gusta pasear...)

   Se vio como un tuitero avisó de que tenía fiebre y que nos lo ha comunicado a todos desde un bar cerca de la Av. Diagonal de Barcelona, además de sus últimos 100 tweets y desde dónde los escribe. Se observó las coordenadas desde donde había escrito estos 100 tweets y las pasaron por Google Maps (ya se encarga GM de hacer la conversión), y así seguiríamos hasta trazar un verdadero mapa de las actividades de nuestro amigo.

   ¿Lo que has leído te parece algo paranoico y fuera de lugar? Pues sabed que esto lo utilizan l@s ladron@s, por ejemplo, para averiguar cuándo dejáis la casa vacía.

Info completa: La 9 de anon


EVIDENT X-STREAM: SUPERSISTEMA DE VIGILANCIA ADQUIRIDO POR EL MINISTERIO DEL INTERIOR


        El Ministerio del Interior tendrá operativo a partir de 2017 el sistema de interceptación de comunicaciones Evident X-Stream, una completa herramienta que permite localizar en tiempo real, registrar y almacenar cualquier conversación realizada a través de teléfono, correo electrónico, chat, redes sociales y otra decena de plataformas.
   El ‘Evident X-Stream’ cuesta 12 millones de euros, estará operativo en 2017 y será clave para combatir "la amenaza yihadista".


Lejos quedan ya los tiempos de SITEL, el sistema de interceptación telefónica con el que operaba el Ministerio del Interior hace más de una década, y que en 2009 supuso un escándalo político al entonces ministro Alfredo Pérez Rubalcaba por las dudas legales que rodeaban al proyecto.

SITEL se quedó obsoleto con la irrupción de nuevas plataformas como WhatsApp, Facebook, Skype o voz por IP. Interior ha tenido que actualizar sus herramientas y método para interceptar mensajes y adaptarse a los nuevos ‘modus operandi’ de los criminales a la hora de comunicarse entre ellos.

‘Escuchas’ en tiempo real

      Ahora, un reclutador de yihadistas, por ejemplo, puede enviar un mensaje privado por Facebook a uno de sus objetivos, a la vez que escribe un mail a un contacto en Siria para informarle de sus avances, mientras sube un vídeo a YouTube con propaganda del Estado Islámico y llama por teléfono a uno de sus colaboradores para darle nuevas instrucciones.
   Toda esta hipotética actividad criminal de un sospechoso quedará reflejada y registrada en tiempo real a través de la nueva plataforma que ha adquirido el Ministerio del Interior para la Policía Nacional y la Guardia Civil.
   El agente que gestiona el sistema –capaz de seguir simultáneamente todas las comunicaciones de 1.000 sospechosos- recibe en su ordenador un aviso de cualquier actividad o novedad que se produzca. Si recibe una llamada telefónica, el sistema le advertirá y le permitirá, por ejemplo, escucharla en tiempo real.

Un sistema de 12 millones de euros

       Este nuevo sistema se denomina ‘Evident X-Stream’ y ha costado al Ministerio del Interior 12 millones de euros. Se espera que la empresa adjudicataria, la multinacional BAE Systems, lo tenga plenamente operativo a partir de 2017.

   Este sistema es capaz de ‘decodificar’ llamadas telefónicas, SMS, conversaciones de chat, páginas web visitadas, foros de internet, conversaciones a través de voz IP, archivos descargados de la red, fax…
   Sin embargo, algunas como Skype o ‘HTTPs’ –webs ‘seguras’ que utilizan bancos y otras empresas- suponen un problema añadido: las comunicaciones están encriptadas y es necesario el uso de otras herramientas para descifrarlas.
Seguir al usuario de un móvil

        El software dispone además de un sistema de alerta en tiempo real, que advierte al agente de inteligencia que lo gestiona de la entrada de una llamada –con la posibilidad de escucharla en ese mismo momento-, un correo electrónico o cualquier otra comunicación.

   Una de las funcionalidades más llamativas es la que ofrece la posibilidad de localizar geográficamente un teléfono móvil, almacenando el historial de lugares en los que ha estado.
   Se podrá comprobar, así, si el teléfono móvil de un sospechoso de terrorismo coincidió en el mismo lugar y en el mismo momento con el de otro sospechoso. Esta información queda registrada y almacenada, permitiendo así buscar coincidencias entre varios sujetos.

   Además, dispone de una opción que genera automáticamente informes sobre todos los datos registrados de un sujeto, de forma que puede utilizarse rápidamente ante la Justicia para, por ejemplo, solicitar una orden de detención.


Nota del autor.
    Los gobiernos cambian a su antojo de terroristas cuando conviene. Hoy son los yihadistas, mañana los anarquistas y pasado cualquier disidente o voz crítica con el Estado, por lo que este sistema es una herramienta más de intrusión contra nuestra privacidad.


LA COOKIE "DATR" DE FACEBOOK EN EL PUNTO DE MIRA


       La compañía estadounidense Facebook ha defendido recientemente que su cookie 'Datr', que le permite recoger datos de usuarios aunque no tengan cuenta en la red social y ha sido cuestionada por la Justicia belga, "es la mejor en su categoría en materia de protección de la seguridad de los usuarios" y ha dejado claro que su utilización "es una práctica perfectamente estandarizada", incluido por parte de los sitios web de los medios de comunicación en Bélgica.


"Esta cookie nos ha permitido parar más de 33.000 intentos de usurpación de cuentas de nuestros usuarios sólo en Bélgica el pasado mes", ha explicado estos días el responsable de seguridad de Facebook Alex Stamos. Stamos ha defendido que la cookie Datr "es la mejor en su categoría en materia de protección de la seguridad de usuarios" y "hay argumentos fuertes para justificar su utilización, que de hecho está permitida por la legislación europea".

  Un tribunal de primera instancia en Bruselas dio el pasado 9 de noviembre a Facebook 48 horas para dejar de "rastrear" a los internautas que no son miembros de la red social estadounidense bajo amenaza de imponerle una multa de 250.000 euros diarios después de que la Comisión de la Vida Privada belga denunció que la red social conserva informaciones sobre la vida privada de los internautas incluso aunque no sean miembros de la red social.

   Facebook ha dejado claro que los datos que recoge le permiten garantizar que el navegador se corresponde con el de un usuario legítimo y no con el de piratas que tratan de obtener datos o intentar acceder de forma ilegal al sistema e insiste en que su cookie permite identificar el navegador utilizado por los visitantes de Facebook con una gran precisión y, por tanto, protege a los internautas legítimos contra violaciones de sus datos. "Lo que nosotros hacemos es una práctica perfectamente estandarizada, que la mayor parte del resto de sitios web utilizan igualmente, especialmente los sitios de medios en Bélgica. La diferencia es que nosotros lo hacemos con un objetivo de seguridad y no de publicidad", ha reprochado.
  La sentencia será oficialmente remitida a Facebook. "Tenemos intención de cuestionar la decisión del tribunal en apelación", ha asegurado el responsable de Facebook. Desde la Comisión de la Vida Privada han explicado que se trata del "mismo discurso" que la compañía defendió ante el tribunal belga de recoger datos "para asegurar su sistema" pero ha afeado que la compañía no haya dado explicaciones claras "qué hace con ellos y por qué tiene que recoger tantos". "Y aquí no obtenemos una respuesta digna", ha advertido el vicepresidente del regulador, Stefan Verschuere, en declaraciones recogidas esta semana por Le Soir. 

 Aunque son "conscientes de que Facebook no podrá adaptar su sistema informático de un día para otro", Verschuere ha dejado claro que esperan que la compañía presente "muy rápidamente un plan de trabajo realista y un calendario". "Si en algunos meses, constatamos que estamos en el mismo barco, utilizaremos todos los medios que nos ha dado el juez para que la decisión sea aplicada", ha avisado.

Fuente: 20 minutos

 

TU SMARTPHONE TE DELATA


       Ni te estás dando cuenta, pero es probable que alguien en alguna parte sabe que estás exactamente donde estás. Y ese alguien no tiene nada que ver contigo. Solo recolecta datos con la excusa de mejorar un servicio, o luchar contra el terrorismo, o estudiar el comportamiento de los usuarios de móviles. Las excusas no son importantes. Lo que es importante es que nuestra privacidad está una vez más en juego.

   Es lo que queda claro cuando uno descubre cosas como las que están ocurriendo en el aeropuerto de Dublín, donde a los pasajeros se les hace un seguimiento indiscriminado a través de sus móviles con el único requisito de que éstos tengan activada la conectividad WiFi o la Bluetooth. Ojo: no es necesario que estén conectados a ninguna red o dispositivo: basta con activarla, y están atrapados.

No es un caso aislado: la monitorización es masiva

      Rory Byrne, experto en seguridad y responsable de SecurityFirst, trataba de explicar cómo funcionan los sistemas de recolección de datos en ese aeropuerto, pero sobre todo exponía que la situación no es un caso aislado, y recordaba casos como uno de los aeropuertos de Canadá en los que los documentos de Edward Snowden dejaron claro que también se aprovechaban estas técnicas para hacer un seguimiento masivo de los viajeros.

Como afirmaba Byrne, "si soy un pasajero, quiero saber cómo se usan mis datos", y esa transparencia es prácticamente inexistente. Byrne recibía una respuesta poco clarificadora: "no se recolectan datos personales. Los datos solo se asocian a la existencia de un dispositivo con la conectividad WiFi habilitada. No a su propietario".

Este experto nos hablaba de cómo estos sistemas están dispersos en todo tipo de ámbitos, y solo podemos esperar a que su presencia sea aún mayor en el futuro. Ya hemos hablado de los Beacons y de ese nuevo compromiso para la privacidad, y las consecuencias son evidentes:

   
"Será mucho más fácil que tu jefe (o tu marido/mujer) o tu compañía de seguros sepa exactamente dónde estás [...], y aquellos que requieran protección y privacidad en su trabajo, por ejemplo un trabajador social que se cite con una víctima o un periodista que se cite con una fuente tendrán más posibilidades de dejar una huella digital que ponga en peligro a esas personas."



Bienvenido al maravilloso mundo del MLA

       La llamada Mobile Location Analytics (MLA) es conjunto de técnicas que están orientadas teóricamente a comerciantes que pueden lograr informes sobre la actividad de los clientes en base a la recolección de las direcciones MAC WiFi y Bluetooth.

   Es posible recolectar esas direcciones MAC para que cualquier empresa, entidad (o persona) pueda saber qué dispositivos pasan por ciertos sitios, en qué momentos, y cuál es la duración de esa "visita" y el fabricante de nuestro dispositivo, ya que a cada uno se le conceden cierto rango de direcciones MAC.

   Según las compañías, lo recolectan para "mejorar la experiencia de cliente": qué zonas es la más visitada, cuánto tiempo esperamos en la cola, o si es posible mejorar potenciales planes de evacuación. Todos buenos argumentos que no dan respuesta a algo inexcusable: Que no tenemos ni idea de que lo están haciendo. Nadie nos está avisando.


¿Cómo evitar esa recolección de datos?

        La forma más sencilla de evitar este tipo de recolección de datos es simple: tendremos que desactivar la conectividad WiFi o la Bluetooth en nuestros aparatos, algo que lógicamente tiene una contrapartida importante: la de que no podremos acceder a parte de las prestaciones y funcionalidades de estos dispositivos.

   Pero también hay métodos menos conocidos como el uso de los llamados IMSI-catchers (International Mobile Subscriber Identity), dispositivos que permiten espiar la actividad telefónica e interceptar el tráfico de datos y voz de estos dispositivos y su geolocalización. Un buen ejemplo de este tipo de soluciones es Stingray, ese desarrollo utilizado por el FBI y por los cuerpos de seguridad en Estados Unidos que como se ha demostrado sí puede ser utilizado para luchar contra el crimen.


Más info: Xataka