MachineTranslatedbyGoogle
MachineTranslatedbyGoogle
MachineTranslatedbyGoogle
MachineTranslatedbyGoogle
Derechos de autor
Copyright © 2017 por Kevin Mitnick Prólogo copyright © 2017 por Mikko Hypponen Diseño de la portada por Julianna Lee Fotografía del autor por Tolga Katas Copyright de la portada © 2017 por Hachette Book Group, Inc. Hachette Book Group apoya el derecho a la libertad de expresión y el valor de los derechos de autor. El propósito de los derechos de autor es alentar a los escritores y artistas a producir obras creativas que enriquezcan nuestra cultura. El escaneo, carga y distribución de este libro sin permiso es un robo de la propiedad intelectual del autor. Si desea permiso para usar material del libro (que no sea con fines de revisión), comuníquese con
[email protected].
[email protected]. Gracias por su apoyo a los derechos de autor.
Little, Brown and Company Hachette Book Group 1290 Avenue of the Americas, Nueva York, NY 10104 littlebrown.com twitter.com/littlebrown facebook.com/littlebrownandcompany
Primera edición del ebook: febrero de 2017 Little, Brown and Company es una división de Hachette Book Group, Inc. El nombre y el logotipo de Little, Brown son marcas comerciales de Hachette Book Group, Inc.
El editor no es responsable de los sitios web (o su contenido) que no son
MachineTranslatedbyGoogle
propiedad de la editorial. La Oficina de oradores de Hachette ofrece una amplia gama de autores para eventos de oradores. Para obtener más información, visite hachettespeakersbureau.com o llame al (866) 376-6591. ISBN 978-0-316-38049-2 E3-20161223-JV-PC
MachineTranslatedbyGoogle
Contenido
Cubrir Pagina del titulo Derechos de autor
Dedicación Prólogo de Mikko Hypponen Introducción | hora de desaparecer Capítulo uno | ¡Su contraseña puede ser descifrada! Capítulo dos | ¿Quién más está leyendo su correo electrónico? Capítulo tres | Escuchas telefónicas 101 Capítulo cuatro | Si no cifra, no está equipado Capítulo cinco | Ahora me ves, ahora no Capítulo seis | Con cada clic que hagas, te estaré observando Capítulo Siete | ¡Pague o de lo contrario!
Capítulo Ocho | Cree todo, no confíes en nada Capítulo Nueve | ¿No tienes privacidad? ¡Superalo! Capítulo Diez | Puedes Correr pero No Esconderte Capítulo Once | Oye, KITT, no compartas mi ubicación Capítulo Doce | El Internet de la Vigilancia Capítulo Trece | Cosas que tu jefe no quiere que sepas Capítulo Catorce | Obtener el anonimato es un trabajo duro Capítulo Quince | El FBI siempre consigue a su hombre
MachineTranslatedbyGoogle
Capítulo Dieciséis | Dominando el arte de la invisibilidad Expresiones de gratitud
Sobre los autores Libros de Kevin Mitnick notas Boletines
MachineTranslatedbyGoogle
A mi amada madre, Shelly Jaffe, y a mi abuela Reba vartaniano
MachineTranslatedbyGoogle
Prólogo de Mikko Hypponen
Hace un par de meses, me encontré con un viejo amigo al que no había visto desde la secundaria. Fuimos a tomar una taza de café para ponernos al día sobre lo que cada uno de nosotros había estado haciendo durante las últimas décadas. Me habló de su trabajo de distribución y soporte de varios tipos de dispositivos médicos modernos, y le expliqué cómo he pasado los últimos veinticinco años trabajando con la seguridad y la privacidad en Internet. Mi amigo soltó una risita cuando mencioné la privacidad en línea. “Eso suena muy bien y elegante”, dijo, “pero no estoy realmente preocupado. Después de todo, no soy un criminal y no estoy haciendo nada malo. No me importa si alguien mira lo que estoy haciendo en línea”. Al escuchar a mi viejo amigo y su explicación sobre por qué la privacidad no le importa, me entristecí. Me entristeció porque había escuchado estos argumentos antes, muchas veces. Los escucho de personas que piensan que no tienen nada que esconder. Los escucho de personas que piensan que solo los delincuentes necesitan protegerse. Los escucho de personas que piensan que solo los terroristas usan el cifrado. Los escucho de personas que piensan que no necesitamos proteger nuestros derechos. Pero necesitamos proteger nuestros derechos. Y la privacidad no solo afecta nuestros derechos,
es
un
derecho humano. De hecho, la privacidad está reconocida como un derecho humano fundamental en la Declaración Universal de los Derechos Humanos de las Naciones Unidas de 1948. Si nuestra privacidad necesitaba protección en 1948, seguramente la necesita mucho más hoy. Después de todo, somos la primera generación en la historia humana que puede ser monitoreada a un nivel tan preciso. Podemos ser monitoreados digitalmente a lo largo de nuestras vidas. Casi todas nuestras comunicaciones se pueden ver de una forma u otra. Incluso llevamos pequeños dispositivos de rastreo con nosotros todo el tiempo, simplemente
MachineTranslatedbyGoogle
no los llame dispositivos de rastreo, los llamamos teléfonos inteligentes. El monitoreo en línea puede ver qué libros compramos y qué artículos de noticias leemos, incluso qué partes de los artículos son más interesantes para nosotros. Puede ver a dónde viajamos y con quién viajamos. Y el monitoreo en línea sabe si estás enfermo, triste o cachondo. Gran parte del monitoreo que se realiza hoy en día recopila estos datos para ganar dinero. Las empresas que ofrecen servicios gratuitos de alguna manera convierten esos servicios gratuitos en miles de millones de dólares de ingresos, lo que ilustra muy bien lo valioso que es perfilar a los usuarios de Internet a gran escala. Sin S in embargo, también existe un monitoreo más específico: el tipo de monitoreo realizado por agencias gubernamentales, gubernamentales, nacionales o extranjeras. La comunicación digital ha hecho posible que los gobiernos realicen una vigilancia masiva. Pero también nos ha permitido protegernos mejor. Podemos protegerno protegernos s con herramientas como el cifrado, almacenando nuestros datos de manera segura y siguiendo los principios básicos de seguridad de las operaciones (OPSEC). Solo necesitamos una guía sobre cómo hacerlo bien. Bueno, la guía que necesita está aquí en sus manos. Estoy muy feliz de que Kevin se haya tomado el tiempo de escribir sus conocimientos sobre el arte de la invisibilidad. Después de todo, él sabe un par de cosas sobre permanecer invisib invisible. le. Este es un gran recurso. Léalo y utilice el conocimiento a su favor. Protégete y protege tus derechos. De vuelta en la cafetería, después de que terminé el café con mi viejo amigo, nos separamos. Le deseé lo mejor, pero a veces todavía pienso en sus palabras: “No me importa si alguien mira lo que estoy haciendo en línea”. Es posible que no tengas nada que ocultar, amigo mío. Pero tienes todo para proteger.
Mikko Hypponen es el director de investigación de F-Secure. Es la única persona viva que ha hablado en las conferencias DEF CON y TED.
MachineTranslatedbyGoogle
INTRODUCCIÓN
hora de desaparecer
Casi dos años después de que Edward Joseph Snowden, un contratista de Booz Allen Hamilton, reveló por primera vez su alijo de material secreto tomado de la Agencia de Seguridad Nacional (NSA), el comediante de HBO John Oliver fue a Times Square en la ciudad de Nueva York para encuestar a personas al azar para un segmento de su programa sobre privacidad y vigilancia. . Sus preguntas eran claras. ¿Quién es Edward Snowden? ¿Qué hizo? 1 En los clips de la entrevista que emitió Oliver, nadie parecía saberlo. Incluso cuando las personas dijeron que recordaban el nombre, no podían decir exactamente qué había hecho Snowden (o por qué). Después de convertirse en contratista de la NSA, Edward Snowden copió miles de documentos secretos y clasificados que luego entregó los periodistas para que públicos sobre en todo mundo. Oliver apodría haber terminado el pudieran segmentohacerlos de su programa la el vigilancia con una nota deprimente (después de años de cobertura mediática, a nadie en Estados Unidos parecía importarle realmente el espionaje doméstico por parte del gobierno), pero el comediante eligió otra táctica. Voló a Rusia, donde 2 entrevista personal. Snowden ahora vive en el exilio, para una La primera pregunta que Oliver le hizo a Snowden en Moscú fue: ¿Qué esperabas lograr? Snowden respondió que quería mostrarle al mundo lo que estaba haciendo la NSA: recopilar datos de casi todo el mundo. Cuando Oliver le mostró las entrevistas de Times Square, en las que una persona tras otra afirmaba no saber quién era Snowden, su respuesta r espuesta fue:
MachineTranslatedbyGoogle
"Bueno, no se puede tener a todos bien informados". ¿Por qué no estamos más informados en lo que respecta a los problemas de privacidad que han planteado Snowden y otros? ¿Por qué parece que no nos importa que una agencia gubernamentall esté interviniendo nuestras llamadas telefónicas, nuestros correos electrónicos gubernamenta e incluso nuestros mensajes de texto? Probablemente porque la NSA, en general, no afecta directamente la vida de la mayoría de nosotros, al menos no de manera tangible, como una directamente intrusión que podemos sentir. Pero como Oliver también descubrió en Times Square ese día, los estadounidenses se preocupan por la privacidad cuando llega a casa. Además de hacer preguntas sobre Snowden, hizo preguntas generales sobre privacidad. Por ejemplo, cuando preguntó cómo se sentían acerca de un programa gubernamental secreto (pero inventado) que registra imágenes de personas desnudas cada vez que se envían por Internet, la respuesta entre los neoyorquinos también fue universal, excepto que esta vez todos se opusieron. , enfáticamente. Una persona incluso admitió haber enviado recientemente una foto así. Todos los entrevistados en el segmento de Times Square estuvieron de acuerdo en que las personas en los Estados Unidos deberían poder compartir cualquier cosa, incluso una foto de un pene, de forma privada a través de Internet. Que era el punto básico de Snowden. Resulta que el falso programa del gobierno que graba fotos de desnudos es menos descabellado de lo que imaginas. Como le explicó Snowden a Oliver en su entrevista, debido a que compañías como Google tienen servidores ubicados físicamente en todo el mundo, incluso un mensaje simple (quizás con desnudez) desnudez) entre un esposo y una esposa dentro de la misma ciudad de EE. UU. podría rebotar primero en un servidor extranjero. Dado que esos datos salen de los Estados Unidos, aunque sea por un nanosegundo, la NSA podría, gracias a la Ley Patriota, recopilar y archivar ese texto o correo electrónico (incluida la foto indecente) porque técnicamente ingresó a los Estados Unidos desde una fuente extranjera en el momento en que fue capturada. El punto de Snowden: los estadounidens estadounidenses es promedio están siendo atrapados en una redada posterior al 11 de septiembre que inicialmente fue diseñada para detener a los terroristas extranjeros, pero que ahora espía a prácticamente todos.
Pensarías, dadas las constantes noticias sobre violaciones de datos y campañas de vigilancia por parte del gobierno, que estaríamos mucho más indignados. Uno pensaría que dada la tambaleándonos por la rapidez con que sucedió esto, en solo unos pocos años, estaríamos tambaleándonos conmoción y marchando en el
MachineTranslatedbyGoogle
calles En realidad, lo contrario es cierto. Muchos de nosotros, incluso muchos lectores de este libro, ahora aceptamos al menos hasta cierto punto el hecho de que todo lo que hacemos (todas nuestras llamadas telefónicas, nuestros mensajes de texto, nuestros correos electrónicos, nuestras redes sociales) puede ser visto por otros.
Y eso es decepcionante. Tal vez no hayas quebrantado ninguna ley. Vives lo que crees que es una vida promedio y tranquila, y sientes que pasas desapercibido entre la multitud de otros en línea hoy. Confía en mí: incluso tú no eres invisible. Al menos no todavía.
Disfruto de la magia, y algunos podrían argumentar que la prestidigitación es necesaria para piratear computadoras. Un truco de magia popular es hacer que un objeto sea invisible. El secreto, sin embargo, es que el objeto no desaparece físicamente ni se vuelve invisible. El objeto siempre queda en un segundo plano, detrás de una cortina, en una manga, en un bolsillo, lo podamos ver o no. Lo mismo ocurre con la gran cantidad de datos personales sobre todos y cada uno de nosotros que actualmente se recopilan y almacenan, a menudo sin que nos demos cuenta. La mayoría de nosotros simplemente no sabemos lo fácil que es para otros ver estos detalles sobre nosotros o incluso dónde buscar. Y debido a que no vemos esta información, podemos creer que somos invisibles para nuestros ex, nuestros padres, nuestras escuelas, nuestros jefes e incluso nuestros gobiernos. El problema es que si sabe dónde buscar, toda esa información está disponible para casi cualquier persona. Cada vez que hablo ante grandes multitudes, sin importar el tamaño de la sala, generalmente tengo una persona que me cuestiona este hecho. Después de uno de esos eventos, un reportero muy escéptico me desafió. Recuerdo que estábamos sentados en una mesa privada en el bar de un hotel en una gran ciudad de EE. UU. cuando la reportera dijo que nunca había sido víctima de una violación de datos. Dada su juventud, dijo que tenía relativamente pocos activos a su nombre, por lo tanto, pocos registros. Nunca puso detalles personales en ninguna de sus historias ni en sus redes sociales personales; lo mantuvo profesional. Ella se consideraba invisible. Así que le pedí permiso para encontrar su número de Seguro Social y cualquier otra información personal en línea. A regañadientes ella accedió. Con ella sentada cerca, inicié sesión en un sitio, uno que está reservado para investigadores privados. Califico como este último a través de mi trabajo investigando incidentes de piratería a nivel mundial. Ya sabía su nombre, así que le pregunté dónde estaba.
MachineTranslatedbyGoogle
vivió. Esto también lo podría haber encontrado en Internet, en otro sitio, si ella no me lo hubiera dicho. En un par de minutos supe su número de Seguro Social, su ciudad de nacimiento e incluso el apellido de soltera de su madre. También sabía todos los lugares a los que había llamado hogar y todos los números de teléfono que había usado. Mirando la pantalla, con una mirada de sorpresa en su rostro, confirmó que toda la información era más o menos cierta. El sitio que utilicé está restringido a empresas o individuos examinados. Cobra una tarifa baja por mes más costos adicionales por cualquier búsqueda de información y, de vez en cuando, me auditará para averiguar si tengo un propósito legítimo para realizar una búsqueda en particular.
Pero se puede encontrar información similar sobre cualquier persona por una pequeña tarifa de búsqueda. Y es perfectamente legal. ¿Alguna vez llenó un formulario en línea, envió información a una escuela u organización que pone su información en línea, o publicó un caso legal en Internet? Si es así, ha ofrecido información personal a un tercero que puede hacer con la información lo que le plazca. Lo más probable es que algunos, si no todos, de esos datos estén ahora en línea y disponibles para las empresas que se dedican a recopilar toda la información personal de Internet. El Centro de Información de Derechos de Privacidad enumera más de 130 empresas que recopilan información personal (ya sea precisa o no) sobre usted.3 Y luego están los datos que usted no ofrece voluntariamente en línea pero que, sin embargo, las corporaciones y los gobiernos recopilan: información sobre quién enviamos correos electrónicos, mensajes de texto y llamamos; lo que buscamos en línea; lo que compramos, ya sea en una tienda física o en línea; y por dónde viajamos, a pie o en coche. El volumen de datos recopilados sobre todos y cada uno de nosotros crece exponencialmente cada día.
Usted puede pensar que no necesita preocuparse por esto. Confía en mí: lo haces. Espero que al final de este libro esté bien informado y lo suficientemente preparado para hacer algo al respecto.
El hecho es que vivimos con una ilusión de privacidad, y probablemente llevamos décadas viviendo así. En cierto punto, es posible que nos sintamos incómodos con la forma en que
MachineTranslatedbyGoogle
Cuánto acceso tienen nuestro gobierno, nuestros empleadores, nuestros jefes, nuestros maestros y nuestros padres a nuestra vida personal. Pero dado que ese acceso se ha ganado gradualmente, dado que hemos abrazado cada pequeña conveniencia digital sin resistir su impacto en nuestra privacidad, se vuelve cada vez más difícil retroceder el reloj. Además, ¿quién de nosotros quiere renunciar a nuestros juguetes? El peligro de vivir en un estado de vigilancia digital no es tanto que se recopilen los datos (poco podemos hacer al respecto) sino qué se hace con los datos una vez recopilados. Imagínese lo que un fiscal demasiado entusiasta podría hacer con el gran dossier de puntos de datos sin procesar disponibles sobre usted, quizás desde hace varios años. Los datos de hoy, a veces recopilados fuera de contexto, vivirán para siempre. Incluso el juez de la Corte Suprema Suprema de los EE. U UU., U., Stephen Brey Breyer, er, está de acuerdo en que es “difícil para alguien saber, de antemano, cuándo un conjunto particular de declaraciones podría parecer más tarde (para un fiscal) ser relevante para una investigación de este tipo”. 4 En otras palabras, una foto tuya borracha que alguien publicó en Facebook podría ser la menor de tus preocupaciones. Puede pensar que no tiene nada que ocultar, pero ¿está seguro? En un artículo de opinión bien argumentado en Wired, la respetada investigadora de seguridad Moxie Marlinspike señala que algo tan simple como estar en posesión de una langosta pequeña es en realidad un delito federal en los Estados Unidos.5 “No importa si la compraste. en una tienda de comestibles, si alguien más te lo dio, si está vivo o muerto, si lo encontraste después de que muriera por causas naturales, o incluso si lo mataste mientras actuabas en defensa propia. Puedes ir a la cárcel por culpa de una langosta.”6 El punto aquí es que hay muchas leyes menores que no se aplican y que podrías estar violando sin saberlo. Excepto que ahora hay un rastro de datos para probarlo con solo unos toques de distancia, disponible para cualquier persona que lo desee.
La privacidad es compleja. No es una propuesta única para todos. Todos tenemos diferentes razones para compartir información sobre nosotros mismos libremente con extraños y mantener en privado otras partes de nuestras vidas. Tal vez simplemente no quieras que tu pareja lea tus cosas personales. Tal vez no quiera que su empleador sepa sobre su vida privada. O tal vez realmente temes que una agencia gubernamental te esté espiando. Estos son escenarios muy diferentes, por lo que no se ofrece ninguna recomendación.
MachineTranslatedbyGoogle
aquí va a caber a todos. Debido a que tenemos actitudes complicadas y, por lo tanto, muy diferentes hacia la privacidad, lo guiaré a través de lo que es importante, lo que está sucediendo hoy con la recopilación subrepticia de datos, y le dejaré decidir qué funciona para su propia vida. En todo caso, este libro lo hará consciente de las formas de ser privado dentro del mundo digital y le ofrecerá soluciones que puede o no elegir adoptar. Dado que la privacidad es una elección personal, los grados de invisibilidad también variarán según el individuo. En este libro, demostraré que todos y cada uno de nosotros estamos siendo observados, en casa y en el mundo, mientras camina por la calle, se sienta en un café o conduce por la carretera. Su computadora, su teléfono, su automóvil, el sistema de alarma de su hogar, incluso su refrigerador, son puntos potenciales de acceso a su vida privada. La buena noticia es que, además de asustarte, también te voy a mostrar qué hacer con la falta de privacidad, una situación que se ha convertido en la norma. En este libro, aprenderá cómo:
cifre y envíe un correo electrónico seguro proteja sus datos con una buena administración de contraseñas oculte su verdadera dirección IP de los lugares que visita oculte su computadora para que no sea rastreada defienda su anonimato y mucho más
Ahora, prepárate para dominar el arte de la invisibilidad.
MachineTranslatedbyGoogle
CAPÍTULO UNO
¡Su contraseña puede ser descifrada!
Jennifer Lawrence estaba teniendo un Día del Trabajo difícil fin de semana. La ganadora del Premio de la Academia fue una de varias celebridades que se despertaron una mañana en 2014 y descubrieron que sus fotos más privadas, muchas de las cuales las mostraban desnudas, estaban siendo salpicadas en Internet. Tómese un momento para escanear mentalmente todas las imágenes que están actualmente almacenadas en su computadora, teléfono y correo electrónico. Claro, muchos de ellos son perfectamente benignos. Estarías bien con todo el mundo viendo las puestas de sol, las lindas instantáneas familiares, tal vez incluso la selfie bromista del día del cabello malo. Pero, ¿te sentirías cómodo compartiendo todos y cada uno de ellos? ¿Cómo sentirías si de repente todos aparecieran en línea? Tal de vezmomentos no todas nuestras fotos te personales sean obscenas, pero siguen siendo registros privados. Deberíamos poder decidir si, cuándo y cómo compartirlos, pero con los servicios en la nube, la elección puede no ser siempre nuestra. La historia de Jennifer Lawrence dominó el lento ciclo de noticias del fin de semana del Día del Trabajo en 2014. Fue parte de un evento llamado theFappening, una gran filtración de fotografías desnudas y casi desnudas de Rihanna, Kate Upton, Kaley Cuoco, Adrianne Curry y casi trescientas personas más. celebridades, la mayoría de ellas mujeres, cuyas imágenes de teléfonos celulares de alguna manera habían sido accedidas y compartidas de forma remota. Si bien algunas personas estaban, como era de esperar, interesadas en ver estas fotos, para muchos el incidente fue un recordatorio inquietante de que
MachineTranslatedbyGoogle
les podría haber pasado lo mismo. Entonces, ¿cómo alguien tuvo acceso a esas imágenes privadas de Jennifer Lawrence y otros? Dado que todas las celebridades celebridades usaban iPhones, las primeras especulaciones especulaciones se centraron en una violación masiva de datos que afectó al servicio iCloud de Apple, una opción de almacenamiento en la nube para los usuarios de iPhone. A medida que su dispositivo físico se almacenamiento queda sin memoria, sus fotos, archivos nuevos, música y juegos se almacenan en un servidor de Apple, generalmente por una pequeña tarifa mensual. Google ofrece un servicio similar para Android. Apple, que casi nunca comenta en los medios sobre temas de seguridad, negó cualquier culpa por su parte. La compañía emitió un comunicado en el que calificó el incidente como un "ataque muy específico a nombres de usuario, contraseñas y preguntas de seguridad" y agregó que "ninguno de los casos que hemos investigado ha sido el resultado de una violación en cualquiera de los sistemas de Apple, incluidos iCloud o Find my iPhone". .”1 Las fotos comenzaron a aparecer en un foro de piratas informáticos muy conocido por publicar fotos comprometid comprometidas.2 as.2 Dentro de ese foro puede encontrar debates activos sobre las herramientas forenses digitales utilizadas para obtener de forma subrepticia tales fotos. Los investigadores, los investigadores y las fuerzas del orden usan estas herramientas para acceder a los datos de los dispositivos o de la nube, generalmente después de un delito. Y, por supuesto, las herramientas también tienen otros usos. Una de las herramientas discutidas discutidas abiertamente en el foro, Elcomsoft Phone Password Breaker, o EPPB, está destinada a permitir que las agencias gubernamentales gubernamentales y de aplicación de la ley accedan a las cuentas de iCloud y se vende públicamente. Es solo una de las muchas herramientas herramienta s que existen, pero parece ser la más popular en el foro. EPPB requiere que los usuarios tengan primero la información de nombre de usuario y contraseña de iCloud del objetivo. Sin embargo, para las personas que usan este foro, obtener nombres de usuario y contraseñas de iCloud no es un problema. Dio la casualidad de que durante ese fin de semana festivo de 2014, alguien publicó en un popular repositorio de códigos en línea (Github) una herramienta llamada iBrute, un mecanismo de pirateo de contraseñas diseñado específicam específicamente ente para adquirir credenciales de iCloud de casi cualquier c ualquier persona. Usando iBrute y EPPB juntos, alguien podría hacerse pasar por una víctima y descargar una copia de seguridad completa de los datos del iPhone almacenados en la nube de esa víctima en otro dispositivo. Esta capacidad es útil cuando actualiza su teléfono, por ejemplo. También es valioso para un atacante, que luego puede ver todo.
MachineTranslatedbyGoogle
que hayas hecho alguna vez en tu dispositivo móvil. Esto arroja mucha más información que simplemente iniciar sesión en la cuenta de iCloud de la víctima. Jonathan Zdziarski, consultor forense e investigador de seguridad, le dijo a
Wired
que
su examen de las fotos filtradas de Kate Upton, por ejemplo, coincidía con el uso de iBrute y EPPB. Tener acceso a una copia de seguridad restaurada del iPhone le da al atacante mucha información personal que luego podría ser útil para el chantaje.3 En octubre de 2016, Ryan Collins, un hombre de treinta y seis años de Lancaster, Pensilvania, fue sentenciado a dieciocho meses de prisión por “acceso no autorizado a una computadora protegida para obtener información” relacionada con el hackeo. Fue acusado de acceso ilegal a más de cien cuentas de correo electrónico de Apple y Google.4
Para proteger su iCloud y otras cuentas en línea, debe establecer una contraseña segura. Eso es obvio. Sin embargo, en mi experiencia como probador de penetración (pen tester), alguien a quien se le l e paga para piratear redes informáticas y encontrar vulnerabilidades, descubro que muchas personas, incluso los ejecutivos de grandes corporaciones, son vagas cuando se trata de contraseñas. Considere que el CEO de Sony Entertainment, Michael Lynton, usó "sonyml3" como contraseña de su cuenta de dominio. No es de extrañar que sus correos electrónicos fueran pirateados y difundidos por Internet, ya que los atacantes tenían acceso administrativo a casi todo dentro de la empresa.
Más allá de tus contraseñas relacionadas con el trabajo, están aquellas contraseñas que protegen tus cuentas más personales. Elegir una contraseña difícil de adivinar no evitará que las herramientas de piratería como oclHashcat (una herramienta para descifrar contraseñas que aprovecha las unidades de procesamiento de gráficos, o GPU, para el descifrado de alta velocidad) posiblemente descifren su contraseña, pero hará que el proceso lo suficientemente lento como para alentar a un atacante a pasar a un objetivo más fácil. Es posible suponer que algunas de las contraseñas expuestas duran durante te el hackeo de Ashley Madison en julio de 2015 ciertamente se utilizan en otros lugares, incluso en cuentas bancarias e incluso en computadoras de trabajo. De las listas de 11 millones de contraseñas de Ashley Madison publicadas en línea, las más comunes fueron "123456", "12345", "contraseña", "DEFAULT", "123456789", "qwerty", "12345678", "abc123" y " 1234567.”5 Si ve una de sus propias contraseñas aquí, es probable que sea vulnerable a una violación de datos, ya que estos términos comunes son
MachineTranslatedbyGoogle
incluido en la mayoría de los kits de herramientas para descifrar contraseñas disponible disponibles s en línea. Siempre puede consultar el sitio www.haveibeenpwned.com para ver si su cuenta se ha visto comprometida en el pasado. En el siglo XXI, podemos hacerlo mejor. Y digo mucho mejor, con configuraciones de letras y números mucho más largas y complejas. Eso puede sonar difícil, pero le mostraré una forma automática y manual de hacerlo. El enfoque más sencillo es renunciar a la creación de sus propias contraseñas y simplemente automatizar el proceso. Hay varios administradores de contraseñas digitales por ahí. No solo almacenan sus contraseñas dentro de una bóveda cerrada y permiten el acceso con un solo clic cuando las necesita, sino que también generan contraseñas únicas, nuevas y realmente seguras para cada sitio cuando las necesita. Tenga en cuenta, sin embargo, dos problemas con este enfoque. Una es que los administradores de contraseñas usan una contraseña maestra para acceder. Si alguien infecta su computadora con malware que roba la base de datos de contraseñas y su contraseña maestra a través del registro de teclas, cuando el malware registra cada pulsación de tecla que hace, se acabó el juego. Esa persona tendrá entonces acceso a todas sus contraseñas. Durante mis compromisos de prueba de penetración, a veces reemplazo el administrador de contraseñas con una versión modificada que nos transmite la contraseña maestra (cuando el administrador de contraseñas es de código abierto). Esto se hace después de que obtengamos acceso de administrador a la red del cliente. Luego buscamos todas las contraseñas privilegiadas. En otras palabras, utilizaremos gestores de contraseñas como puerta trasera para conseguir las llaves del reino. El otro problema es bastante obvio: si pierde la contraseña maestra, perderá todas sus contraseñas. En última instancia, esto está bien, ya que siempre puede realizar un restablecimiento de contraseña en cada sitio, pero eso sería una gran molestia si tiene muchas cuentas. A pesar de estos defectos, los siguientes consejos deberían ser más que adecuados para mantener sus contraseñas seguras. En primer lugar, las frases de contraseña seguras, no las contraseñas, deben ser largas, al menos de veinte a veinticinco caracteres. Los caracteres aleatorios (ek5iogh#skf&skd) funcionan mejor. Desafortunadamente, la mente humana tiene problemas para recordar secuencias aleatorias. Así que usa un administrador de contraseñas. Usar un administrador de contraseñas es mucho mejor que elegir uno propio. Prefiero administradores de contraseñas de código abierto como Password Safe y KeePass que solo almacenan datos localmente en su
MachineTranslatedbyGoogle
computadora.
Otra regla importante para tener buenas contraseñas es nunca usar la misma contraseña para dos cuentas diferentes. Eso es difícil. Hoy tenemos contraseñas en casi todo. Así que haga que un administrador de contraseñas genere y almacene contraseñas seguras y únicas para usted. Incluso si tiene una contraseña segura, aún se puede usar la tecnología para derrotarlo. Existen programas para adivinar contraseñas como John the Ripper, un programa gratuito de código abierto que cualquiera puede descargar y que funciona Porelejemplo, usuario podría dentro de los parámetros de configuración establecidos 6por usuario. un especifique cuántos caracteres intentar, si usar símbolos especiales, si incluir conjuntos de idiomas extranjeros, etc. John the Ripper y otros piratas informáticos de contraseñas pueden permutar las letras de la contraseña utilizando conjuntos de reglas que son extremadamente efectivos para descifrar contraseñas. Esto simplemente significa que prueba todas las combinaciones posibles de números, letras y símbolos dentro de los parámetros hasta que logra descifrar su contraseña. Afortunadamente, la mayoría de nosotros no nos enfrentamos a estados-nación con tiempo y recursos virtualmente ilimitados. Lo más probable es que nos enfrentemos a un cónyuge, un pariente o alguien a quien realmente cabreamos y que, cuando se enfrenta a una contraseña de veinticinco caracteres, no tendrá el tiempo ni los recursos para descifrarla con éxito. Supongamos que desea crear sus contraseñas a la antigua y que ha elegido algunas contraseñas realmente seguras. ¿Adivina qué? Está bien escribirlos. Simplemente no escriba "Bank of America: 4the 1sttimein4ever*". Eso sería demasiado obvio. En su lugar, reemplace el nombre de su banco (por ejemplo) con algo críptico, como "Cookie Jar" (porque algunas personas alguna vez escondieron su dinero en botes de galletas) y sígalo con "4the1st". Note que no completé la frase. No es necesario. Conoces el resto de la frase. Pero alguien más podría no hacerlo. Cualquiera que encuentre esta lista impresa de contraseñas incompletas debería estar suficientemente confundido, al menos al principio. Interesante historia: estaba en casa de un amigo, un empleado de Microsoft muy conocido, y durante la cena estábamos discutiendo la seguridad de las contraseñas con su esposa e hijo. En un momento, la esposa de mi amigo se levantó y fue al refrigerador. Había escrito todas sus contraseñas en una sola hoja de papel y la había pegado a la puerta del electrodoméstico con un imán. Mi amigo simplemente negó con la cabeza y yo sonreí ampliamente. Escribir contraseñas puede no ser una solución perfecta,
MachineTranslatedbyGoogle
pero tampoco lo es olvidar esa contraseña segura que pocas veces se usa.
Algunos sitios web, como el sitio web de su banco, bloquean a los usuarios después de varios intentos fallidos de contraseña, generalmente tres. Muchos sitios, sin embargo, todavía no hacen esto. Pero incluso si un sitio bloquea a una persona después de tres intentos fallidos, no es así como los malos usan John the Ripper o oclHashcat. (Dicho sea de paso, oclHashcat distribuye el proceso de piratería en múltiples GPU y es mucho más poderoso que John the Ripper). Además, los piratas informáticos en realidad no prueban todas las contraseñas posibles en un sitio en vivo.
Digamos que ha habido una violación de datos, y dentro del volcado de datos están incluidos los nombres de usuario y las contraseñas. Pero las contraseñas recuperadas de la violación de datos son meras tonterías. ¿Cómo ayuda eso a alguien a entrar en su cuenta? Cada vez que ingresa una contraseña, ya sea para desbloquear su computadora portátil o un servicio en línea, esa contraseña se pasa a través de un algoritmo unidireccional conocido como función hash. No es lo mismo que el cifrado. El cifrado es bidireccional: puede cifrar y descifrar siempre que tenga una clave. Un hash es una huella digital que representa una cadena particular de caracteres. En teoría, los algoritmos unidireccionales no se pueden revertir, o al menos no fácilmente.
Lo que se almacena en la base de datos de contraseñas de su PC tradicional, su dispositivo móvil o su cuenta en la nube no es MaryHadALittleLamb123$ sino su valor hash, que es una secuencia de números y letras. La secuencia es un token que representa su contraseña.7 Son los hashes de contraseña, no las contraseñas en sí mismas, las que se almacenan en la memoria protegida de nuestras computadoras y se pueden obtener a partir de un compromiso de sistemas específicos o filtrados en filtraciones de datos. Una vez que un atacante ha obtenido estos hashes de contraseña, el hacker puede usar una variedad de herramientas disponibles públicamente, como John the Ripper u oclHashcat, para descifrar los hashes y obtener la contraseña real, ya sea a través de la fuerza bruta (probando todas las combinaciones alfanuméricas posibles) o probando cada palabra en una lista de palabras, como un diccionario. Las opciones disponibles en John the Ripper y oclHashcat permiten al atacante modificar las palabras probadas contra numerosos conjuntos de reglas, por ejemplo, el conjunto de reglas llamado leetspeak, un sistema para reemplazar letras con números, como en "k3v1n m17n1ck". Esta regla cambiará todas las contraseñas a varias permutaciones de leetspeak. Usando estos métodos para descifrar
MachineTranslatedbyGoogle
contraseñas es mucho más eficaz que la simple fuerza bruta. Las contraseñas más simples y comunes se descifran fácilmente primero, luego las contraseñas más complejas se descifran con el tiempo. El tiempo que tarda depende de varios factores. Usando una herramienta para descifrar contraseñas junto con su nombre de usuario violado y su contraseña codificada, codificada, los piratas informáticos pueden acceder a una o más de sus cuentas probando esa contraseña en sitios adicionales conectados a su dirección de correo electrónico u otro identificador. En general, cuantos más caracteres tenga su contraseña, más tardarán los programas programas de adivinación de contraseñas, como John the Ripper, en ejecutar todas las variaciones posibles. A medida que los procesadores de las computadoras se vuelven más rápidos, el tiempo que se tarda en calcular todas las contraseñas posibles de seis caracteres e incluso de ocho caracteres también se vuelve mucho más corto. Por eso recomiendo usar contraseñas de veinticinco caracteres o más. Después de crear contraseñas seguras, y muchas de ellas, nunca las revele. Eso parece dolorosamente dolorosame nte obvio, pero las encuestas en Londres y otras ciudades importantes muestran que las personas intercambian sus contraseñas a cambio de algo tan trivial t rivial como un bolígrafo o un trozo de chocolate.8 Un amigo mío una vez compartió su contraseña de Netflix con una novia. Tenía sentido en ese momento. Estaba la gratificación inmedia inmediata ta de dejarla elegir una película para que la vieran juntos. Pero atrapadas en la sección de películas recomendadas de Netflix estaban todas sus películas "porque viste...", incluidas películas que había visto con novias anteriores. The Sisterhood of the Travelling Pants, por ejemplo, no es una película que él mismo hubiera pedido, y su novia lo sabía.
Por supuesto, todo el mundo tiene ex. Incluso podrías sospechar si saliste con alguien que no lo hizo. Pero ninguna novia quiere enfrentarse a la evidencia de quienes la han precedido.
Si protege con contraseña sus servicios en línea, también debe proteger con contraseña sus dispositivos individuales. individuales. La mayoría de nosotros tenemos computadoras portátiles y muchos de nosotros todavía tenemos computadoras de escritorio. Puede que estés solo en casa ahora, pero ¿qué pasa con los invitados a la cena que vienen más tarde? ¿Por qué arriesgarse a que uno de ellos pueda acceder a sus archivos, fotos y juegos simplemente sentándose en su escritorio y moviendo el mouse? Otra historia de advertencia de Netflix: en los días en que Netflix enviaba principalmente principalmente DVD, conocí a una pareja a la que le hicieron una broma. durante una fiesta
MachineTranslatedbyGoogle
en su casa, habían dejado su navegador abierto en su cuenta de Netflix. Posteriormente, la pareja descubrió que se habían agregado a su cola todo tipo de películas obscenas de la lista B y C, pero solo después de haber recibido más de una de estas películas por correo. Es aún más importante protegerse con contraseñas en la oficina. Piense en todas esas veces que lo llaman de su escritorio a una reunión improvisada. Alguien podría pasar por su escritorio y ver la hoja de cálculo del presupuesto del próximo trimestre. O todos los correos electrónicos que se encuentran en su bandeja de entrada. O peor aún, a menos que tenga un protector de pantalla protegido por contraseña que se activa después de unos segundos de inactividad, cada vez que esté lejos de su escritorio durante un período prolongado, fuera a almorzar o en una reunión larga, alguien podría sentarse y escribir. un correo electrónico y enviarlo como usted. O incluso modificar el presupuesto del próximo trimestre. Existen nuevos métodos creativos para evitar esto, como el software de bloqueo de pantalla que usa Bluetooth para verificar si está cerca de su computadora. En otras palabras, si vas al baño y tu teléfono móvil sale del rango de Bluetooth de la computadora, la pantalla se bloquea inmediatamente. También hay versiones que usan un dispositivo Bluetooth como una pulsera o un reloj inteligente y harán lo mismo.
Crear contraseñas para proteger cuentas y servicios en línea es una cosa, pero no lo ayudará si alguien obtiene posesión física de su dispositivo, especialmente si dejó abiertas esas cuentas en línea. Entonces, si protege con contraseña solo un conjunto de dispositivos, deberían ser sus dispositivos móviles, porque estos son los más vulnerables a perderse o ser robados. Sin embargo, Consumer Reports encontró que el 34 por ciento de los estadounidenses no protegen sus dispositivos móviles con ninguna medida de seguridad, como bloquear la pantalla con un PIN simple de cuatro dígitos.9 En 2014, un oficial de policía de Martinez, California, confesó haber robado fotos del teléfono celular de un sospechoso de DUI, una clara violación de la Cuarta Enmienda, que es parte de la Declaración de Derechos de la Constitución.10 Específicamente, la Cuarta Enmienda prohíbe registros e incautaciones irrazonables sin una orden emitida por un juez y respaldada por Causa: por ejemplo, los agentes del orden tienen que indicar por qué quieren acceder a su teléfono.
MachineTranslatedbyGoogle
Si aún no ha protegido con contraseña su dispositivo móvil, tome una momento ahora y hacerlo. En serio. Hay tres formas comunes de bloquear su teléfono, ya sea Android, iOS o cualquier otra cosa. El más familiar es un código de acceso: una secuencia de números que ingresa en un orden específico para desbloquear su teléfono. No te conformes con la cantidad de dígitos que recomienda el teléfono. Vaya a su configuración y configure manualmente el código de acceso para que sea más fuerte: siete dígitos si lo desea (como un número de teléfono antiguo de su infancia). Ciertamente use más de cuatro. Algunos dispositivos móviles le permiten elegir un código de acceso basado en texto, como los ejemplos que creamos aquí. Nuevamente, elija al menos siete caracteres. Los dispositivos móviles modernos muestran muestran las teclas de números y letras en la misma pantalla, lo que facilita el cambio entre ellas. Otra opción de bloqueo es visual. Desde 2008, los teléfonos Android han sido equipados con algo llamado patrones de bloqueo de Android (ALP). Nueve puntos aparecen en la pantalla y los conecta en el orden que desee; esa secuencia de conexión se convierte en su código de acceso. Puede pensar que esto es ingenioso y que la gran variedad de combinaciones posibles hace que su secuencia sea irrompible. Pero en la conferencia Passwords-Con PasswordsCon en 2015, los investigadores informaron que, siendo la naturaleza humana lo que es, los participantes en un estudio aprovecharon solo algunos patrones posibles de las 140,704 combinaciones posibles en ALP. 11 ¿Y cuáles eran esos patrones predecibles?
A menudo, la primera letra del nombre del usuario. El estudio también encontró que las personas tendían a usar los puntos en el medio y no en las cuatro esquinas remotas. Considere eso la próxima vez que configure un ALP. Finalmente está la cerradura biométrica. Apple, Samsung y otros fabricantes populares actualmente permiten a los clientes la opción de usar un escáner de huellas dactilares para desbloquear sus teléfonos. Tenga en cuenta que estos no son infalibles. Después del lanzamiento de Touch ID, los investigadores, que tal vez esperaban que Apple hubiera mejorado la generación actual de escáneres de huellas dactilares que ya estaban en el mercado, se sorprendieron al descubrir que varios métodos antiguos para vencer a los escáneres de huellas dactilares todavía funcionan en el iPhone. Estos incluyen capturar una huella dactilar de una superficie limpia usando talco para bebés y cinta adhesiva transparente.
Otros teléfonos utilizan la cámara integrada para el reconocimiento facial del propietario.
MachineTranslatedbyGoogle
Esto también se puede vencer mostrando una fotografía de alta resolución del propietario frente a la cámara. En general, la biometría por sí misma es vulnerable a los ataques. Idealmente, la biometría debería usarse solo como un factor de autenticación. Deslice la punta del dedo o sonría para la cámara, luego ingrese un PIN o contraseña. Eso debería mantener su dispositivo móvil seguro.
¿Qué sucede si creó una contraseña segura pero no la anotó? Los restablecimientos restablecimientos de contraseña son una bendición cuando absolutamente no puede acceder a una cuenta que se usa con poca frecuencia. Pero también pueden ser una fruta madura para los posibles atacantes. Utilizando las pistas que dejamos en forma de perfiles de redes sociales en Internet, los piratas informáticos pueden obtener acceso a nuestro correo electrónico y otros servicios simplemente restableciendo nuestras contraseñas. Un ataque que ha aparecido en la prensa consiste en obtener los últimos cuatro dígitos del número de tarjeta de crédito del objetivo y luego usarlos como prueba de identidad al llamar a un proveedor de servicios para cambiar la dirección de correo electrónico autorizada. De esa manera, el atacante puede restablecer la contraseña por su cuenta sin que el propietario legítimo lo sepa. En 2008, un estudiante de la Universidad de Tennesse Tennessee, e, David Kernell, decidió ver si podía acceder a la cuenta personal de correo electrónico de Yahoo de la entonces candidat candidata a a la vicepresidencia Sarah Palin.12 Kernell podría haber adivinado varias contraseñas, pero el acceso a la cuenta podría haber sido bloqueado después de algunos intentos intentos fallidos. En su lugar, usó la función de restablecimiento de contraseña, un proceso que luego describió como "fácil". las cuentas de correo electrónico de sus amigos habían sido incautadas. Estas apropiaciones de correo electrónico a menudo ocurren porque las contraseñas que protegen las cuentas no son seguras. O alguien aprendió la contraseña, a través de una violación de datos, o el atacante usó la función de restablecimiento restablecimiento de contraseña.
Al configurar por primera vez una cuenta, como una cuenta de correo electrónico o incluso una cuenta bancaria, es posible que le hayan preguntado lo que generalmente se denominan preguntas de seguridad. Por lo general, hay tres de ellos. A menudo hay menús desplegables que enumeran preguntas sugeridas, para que pueda elegir cuáles desea responder. Por lo general, son realmente obvios.
MachineTranslatedbyGoogle
¿Donde naciste? ¿Dónde fuiste a la escuela secundaria? ¿O la universidad? Y el viejo favorito, el apellido de soltera de su madre, que aparentemente ha estado en uso como pregunta de seguridad desde al menos 1882.14 Como discutiré más adelante, las empresas pueden escanear Internet y recopilar información personal que hace que responder estas preguntas básicas de seguridad sea una tarea fácil. pedazo de pastel Una persona puede pasar unos minutos en Internet y tener muchas posibilidades de poder responder a todas las preguntas de seguridad de un individuo determinado. Solo recientemente estas preguntas de seguridad han mejorado un poco. Por ejemplo, "¿Cuál es el estado donde nació su cuñado?" es bastante distinto, aunque responder correctamente a estas "buenas" preguntas puede conllevar sus propios riesgos, a los que llegaré en un minuto. Pero muchas de las llamadas preguntas de seguridad siguen siendo demasiado fáciles, como "¿Cuál es la ciudad natal de tu padre?" En general, al configurar estas preguntas de seguridad, intente evitar las sugerencias más obvias disponibles en el menú desplegable. Incluso si el sitio incluye solo preguntas de seguridad básicas, sea creativo. Nadie dice que tienes que dar respuestas directas. Puedes ser inteligente al respecto. Por ejemplo, en lo que respecta a su servicio de transmisión de video, tal vez tutti-frutti sea su nuevo color favorito. ¿Quién lo adivinaría? es un color no? Lo que proporciona como respuesta se convierte en la respuesta "correcta" a esa pregunta de seguridad. Siempre que proporcione respuestas creativas, asegúrese de anotar tanto la pregunta como la respuesta y guárdelas en un lugar seguro (o simplemente use un administrador de contraseñas para almacenar sus preguntas y respuestas). Puede haber una ocasión posterior en la que necesite hablar con el soporte técnico, y un representante podría hacerle una de las preguntas de seguridad. Tenga una carpeta a mano o mantenga una tarjeta en su billetera (o memorice y use constantemente el mismo conjunto de respuestas) para recordar que "En un hospital" es la respuesta correcta a la pregunta "¿Dónde nació?" Esta simple ofuscación frustraría a alguien que más tarde investigó en Internet sobre usted e intentó una respuesta más razonable, como "Columbus, Ohio". Existen riesgos de privacidad adicionales al responder preguntas de seguridad muy específicas con honestidad: está brindando más información personal de la que ya existe. Por ejemplo, la respuesta honesta a "¿En qué estado nació su cuñado?" luego puede ser vendido por el sitio que dio esa respuesta
MachineTranslatedbyGoogle
y tal vez combinado con otra información o utilizado para completar la información que falta. Por ejemplo, de la respuesta del cuñado se puede inferir que usted está o estuvo casado y que su pareja, o su ex, tiene un hermano que es hombre o está casado con un hombre nacido en el estado que proporcionó. Esa es una gran cantidad de información adicional de una respuesta simple. Por otro lado, si no tiene un cuñado, continúe y responda la pregunta de manera creativa, tal vez respondiendo "Puerto Rico". Eso debería confundir a cualquiera que intente crear un perfil sobre ti. Cuantas más pistas falsas proporcione, más invisible se volverá en línea. Cuando responda estas preguntas relativamente poco comunes, siempre considere cuán valioso es el sitio para usted. Por ejemplo, puede confiar en que su banco tenga esta información personal adicional, pero no su servicio de transmisión de video. Considere también cuál podría ser la política de privacidad del sitio: busque lenguaje que diga o sugiera que podría vender la información que recopila a terceros. El restablecimiento de la contraseña de la cuenta de correo electrónico de Yahoo de Sarah Palin requería su fecha de nacimiento, código postal y la respuesta a la pregunta de seguridad "¿Dónde conoció a su esposo?" La fecha de nacimiento y el código postal de Palin se podían encontrar fácilmente en línea (en ese momento, Palin era gobernadora de Alaska). La pregunta de seguridad requirió un poco más de trabajo, pero la respuesta también fue accesible para Kernell. Palin concedió muchas entrevistas en las que afirmó repetidamente que su esposo era su novio en la escuela secundaria. Resultó que esa era la respuesta correcta a su pregunta de seguridad: "Escuela secundaria". Al adivinar la respuesta a la pregunta de seguridad de Palin, Kernell pudo restablecer su contraseña de Yahoo Mail a una que él controlaba. Esto le permitió ver todos sus correos electrónicos personales de Yahoo. Se publicó una captura de pantalla de su bandeja de entrada en un sitio web de piratas informáticos. A Palin se le bloqueó el acceso a su correo electrónico hasta que restableció la contraseña.15 Lo que hizo Kernell fue ilegal, una violación de la Ley de Abuso y Fraude Informático. Específicamente, fue declarado culpable de dos cargos: obstrucción anticipada de la justicia por destrucción de registros, un delito grave, y obtener acceso no autorizado a una computadora, un delito menor. Fue sentenciado en 2010 a un año y un día de prisión más tres años de libertad supervisada.16 Si su cuenta de correo electrónico ha sido usurpada, como sucedió con la de Palin, primero tendrá que
MachineTranslatedbyGoogle
necesita cambiar su contraseña usando (sí, lo adivinó) la opción de restablecimiento de contraseña. Haga de esta nueva contraseña una contraseña más segura, como sugerí anteriormente. En segundo lugar, marque la casilla Enviado para ver exactamente lo que se envió a su nombre. Es posible que vea un mensaje de spam que se envió a varias partes, incluso a toda su lista de contactos. Ahora sabe por qué sus amigos le han estado enviando spam durante todos estos años: alguien pirateó su correo electrónico. cuentas También verifique si alguien se ha agregado a sí mismo a su cuenta. Anteriormente hablamos sobre el reenvío de correo con respecto a varias cuentas de correo electrónico. Bueno, un atacante que obtenga acceso a su servicio de correo electrónico también podría reenviar todo su correo electrónico a su cuenta. Todavía vería su correo electrónico normalmente, pero el atacante también lo vería. Si alguien se ha agregado a su cuenta, elimine esta dirección de correo electrónico de reenvío de inmediato.
Las contraseñas y los PIN son parte de la solución de seguridad, pero acabamos de ver que se pueden adivinar. Incluso mejores que las contraseñas complejas son los métodos de autenticación de dos factores. De hecho, en respuesta a que Jennifer Lawrence y otras celebridades publicaron sus fotos de desnudos en Internet, Apple instituyó la autenticación de dos factores, o 2FA, para sus servicios de iCloud. ¿Qué es 2FA? Cuando intente autenticar a un usuario, sitios o aplicaciones, busque al menos dos de tres cosas. Por lo general, se trata de algo que tienes, algo que sabes y algo que eres. Algo que tenga puede ser una tarjeta de crédito o débito con banda magnética o con chip incorporado. Algo que sabes es a menudo un PIN o una respuesta a una pregunta de seguridad. Y algo que eres abarca la biometría: escaneo de huellas dactilares, reconocimiento facial, reconocimiento de voz, etc. Cuantos más de estos tenga, más seguro podrá estar de que el usuario es quien dice ser. Si esto suena como nueva tecnología, no lo es. Durante más de cuarenta años, la mayoría de nosotros hemos estado realizando 2FA sin darnos cuenta. Cada vez que usa un cajero automático, realiza 2FA. ¿Cómo es eso posible? Tienes una tarjeta emitida por un banco (eso es algo que tienes) y un PIN (eso es algo que sabes). Cuando los junta, el cajero automático no tripulado en la calle sabe que desea acceder a la cuenta identificada en la tarjeta. En algunos países, existen medios adicionales de autenticación en
MachineTranslatedbyGoogle
Cajeros automáticos, como reconocimiento facial y huella de palma. Esto se llama autenticación multifactor (MFA). Algo similar es posible en línea. Muchas instituciones financieras y de atención médica, así como cuentas comerciales de correo electrónico y redes sociales, le permiten elegir 2FA. En este caso, el algo que sabes es tu contraseña y el algo que tienes es tu teléfono celular. Usar el teléfono para acceder a estos sitios se considera "fuera de banda" porque el teléfono no está conectado a la computadora que está usando. Pero si tiene habilitado 2FA, un atacante no debería poder acceder a sus cuentas protegidas por 2FA sin tener su dispositivo móvil a mano. Digamos que usas Gmail. Para habilitar 2FA, se le pedirá que ingrese su número de teléfono celular en el sitio de Gmail. Para verificar su identidad, Google enviará un código SMS de seis dígitos a su teléfono. Al ingresar posteriormente ese código en el sitio de Gmail, acaba de verificar que esta computadora y ese número de teléfono celular están conectados. Después de eso, si alguien intenta cambiar la contraseña de su cuenta desde una computadora o dispositivo nuevo, se enviará un mensaje de texto a su teléfono. Solo cuando se ingrese el código de verificación correcto en el sitio web, se guardará cualquier cambio en su cuenta. Sin embargo, hay una arruga en eso. Según los investigadores de Symantec, si envía un SMS para confirmar su identidad, alguien que sepa su número de teléfono celular puede hacer un poco de ingeniería social y robar su código de restablecimiento de contraseña protegido por 2FA si no está prestando mucha atención. .17 Digamos que quiero controlar su cuenta de correo electrónico y no sé su contraseña. Sé su número de teléfono celular porque es fácil de encontrar a través de Google. Puedo ir a la página de restablecimiento de su servicio de correo electrónico y solicitar un restablecimiento de contraseña, lo que, debido a que habilitó la autenticación de dos factores, dará como resultado que se envíe un código SMS a su teléfono. ¿Hasta aquí todo bien, no? Aférrate. Un ataque reciente a un teléfono usado por el activista político DeRay Mckesson mostró cómo los malhechores podían engañar a su operador móvil para que hiciera un intercambio de SIM.18 En otras palabras, el atacante podría secuestrar su servicio celular y luego recibir sus mensajes SMS, por ejemplo, el código de SMS de Google para restablecer la cuenta de Gmail de Mckesson que estaba protegida con dos factores
MachineTranslatedbyGoogle
autenticación. Esto es mucho más probable que engañar a alguien para que lea su mensaje SMS con una nueva contraseña. Aunque eso todavía es posible, e implica ingeniería social. Debido a que no veré el código de verificación enviado por su proveedor de correo electrónico a su teléfono, tendré que fingir ser otra persona para obtenerlo. Solo unos segundos antes de recibir el SMS real de, digamos, Google, yo, como atacante, puedo enviar un SMS único, uno que dice: “Google ha detectado actividad inusual en su cuenta. Responda con el código enviado a su dispositivo móvil para detener la actividad no autorizada”. Verá que sí, de hecho, acaba de recibir un mensaje de texto SMS de Google que contiene un código de verificación legítimo, por lo que podría, si no tiene cuidado, simplemente responderme en un mensaje e incluir el código. Entonces tendría menos de sesenta segundos para ingresar el código de verificación. Ahora tengo lo que necesito para ingresar en la página de restablecimiento de contraseña y, después de cambiar su contraseña, tomar el control de su cuenta de correo electrónico. O cualquier otra cuenta. Dado que los códigos SMS no están encriptados y se pueden obtener de la manera que acabo de describir, un método 2FA aún más seguro es descargar la aplicación Google Authenticator de Google Play o la tienda de aplicaciones de iTunes para usar con un iPhone. Esta aplicación generará un código de acceso único en la propia aplicación cada vez que desee visitar un sitio que requiere 2FA, por lo que no hay que enviar SMS. Este código de seis dígitos generado por la aplicación se sincroniza con el mecanismo de autenticación del sitio que se utiliza para otorgar acceso al sitio. Sin embargo, Google Authenticator almacena su semilla de contraseña de un solo uso en el llavero de Apple con una configuración para "Solo este dispositivo". Eso significa que si hace una copia de seguridad de su iPhone y lo restaura a un dispositivo
diferente
porque
está actualizando o reemplazando un teléfono perdido, sus códigos de Google Authenticator no se transferirán y es una gran molestia restablecerlos. Siempre es una buena idea imprimir los códigos de emergencia en caso de que termine cambiando de dispositivo físico. Otras aplicaciones como 1Password le permiten hacer una copia de seguridad y restaurar sus semillas de contraseñas de un solo uso para que no tenga este problema. Una vez que haya registrado un dispositivo, mientras continúe iniciando sesión en el sitio desde ese dispositivo, se le solicitará un nuevo código de acceso a menos que marque específicamente la casilla (si está disponible) para confiar en la computadora durante treinta días, incluso si lleva su computadora portátil o teléfono a otro lugar. Sin embargo, si usa otro dispositivo, por ejemplo, toma prestada la computadora de su cónyuge, entonces se le pedirá una autenticación adicional. No hace falta decir que si eres
MachineTranslatedbyGoogle
usando 2FA, siempre tenga su teléfono celular a mano.
Teniendo en cuenta todas estas precauciones, es posible que se s e pregunte qué consejo doy a las personas que realizan cualquier tipo de transacción financiera en línea. Por alrededor de $100 al año, puede obtener protección antivirus y firewall para hasta tres computadoras bajo su control. El problema es que cuando navega por la Web, puede cargar en su navegador un anuncio publicitario que contiene malware. O tal vez abre su correo electrónico y uno de los correos electrónicos contiene malware. De una forma u otra, su computadora se infectará si entra regularmente en Internet, y es posible que su producto antivirus no detecte todo lo que hay. Por lo tanto, le recomiendo que gaste alrededor de $ 200 para obtener un Chromebook. Me gustan los iPad, pero son caros. El Chromebook es lo más parecido a una tableta ffácil ácil de usar que un iPad, y cuesta mucho menos. Mi punto es que necesita tener un dispositivo secundario que use exclusivamente para cosas financieras, tal vez incluso para cosas c osas médicas también. No se pueden instalar aplicaciones a menos que primero se registre con una cuenta de Gmail; esto lo limitará a abrir el navegador para navegar por Internet. Luego, si aún no lo ha hecho, active act ive 2FA en el sitio para que reconozca el Chromebook. Una vez que haya completado su negocio bancario o de atención médica, guarde el Chromebook hasta la próxima vez que tenga que hacer el balance de su chequera o programar una cita con el médico. Esto parece una molestia. Está. Reemplaza la comodidad c omodidad de la banca en cualquier momento con la banca
casi
en cualquier momento. Pero el resultado es que es mucho menos
probable que alguien juegue con su información bancaria y crediticia. Si usa el Chromebook solo para las dos o tres aplicaciones que instala, y si marca los sitios web bancarios o de atención médica y no visita otros, es muy poco probable que tenga un troyano o alguna otra forma de malware residiendo en su máquina.
Así que hemos establecido que necesita crear contraseñas seguras y no compartirlas. Debe activar 2FA siempre que sea posible. En los próximos capítulos, veremos cómo las interacciones cotidianas comunes pueden dejar huellas digitales en todas partes y qué puede hacer para proteger su privacidad.
MachineTranslatedbyGoogle
CAPITULO DOS ¿Quién más está leyendo su correo electrónico?
Si eres como yo, una de las primeras cosas que haces por la mañana es consultar su correo electrónico. Y, si eres como yo, también te preguntas quién más ha leído tu correo electrónico. Eso no es una preocupación paranoica. Si utiliza un servicio de correo electrónico basado en la web, como Gmail o Outlook 365, la respuesta es algo obvia y aterradora.
Incluso si elimina un correo electrónico en el momento en que lo lee en su computadora o teléfono móvil, eso no necesariamente borra el contenido. Todavía hay una copia en alguna parte. El correo web está basado en la nube, por lo que para poder acceder a él desde cualquier dispositivo, en cualquier lugar y en cualquier momento, debe haber copias redundantes. Si utiliza Gmail, por ejemplo, una copia de cada correo electrónico enviado y recibido a través de su cuenta de Gmail se conserva en varios servidores de Google en todo el mundo. Esto también es cierto si utiliza sistemas de correo electrónico proporcionados por Yahoo, Apple, AT&T, Comcast, Microsoft o incluso su lugar de trabajo. Cualquier correo electrónico que envíe también puede ser inspeccionado, en cualquier momento, por la empresa de alojamiento. Supuestamente esto es para filtrar el malware, pero la realidad es que terceros pueden y acceden a nuestros correos electrónicos por otras razones más siniestras y egoístas.
En principio, la mayoría de nosotros nunca representaríamos a nadie excepto al destinatario previsto que lee nuestro correo. Existen leyes que protegen el correo impreso entregado a través del Servicio Postal de EE. UU. y leyes que protegen el contenido almacenado, como correo electrónico.
MachineTranslatedbyGoogle
correo. Sin embargo, en la práctica, generalmente sabemos y probablemente aceptamos que existe una cierta compensació compensaciónn involucrada en la facilidad de comunicación que ofrece el correo electrónico. Sabemos Sabemos que Yahoo (entre otros) ofrece un servicio de correo web gratuito, y sabemos que Yahoo obtiene la mayor parte de su dinero de la publicidad. Tal vez no nos hayamos dado cuenta exactamente de cómo podrían estar conectados los dos y cómo eso podría afectar nuestra privacidad. privacidad. Un día, Stuart Diamond, residente del norte de California, lo hizo. Se dio cuenta de que los anuncios que veía en la esquina superior derecha de su cliente de Yahoo Mail no eran aleatorios; se basaban en el contenido de los correos electrónicos que había estado enviando y recibiendo. Por ejemplo, si menciono en un correo electrónico un próximo viaje de conferencias a Dubái, los anuncios que podría ver en mi cuenta de correo electrónico sugerir sugerirían ían aerolíneas, hoteles y cosas para hacer en los Emiratos Árabes Unidos. Esta práctica generalmente se explica cuidadosamente cuidadosamente en los términos de servicio que la mayoría de nosotros acordamos pero que probablemente nunca leímos. Nadie quiere ver anuncios que no tengan nada que ver con nuestros intereses individuales, ¿verdad? Y mientras el correo electrónico viaje entre los titulares de cuentas de Yahoo, parece razonable que la empresa pueda escanear el contenido de esos correos electrónicos para enviarnos anuncios y tal vez bloquear malware y spam, que es correo electrónico no deseado. . Sin embargo, Diamond, junto con David Sutton, también del norte de California, comenzaron a notar que el contenido de los correos electrónicos enviados y recibidos de direcciones fuera de Yahoo también influía en la selección de anuncios que se les presentaba. Eso sugería que la empresa estaba interceptando y leyendo todos sus correos electrónicos, no solo los que se enviaban haciaeny desde sus propios servidores.los dos presentaron una demanda colectiva en Con base los patrones que observaron, 2012 contra Yahoo en nombre de sus 275 millones de titulares de cuentas, citando preocupaciones sobre lo que es esencialmente equivalente a las escuchas telefónicas ilegales por parte de la empresa. ¿Eso acabó con el escaneo? No. En una demanda colectiva, hay un período de descubrimiento y respuesta de ambas partes. En este caso esa fase inicial duró casi tres años. En junio de 2015, un juez de San José, California, dictaminó que los hombres tenían motivos suficientes para que procediera su demanda colectiva y que las personas que enviaron o recibieron Yahoo Mail desde el 2 de octubre de 2011, cuando los hombres presentaron su solicitud inicial , podría unirse a la demanda bajo la Ley de Comunicaciones Almacenadas.
MachineTranslatedbyGoogle
Además, una clase de titulares de cuentas que no son de Yahoo Mail y que viven en California también pueden demandar en virtud de la Ley de invasión de la privacidad de ese estado. Ese caso sigue pendiente. Al defenderse de otra demanda por escaneo de correo electrónico, presentada a principios de 2014, Google publicó accidentalmente información sobre su proceso de escaneo de correo electrónico en una audiencia en la corte, luego intentó rápidamente y no logró que esa información fuera redactada o eliminada. El caso involucró la pregunta de qué fue exactamente escaneado o leído por Google. Según los demandantes en el caso, que incluían varias grandes empresas de medios, incluidos los propietarios de USA Today, Google se dio cuenta en algún momento de que al escanear solo el contenido de la bandeja de entrada, se estaba perdiendo una gran cantidad de contenido potencialmente útil. Esta demanda alegaba que Google pasó de escanear solo el correo electrónico archivado, que reside en el servidor de Google, a escanear todos los Gmail que aún estaban en tránsito, ya sea que se enviaran desde un iPhone o una computadora portátil mientras el usuario estaba sentado en Starbucks.
A veces, las empresas incluso han intentado escanear en secreto los correos electrónicos para sus propios fines. Un caso bien conocido de esto sucedió en Microsoft, que sufrió una gran reacción violenta cuando reveló que había escaneado la bandeja de entrada de un usuario de Hotmail del que se sospechaba que había pirateado una copia del software de la empresa. Como resultado de esta divulgación, Microsoft ha dicho que permitirá que las fuerzas del orden se encarguen de tales investigaciones en el futuro. Estas prácticas no se limitan a su correo electrónico privado. Si envía correo electrónico a través de su red de trabajo, es posible que el departamento de TI de su empresa también esté escaneando y archivando sus comunicaciones. Depende del personal de TI o de sus gerentes dejar pasar cualquier correo electrónico marcado a través de sus servidores y redes o involucrar a las fuerzas del orden. Esto incluye correos electrónicos que contienen secretos comerciales o material cuestionable, como pornografía. También incluye escanear el correo electrónico en busca de malware. Si su personal de TI escanea y archiva sus correos electrónicos, deben recordarle cada vez que inicie sesión cuál es su política, aunque la mayoría de las empresas no lo hacen.
Si bien la mayoría de nosotros podemos tolerar que nuestros correos electrónicos sean escaneados en busca de malware, y quizás algunos de nosotros toleramos el escaneo con fines publicitarios, la idea de que terceros lean nuestra correspondencia y actúen sobre contenidos específicos que se encuentran en correos electrónicos específicos es francamente perturbadora. (Excepto, por supue cuando se trata de pornografía infantil.
1)
MachineTranslatedbyGoogle
Por lo tanto, cada vez que escriba un correo electrónico, sin importar cuán insignificante sea, e incluso si lo elimina de su bandeja de entrada, recuerde que existe una excelente posibilidad de que una copia de esas palabras e imágenes se escanee y perdure, tal vez no para siempre. pero por un buen rato. (Algunas empresas pueden tener políticas de retención cortas, pero es seguro asumir que la mayoría de las empresas conservan el correo electrónico durante mucho tiempo).
Ahora que sabe que el gobierno y las corporaciones están leyendo su correo correos electrónicos, lo menos que puede hacer es dificultarles mucho más que lo hagan.
La mayoría de los servicios de correo electrónico basados en la Web utilizan cifrado cuando el correo electrónico está en tránsito. Sin embargo, cuando algunos servicios transmiten correo entre agentes de transferencia de correo (MTA), es posible que no utilicen cifrado, por lo que su mensaje está abierto. Por ejemplo, dentro del lugar de trabajo, un jefe puede tener acceso al sistema de correo electrónico de la empresa. Para volverse invisible, deberá cifrar sus mensajes, es decir, bloquearlos para que solo los destinatarios puedan desbloquearlos y leerlos. ¿Qué es el cifrado? es un código
Un ejemplo de cifrado muy simple, un cifrado César, por ejemplo, sustituye cada letra por otra que se encuentra a un cierto número de posiciones en el alfabeto. Si ese número es 2, por ejemplo, usando un cifrado César, a se convierte en c, c se convierte en e, z se convierte en b, y así sucesivamente. Con este esquema de cifrado compensado por dos, "Kevin Mitnick" se convierte en "Mgxkp Okvpkem".2 La mayoría de los sistemas de cifrado que se utilizan hoy en día son, por supuesto, mucho más fuertes que cualquier cifrado César básico. Por lo tanto, deberían ser mucho más difíciles de romper. Una cosa que es cierta acerca de todas las formas de encriptación es que requieren una clave, que se usa como contraseña para bloquear y abrir el mensaje encriptado. El cifrado simétrico significa que se utiliza la misma clave para bloquear y desbloquear el mensaje cifrado. Sin embargo, las claves simétricas son difíciles de compartir cuando dos partes se desconocen o están físicamente separadas, como lo están en Internet.
La mayoría de los cifrados de correo electrónico utilizan lo que se denomina cifrado asimétrico. Eso significa que genero dos claves: una clave privada que permanece en mi dispositivo, que nunca comparto, y una clave pública que publico libremente en Internet. Las dos claves son diferentes pero matemáticamente relacionadas. Por ejemplo: Bob quiere enviar a Alice un correo electrónico seguro. Encuentra la clave pública de Alice en Internet o la obtiene directamente de Alice, y cuando
MachineTranslatedbyGoogle
enviarle un mensaje cifra el mensaje con su clave. Este mensaje permanecerá encriptado hasta que Alice, y solo Alice, use una frase de contraseña para desbloquear su clave privada y desbloquear el mensaje encriptado. Entonces, ¿cómo funcionaría el cifrado del contenido de su correo electrónico? El método más popular de cifrado de correo electrónico es PGP, que significa "Privacidad bastante buena". No es gratis. Es un producto de Symantec Corporation. Pero su creador, Phil Zimmermann, también creó una versión de código abierto, OpenPGP, que es gratuita. Y una tercera opción, GPG (GNU Privacy Guard), creada por Werner Koch, también es gratuita. La buena noticia es que los tres son interoperativos. Eso significa que no importa qué versión de PGP use, las funciones básicas son las mismas.
Cuando Edward Snowden decidió por primera vez divulgar los datos confidenciales que había copiado de la NSA, necesitó la ayuda de personas con ideas afines repartidas por todo el mundo. Paradójicamente, necesitaba salirse de la red mientras seguía activo en Internet. Necesitaba volverse invisible. Incluso si no tiene secretos de estado para compartir, es posible que le interese mantener la privacidad de sus correos electrónicos. La experiencia de Snowden y la de otros ilustran que no es fácil hacer eso, pero es posible, con la debida diligencia. Snowden usó su cuenta personal a través de una empresa llamada Lavabit para comunicarse con otros. Pero el correo electrónico no es punto a punto, lo que significa que un solo correo electrónico puede llegar a varios servidores en todo el mundo antes de llegar a la bandeja de entrada del destinatario. Snowden sabía que todo lo que escribiera podría ser leído por cualquiera que interceptara el correo electrónico en cualquier lugar a lo largo de su viaje. Así que tuvo que realizar una maniobra complicada para establecer un medio de comunicación verdaderamente seguro, anónimo y completamente encriptado con la cineasta y defensora de la privacidad Laura Poitras, quien recientemente había terminado un documental sobre la vida de los denunciantes. Snowden quería establecer un intercambio encriptado con Poitras, excepto que solo unas pocas personas conocían su clave pública. No hizo muy pública su clave pública.
Para encontrar su clave pública, Snowden tuvo que comunicarse con un tercero, Micah Lee de Electronic Frontier Foundation, un grupo que apoya la privacidad en línea. La clave pública de Lee estaba disponible en línea y, según el relato publicado en Intercept, una publicación en línea, él tenía la clave pública de Poitras, pero primero necesitaba verificar si ella le permitiría compartirla.
MachineTranslatedbyGoogle
Ella lo haría.3 En este punto, ni Lee ni Poitras tenían idea de quién quería su clave pública; sólo sabían que alguien lo hizo. Snowden había usado una cuenta diferente, no su cuenta de correo electrónico personal, para comunicarse. Pero si no usa PGP con frecuencia, puede olvidarse de incluir su clave PGP en correos electrónicos importantes de vez en cuando, y eso es lo que le sucedió a Snowden. Se había olvidado de incluir su propia clave pública para que Lee pudiera responder. Sin una forma segura de contactar a esta persona misteriosa, a Lee no le quedó más remedio que enviar un correo electrónico de texto sin formato y sin cifrar a Snowden pidiéndole su clave pública, que él proporcionó. Una vez más, Lee, un tercero de confianza, tuvo que entrar en la situación. Puedo decirle por experiencia personal que es muy importante verificar la identidad de la persona con la que está teniendo una conversación segura, preferiblemente a través de un amigo en común, y asegurarse de que se está comunicando con ese amigo y no con otra persona disfrazada. Sé lo importante que es esto porque he sido el farsante antes, en una situación en la que funcionó a mi favor que la otra parte no cuestionara mi identidad real o la clave pública que envié. Una vez quise comunicarme con Neill Clift, un estudiante gradu graduado ado en química orgánica de la Universidad de Leeds, en Inglaterra, quien era muy hábil para encontrar vulnerabilidades vulnerabilidad es de seguridad en el sistema operativo VMS de Digital Equipment Corporation. Quería que Clift me enviara todos los agujeros de seguridad que había informado a DEC. Para eso necesitaba que pensara que en realidad trabajaba para DEC. Empecé haciéndome pasar por alguien llamado Dave Hutchins y enviándole a Clift un mensaje falsificado de él. Previamente había llamado a Clift haciéndome pasar por Derrell Piper de ingeniería de VMS, así que (haciéndome pasar por Hutchins) escribí en mi correo electrónico que Piper quería intercambiar correos electrónicos con Clift sobre un proyecto. Al revisar el sistema de correo electrónico de DEC, ya sabía que Clift y la verdadera Piper se habían enviado correos electrónicos anteriormente, por lo que esta nueva solicitud no sonaría tan extraña. Luego envié un correo electrónico falsificando la verdadera dirección de correo electrónico de Piper. Para convencer aún más a Clift de que todo iba bien, incluso le sugerí que usara el cifrado PGP para que alguien como Kevin Mitnick no pudiera leer los correos electrónicos. Pronto Clift y “Piper” estaban intercambiando claves públicas y encriptando comunica comunicaciones ciones —comunicaciones —comunicacio nes que yo, yo, como Piper, Piper,
MachineTranslatedbyGoogle
podría leer. El error de Clift fue no cuestionar la identidad del propio Piper. De manera similar, cuando recibe una llamada telefónica no solicitada de su banco solicitando su número de Seguro Social o información de cuenta, siempre debe colgar y llamar al banco usted mismo; nunca se sabe quién está al otro lado de la llamada telefónica o del correo electrónico. . Dada la importancia de los secretos que estaban a punto de compartir, Snowden y Poitras no pudieron usar sus direcciones de correo electrónico habituales. ¿Por que no? Sus cuentas personales de correo electrónico contenían asociaciones únicas, como intereses específicos, listas de contactos, que podían identificar a cada uno de ellos. En cambio, Snowden y Poitras decidieron crear nuevas direcciones de correo electrónico. El único problema era, ¿cómo sabrían las nuevas direcciones de correo electrónico de cada uno? En otras palabras, si ambas partes fueran totalmente anónimas, ¿cómo sabrían quién es quién y en quién pueden confiar? ¿Cómo podía Snowden, por ejemplo, descartar la posibilidad de que la NSA u otra persona no se hiciera pasar por la nueva cuenta de correo electrónico de Poitras? Las claves públicas son largas, por lo que no puede simplemente levantar un teléfono seguro y leer los caracteres a la otra persona. Necesita un intercambio de correo electrónico seguro. Al reclutar a Micah Lee una vez más, tanto Snowden como Poitras podrían afianzar su confianza en alguien al configurar sus cuentas de correo electrónico nuevas y anónimas. Poitras primero compartió su nueva clave pública con Lee. Pero las claves de encriptación PGP en sí mismas son bastante largas (no del tamaño de pi, pero son largas) y, de nuevo, ¿qué pasaría si alguien también estuviera mirando su cuenta de correo electrónico? Entonces, Lee no usó la clave real, sino una abreviatura de cuarenta caracteres (o una huella digital) de la clave pública de Poitras. Esto lo publicó en un sitio público: T Twitter. witter. A veces para volverse invisible hay que usar lo visible. Ahora Snowden podía ver de forma anónima el tuit de Lee y comparar la clave abreviada con el mensaje que recibió. Si los dos no coincidían, Snowden sabría que no debía confiar en el correo electrónico. El mensaje podría haber sido comprometido. O podría estar hablando con la NSA. En este caso, los dos coincidían. Ahora que se eliminaron varias órdenes de quiénes eran en línea y dónde estaban en el mundo, Snowden y Poitras estaban casi listos para comenzar su comunicación segura por correo electrónico anónimo. Snowden finalmente envió a Poitras un correo electrónico encriptado identificándose solo como "Citizenfour". Esta firma se convirtió en el título de su documental ganador del Premio de la Academia.
MachineTranslatedbyGoogle
sobre su campaña de derechos de privacidad. Eso podría parecer el final: ahora podrían comunicarse de forma segura. a través de correo electrónico encriptado, pero no fue así. Era sólo el principio.
A raíz de los ataques terroristas de 2015 en París, varios gobiernos discutieron sobre la construcción de puertas traseras u otras formas para que los funcionarios del gobierno descifraran mensajes de correo electrónico, de texto y telefónicos telefónicos cifrados, aparentemente de terroristas extranjeros. Esto, por supuesto, anularía el propósito del cifrado. Pero los gobiernos en realidad no necesitan ver el contenido cifrado de su correo electrónico para saber con quién se está comunicando y con qué frecuencia, como veremos.
Como mencioné antes, el propósito del cifrado es codificar su mensaje para que solo alguien con la clave correcta pueda decodificarlo más tarde. Tanto la fuerza de la operación matemática como la longitud de la clave de cifrado determinan qué tan fácil es para alguien sin clave descifrar su código.
Los algoritmos de cifrado que se s e utilizan hoy en día son públicos. Usted quiere eso.4 Tenga miedo de los algoritmos de encriptación que son propietarios y no públicos. Los algoritmos públicos han sido examinados por debilidad, lo que significa que las personas han estado tratando deliberadamente de descifrarlos. Cada vez que uno de los algoritmos públicos se vuelve débil o se rompe, se retira y en su lugar se utilizan algoritmos más nuevos y más fuertes. Los algoritmos más antiguos todavía existen, pero se desaconseja enfáticamente su uso.
Las claves están (más o menos) bajo tu control, por lo que, como puedes suponer, su gestión es muy importante. Si genera una clave de cifrado, usted, y nadie más, tendrá la clave almacenada en su dispositivo. Si permite que una empresa realice el cifrado, por ejemplo, en la nube, esa empresa también podría quedarse con la clave después de compartirla con usted. La preocupación real es que esta empresa también puede verse obligada por orden judicial a compartir la clave con la policía o una agencia gubernamental, con o sin orden judicial.
Deberá leer la política de privacidad de cada servicio que utilice para el cifrado y comprender quién es el propietario de las claves. Cuando cifre un mensaje (un correo electrónico, un mensaje de texto o una llamada telefónica), use el cifrado de extremo a extremo. Eso significa que su mensaje permanece ilegible hasta que llega a su destinatario. Con el cifrado de extremo a extremo, solo usted y su destinatario tienen las claves para decodificar el mensaje. No la
MachineTranslatedbyGoogle
el operador de telecomunicaciones, el propietario del sitio web o el desarrollador de la aplicación: las partes a las que las fuerzas del orden público o el gobierno solicitarán que entreguen información sobre usted. ¿Cómo sabe si el servicio de cifrado que está utilizando es un cifrado de extremo a extremo? Realice una búsqueda en Google de "llamada de voz de cifrado de extremo a extremo". Si la aplicación o el servicio no utiliza el cifrado de extremo a extremo, elija otro.
Si todo esto suena complicado, es porque lo es. Pero existen complementos de PGP para los navegadores de Internet Chrome y Firefox que facilitan el cifrado. Uno es Mailvelope, que maneja perfectamente las claves de encriptación públicas y privadas de PGP. Simplemente escriba una frase de contraseña, que se utilizará para generar las claves pública y privada. Luego, cada vez que escriba un correo electrónico basado en la Web, seleccione un destinatario y, si el destinatario tiene una clave pública disponible, tendrá la opción de enviarle un mensaje encriptado.5
Incluso si encripta sus mensajes de correo electrónico con PGP, casi cualquier persona puede leer una parte pequeña pero rica en información de su mensaje. Al defenderse de las revelaciones de Snowden, el gobierno de los EE. UU. afirmó repetidamente que no captura el contenido real de nuestros correos electrónicos, que en este caso sería ilegible con el cifrado PGP. En cambio, el gobierno dijo que recopila solo los metadatos del correo electrónico. ¿Qué son los metadatos de correo electrónico? Es la información en los campos Para y De, así como las direcciones IP de los distintos servidores que manejan el correo electrónico desde el origen hasta el destinatario. También incluye la línea de asunto, que a veces puede ser muy reveladora en cuanto al contenido cifrado del mensaje. Los metadatos, un legado de los primeros días de Internet, todavía se incluyen en todos los correos electrónicos enviados y recibidos, pero los lectores de correo electrónico modernos ocultan esta 6 información para que no se muestre.
PGP, independientemente del "sabor" que utilice, no cifra los metadatos: los campos Para y De, la línea de asunto y la información de la marca de tiempo. Esto permanece en texto sin formato, ya sea que sea visible para usted o no. Los terceros aún podrán ver los metadatos de su mensaje encriptado; sabrán que en tal o cual fecha enviaste un correo electrónico a alguien, que dos días después enviaste otro correo electrónico a esa misma persona, y así sucesivamente. Eso puede sonar bien, ya que los terceros en realidad no están leyendo el contenido, y probablemente no le importe la mecánica de cómo esos
MachineTranslatedbyGoogle
viajaron los correos electrónicos (las diversas direcciones de servidor y las marcas de tiempo), pero le sorprendería cuánto se puede aprender solo de la ruta del correo electrónico y la frecuencia de los correos electrónicos. En los años 90, antes de huir del FBI, realicé lo que llamé un análisis de metadatos en varios registros telefónicos. Comencé este proceso pirateando PacTel Cellular, un proveedor de telefonía celular en Los Ángeles, para obtener los registros detallados de llamadas (CDR) de cualquier persona que llamara a un informante que el FBI estaba usando para obtener información sobre mis actividades. Los CDR son muy parecidos a los metadatos de los que estoy hablando aquí; muestran la hora en que se realizó una llamada telefónica, el número marcado, la duración de la llamada y la cantidad de veces que se llamó a un número en particular, toda información muy útil. Al buscar entre las llamadas que se estaban realizando a través de PacTel Cellular al teléfono fijo del informante, pude obtener una lista de los números de teléfono celular de las personas que lo llamaron. Tras el análisis de los registros de facturación de las personas que llamaron, pude identificar a esas personas como miembros del escuadrón de delitos de cuello blanco del FBI, que operan desde la oficina de Los Ángeles. Efectivamente, algunos de los números que marcó cada individuo eran internos de la oficina del FBI en Los Ángeles, la oficina del fiscal federal y otras oficinas gubernamentales. Algunas de esas llamadas fueron bastante largas. Y bastante frecuente. Cada vez que trasladaban al informante a una nueva casa de seguridad, pude obtener el número de teléfono fijo de la casa de seguridad porque los agentes lo llamaban después de intentar comunicarse con el informante en su buscapersonas. Una vez que tuve el número de teléfonosocial, fijo delesinformante, también pude la dirección física través de laque ingeniería decir, haciéndome pasarobtener por alguien de Pacific Bell,a la empresa brindaba el servicio en la casa de seguridad. La ingeniería social es una técnica de piratería que utiliza la manipulación, el engaño y la influencia para lograr que un objetivo humano cumpla con una solicitud. A menudo, se engaña a las personas para que proporcionen información confidencial. En este caso, conocía los números internos de la compañía telefónica y pretendí ser un técnico de campo que hablaba la terminología y la jerga correctas, lo cual fue fundamental para obtener información confidencial. Entonces, si bien registrar los metadatos en un correo electrónico no es lo mismo que capturar el contenido real, es intrusivo desde la perspectiva de la privacidad.
MachineTranslatedbyGoogle
Si observa los metadatos de cualquier correo electrónico reciente, verá las direcciones IP de los servidores que pasaron su correo electrónico por todo el mundo antes de que llegara a su destino. Cada servidor, como cada persona que accede a Internet, tiene una dirección IP única, un valor numérico que se calcula utilizando el país donde se encuentra y quién es su proveedor de Internet. Se reservan bloques de direcciones IP para varios países, y cada proveedor tiene su propio subbloque, que se subdivide por tipo de servicio: acceso telefónico, cable o móvil. Si compró una dirección IP estática, se asociará con su cuenta de suscriptor y su dirección particular; de lo contrario, su dirección IP externa se generará a partir de un conjunto de direcciones asignadas a su proveedor de servicios de Internet. Por ejemplo, un remitente (alguien que le envía un correo electrónico) puede tener la dirección IP 27.126.148.104, que se encuentra en Victoria, Australia.
O podría ser 175.45.176.0, que es una de las direcciones IP de Corea del Norte. Si es lo último, entonces su cuenta de correo electrónico podría estar marcada para revisión del gobierno. Alguien en el gobierno de los EE. UU. podría querer saber por qué te estás comunicando con alguien de Corea del Norte, incluso si la línea de asunto dice "Feliz cumpleaños".
Por sí mismo, es posible que todavía no piense que la dirección del servidor es muy interesante. Pero la frecuencia de contacto puede decirte mucho. Además, si identifica cada elemento (el remitente y el receptor y sus ubicaciones), puede comenzar a inferir lo que realmente está sucediendo. Por ejemplo, los metadatos asociados con las llamadas telefónicas (la duración, la hora del día en que se realizan, etc.) pueden brindar mucha información sobre la salud mental de una persona. Una llamada a las 10:00 p. m. a una línea directa de violencia doméstica que dure diez minutos o una llamada a medianoche desde el puente de Brooklyn a una línea directa de prevención del suicidio que dure veinte minutos puede ser muy reveladora. Una aplicación desarrollada en Dartmouth College combina patrones de estrés, depresión y soledad en los datos de los usuarios. Esta actividad del usuario también se ha correlacionado con las calificaciones de los estudiantes.7 ¿ Aún no ve el peligro de que se expongan los metadatos de su correo electrónico? Un programa creado en el MIT llamado Immersion mapeará visualmente las relaciones entre los remitentes y los destinatarios de todo el correo electrónico que haya almacenado en su cuenta de correo electrónico simplemente usando los metadatos. La herramienta es una forma de cuantificar visualmente quién es más importante para usted. El programa incluso incluye una escala de tiempo móvil, para que puedas ver cómo las personas que conoces suben y bajan en
MachineTranslatedbyGoogle
importancia para usted con el tiempo. Si bien puede pensar que comprende sus relaciones, verlas representadas gráficamente puede ser una experiencia aleccionadora. Es posible que no se dé cuenta de la frecuencia con la que envía correos electrónicos a alguien que realmente no conoce o lo poco que envía correos electrónicos a alguien que conoce muy bien. Con la herramienta Inmersión, puede elegir si desea cargar los datos y también puede eliminar la información una vez que se haya graficado.8 Según Snowden, la NSA y otras agencias recopilan nuestros metadatos de correo electrónico, mensajes de texto y teléfono. . Pero el gobierno no puede recopilar metadatos de todos, ¿o sí? Técnicamente, no. Sin embargo, ha habido un fuerte aumento en la cobranza “legal” desde 2001. Autorizado bajo la Ley de Vigilancia de Inteligencia Extranjera de EE. UU. de 1978 (FISA), el Tribunal de Vigilancia de Inteligencia Extranjera de EE. UU. (conocido como FISC o Tribunal FISA) supervisa todas las solicitudes de órdenes de vigilancia contra personas extranjeras dentro de los Estados Unidos. Superficialmente, parece razonable que una orden judicial se interponga entre la policía y un individuo. La realidad es algo diferente. Solo en 2012, se presentaron 1856 solicitudes y se aprobaron 1856, lo que sugiere que el proceso actual es en gran medida una operación de aprobación de sello de goma para el gobierno de los EE. UU . sobre todos sus datos sobre usted, es decir, si aún no lo han hecho.
Para volverse verdaderamente invisible en el mundo digital, necesitará hacer algo más que cifrar sus mensajes. Necesitaras:
Elimina tu verdadera dirección IP: Este es tu punto de conexión a Internet, tu huella dactilar. Puede mostrar dónde se encuentra (hasta su dirección física) y qué proveedor utiliza.
Oculte su hardware y software: cuando se conecta a un sitio web en línea, el sitio puede recopilar una instantánea del hardware y el software que está utilizando. Hay trucos que se pueden usar para averiguar si tiene instalado un software en particular, como Adobe Flash. El software del navegador le dice a un sitio web qué sistema operativo está usando, qué versión de ese sistema operativo tiene y, a veces, qué otro software está ejecutando en su escritorio en
MachineTranslatedbyGoogle
el tiempo. Defiende tu anonimato:
la atribución en línea es difícil. Probar que estabas en el
teclado cuando ocurrió un evento es difícil. Sin embargo, si camina frente a una cámara antes de conectarse en línea en Starbucks, o si acaba de comprar un café con leche en Starbucks con su tarjeta de crédito, estas acciones pueden vincularse a su presencia en línea unos momentos después.
Como hemos aprendido, cada vez que te conectas a Internet, hay una dirección IP asociada con esa conexión.10 Esto es problemático si estás tratando de ser invisible en línea: puedes cambiar tu nombre (o no darlo en absoluto) , pero su dirección IP seguirá revelando dónde se encuentra en el mundo, qué proveedor utiliza y la identidad de la persona que paga por el servicio de Internet (que puede o no ser usted). Toda esta información se incluye en los metadatos del correo electrónico y luego se puede usar para identificarlo de manera única. Cualquier comunicación, ya sea por correo electrónico o no, se puede usar para identificarlo según la dirección del Protocolo interno (IP) que se asigna al enrutador que está usando mientras está en su casa, en el trabajo o en casa de un amigo. Por supuesto, las direcciones IP en los correos electrónicos pueden ser falsificadas. Alguien podría usar una dirección proxy (no su dirección IP real sino la de otra persona) para que un correo electrónico parezca originarse en otra ubicación. Un proxy es como un traductor de un idioma extranjero: usted habla con el traductor y el traductor habla con el hablante del idioma extranjero, solo que el mensaje sigue siendo exactamente el mismo. El punto aquí es que alguien podría usar un proxy de China o incluso de Alemania para evadir la detección en un correo electrónico que realmente proviene de Corea del Norte. En lugar de alojar su propio proxy, puede utilizar un servicio conocido como reenviador anónimo, que enmascarará la dirección IP de su correo electrónico. Un remitente anónimo simplemente cambia la dirección de correo electrónico del remitente antes de enviar el mensaje a su destinatario. El destinatario puede responder a través del remailer. Esa es la versión más simple. También hay variaciones. Algunos reenviadores de correo tipo I y tipo II no le permiten responder a los correos electrónicos; son simplemente correspondencia unidireccional. Los reenviadores de correo Tipo III, o Mixminion, ofrecen un conjunto completo de servicios: respuesta, reenvío y encriptación. Deberá averiguar qué servicio proporciona su reenviador si elige este método de correspondencia anónima.
MachineTranslatedbyGoogle
Una forma de enmascarar su dirección IP es usar el enrutador cebolla (Tor), que es lo que hicieron Snowden y Poitras. Desarrollado por el Laboratorio de Investigación Naval de EE. UU. en 2004 como una forma para que el personal militar realice búsquedas sin exponer sus ubicaciones físicas, el programa de código abierto Tor se ha ampliado desde entonces. Tor está diseñado para ser utilizado por personas que viven en regímenes severos como una forma de evitar la censura de los medios y servicios populares y para evitar que alguien rastree los términos de búsqueda que utilizan. Tor sigue siendo gratuito y puede ser utilizado por cualquier persona, en cualquier lugar, incluso usted. ¿Cómo funciona Tor? Da un vuelco al modelo habitual para acceder a un sitio web. Por lo general, cuando se conecta a Internet, abre un navegador de Internet y escribe el nombre del sitio que desea visitar. Se envía una solicitud a ese sitio y, milisegundos después, una respuesta regresa a su navegador con la página del sitio web. El sitio web sabe, según la dirección IP, quién es el proveedor de servicios y, a veces, incluso en qué parte del mundo se encuentra, según dónde se encuentra el proveedor de servicios o la latencia de los saltos desde su dispositivo hasta el sitio. Por ejemplo, si su dispositivo dice que está en los Estados Unidos, pero el tiempo y la cantidad de saltos que toma su solicitud para llegar a su destino sugieren que está en otro lugar del mundo, algunos sitios, en particular los sitios de juegos, lo detectarán como posible fraude. Cuando usa Tor, la línea directa entre usted y su sitio web de destino se oscurece con nodos adicionales, y cada diez segundos, la cadena de nodos que lo conectan con cualquier sitio que esté viendo cambia sin interrumpirlo. Los diversos nodos que lo conectan a un sitio son como capas dentro de una cebolla. En otras palabras, si alguien retrocediera desde el sitio web de destino e intentara encontrarlo, no podría hacerlo porque la ruta cambiaría constantemente. A menos que su punto de entrada y su punto de salida se asocien de alguna manera, su conexión se considera anónima.
Cuando usa Tor, su solicitud para abrir una página, por ejemplo, mitnicksecurity.com, no se envía directamente a ese servidor, sino primero a otro nodo Tor. Y para complicar aún más las cosas, ese nodo luego pasa la solicitud a otro nodo, que finalmente se conecta a mitnicksecurity.com. Así que hay un nodo de entrada, un nodo en el medio y un nodo de salida. Si tuviera que mirar quién estaba visitando el sitio de mi empresa, solo vería la dirección IP y la información del nodo de salida, el último en el
MachineTranslatedbyGoogle
cadena, y no la primera, su nodo de entrada. Puede configurar Tor para que use nodos de salida en un país en particular, como España, o incluso un nodo de salida específico, tal vez en Honolulu. Para usar Tor, necesitará el navegador Firefox modificado del sitio Tor (torproject.org). Busque siempre navegadores navegadores Tor legítimos para su sistema operativo en el sitio web del proyecto Tor. No utilice un sitio de terceros. Para los sistemas operativos Android, Orbot es una aplicación Tor legítima y gratuita de Google Play que cifra su tráfico y oculta su dirección IP.11 En los dispositivos iOS (iPad, iPhone), instale Onion Browser, una aplicación legítima de la tienda de aplicaciones de iTunes. Podrías estar pensando, ¿por qué alguien simplemente no construye un servidor de correo electrónico dentro de Tor? Alguien lo hizo. Tor Mail era un servicio alojado en un sitio al que solo podían acceder los navegadores Tor. Sin embargo, el FBI se apoderó de ese servidor en un caso no relacionado y, por lo tanto, obtuvo acceso a todo el correo electrónico cifrado almacenado en Tor Mail. Este es un cuento con moraleja que muestra que incluso cuando piensa que su información es segura, infalible, probablemente no lo sea.12 Aunque Tor usa una red especial, aún puede acceder a Internet desde ella, pero las páginas son mucho más lentas para cargar. Sin embargo, además de permitirle navegar por Internet con capacidad de búsqueda, Tor le brinda acceso a un mundo de sitios que normalmente no se pueden buscar: lo que se conoce como la Dark Web. Estos son sitios que no se resuelven en nombres comunes comunes como Google.com y en su lugar terminan con la extensión .onion. Algunos de estos sitios ocultos ofrecen, venden o brindan artículos y servicios que pueden ser ilegales. Algunos de ellos son sitios legítimos mantenidos por personas en partes oprimidas del mundo. Cabe señalar, sin embargo, que existen varias debilidades con Tor: No tiene control sobre los nodos de salida, que pueden estar bajo el control del gobierno o de las fuerzas del orden13 Todavía puede ser perfilado y posiblemente identificado14 tor es muy lento
Dicho esto, si aún decide usar Tor, no debe ejecutarlo en el mismo dispositivo físico que usa para navegar. En otras palabras, tenga una computadora portátil para navegar por la Web y un dispositivo separado para Tor (por ejemplo, un
MachineTranslatedbyGoogle
miniordenador Raspberry Pi con software Tor). La idea aquí es que si alguien puede poner en peligro su computadora portátil, no podrá despegar su capa de transporte Tor, ya que se ejecuta en una caja física separada.15
En el caso de Snowden y Poitras, como dije, simplemente conectarse entre sí a través de correo electrónico encriptado no fue suficiente. Después de que Poitras creara una nueva clave pública para su cuenta de correo electrónico anónima, podría haberla enviado a la dirección de correo electrónico anterior de Snowden, pero si alguien estuviera vigilando esa cuenta, su nueva identidad quedaría expuesta. Una regla muy básica es que debe mantener sus cuentas anónimas completamente separadas de cualquier cosa que pueda relacionarse con su verdadera identidad.
Para ser invisible, deberá comenzar con una pizarra limpia para cada nuevo contacto seguro que realice. Las cuentas de correo electrónico heredadas pueden estar conectadas de varias maneras con otras partes de su vida: amigos, pasatiempos, trabajo. Para comunicarse en secreto, deberá crear nuevas cuentas de correo electrónico utilizando Tor para que la dirección IP que configura la cuenta no se asocie con su identidad real de ninguna manera.
La creación de direcciones de correo electrónico anónimas es desafiante pero posible. Hay servicios privados de correo electrónico que puede utilizar. Dado que dejará un rastro si paga por esos servicios, en realidad es mejor que use un servicio web gratuito. Una molestia menor: Gmail, Microsoft, Yahoo y otros requieren que proporcione un número de teléfono para verificar su identidad. Obviamente, no puede usar su número de teléfono celular real, ya que puede estar conectado a su nombre y dirección reales. Es posible que pueda configurar un número de teléfono de Skype si admite la autenticación por voz en lugar de la autenticación por SMS; sin embargo, aún necesitará una cuenta de correo electrónico existente y una tarjeta de regalo prepaga para configurar un número de Skype. 16 Si cree que usar un teléfono celular prepago en sí mismo protegerá su anonimato, está equivocado. Si alguna vez usó un teléfono prepago para hacer llamadas asociadas con su verdadera identidad, descubrir quién es es un juego de niños.
En su lugar, querrás usar un teléfono desechable. Algunas personas piensan que los teléfonos desechables son dispositivos utilizados solo por terroristas, proxenetas y traficantes de drogas, pero hay muchos usos perfectamente legítimos para ellos. Por ejemplo, una reportera de negocios, después de que investigadores privados contratados por Hewlett-Packard revisaran su basura, que estaba ansiosa por descubrir quién
MachineTranslatedbyGoogle
podría estar filtrando información crítica de la junta directiva, cambiando a teléfonos desechables para que los investigadores privados tuvieran más dificultades para identificar sus llamadas. Después de esa experiencia, solo habló con su fuente en ese teléfono desechable.17 De manera similar, una mujer que está evitando a un ex abusivo podría obtener un poco de tranquilidad al usar un teléfono que no requiere un contrato o, para el caso, un Google o una cuenta de Apple. Un teléfono desechable generalmente tiene pocas o muy limitadas capacidades de Internet. Los teléfonos básicos brindan principalmente servicios de voz, texto y correo electrónico, y eso es todo lo que algunas personas necesitan. Sin embargo, también debe obtener datos porque puede conectar este teléfono desechable a su computadora portátil y usarlo para navegar por Internet. (Aquí le digo cómo cambiar la dirección de control de acceso a los medios, MAC, en su computadora portátil para que cada vez que se conecte con un teléfono desechable parezca ser un dispositivo nuevo). Sin embargo, comprar un teléfono desechable de forma anónima será complicado. Las acciones realizadas en el mundo real se pueden utilizar para identificarlo en el mundo virtual. Claro, podría entrar a Walmart y pagar en efectivo por un teléfono desechable y cien minutos de tiempo aire. ¿Quién lo sabría? Bueno, mucha gente lo haría. Primero, ¿cómo llegué a Walmart? ¿Tomé un auto de Uber? ¿Tomé un taxi? Todos estos registros pueden ser citados. Podría conducir mi propio automóvil, pero las fuerzas del orden utilizan la tecnología de reconocimiento automático de matrículas (ALPR, por sus siglas en inglés) en los grandes estacionamientos públicos para buscar vehículos perdidos o robados, así como personas con órdenes de arresto pendientes. Los registros ALPR pueden ser citados. Incluso si caminara a Walmart, una vez que ingresara a la tienda, mi rostro sería visible en varias cámaras de seguridad dentro de la tienda, y ese video puede ser citado. Bien, digamos que envío a alguien más a la tienda, alguien que no conozco, tal vez una persona sin hogar que contraté en el acto. Esa persona entra y compra el teléfono y varias tarjetas de recarga de datos con efectivo. Ese sería el enfoque más seguro. Tal vez haga arreglos para encontrarse con esta persona más tarde fuera de la tienda. Esto ayudaría a distanciarse físicamente de la transacción de venta real. En este caso, el eslabón más débil aún podría ser la persona que envió, ¿qué tan confiable es? Si le paga más que el valor del teléfono, probablemente estará feliz de entregar el teléfono como prometió.
MachineTranslatedbyGoogle
La activación del teléfono prepago requiere llamar al departamento de servicio al cliente del operador móvil o activarlo en el sitio web del proveedor. Para evitar ser registrado para "garantía de calidad", es más seguro activarlo a través de la Web. El uso de Tor en una red inalámbrica abierta después de haber cambiado su dirección MAC debería ser la protección mínima.
Debe inventar toda la información de suscriptor que ingrese en el sitio web. Para su dirección, simplemente busque en Google la dirección de un hotel importante y utilícela. Inventa una fecha de nacimiento y un PIN que recordarás en caso de que necesites comunicarte con el servicio de atención al cliente en el futuro. Hay servicios de correo electrónico que no requieren verificación, y si no necesita preocuparse por las autoridades, los números de Skype funcionan bien para el registro de cuentas de Google y cosas similares, pero por el bien de la ilustración, digamos que después de usar Tor para aleatorizar su dirección IP, y después de crear una cuenta de Gmail que no tiene nada que ver con su número de teléfono real, Google envía a su teléfono un código de verificación o una llamada de voz. Ahora tiene una cuenta de Gmail que es prácticamente imposible de rastrear. Así que tenemos una dirección de correo electrónico anónima establecid establecida a usando servicios familiares y comunes. Podemos producir correos electrónicos razonablemente seguros cuya dirección IP, gracias a Tor, es anónima (aunque no tiene control sobre los nodos de salida) y cuyo contenido, gracias a PGP, no puede ser leído excepto por el destinatario destinatario.. Tenga en cuenta que para mantener esta cuenta en el anonimato, solo puede acceder a la cuenta desde Tor para que su dirección IP nunca se asocie con ella. Además, nunca debe realizar búsquedas en Internet mientras esté conectado a esa cuenta anónima de Gmail; es posible que, sin darse cuenta, busque algo relacionado con su verdadera identidad. Incluso la búsqueda de información meteorológica meteorológica podría revelar su ubicación.18 ubicación.18
Como puede ver, volverse invisible y mantenerse invisible requiere una tremenda disciplin disciplina a y una diligencia perpetua. Pero vale la pena para ser invisible. Los puntos más importantes son: primero, tenga en cuenta todas las formas en que alguien puede identificarlo, identificarlo, incluso si toma algunas, pero no todas, las precauciones que he descrito. Y si toma todas estas precauciones, sepa que debe realizar la debida diligencia cada vez que use sus cuentas anónimas. Sin excepciones.
MachineTranslatedbyGoogle
También vale la pena reiterar que el cifrado de extremo a extremo (mantener su mensaje ilegible y seguro hasta que llegue al destinatario en lugar de simplemente cifrarlo) es muy importante. El cifrado de extremo a extremo se puede utilizar para otros fines, como llamadas telefónicas cifradas y mensajería instantánea, que analizaremos en los próximos dos capítulos.
MachineTranslatedbyGoogle
CAPÍTULO TRES escuchas telefónicas 101
Pasas innumerables en tu por teléfono todos los días, chatear, enviar mensajes de horas texto, navegar Internet.celular Pero, ¿realmente sabes cómo funciona tu teléfono celular? El servicio celular, que usamos en nuestros dispositivos móviles, es inalámbrico y se basa en torres celulares o estaciones base. Para mantener la conectividad, los teléfonos celulares envían continuamente balizas diminutas a la torre o torres físicamente más cercanas a ellos. La respuesta de la señal a esas balizas de las torres se traduce en la cantidad de "barras" que tiene: sin barras, sin señal. Para proteger un poco la identidad del usuario, estas balizas de su teléfono celular utilizan lo que se conoce como identidad de suscriptor móvil internacional, o IMSI, un número único asignado a su tarjeta SIM. Esto fue originalmente de la época en que las redes celulares necesitaban saber cuándo estabas en sus torres y cuándo estabas en roaming (usando las torres celulares de otros operadores). La primera parte del código IMSI identifica de forma exclusiva al operador de red móvil y la parte restante identifica su teléfono móvil ante ese operador de red. Las fuerzas del orden han creado dispositivos que pretenden ser estaciones base celulares. Estos están diseñados para interceptar mensajes de voz y de texto. En los Estados Unidos, las fuerzas del orden y las agencias de inteligencia también usan otros dispositivos para capturar IMSI (ver aquí). El IMSI se captura instantáneamente, en menos de un segundo y sin previo aviso. Por lo general, los receptores IMSI se utilizan en
MachineTranslatedbyGoogle
grandes mítines, lo que permite que las fuerzas del orden identifiquen más tarde quién estaba presente, particularmente particularmente si esas personas estaban llamando activamente a otros para que se unieran. Dispositivos como estos también pueden ser utilizados por servicios y aplicaciones de transporte para crear informes de tráfico. Aquí el número de cuenta real, o IMSI, no importa, solo qué tan rápido se mueve su teléfono celular de una torre a otra o de una región geográfica a otra. La cantidad de tiempo que tarda un teléfono celular en ir y venir de cada torre determina el estado del tráfico: rojo, amarillo o verde.1 Su dispositivo móvil se conecta a una serie de torres celulares cada vez que está encendido. La torre más cercana maneja su llamada, mensaje de texto o sesión de Internet. A medida que se mueve, su teléfono hace ping a la torre más cercana y, si es necesario, su llamada se mueve de una torre a otra, manteniendo la consistencia. Las otras torres cercanas están todas en modo de espera, de modo que si se mueve del punto A al punto B y otra torre entra en el rango para obtener una mejor señal, entonces la transferencia es fluida y no debería experimentar una llamada interrumpida. Baste decir que su dispositivo móvil emite una secuencia única que se registra en varias torres celulares individuales. Por lo tanto, cualquier persona que mire los registros de una torre específica verá la identidad de suscriptor móvil temporal (TMSI) de todas las personas en el área general en un momento dado, ya sea que hayan realizado llamadas o no. Las fuerzas del orden pueden solicitar y solicitan esta información a los operadores de telefonía celular, incluidas las identidades de las cuentas de back-end de titulares específicos.
Por lo general, si observa solo el registro de una torre celular, los datos solo pueden mostrar que alguien estaba de paso y que su dispositivo se comunicó con una torre celular específica como reserva. Si se realizó una llamada o si se intercambiaron datos, también habría un registro de esa llamada y su duración. Sin embargo, los datos de varios registros de torres de telefonía móvil se pueden utilizar para identificar geográficamente a un usuario. La mayoría de los dispositivos móviles hacen ping a tres o más torres a la vez. Usando registros de esas torres de telefonía celular, alguien puede triangular, en función de la fuerza relativa de cada ping, una ubicación bastante exacta del usuario del teléfono. Entonces, el teléfono que llevas todos los días es esencialmente un dispositivo de rastreo. ¿Cómo puedes evitar ser rastreado?
MachineTranslatedbyGoogle
Para firmar un contrato con un proveedor de telefonía celular se requiere un nombre, una dirección y un número de Seguro Social. Además, hay una verificación de crédito para asegurarse de que pueda pagar su factura mensual. No puedes evitar esto si vas con un transportista comercial. Un teléfono desechable parece una opción razonable. Un teléfono celular prepago, quizás uno que reemplaza con frecuencia (digamos, semanalmente o incluso mensualmente), evita dejar mucho rastro. Su TMSI aparecerá en los registros de la torre celular y luego desaparecerá. Si compró el teléfono discretamente, no se podrá rastrear r astrear hasta una cuenta de susc suscriptor. riptor. Los servicios celulares prepago siguen siendo cuentas de abonado, por lo que el IMSI siempre estará asignado a una cuenta. Por lo tanto, el anonimato de una persona depende de cómo adquirió el dispositivo quemador. En aras de la discusión, supongamos que se ha desconectado con éxito de la compra de un teléfono desechable. Seguiste los pasos descritos aquí y utilizaste a una persona ajena a ti para comprar el teléfono en efectivo. ¿Es imposible rastrear el uso de ese teléfono desechable? La respuesta corta es no.
Una advertencia: una tarde de 2007, un contenedor de 500 millones de dólares cargado con la droga éxtasis desapareció de un puerto de Melbourne, Australia. El dueño del contenedor, Pat Barbaro, un conocido traficante de drogas, metió la mano en el bolsillo, sacó uno de sus doce teléfonos celulares y marcó el número de un reportero local, Nick McKenzie, quien solo conocería a la persona que llamó por el nombre de Stan. .Barbaro luego usaría sus otros teléfonos desechables para enviar mensajes de texto a McKenzie, intentando obtener información anónima del reportero de investigación sobre el contenedor perdido. Como veremos, esto no funcionó.
Los teléfonos desechables, a pesar de lo que mucha gente pueda pensar, no son verdaderamente anónimos. De acuerdo con la Ley de Asistencia en las Comunicaciones para el Cumplimiento de la Ley (CALEA) de EE. UU., se informan todos los IMSI conectados con teléfonos desechables, al igual que los suscriptores que tienen contrato c ontrato con los principales operadores. En otras palabras, un oficial de la ley puede detectar un teléfono desechable desde un archivo de registro tan fácilmente como puede detectar un teléfono de contrato registrado. Si bien la IMSI no identificará quién es el propietario del teléfono, los patrones de uso podrían hacerlo. En Australia, donde CALEA no existe, las fuerzas del orden aún pudieron controlar los muchos teléfonos de Barbaro utilizando métodos bastante tradicionales.
MachineTranslatedbyGoogle
métodos. Por ejemplo, es posible que hayan notado una llamada realizada con su teléfono personal y luego, unos segundos más tarde, hayan visto en los archivos de registro otra llamada o mensaje de texto de uno de sus teléfonos desechables en el mismo sitio celular. Con el tiempo, el hecho de que estos IMSI aparecieran juntos en los mismos sitios celulares podría sugerir que pertenecían a un solo individuo. El problema de que Barbaro tuviera muchos teléfonos celulares a su disposición era que no importaba qué teléfono usara, personal o prepago, siempre que permaneciera en el mismo lugar, la señal llegaría a la misma torre celular. Las llamadas telefónicas desechables siempre aparecían junto a sus llamadas telefónicas registradas. El teléfono registrado, que figura a su nombre con un operador, fue completamente rastreable y ayudó a las fuerzas del orden público a identificarlo. Estableció un caso sólido en su contra, particularmente porque este patrón se repitió en otros lugares. Esto ayudó a las autoridades australianas a condenar a Barbaro por orquestar uno de los envíos de éxtasis más grandes de la historia de Australia. McKenzie concluyó: "Desde que el teléfono vibró ese día en mi bolsillo y 'Stan' entró brevemente en mi vida, he sido especialmente consciente de cómo las comunicaciones de una persona dejan un rastro, sin importar cuán cuidadosas sean" . , por supuesto, solo tiene un teléfono desechable. Esto significaría que necesitaría comprar minutos adicionales de forma anónima usando tarjetas prepagas o Bitcoin de vez en cuando, lo que puede hacer usando un Wi-Fi abierto de forma segura después de cambiar su dirección de control de acceso a medios (MAC) en su tarjeta inalámbrica (vea aquí ), y estar fuera de cualquier vista de cámara. O podría, como se sugirió en el capítulo anterior, contratar a un extraño para que pague en efectivo en la tienda para comprar el teléfono prepago y varias tarjetas de recarga.3 Esto agrega costos y tal vez inconvenientes, pero tendría un teléfono anónimo.
Aunque pueda parecer nueva, la tecnología celular tiene más de cuarenta años y, al igual que los sistemas telefónicos de alambre de cobre, contiene tecnologías heredadas que pueden comprometer su privacidad. Cada generación de tecnología de telefonía celular ha ofrecido nuevas funciones, en su mayoría destinadas a mover más datos de manera más eficiente. Los teléfonos de primera generación, o 1G, tenían la tecnología telefónica disponible en la década de 1980. Estas primeras redes y teléfonos 1G eran analógicos y usaban una variedad de estándares móviles ahora descontinuados. En 1991, la segunda generación (2G)
MachineTranslatedbyGoogle
Se introdujo la red digital. Esta red 2G ofrecía dos estándares: sistema global para comunicaciones móviles (GSM) y acceso múltiple por división de código (CDMA). También introdujo el servicio de mensajes cortos (SMS), datos de servicios complementarios no estructurados (USSD) y otros protocolos de comunicación simples que todavía se usan en la actualidad. Actualmente estamos en medio de 4G/LTE y en camino hacia 5G. Independientemente de la generación de tecnología que utilice un operador determinado (2G, 3G, 4G o 4G/LTE), existe un protocolo de señal internacional subyacente conocido como sistema de señalización. El protocolo del sistema de señalización (actualmente en la versión 7), entre otras cosas, mantiene las llamadas móviles conectadas cuando conduce por una autopista y cambia de torre celular a torre celular. También se puede utilizar para vigilancia. El sistema de señalización 7 (SS7) hace básicamente todo lo necesario para enrutar una llamada, como:
Configuración de una nueva conexión para una llamada
Rompiendo esa conexión cuando termina la llamada Facturar a la persona adecuada que realiza la llamada Administrar funciones adicionales, como el desvío de llamadas, la visualización del número y el nombre de la persona que llama, las llamadas tripartitas y otras redes inteligentes (IN) servicios Llamadas gratuitas (800 y 888) y de pago (900) Servicios inalámbricos, incluida la identificación del suscriptor, el operador y el roaming móvil
Tobias Engel, fundador de Sternraute, y Karsten Nohl, científico en jefe de Security Research Labs, explicaron en el Chaos Communication Congress, una conferencia anual sobre piratas informáticos que se lleva a cabo en Berlín, Alemania, que no solo podían ubicar a las personas que llaman a teléfonos celulares en cualquier parte del mundo. mundo, también podían escuchar sus conversaciones telefónicas. Y si no podían escuchar en tiempo real, podían grabar las llamadas y los mensajes de texto cifrados para descifrarlos más tarde. En seguridad, usted está tan seguro como el eslabón más débil. Lo que Engel y Nohl descubrieron fue que, si bien los países desarrollados de América del Norte y Europa han invertido miles de millones en la creación de redes 3G relativamente seguras y privadas,
MachineTranslatedbyGoogle
y las redes 4G, aún deben usar el sistema de señalización 7 (SS7) como protocolo subyacente. SS7 maneja el proceso de funciones de establecimiento de llamadas, facturación, enrutamiento e intercambio de información. información. Lo que significa que si puede acceder a SS7, puede manipular la llamada. SS7 permite que un atacante use un pequeño operador en, digamos, Nigeria para acceder a llamadas realizadas en Europa o Estados Unidos. “Es como asegurar la puerta principal de la casa, pero la puerta trasera está abierta de par en par”, dijo Engel. Los dos investigadores probaron un método en el que un atacante usa la función de reenvío de llamadas de un teléfono y SS7 para reenviar las llamadas salientes de un objetivo a sí mismo antes de realizar una conferencia (llamada tripartita) en su destinatario previsto. Una vez que el atacante se ha establecido, puede escuchar todas las llamadas realizadas por la persona objetivo desde cualquier lugar del mundo. Otra estrategia sería que el atacante instalara antenas de radio para recolectar todas las llamadas y mensajes de texto dentro de un área determinada. Para cualquier llamada 3G cifrada, el atacante podría pedirle a SS7 que le proporcione la clave de descifrado adecuada. “Todo está automatizado, con solo presionar un botón”, dijo Nohl. “Me parecería una capacidad de espionaje perfecta, para registrar y descifrar prácticamente cualquier red… Cualquier red que hayamos probado, funciona” .4 Luego enumeró casi todos los principales operadores en América del Norte y Europa, alrededor de veinte en total. Nohl y Engel también descubrieron que podían localizar a cualquier usuario de teléfono celular usando una función SS7 llamada consulta de interrogación en cualquier momento. Es decir, podrían hacerlo hasta que la función se cerrara a principios de 2015. Sin embargo, dado que todos los operadores deben rastrear a sus usuarios para brindar el servicio, SS7 brinda otras funciones que aún permiten cierta vigilancia remota. Cabe señalar que las fallas específicas identificadas por Nohl y Engel han sido mitigadas en su mayoría por los operadores desde que su investigación se hizo pública. Podría pensar que el cifrado por sí solo ayudaría a mantener privadas las llamadas telefónicas. A partir de 2G, las llamadas telefónicas basada basadas s en GSM se cifraron. Sin embargo, los métodos iniciales utilizados para encriptar llamadas en 2G eran débiles y finalmente fallaron. Desafortunadamente, Desafortunadamente, el costo de actualizar las redes celulares a 3G resultó prohibitivo para muchos operadores, por lo que se mantuvo en uso un 2G debilitado hasta alrededor de 2010 más o menos.
MachineTranslatedbyGoogle
En el verano de 2010, un equipo de investigadores dirigido por Nohl dividió entre ellos todas las claves de encriptación posibles utilizadas uti lizadas por las redes 2G GSM y procesó los números para producir lo que se llama una tabla arcoíris, una lista de claves o contraseñas precalculadas. Publicaron la tabla para mostrar a los operadores de todo el mundo cuán inseguro es el cifrado 2G usando GSM. Cada paquete, o unidad de datos entre el origen y el destino, de voz, texto o datos enviados a través de 2G GSM podría descifrarse en solo unos minutos utilizando la tabla de claves publicada.5 Este fue un ejemplo extremo, pero el equipo lo consideró necesario; cuando Nohl y otros habían presentado previamente sus hallazgos a los transportistas, sus advertencias cayeron en saco roto. Al demostrar cómo podían descifrar el cifrado 2G GSM, más o menos obligaron a los operadores a realizar el cambio. Es importante tener en cuenta que 2G todavía existe en la actualidad, y los operadores están considerando vender acceso a sus antiguas redes 2G para usar en dispositivos de Internet de las cosas (dispositivos que no sean computadoras que se conectan a Internet, como su televisor y refrigerador), que solo necesitan transmisión de datos ocasional. Si esto sucede, tendremos que asegurarnos de que los propios dispositivos tengan cifrado de extremo a extremo porque sabemos que 2G no proporcionará un cifrado lo suficientemente fuerte por sí solo.
Por supuesto, las escuchas clandestinas existían antes de que los dispositivos móviles realmente despegaran. Para Anita Busch, la pesadilla comenzó la mañana del 20 de junio de 2002, cuando se despertó con la llamada urgente de un vecino a su puerta. Alguien había hecho un agujero de bala en el parabrisas de su auto mientras estaba en el camino de entrada. No solo eso, alguien también le había dejado a Busch una rosa, un pez muerto y una nota de una sola palabra, "Alto", en el capó del automóvil.6 Más tarde se enteraría de que sus teléfonos habían sido intervenidos, y no por la policía. El hecho de que la escena con un agujero de bala y un pez muerto recordara una mala película de gánsteres de Hollywood tenía algo de sentido. Busch, un reportero experimentado, estaba en ese momento solo unas pocas semanas en una tarea independiente que narraba la creciente influencia del crimen organizado en Hollywood para Los Angeles Times. Estaba investigando a Steven Seagal y su ex socio comercial, Julius R. Nasso, quienes habían sido acusados de conspirar con la mafia de Nueva York para extorsionar a Seagal.7 Lo que siguió a encontrar la nota en su auto fue una serie de llamadas
MachineTranslatedbyGoogle
mensajes Aparentemente, la persona que llamó quería compartir información sobre Seagal. Mucho más tarde, Busch se enteró de que la persona que llamó había sido contratada por Anthony Pellicano, un ex investigador privado de alto perfil de Los Ángeles que, en el momento en que el auto de Busch fue manipulado, ya era sospechoso por el FBI de escuchas telefónicas ilegales, soborno soborno,, robo de identidad y obstrucción del tráfico. justicia. El teléfono con cable de cobre de Busch había sido intervenido por Pellicano, quien sabía por escuchar sus llamadas que estaba escribiendo una historia en el periódico sobre sus clientes. La cabeza de pez en su auto fue un intento de advertirla. Por lo general, las escuchas telefónicas solo se asocian con llamadas telefónicas, pero las leyes de escuchas telefónicas en los Estados Unidos también pueden cubrir las escuchas ilegales en el correo electrónico y los mensajes instantáneos. Por el momento me centraré en el uso tradicional de las escuchas telefónicas, en líneas fijas de hilo de cobre. Los teléfonos fijos son los teléfonos cableados en su hogar o negocio, y las escuchas telefónic telefónicas as implican literalmente tocar el cable vivo. En el pasado, las compañías telefónica telefónicass tenían bancos físicos de conmutadores en los que realizaban una versión de escuchas telefónicas. Lo que eso significa es que la compañía telefónica tenía dispositivos especiales que los técnicos del marco conectaron al número de teléfono objetivo en el mainframe de la oficina central. Hay un equipo de escuchas telefónicas telefónicas adicional que se conecta a este dispositivo y se usa para monitorear el objetivo. Hoy, esa forma de espionaje está retirada: las compañías telefónic telefónicas as están obligadas a implementar los requisitos técnicos exigidos por CALEA. Aunque un número creciente de personas en la actualidad se ha pasado a los teléfonos móviles, muchos aún conservan sus líneas fijas por su confiabilidad de hilo de cobre. Otros usan lo que se llama tecnología de Voz sobre Protocolo de Internet (VoIP), que es telefonía a través de Internet y generalmente se incluye en el hogar o la oficina con su servicio de cable o Internet. Ya sea un conmutador físico en la compañía telefónica o un conmutador digital, las fuerzas del orden tienen la capacidad de espiar las llamadas. La CALEA de 1994 requiere que los fabricantes y operadores de telecomunicaciones modifiquen sus equipos con el fin de permitir que las fuerzas del orden público intervengan la línea. Entonces, bajo CALEA, cualquier llamada de línea fija en los Estados Unidos está teóricamente sujeta a intercepción. Y bajo CALEA, todo acceso policial requiere una orden judicial del Título III. Dicho esto, sigue siendo ilegal que un ciudadano común realice una intervención telefónica, que es lo que hizo Anthony Pellicano para monitorear de forma encubierta a Anita Busch y otros. Su lista de víctimas de espionaje incluye a celebridades de Hollywood como
MachineTranslatedbyGoogle
Sylvester Stallone, David Carradine y Kevin Nealon, entre otros. Su lista de víctimas de escuchas telefónicas también incluye a mi amiga Erin Finn, porque su exnovio estaba obsesionado con ella y quería rastrear cada uno de sus movimientos. Debido a que su línea telefónica había sido intervenida, yo también fui monitoreado cuando la llamé. La parte más genial de la saga es que AT&T me pagó miles de dólares como parte de un acuerdo de demanda colectiva debido a que Pellicano intervino mis llamadas a Finn. Lo cual es algo irónico, porque en otra ocasión yo era quien hacía tapping. El propósito de Pellicano al pinchar a la gente era quizás más malicioso que el mío; estaba tratando de intimidar a los testigos para que no testificaran o testificaran de cierta manera.
A mediados de la década de 1990, los técnicos tuvieron que instalar una intervención telefónica. Así que Pellicano, o alguien de su gente, tuvo que contratar a alguien que trabajaba en PacBell para pinchar las líneas telefónicas de Busch y Finn. Los técnicos pudieron configurar extensiones de los teléfonos objetivo en la oficina de Pellicano, en Beverly Hills. En este caso no se hicieron escuchas en la caja de empalmes, ni en la terminal al costado de la casa o complejo de departamentos, aunque eso también es posible.8 Como recordará de haber leído mi libro anterior Ghost in the Wires, una vez manejé desde el departamento de mi padre en Calabasas hasta Long Beach para establecer una intervención física en una línea telefónica utilizada por Kent, un amigo de mi difunto hermano. Hubo muchas preguntas en torno a la muerte de mi hermano, por una sobredosis de drogas, y yo creía que él tenía algo que ver con esa muerte, aunque más tarde me enteré de que no estaba involucrado. En el espacio de servicios públicos dentro del complejo de apartamentos donde vivía Kent, utilicé la ingeniería social para fingir ser un técnico de línea que llamaba a una unidad particular dentro de GTE (Telefonía General y Electrónica) para encontrar dónde estaban ubicados el cable y el par asignados al teléfono de Kent. Resultó que los cables telefónicos de Kent pasaban por un edificio de apartamentos completamente separado. Y así, en un segundo s egundo espacio utilitario, finalmente pude conectar mi grabadora de cinta de microcassette activada por voz a su línea telefónica en la caja terminal (el lugar donde los técnicos de la compañía telefónica conectan las líneas a c cada ada apartamento).
Después de eso, cada vez que Kent hacía una llamada, podía grabar ambos lados de la conversación sin que él supiera que lo estaba haciendo, aunque debo señalar que aunque las grabaciones eran en tiempo real, yo no las escuchaba. Todos los días durante los siguientes diez días tuve que hacer el viaje de sesenta minutos hasta el apartamento de Kent, después de escuchar las cintas c intas recuperadas en busca de cualquier mención.
MachineTranslatedbyGoogle
de mi hermano Desafortunadamente, nunca salió nada de eso. Años más tarde supe que mi tío probablemente había sido el responsable de la muerte de mi hermano.
Dado lo fácil que fue para Pellicano y para mí acceder a conversaciones telefónicas privadas, es posible que se pregunte cómo puede volverse invisible con un teléfono fijo con cable de cobre que aparentemente está abierto a la vigilancia. No se puede, sin comprar equipo especial. Para los verdaderamente paranoicos, existen teléfonos fijos que encriptarán todas sus conversaciones de voz a través de cables de cobre.9 Estos teléfonos resuelven el problema de la interceptación de llamadas telefónicas privadas, pero solo si ambos extremos de la llamada usan encriptación; de lo contrario, pueden ser fáciles de monitorear. podemos hacer para evitar ser10espiados. Para el resto de nosotros, existen algunas opciones telefónicas básicas El movimiento hacia la telefonía digital ha hecho que la vigilancia sea más fácil, no más difícil. Hoy en día, si es necesario un toque en una línea de teléfono digital, se puede hacer de forma remota. La computadora de conmutación simplemente crea una segunda corriente paralela de datos; no se requiere equipo de monitoreo adicional. Esto también hace que sea mucho más difícil determinar si una línea determinada ha sido interceptada. Y en la mayoría de los casos, estos grifos solo se descubren por accidente. Poco después de que Grecia fuera sede de los Juegos Olímpicos de verano de 2004, los ingenieros de Vodafone-Panafon eliminaron un software malicioso que se había descubierto que se ejecutaba en la red celular de la empresa durante más de un año. En la práctica, las fuerzas del orden interceptan todos los datos de voz y texto enviados a través de cualquier red celular a través de un sistema de control remoto llamado RES (subsistema de equipo de control remoto), el equivalente digital de una intervención telefónica analógica. Cuando un sujeto bajo vigilancia hace una llamada móvil, el RES crea un segundo flujo de datos que alimenta directamente a un oficial de la ley. El software malicioso descubierto en Grecia aprovechó el RES de Vodafone, lo que significa que alguien que no era un oficial legítimo de la ley estaba escuchando las conversaciones realizadas a través de su red celular; en este caso, el interventor estaba interesado en funcionarios del gobierno. Durante los Juegos Olímpicos, algunos países, como Estados Unidos y Rusia, proporcionaron sus propios sistemas de comunicaciones privados para conversaciones a nivel estatal. Otros jefes de estado y ejecutivos de empresas de todo el mundo utilizaron el sistema comprometido de Vodafone.
Una investigación mostró que las comunicaciones del primer ministro griego
MachineTranslatedbyGoogle
El ministro y su esposa, así como los del alcalde de Atenas, el comisionado griego de la Unión Europea y los ministerios de defensa nacional, relaciones exteriores, marina mercante y justicia, habían sido monitoreados monitoreados durante los Juegos Olímpicos. Olímpicos. Otros teléfonos int interceptados erceptados pertenecían a miembros de organizaciones de derechos civiles, grupos antiglobalización, el partido gobernante Nueva Democracia, el estado mayor general de la Marina Helénica, así como activistas por la paz y un empleado greco-estadounidens greco-estadounidense e en la embajada de Estados Unidos en Atenas.11 El espionaje podría haber continuó más tiempo si Vodafone no hubiera llamado al proveedor de hardware para su sistema RES, Ericsson, mientras investigaba una queja separada: que sus mensajes de texto estaban sufriendo fallas en la entrega a una tasa superior a la normal. Después de diagnosticar el problema, Ericsson notificó a Vodafone que había encontrado un software malicioso. Desafortunadamente, más de una década después, todavía no sabemos quién hizo esto. O por qué. O incluso cuán común podría ser esta actividad. Para empeorar las cosas, aparentemente Vodafone manejó mal la investigación.12 Por un lado, faltaban los archivos de registro clave que cubrían el evento. Y en lugar de dejar que el programa malicioso se ejecute después del descubrimiento, una práctica común en las investigaciones de delitos informáticos, Vodafone lo eliminó abruptamente de su sistema, lo que puede haber alertado a los perpetradores y les permitió cubrir sus huellas. El caso de Vodafone es un inquietante recordatorio de lo vulnerables que son nuestros teléfonos móviles a las intercepciones. Pero hay formas en que aún puede ser invisible con un teléfono digital.
Además de los teléfonos celulares y los teléfonos fijos antiguos, una tercera opción de telefonía, como mencioné anteriormente, es el Protocolo de Voz sobre Internet (VoIP). VoIP es excelente para cualquier dispositivo inalámbrico que carezca de un medio nativo para realizar una llamada telefónica, por ejemplo, un iPod Touch de Apple; es más como navegar por Internet que hacer una llamada telefónica clásica. Los teléfonos fijos requieren alambre de cobre. Los teléfonos móviles utilizan torres de telefonía móvil. VoIP es simplemente transmitir su voz a través de Internet, ya sea utilizando servicios de Internet inalámbricos o por cable. VoIP también funciona en dispositivos móviles, como computadoras portátiles y tabletas, tengan o no servicio celular. Para ahorrar dinero, muchos hogares y oficinas se han cambiado a los sistemas de VoIP que ofrecen los nuevos proveedores de servicios y los sistemas de cable existentes.
MachineTranslatedbyGoogle
compañías. VoIP usa el mismo cable coaxial que trae transmisión de video e Internet de alta velocidad a su hogar. La buena noticia es que los sistemas telefónicos VoIP sí usan encriptación; específicamente, algo llamado descripciones de seguridad del protocolo de descripción de sesión, o SDES. La mala noticia es que SDES por sí solo no es muy seguro.
Parte del problema con SDES es que la clave de cif cifrado rado no se comparte mediante SSL/TLS (un protocolo criptográfico de red), que es seguro. Sin embargo, si el proveedor no utiliza SSL/TLS, la clave se envía sin cifrar. En lugar de cifrado asimétrico, utiliza cifrado simétrico, lo que significa que la clave generada por el remitente debe pasarse de alguna manera al destinatario para que la llamada se descifre. Digamos que Bob quiere llamar a Alice, que está en China. El teléfono VoIP encriptado con SDES de Bob genera una nueva clave para esa llamada. De alguna manera, Bob tiene que darle esa nueva clave a Alice para que su equipo de VoIP pueda descifrar su llamada telefónica y puedan tener una conversación. La solución que ofrece SDES es enviar la clave al operador de Bob, que luego se la pasa al operador de Alice, que luego la comparte con ella. ¿Ves el defecto? ¿Recuerda lo que dije sobre el cifrado de extremo a extremo en el capítulo anterior? La conversación permanece segura hasta que el destinatario la abre en el otro extremo. Pero SDES comparte la clave de Bob con el operador de Bob y, si el operador de Alice es diferente, la llamada se codifica desde el operador de Alice a Alice. Si la brecha es significativa es discutible. Algo así también ocurre con Skype y Google Voice. Se generan nuevas claves cada vez que se inicializa una llamada, pero esas claves luego se entregan a Microsoft y Google. Tanto por querer tener una conversación privada. Afortunadamente, existen formas de cifrar VoIP móvil de extremo a extremo. Signal, una aplicación de Open Whisper Systems, es un sistema de VoIP gratuito y de código abierto para teléfonos móviles que proporciona un verdadero cifrado de extremo a extremo tanto para iPhone como para Android.13 La principal ventaja de usar Signal es que la administración de claves se maneja solo entre las partes que llaman, no a través de terceros. t erceros. Eso significa que, como en SDES, se generan nuevas claves con cada llamada; sin embargo, las únicas copias de las l as claves se almacenan en los dispositivos de los usuarios. Desde CALEA
MachineTranslatedbyGoogle
permite el acceso a cualquier registro de una llamada específica, las fuerzas del orden público en este caso solo verían el tráfico cifrado a través de la línea del operador de telefonía móvil, lo que sería ininteligible. Y Open Whisper Systems, la organización sin fines de lucro que fabrica Signal, no tiene las llaves, por lo que una orden judicial sería inútil. Las claves existen solo en los dispositivos en cualquiera de los extremos de la llamada. Y una vez que finaliza la llamada, esas claves de sesión se destruyen. Actualmente, Actualment e, CALEA no se extiende a los usuarios finales ni a sus dispositivos. Podría pensar que tener encriptación en su teléfono celular agotará su batería. Lo hace, pero no por mucho. Signal utiliza notificaciones autom automáticas, áticas, al igual que las aplicaciones WhatsApp y Telegram. Por lo tanto, solo ve una llamada cuando está entrando, lo que reduce el uso de la batería mientras escucha nuevas llamadas. Las aplicaciones de Android e iOS también usan códecs de audio y algoritmos de búfer nativos de la red móvil, por lo que nuevamente el cifrado no consume mucha energía mientras realiza una llamada. Además de usar el cifrado de extremo a extremo, Signal también usa Perfect Forward Secrecy (PFS). ¿Qué es PFS? Es un sistema que usa una clave de encriptación ligeramente diferente para cada llamada, de modo que incluso si alguien logra obtener su llamada telefónica encriptada y la clave que se usó para encriptarla, sus otras llamadas permanecerán seguras. Todas las claves de PFS se basan en una sola clave original, pero lo importante es que si alguien compromete una clave, no significa que su adversario potencial tenga acceso a sus comunicaciones posteriores.
MachineTranslatedbyGoogle
CAPÍTULO CUATRO
Si no cifra, no está equipado
Si alguien recogiera su teléfono celular desbloqueado
ahora, esa persona podría obtener acceso a su correo electrónico, su cuenta de Facebook y tal vez incluso su cuenta de Amazon. En nuestros dispositivos móviles, ya no iniciamos sesión individualmente en los servicios, como lo hacemos en nuestras computadoras portátiles y de escritorio; tenemos aplicaciones móviles y, una vez que iniciamos sesión, permanecen abiertas. Además de tus fotos y tu música, hay otras características únicas en tu teléfono celular, como mensajes de texto SMS. Estos también quedan expuestos si alguien obtiene acceso físico a su dispositivo móvil desbloqueado. Considere esto: en 2009, Daniel Lee de Longview, Washington, fue arrestado bajo sospecha de vender drogas.1 Mientras estaba bajo custodia, la policía revisó su teléfono celular sin contraseña e inmediatamente descubrió varios mensajes de texto relacionados con las drogas. Uno de esos hilos era de un individuo llamado Z-Jon. Decía: "Tengo ciento treinta por los ciento sesenta que te debo anoche". Según el testimonio de la corte, la policía de Longview no solo leyó los mensajes de Z-Jon a Lee, sino que también respondieron activamente, organizando su propio negocio de drogas. Haciéndose pasar por Lee, la policía envió a Z-Jon un mensaje de texto en respuesta, preguntándole si “necesitaba más”. Z-Jon respondió: “Sí, eso sería genial”. Cuando Z-Jon (cuyo verdadero nombre es Jonathan Roden) se presentó a esa reunión, la policía de Longview lo arrestó por intento de posesión de heroína.
MachineTranslatedbyGoogle
La policía también notó otro hilo de mensajes de texto en el teléfono de Lee. y arrestó a Shawn Daniel Hinton en circunstancias similares.2 Ambos hombres apelaron, y en 2014, con la ayuda de la Unión Estadounidense de Libertades Civiles, la Corte Suprema del Estado de Washington anuló las condenas de Roden y Hinton por un tribunal inferior, afirmando que la policía había violado la expectativa de privacidad de los acusados. Los jueces del estado de Washington dijeron que si Lee hubiera visto primero los mensajes de Roden y Hinton o hubiera dado instrucciones a los agentes de policía para que respondieran diciendo “Daniel no está aquí”, eso habría cambiado los fundamentos en ambos casos. “Los mensajes de texto pueden abarcar los mismos temas íntimos que las llamadas telefónicas, las cartas selladas y otras formas tradicionales de comunicación que históricamente han estado fuertemente protegidas por la ley de Washington”, escribió el juez Steven González en el caso de Hinton.3 Los jueces dictaminaron que la expectativa de privacidad debe extenderse desde la era del papel-carta hasta la era digital. En los Estados E stados Unidos, las fuerzas del orden público no pueden abrir una carta sellada físicamente sin el permiso del destinatario. La expectativa de privacidad es una prueba legal. Se utiliza para determinar si se aplican las protecciones de privacidad de la Cuarta Enmienda de la Constitución de los Estados Unidos. Queda por ver cómo los tribunales deciden los casos futuros y si incluyen esta prueba legal.
La tecnología de texto, también conocida como servicio de mensajes cortos o SMS, existe desde 1992. Los teléfonos celulares, incluso los teléfonos con funciones (es decir, que no son teléfonos inteligentes), permiten enviar mensajes de texto breves. Los mensajes de texto no son necesariamente punto a punto: en otras palabras, los mensajes no viajan literalmente de un teléfono a otro. Al igual que un correo electrónico, el mensaje que escribe en su teléfono se envía sin cifrar, en claro, a un centro de servicio de mensajes cortos (SMSC), parte de la red móvil diseñada para almacenar, reenviar y entregar el SMS, a veces horas luego. Los mensajes de texto móviles nativos, los que se inician desde su teléfono y no desde una aplicación, pasan a través de un SMSC en el operador, donde pueden almacenarse o no. Los transportistas afirman que conservan los mensajes de texto solo unos días. Una vez transcurrido ese tiempo, los operadores insisten en que sus mensajes de texto se almacenen solo en los teléfonos que los envían y reciben, y la cantidad de mensajes almacenados varía según el modelo de teléfono. A pesar de estas afirmaciones, creo que qu e todos los móvile
MachineTranslatedbyGoogle
los operadores en los Estados Unidos conservan los mensajes de texto independientemente de lo que le digan al público.4 Existe cierta duda en torno a esta afirmación de los operadores. Los documentos expuestos por Edward Snowden sugieren una estrecha relación entre la NSA y al menos uno de los operadores, AT&T. Según Wired, a partir de 2002, poco después del 11 de septiembre, la NSA se acercó a AT&T y les pidió que comenzaran a construir habitaciones secretas en algunas de las instalaciones del operador. Uno se ubicaría en Bridgeton, Missouri, y otro en Folsom Street en el centro de San Francisco. Eventualmente, se agregaron otras ciudades, incluidas Seattle, San José, Los Ángeles y San Diego. El propósito de estas salas secretas era canalizar todo el tráfico de Internet, correo electrónico y teléfono a través de un filtro filtr o especial que buscaría palabras clave. No está claro si se incluyeron mensajes de texto, aunque parece razonable pensar que sí. Tampoco está claro si esta práctica todavía existe en AT&T o en cualquier otro operador posterior a Snowden.5 Una pista sugiere que esta práctica no continúa. En el juego de campeonato de la AFC de 2015, previo al Super Bowl XLIX, los New England Patriots encendieron la controversia con su victoria sobre los Indianapolis Colts, 45–7. En el centro de la l a controversia estaba si el equipo de Nueva Inglaterra había subinflado a sabiendas sus balones de fútbol. La Liga Nacional de Fútbol tiene reglas estrictas sobre el inflado adecuado de sus balones de fútbol, y después de ese partido de playoffs se determinó que los balones aportados por el equipo de Nueva Inglaterra no cumplían con los criterios. El centro de la investigación fueron los mensajes de texto enviados por el mariscal de campo estrella de los Patriots, Tom Brady. Brady negó públicamente su participación. Mostrar a los investigadores los mensajes de texto que envió y recibió antes y durante el juego quizás lo hubiera confirmado. Desafortunadamente, el día que se reunió con los investigadores clave, Brady cambió abruptamente de teléfono celular y desechó el que había usado entre noviembre de 2014 y aproximadamente el 6 de marzo de 2015, por un teléfono nuevo. Brady luego le dijo al comité que había destruido su teléfono original y todos los datos que contenía, incluidos sus mensajes de texto almacenados. Como resultado, Brady recibió una suspensión de cuatro juegos por parte de la l a NFL, que luego fue levantada por orden judicial. 6 “Durante los cuatro meses que el teléfono celular estuvo en uso, Brady tuvo
MachineTranslatedbyGoogle
intercambió casi 10,000 mensajes de texto, ninguno de los cuales ahora se puede recuperar desde ese dispositivo”, dijo la liga. “Después de la audiencia de apelación, los representantes del Sr. Brady proporcionaron una carta de su proveedor de telefonía celular que confirma que los mensajes de texto enviados o recibidos por el teléfono celular destruido ya no se pueden recuperar”. 7 Entonces, si Tom Brady tuviera una nota de su proveedor diciendo que todos sus mensajes de texto fueron destruidos, y los mismos operadores dicen que no los retienen, la única forma de prolongar la vida de un texto es hacer una copia de seguridad de su dispositivo móvil en la nube. Si utiliza un servicio de su proveedor, o incluso de Google o Apple, esas empresas pueden tener acceso a sus mensajes de texto. Aparentemente, Tom Brady no tuvo tiempo de hacer una copia de seguridad del contenido de su antiguo teléfono en la nube antes de su actualización de emergencia.
El Congreso no ha abordado el tema de la retención de datos en general y de los teléfonos móviles en particular. De hecho, el Congreso ha debatido en los últimos años si exigir a todos los operadores de telefonía móvil que archiven los mensajes de texto durante un máximo de dos años. Australia decidió hacer esto en 2015, por lo que queda por ver si esto funciona allí.
Entonces, ¿cómo puedes mantener la privacidad de tus mensajes de texto? En primer lugar, no utilice el servicio de mensajería de texto nativo que pasa por su proveedor de servicios inalámbricos. En su lugar, utilice una aplicación de terceros. ¿Pero cual? Para enmascarar nuestras identidades en línea, para disfrutar de Internet de forma anónima, necesitaremos confiar en algunos programas y servicios de software. Esa confianza es difícil de verificar. En general, las organizaciones de código abierto y sin fines de lucro proporcionan quizás el software y los servicios más seguros porque hay literalmente miles de ojos que examinan el código y marcan cualquier cosa que parezca sospechosa o vulnerable. Cuando utiliza software propietario, tiene que creer más o menos en la palabra del proveedor.
Las revisiones de software, por su naturaleza, solo pueden decirle mucho, por ejemplo, cómo funciona una función de interfaz en particular. Los revisores pasan unos días con el software y escriben sus impresiones. En realidad, no usan el software, ni pueden informar sobre lo que sucede a largo plazo. Solo registran sus impresiones iniciales.
Además, los revisores no le dicen si puede confiar en el software. No examinan los aspectos de seguridad y privacidad del producto. Y solo
MachineTranslatedbyGoogle
el hecho de que un producto provenga de una marca conocida no significa que sea seguro. De hecho, debemos tener cuidado con las marcas populares porque pueden atraernos a una falsa sensación de seguridad. No debe tomar la palabra del proveedor. En la década de 1990, cuando necesitaba encriptar mi computadora portátil con Windows 95, elegí un producto de Norton llamado Norton Diskreet, que ahora está descontinuado. Peter Norton es un genio. Su primera utilidad informática automatizó el proceso de recuperación de un archivo. Continuó creando muchas utilidades de sistema excelentes en la década de 1980, en un momento en que pocas personas podían entender un símbolo del sistema. Pero luego vendió la compañía a Symantec y alguien más comenzó a escribir el software en su nombre. Cuando adquirí Diskreet, un producto que ya no está disponible, el cifrado DES de 56 bits (DES significa "estándar de cifrado de datos") era un gran problema. Era el cifrado más fuerte que podías esperar. Para brindarle un poco de contexto, hoy usamos el cifrado AES de 256 bits (AES significa "estándar de cifrado avanzado"). Cada bit agregado de cifrado agrega exponencialmente más claves de cifrado y, por lo tanto, más seguridad. El cifrado DES de 56 bits se consideró seguro de última generación hasta que se descifró en 1998.8 De todos modos, quería ver si el programa pr ograma Diskreet era lo suficientemente robusto como para ocultar mis datos. También quería desafiar al FBI si alguna vez confiscaban mi computadora. Después de comprar el programa, pirateé Symantec y localicé el código fuente del programa.9 Después de analizar lo que hacía y cómo lo hacía, descubrí que Diskreet solo usaba treinta bits de la clave de 56 bits; el resto solo se rellenaba con ceros. .10 Eso es incluso menos seguro que los cuarenta bits que se permitía exportar fuera de los Estados Unidos. Lo que eso significaba en términos prácticos era que alguien (la NSA, las fuerzas del orden público o un enemigo con una computadora muy rápida) podía descifrar el producto Diskreet mucho más fácilmente de lo que se anunciaba, ya que en realidad no usaba encriptación de 56 bits. Sin embargo, la empresa e mpresa comercializaba el producto con cifrado de 56 bits. Decidí usar otra cosa en su lugar. ¿Cómo sabría esto el público? No lo harían.
Aunque las redes sociales como Facebook, Snapchat e Instagram ocupan los primeros lugares en lo que respecta a la popularidad entre los adolescentes, los mensajes de texto dominan en general, según los datos proporcionados por Niche.com.11 Un estudio reciente
MachineTranslatedbyGoogle
encontró que el 87 por ciento de los adolescentes envían mensajes de texto todos los días, en comparación con el 61 por ciento que dice que usa Facebook, la siguiente opción más popular. Las niñas envían, en promedio, alrededor de 3952 mensajes de texto por mes y los niños envían más cerca de 2.815 mensajes de texto al mes, según el estudio.
12
La buena noticia es que hoy en día todas las aplicaciones de mensajería populares ofrecen algún tipo de cifrado al enviar y recibir mensajes de texto, es decir, protegen lo que se denomina "datos en movimiento". La mala noticia es que no todo el cifrado que se utiliza es sólido. En 2014, el investigador Paul Jauregui de la empresa de seguridad Praetorian descubrió que era posible eludir el cifrado utilizado por WhatsApp y participar en un ataque Man-in-the-middle (MitM), en el que el atacante intercepta mensajes entre la víctima y su destinatario y puede ver todos los mensajes. “Este es el tipo de cosas que le encantaría a la NSA”, observó Jauregui.13 Al momento de escribir este artículo, el cifrado utilizado en WhatsApp se ha actualizado y utiliza cifrado de extremo a extremo en dispositivos iOS y Android. Y la empresa matriz de WhatsApp, Facebook, agregó encriptación a sus 900 millones de usuarios de Messenger, aunque es opcional, lo que significa que debe configurar "Conversaciones secretas" para que funcione.14
La peor noticia es lo que sucede con los datos archivados o "datos en reposo". La mayoría de las aplicaciones de texto móviles no cifran los datos archivados, ya sea en su dispositivo o en un sistema de terceros. Las aplicaciones como AIM, BlackBerry Messenger y Skype almacenan sus mensajes sin cifrarlos. Eso significa que el proveedor de servicios puede leer el contenido (si está almacenado en la nube) y usarlo para publicidad. También significa que si las fuerzas del orden, o los piratas informáticos criminales, obtuvieran acceso al dispositivo físico, también podrían leer esos mensajes. Otro problema es la retención de datos, que mencionamos anteriormente: ¿cuánto tiempo permanecen en reposo los datos en reposo? Si aplicaciones como AIM y Skype archivan sus mensajes sin encriptar, ¿cuánto tiempo los guardan? Microsoft, propietaria de Skype, ha dicho que "Skype usa el escaneo automático dentro de los mensajes instantáneos y SMS para (a) identificar sospechas de spam y/o (b) identificar URL que se han marcado previamente como spam, fraude o enlaces de phishing". Hasta ahora, esto suena como la actividad de análisis antimalware que las empresas realizan en nuestros correos electrónicos. Sin embargo, la política de privacidad continúa diciendo: “Skype retendrá su información durante el tiempo que sea necesario para:
MachineTranslatedbyGoogle
(1) cumplir cualquiera de los Propósitos (como se define en el artículo 2 de esta Política de Privacidad) o (2) cumplir con la legislación aplicable, las solicitudes reglamentarias y las órdenes pertinentes de los tribunales competentes.”15 Eso no suena tan bien. ¿Cuánto tiempo es “tanto como sea necesario”? AOL Instant Messenger (AIM) puede haber sido el primer servicio de mensajería instantánea que cualquiera de nosotros usó. Ha existido por mucho tiempo. Diseñado para PC de escritorio o tradicionales, AIM originalmente tomó la forma de una pequeña ventana emergente que aparecía en la esquina inferior derecha del escritorio. Hoy también está disponible como una aplicación móvil. Pero en términos de privacidad, AIM levanta algunas banderas rojas. Primero, AIM mantiene un archivo de todos los mensajes enviados a través de su servicio. Y, como Skype, también escanea el contenido de esos mensajes. Una tercera preocupación es que AOL mantiene registros de los mensajes en la nube en caso de que alguna vez desee acceder a un historial de chat desde cualquier terminal o dispositivo diferente al que tuvo su última sesión.16 Dado que sus datos de chat de AOL no están encriptados y está disponible desde cualquier terminal porque vive en la nube, es fácil para las fuerzas del orden público y los piratas informáticos obtener una copia. Por ejemplo, mi cuenta de AOL fue pirateada por un niño guionista cuyo identificador en línea es Virus; su nombre real es Michael Nieves . acceso a su sistema interno de base de datos de clientes, llamado Merlin, que le permitió cambiar mi dirección de correo electrónico a una asociada con una cuenta separada bajo su control. Una vez que lo hizo, pudo restablecer mi contraseña y obtener acceso a todos mis mensajes anteriores.
En 2007, Nieves fue acusada de cuatro delitos graves y un delito menor por, según la denuncia, piratear “redes y bases de datos informáticas internas de AOL, incluidos los registros de facturación de clientes, direcciones e información de tarjetas de crédito”.
Como ha dicho la Electronic Frontier Foundation, "ningún registro es un buen registro". AOL tiene registros.
Las aplicaciones de texto no nativas pueden decir que tienen encriptación, pero es posible que no sea una encriptación buena o fuerte. ¿Qué debes buscar? Una aplicación de texto que proporciona cifrado de extremo a extremo, lo que significa que ningún tercero tiene acceso a las claves. Las claves deben existir solo en cada dispositivo. Tenga en cuenta, también, que si alguno de los dispositivos está comprometido con malware, entonces se recomienda usar cualquier tipo de encriptación.
MachineTranslatedbyGoogle
sin valor. Hay tres "sabores" básicos de aplicaciones de texto:
Aquellos que no proporcionan ningún tipo de cifrado, lo que significa que cualquiera puede leer sus mensajes de texto. Aquellos que brindan encriptación, pero no de extremo a extremo, lo que significa que la comunicación puede ser interceptada por terceros, como el proveedor del servicio, que tiene conocimiento de las claves de encriptación. Aquellos que proporcionan cifrado de extremo a extremo, lo que significa que la comunicación no puede ser leída por terceros porque las claves se almacenan en los dispositivos individuales.
Desafortunadamente, las aplicaciones de mensajería de texto más populares, como AIM, no son muy privadas. Incluso Whisper and Secret puede no ser totalmente privado. Millones de personas usan Whisper y se comercializan a sí mismos como anónimos, pero los investigadores han hecho agujeros en estas afirmaciones. Whisper rastrea a sus usuarios, mientras que a veces se revelan las identidades de los usuarios secretos. Telegram es otra aplicación de mensajería que ofrece cifrado y se considera una alternativa popular a WhatsApp. Se ejecuta en dispositivos Android, iOS y Windows. Sin embargo, los investigadores descubrieron que un adversario puede comprometer los servidores de Telegram y obtener acceso a datos críticos.18 Y los investigadores descubrieron que es fácil recuperar mensajes cifrados de Telegram, incluso después de que se hayan eliminado del dispositivo.19
Entonces, ahora que hemos eliminado algunas opciones populares, ¿qué queda? Mucho. Cuando esté en la tienda de aplicaciones o en Google Play, busque aplicaciones que usen algo llamado mensajería extraoficial u OTR. Es un protocolo de cifrado de extremo a extremo de estándar más alto que se utiliza para mensajes de texto y se puede encontrar en varios productos.20 Su aplicación de mensajes de texto ideal también debe incluir Perfect Forward Secrecy (PFS). Recuerde que esto emplea una clave de sesión generada aleatoriamente que está diseñada para ser resistente en el futuro. Eso significa que si una clave está comprometida, no se puede usar para leer sus futuros mensajes de texto. Hay varias aplicaciones que usan OTR y PFS. ChatSecure es una aplicación de mensajería de texto segura que funciona tanto en Android
MachineTranslatedbyGoogle
y iPhones.21 También proporciona algo llamado fijación de certificados. Eso significa que incluye un certificado de prueba de identidad, que se almacena en el dispositivo. En cada contacto con los servidores de ChatSecure, el certificado dentro de la aplicación en su dispositivo se compara con el certificado en la nave nodriza. Si el certificado almacenado no coincide, la sesión no continúa.
Otro buen detalle es que ChatSecure también encripta los registros de conversación almacenados en el dispositivo: los datos en reposo.22 Quizás la mejor opción de código abierto es Signal de Open Whisper Systems, que funciona tanto en iOS como en Android (ver aquí).
Otra aplicación de mensajería de texto a considerar es Cryptocat. Está disponible para iPhone y la mayoría de los principales navegadores en su PC tradicional. Sin embargo, no está disponible para Android.23 Y, en el momento de escribir este artículo, el proyecto Tor, que mantiene el navegador Tor (ver aquí), acaba de lanzar Tor Messenger. Al igual que el navegador Tor, la aplicación anonimiza su dirección IP, lo que significa que los mensajes son difíciles de rastrear (sin embargo, tenga en cuenta que, al igual que con el navegador Tor, los nodos de salida no están bajo su control de forma predeterminada; consulte aquí). Los mensajes instantáneos se cifran mediante el cifrado de extremo a extremo. Al igual que Tor, la aplicación es un poco difícil para el usuario que la usa por primera vez, pero eventualmente debería funcionar para proporcionar mensajes de texto verdaderamente privados.24 También hay aplicaciones comerciales que brindan encriptación de extremo a extremo. La única advertencia es que su software es propietario y, sin una revisión independiente, no se puede confirmar su seguridad e integridad. Silent Phone ofrece mensajes de texto cifrados de extremo a extremo. Sin embargo, registra algunos datos, pero solo para mejorar sus servicios. Las claves de cifrado se almacenan en el dispositivo.
Tener las claves en el dispositivo significa que el gobierno o las fuerzas del orden no pueden obligar a Silent Circle, su fabricante, a liberar las claves de cifrado para ninguno de sus suscriptores.
He discutido el cifrado de datos en movimiento y datos en reposo, así como el uso de cifrado de extremo a extremo, PFS y OTR para hacerlo. ¿Qué pasa con los servicios que no están basados en aplicaciones, como el correo web? ¿Qué pasa con las contraseñas?
MachineTranslatedbyGoogle
CAPÍTULO CINCO
Ahora me ves, ahora no
Enexabril 2013, Khairullozhon Matanov, un taxista de de dos años de Quincy, Massachusetts, fue a cenarun conveinteañero un par de amigos, un par de hermanos, de hecho. Entre otros temas, los tres hombres hablaron sobre los eventos ocurridos ese mismo día cerca de la línea de meta del maratón de Boston, donde alguien había colocado ollas arroceras llenas de clavos, pólvora y un cronómetro. Las explosiones resultantes se cobraron tres vidas y dejaron más de doscientas personas heridas. Los hermanos en la mesa de Matanov, Tamerlan y Dzhokhar Tsarnaev, serían identificados más tarde como los principales sospechosos. Aunque Matanov dijo más tarde que no tenía conocimiento previo del atentado, supuestamente salió temprano de una reunión posterior al atentado con agentes de la ley y eliminó rápidamente el historial del navegador de su computadora personal. Ese simple acto, borrar el historial del navegador de su computadora portátil, resultó en cargos en su contra.1 Borrar el historial del navegador también fue uno de los cargos contra David Kernell, el estudiante universitario que hackeó la cuenta de correo electrónico de Sarah Palin. Lo escalofriante es que cuando Kernell limpió su navegador, ejecutó un desfragmentador de disco y eliminó las fotos de Palin que había descargado, aún no estaba bajo investigación. El mensaje aquí es que en los Estados Unidos no se le permite borrar nada de lo que hace en su computadora. Los fiscales quieren ver el historial completo de su navegador.
MachineTranslatedbyGoogle
Los cargos formulados contra Matanov y Kernell se derivan de una ley de casi quince años de antigüedad: la Ley de Reforma de la Contabilidad de Empresas Públicas y Protección del Inversor (como se la conoce en el Senado), o la Ley de Responsabilidad y Responsabilidad Corporativa y de Auditoría (como se la conoce en la Cámara), más comúnmente llamada Ley Sarbanes-Oxley de 2002. La ley fue el resultado directo de la mala gestión corporativa en Enron, una compañía de gas natural que más tarde se descubrió que mentía y engañaba a los inversores y al gobierno de EE. UU. Los investigadores del caso Enron descubrieron que se habían eliminado muchos datos al comienzo de la investigación, lo que impedía que los fiscales vieran exactamente lo que había sucedido dentro de la empresa. Como resultado, el Senador Paul Sarbanes (D-MD) y el Representante Michael G. Oxley (R OH) patrocinaron una legislación que impuso una serie de requisitos destinados a preservar los datos. Una era que los historiales de los navegadores debían conservarse. De acuerdo con la acusación del gran jurado, Matanov eliminó selectivamente su historial del navegador Google Chrome, dejando atrás la actividad de ciertos días durante la semana del 15 de abril de 2013.2 Oficialmente, fue acusado de dos cargos: “(1) destruir, alterar y falsificar registros, documentos y objetos tangibles en una investigación federal, y (2) hacer una declaración materialmente falsa, ficticia y fraudulenta en una investigación federal que involucre terrorismo internacional y doméstico”3. Fue sentenciado a treinta meses de prisión. Hasta la fecha, la disposición de historial de navegación de Sarbanes-Oxley rara vez se ha invocado, ya sea contra empresas o individuos. Y sí, el caso de Matanov es una anomalía, un caso de seguridad nacional de alto perfil. Sin embargo, a raíz de esto, los fiscales, conscientes de su potencial, comenzaron a invocarlo con más frecuencia. Si no puede evitar que alguien controle su correo electrónico, llamadas telefónicas y mensajes instantáneos, y si no puede eliminar legalmente el historial de su navegador, ¿qué puede hacer? Tal vez pueda evitar recopilar esa historia en primer lugar. Navegadores como Firefox de Mozilla, Chrome de Google, Safari de Apple e Internet Explorer y Edge de Microsoft ofrecen una forma alternativa integrada de buscar de forma anónima en cualquier dispositivo que prefiera, ya sea que use una PC tradicional o un dispositivo móvil. En cada caso, el propio navegador
MachineTranslatedbyGoogle
abra una nueva ventana y no registre lo que buscó o adónde fue en Internet durante esa sesión abierta. Cierre la ventana del navegador privado y todos los rastros de los sitios que visitó desaparecerán de su PC o dispositivo. Lo que intercambia por privacidad es que, a menos que marque un sitio mientras usa la navegación privada, no puede volver a él; no hay historial, al menos no en su máquina. Por mucho que te sientas invencible usando una ventana privada en Firefox o el modo de incógnito en Chrome, tu solicitud de acceso privado a un sitio web, como tus correos electrónicos, aún tiene que viajar a través de tu ISP: tu proveedor de servicios de Internet, la compañía a la que pagas. para Internet o servicio celular, y su proveedor puede interceptar cualquier información que se envíe sin estar encriptada. Si accede a un sitio web que usa encriptación, entonces el ISP puede obtener los metadatos: que visitó tal o cual sitio en tal o cual fecha y hora. Cuando un navegador de Internet, ya sea en una PC tradicional o en un dispositivo móvil, se conecta a un sitio web, primero determina si hay cifrado y, si lo hay, de qué tipo. El protocolo para las comunicaciones Web se conoce como http. El protocolo se especifica antes de la dirección, lo que significa que una URL típica podría verse así: http://www.mitnicksecurity.com. Incluso el “www” es superfluo en algunos casos. Cuando te conectas a un sitio mediante encriptación, el protocolo cambia ligeramente. En lugar de "http", verá "https". Así que ahora es https:// www.mitnicksecurity.com. Esta conexión https es más segura. Por un lado, es punto a punto, aunque solo si se conecta directamente al sitio en sí. También hay muchas redes de entrega de contenido (CDN) que almacenan en caché páginas para que sus clientes las entreguen más rápido, sin importar en qué parte del mundo se encuentre y, por lo tanto, se interponen entre usted y el sitio web deseado. Tenga en cuenta, también, que si ha iniciado sesión en sus cuentas de Google, Yahoo o Microsoft, estas cuentas pueden registrar el tráfico web en su PC o dispositivo móvil, tal vez creando su perfil de comportamiento en línea para que las empresas puedan orientar mejor los anuncios. verás. Una forma de evitar esto es siempre desconectarse de las cuentas de Google, Yahoo y Microsoft cuando termine de usarlas. Puede volver a iniciar sesión en ellos la próxima vez que lo necesite. Además, hay navegadores predeterminados integrados en sus dispositivos móviles. Estos no son buenos navegadores. Son una mierda, porque son mini versiones de los navegadores de escritorio y portátiles y carecen de algo de seguridad y
MachineTranslatedbyGoogle
Protecciones de privacidad que tienen las versiones más robustas. Por ejemplo, los iPhone se envían con Safari, pero también puede considerar ir a la tienda Apple en línea y descargar la versión móvil de Chrome o Firefox, navegadores que fueron diseñados para el entorno móvil. Las versiones más nuevas de Android se envían con Chrome como predeterminado. Todos los navegadores móviles admiten al menos la navegación privada. Y si usas un Kindle Fire, ni Firefox ni Chrome son opciones de descarga a través de Amazon. En su lugar, debe usar algunos trucos manuales para instalar Firefox o Chrome de Mozilla a través del navegador Silk de Amazon. Para instalar Firefox en el Kindle Fire, abra el navegador Silk y vaya al sitio FTP de Mozilla. Seleccione "Ir", luego seleccione el archivo que termina con la extensión .apk.
La navegación privada no crea archivos temporales y, por lo tanto, mantiene su historial de navegación fuera de su computadora portátil o dispositivo móvil. ¿Podría un tercero seguir viendo su interacción con un sitio web determinado? Sí, a menos que esa interacción se cifre primero. Para lograr esto, Electronic Frontier Foundation ha creado un complemento de navegador llamado HTTPS Everywhere.4 Este es un complemento para los navegadores Firefox y Chrome en su PC tradicional y para el navegador Firefox en su dispositivo Android. No hay una versión de iOS en el momento de escribir este artículo. Pero HTTPS Everywhere puede otorgar una clara ventaja: considere que en los primeros segundos de conexión, el navegador y el sitio negocian qué tipo de seguridad usar. Desea un secreto directo perfecto, del que hablé en el capítulo anterior. No todos los sitios usan PFS. Y no todas las negociaciones terminan con PFS, incluso si se ofrece. HTTPS Everywhere puede forzar el uso de https siempre que sea posible, incluso si PFS no está en uso. Aquí hay un criterio más para una conexión segura: cada sitio web debe tener un certificado, una garantía de terceros de que cuando se conecta, digamos, al sitio web de Bank of America, realmente es el sitio de Bank of America y no algo fraudulento. Los navegadores modernos trabajan con estos terceros, conocidos como autoridades de certificación, para mantener listas actualizadas. Siempre que se conecte a un sitio que no tenga las credenciales adecuadas, su navegador debería emitir una advertencia preguntándole si confía lo suficiente en el sitio para continuar. Depende de ti hacer una excepción. En general, a menos que conozca el sitio, no haga excepciones.
MachineTranslatedbyGoogle
Además, no existe un solo tipo de certificado en Internet; hay niveles de certificados. El certificado más común, uno que ve todo el tiempo, identifica únicamente que el nombre de dominio pertenece a alguien que solicitó el certificado, utilizando la verificación de correo electrónico. Podría ser cualquiera, pero eso no importa: el sitio tiene un certificado que reconoce su navegador. Lo mismo ocurre con el segundo tipo de certificado, un certificado de organización. Esto significa que el sitio comparte su certificado con otros sitios relacionados con el mismo dominio; en otras palabras, todos los subdominios en mitnicksecurity.com compartirían el mismo certificado. Sin embargo, el nivel más estricto de verificación de certificados es lo que se denomina un certificado de verificación extendida. En todos los navegadores, una parte de la URL se vuelve verde (normalmente es gris, como el resto de la URL) cuando se emite un certificado de verificación extendida. Al hacer clic en la dirección, https://www.mitnicksecurity.com https://www.mitnicksecurity.com,, se deben revelar detalles adicionales sobre el certificado y su propietario, generalmente la ciudad y el estado del servidor que proporciona el sitio web. Esta confirmación del mundo físico indica que la empresa que posee la URL es legítima y ha sido confirmada por una autoridad de certificación de terceros de confianza.
Es posible que espere que el navegador de su dispositivo móvil rastree su ubicación, pero se sorprenderá de que el navegador de su PC tradicional haga lo mismo. Lo hace. ¿Cómo? ¿Recuerda cuando le expliqué que los metadatos del correo electrónico contienen la dirección IP de todos los servidores que manejan los correos electrónicos en su camino hacia usted? Bueno, una vez más, la dirección IP que proviene de su navegador puede identificar qué ISP está utilizando y reducir las posibles áreas geográficas donde podría estar ubicado. La primera vez que accede a un sitio que solicita específicamente sus datos de ubicación (como un sitio meteorológico), su navegador debe preguntarle si desea compartir su ubicación con el sitio. La ventaja de compartir es que el sitio puede personalizar su listado para usted. Por ejemplo, es posible que vea anuncios en washingtonpost.com para empresas en la ciudad donde vive en lugar de en el área de DC. ¿No está seguro de haber respondido esa pregunta del navegador en el pasado? Luego pruebe la página de prueba en http://benwerd.com/lab/geo.php. Esta es una de tantas pruebas
MachineTranslatedbyGoogle
sitios que le dirán si su navegador está informando su ubicación. Si lo es y desea ser invisible, deshabilite la función. Afortunadamente, puede desactivar el seguimiento de la ubicación del navegador. En Firefox, escriba "acerca de: config" en la barra de direcciones URL. Desplácese hacia abajo hasta "geo" y cambie la configuración a "deshabilitar". "deshabilitar". Guarde sus cambios. En Chrome, vaya a Opciones>Under the Hood>Configur Hood>Configuración ación de contenido>Ubicación. contenido>Ubica ción. Hay una opción "No permitir que ningún sitio rastree mi ubicación física" que deshabilitará la geolocalización en Chrome. Otros navegadores tienen opciones de configuración similares. También es posible que desee falsificar su ubicación, aunque solo sea por diversión. Si desea enviar coordenadas falsas, digamos, la Casa Blanca, en Firefox, puede instalar un complemento de navegador llamado Geolocator. En Google Chrome, verifique la configuración integrada del complemento llamada "emular coordenadas de geolocalización". Mientras esté en Chrome, presione Ctrl+Shift+I en Windows o Cmd+Option+I en Mac para abrir las herramientas para desarrolladores de Chrome. Se abrirá la ventana de la consola y puede hacer clic en los tres puntos verticales en la parte superior derecha de la consola y luego seleccionar más herramientas>sensore herramientas>sensores. s. Se abrirá una pestaña de sensor. Esto le permite definir la latitud y longitud exactas que desea compartir. Puede usar la ubicación de un punto de referencia famoso o puede elegir un sitio en medio de uno de los océanos. De cualquier manera, el sitio web no sabrá dónde estás realmente. Puede ocultar no solo su ubicación física sino también su dirección IP mientras está en línea. Anteriormente mencioné Tor, que aleatoriza la dirección IP que ve el sitio web que está visitando. Pero no todos los sitios aceptan tráfico Tor. Hasta hace poco, Facebook no lo hacía. Para aquellos sitios que no aceptan conexiones Tor, puedes usar un proxy. Un proxy abierto es un servidor que se encuentra entre usted e Internet. En el capítulo 2 expliqué que un representante es como un traductor de un idioma extranjero: le habla al traductor y el traductor le habla al hablante del idioma extranjero, pero el mensaje sigue siendo exactamente el mismo. Usé el término para describir la forma en que alguien en un país hostil podría intentar enviarte un correo electrónico fingiendo ser de una empresa amiga. También puede usar un proxy que le permita acceder a sitios web restringidos geográficamente, geográficamen te, por ejemplo, si vive en un país que limita el acceso a la búsqueda de Google. O tal vez necesite ocultar su identidad para descargar contenido ilegal o con derechos de autor a través de BitTorrent. Sin embargo, los proxies no son a prueba de balas. Cuando utilice un proxy, recuerde que cada navegador debe configurarse manualmente para apuntar al proxy
MachineTranslatedbyGoogle
Servicio. E incluso los mejores sitios de proxy admiten que los trucos inteligentes de Flash o JavaScript aún pueden detectar su dirección IP subyacente, la dirección IP que usa para conectarse al proxy en primer lugar. Puede limitar la eficacia de estos trucos bloqueando o restringiendo el uso de Flash y JavaScript en su navegador. Pero la mejor manera de evitar que la inyección de JavaScript lo controle a través de su navegador es usar el complemento HTTPS Everywhere (consulte aquí). Hay muchos servicios de proxy comerciales. Pero asegúrese de leer la política de privacidad de cualquier servicio al que se suscriba. Preste atención a la forma en que maneja el cifrado de datos en movimiento y si cumple con las solicitudes de información de las fuerzas del orden y del gobierno. También hay algunos proxies gratuitos, pero debe lidiar con un flujo de publicidad inútil a cambio del uso del servicio. Mi consejo es tener cuidado con los proxies gratuitos. En su presentación en DEF CON 20, mi amigo y experto en seguridad Chema Alonso montó un proxy como experimento: quería atraer a los malos al proxy, por lo que anunció la dirección IP en xroxy.com. Después de unos días, más de cinco mil personas estaban usando su proxy “anónimo” gratuito. Desafortunadamente, la mayoría de ellos lo usaban para realizar estafas. Sin embargo, la otra cara de la moneda es que Alonso podría usar fácilmente el proxy gratuito para introducir malware en el navegador del malo y monitorear sus actividades. Lo hizo usando lo que se llama un gancho BeEF, un marco de explotación del navegador. También usó un acuerdo de licencia de usuario final (EULA) que las personas tenían que aceptar para permitirle hacerlo. Así fue como pudo leer los correos electrónicos que se enviaban a través del proxy y determinar que estaba manejando tráfico relacionado con actividades delictivas. La moraleja aquí es que cuando algo es gratis, obtienes lo que pagas. Si usa un proxy con el protocolo https, una agencia gubernamental o de aplicación de la ley solo vería la dirección IP del proxy, no las actividades en los sitios web que visita; esa información estaría encriptada. Como mencioné, el tráfico de Internet http normal no está encriptado; por lo tanto, también debe usar HTTPS en todas partes (sí, esta es mi respuesta a la mayoría de los problemas de invisibilidad del navegador).
Por conveniencia, las personas a menudo sincronizan su navegador
MachineTranslatedbyGoogle
ajustes entre diferentes dispositivos. Por ejemplo, cuando inicia sesión en el navegador Chrome o en una Chromebook, sus marcadores, pestañas, historial y otras preferencias del navegador se sincronizan a través de su cuenta de Google. Esta configuración se carga automáticamente cada vez que usa Chrome, ya sea en PC tradicionales o dispositivos móviles. automáticamente Para elegir qué información debe sincronizarse con su cuenta, vaya a la página de configuración en su navegador Chrome. El panel de control de Google le brinda control total si alguna vez desea eliminar la información sincronizada de su cuenta. Asegúrese de que la información confidencial no se sincronice automáticamente. automáticam ente. Firefox de Mozilla también tiene una opción de sincronización. La desventaja es que todo lo que un atacante debe hacer es atraerlo para que inicie sesión en su cuenta de Google en un navegador Chrome o Firefox, luego todo su historial de búsqueda se cargará en su dispositivo. Imagina a tu amigo usando tu computadora y eligiendo iniciar sesión en el navegador. El historial, los marcadores, etc. de su amigo ahora se sincronizarán. Eso significa que el historial de navegación de su amigo, entre otra información, ahora se puede ver en su computadora. Además, Además, si inicia sesión en una cuenta de navegador sincronizada usando una terminal pública y olvida cerrar sesión, todos los marcadores e historial de su navegador estarán disponibles para el próximo usuario. Si ha iniciado sesión en Google Chrome, incluso su calendario de Google, YouTube y otros aspectos de su cuenta de Google quedan expuestos. Si debe usar una terminal pública, esté atento a cerrar sesión antes de irse. Otro inconveniente de la sincronización es que todos los dispositivos interconectados interconectados mostrarán el mismo contenido. Si vives solo, puede estar bien. Pero si comparte una cuenta de iCloud, pueden pasar cosas malas. Los padres que permiten que sus hijos usen el iPad familiar, por ejemplo, podrían exponerlos involuntariamente a contenido para adultos.5 En una tienda Apple en Denver, Colorado, Elliot Rodríguez, un ejecutivo de cuentas local, registró su nueva tableta con su cuenta iCloud existente. Al instante, todas sus fotos, textos y descargas de música y videos estuvieron disponibles para él en la nueva tableta. Esta conveniencia le ahorró tiempo; no tuvo que copiar y guardar manualmente todo ese material en varios dispositivos. Y le permitió acceder a los elementos sin importar qué dispositivo eligió para usar. En algún momento posterior, Elliot pensó que era una buena idea darle su tableta de tecnología más antigua a su hija de ocho años. El hecho de que ella fuera
MachineTranslatedbyGoogle
conectado a sus dispositivos fue una ventaja a corto plazo. De vez en cuando, en su tableta, Elliot notaba una nueva aplicación que su hija había descargado en su tableta. A veces incluso compartían fotos familiares. Luego, Elliot hizo un viaje a la ciudad de Nueva York, donde viajaba con frecuencia por negocios. Sin pensarlo, Elliot sacó su iPhone y capturó varios momentos con su amante en Nueva York, algunos de ellos bastante... íntimos. Las imágenes de su iPhone se sincronizaron automáticamente automáticamente con el iPad de su hija en Colorado. Y, por supuesto, su hija le preguntó a su madre sobre la mujer que estaba con papá. No hace falta decir que Elliot tenía algunas explicaciones serias que hacer cuando llegó a casa. Y luego está el problema del regalo de cumpleaños. Si comparte dispositivos o cuentas sincronizadas, sus visitas a los sitios pueden alertar a los destinatarios de los obsequios sobre lo que recibirán en sus cumpleaños. O, peor aún, lo que podrían haber obtenido. Otra razón más por la que compartir una PC o tableta familiar puede presentar un problema de privacidad. Una forma de evitar esto es configurar diferentes usuarios, un paso relativamente fácil en Windows. Conserve los privilegios de administrador para que pueda agregar software al sistema y configurar miembros adicionales de la familia o del hogar con sus propias cuentas. Todos los usuarios iniciarán sesión con sus propias contraseñas y tendrán acceso solo a su propio contenido y a sus propios marcadores e historiales del navegador. Apple permite divisiones similares dentro de sus sistemas operativos OSX. Sin embargo, no mucha gente recuerda segmentar su espacio de iCloud. Y a veces, aparentemente sin culpa nuestra, la tecnología simplemente nos traiciona. Después de años de salir con varias mujeres, Dylan Monroe, un productor de televisión de Los Ángeles, finalmente encontró a "la indicada" y decidió establecerse. Su prometida se mudó y, como parte de su nueva vida juntos, inocentemente conectó a su futura esposa a su cuenta de iCloud. Cuando desea formar una familia, tiene sentido conectar a todos a una cuenta. Si lo hace, le permite compartir todos sus videos, textos y música con sus seres queridos. Excepto que está en tiempo presente. ¿Qué pasa con tu pasado almacenado digitalmente? A veces, tener un servicio de copia de seguridad automática en la nube como iCloud significa que acumulamos fotos, textos y música de muchos años, algunos de los cuales tendemos a olvidar, al igual que olvidamos el contenido de las cajas viejas en el
MachineTranslatedbyGoogle
ático. Las fotos son lo más cercano que tenemos a los recuerdos. Y sí, los cónyuges se han encontrado con cajas de zapatos con cartas y fotografías antiguas durante generaciones. generaciones. Pero un medio digital que te permite tomar literalmente miles de fotos de alta definición sin demasiado esfuerzo crea nuevos problemas. De repente, los viejos recuerdos de Dylan, algunos de ellos muy privados, volvieron para atormentarlo en forma de fotos que ahora estaban en el iPhone y el iPad de su prometida. Había muebles que había que sacar de la casa porque otras mujeres habían realizado actos íntimos en ese sofá, mesa o cama. Había restaurantes a los que su prometida se negaba a ir porque había visto fotos de otras mujeres allí con él, en esa mesa junto a la ventana o en ese reservado de la esquina. Dylan complació a su prometida con amor, incluso cuando ella le pidió que hiciera el último sacrificio: vender su casa una vez que los dos estuvieran casados. Todo porque había conectado su iPhone al de ella.
La nube crea otro problema interesante. Incluso si elimina el historial de su navegador en su computadora de escritorio, computadora portátil o dispositivo móvil, una copia de su historial de búsqueda permanece en la nube. Almacenado en los servidores de la empresa del motor de búsqueda, su historial es un poco más difícil de eliminar y más difícil de no haber almacenado en primer lugar. Este es solo un ejemplo de cómo la recopilación subrepticia de datos sin el contexto adecuado puede malinterpretarse fácilmente en una fecha y hora posteriores. Es fácil ver cómo un conjunto inocente de búsquedas puede salir mal. Una mañana a fines del verano de 2013, apenas unas semanas después del atentado con bomba en la maratón de Boston, el esposo de Michele Catalano vio dos SUV negros detenerse frente a su casa en Long Island. Cuando salió a saludar a los oficiales, estos le pidieron que confirmara su identidad y solicitaron su permiso para registrar la casa. No teniendo nada que ocultar, aunque sin saber por qué estaban allí, les permitió entrar. Después de una revisión superficial de las habitaciones, los agentes federales se pusieron manos a la obra. “¿Alguien en este hogar ha buscado información sobre ollas a presión?” “¿Alguien en este hogar ha buscado información sobre mochilas?” Aparentemente, las búsquedas en línea de la familia a través de Google habían desencadenado una
MachineTranslatedbyGoogle
investigación preventiva por parte del Departamento de Seguridad Nacional. Sin conocer la naturaleza exacta de la investigación de la familia Catalano, uno podría imaginar que en las semanas posteriores al bombardeo del maratón de Boston, ciertas búsquedas en línea, cuando se combinaron, sugirieron el potencial de terrorismo y, por lo tanto, se señalaron. En dos horas, la casa Catalano fue absuelta de cualquier posible irregularidad. Más tarde, Michele escribió sobre la experiencia para Medium, aunque solo sea como una advertencia de que lo que buscas hoy 6 podría volver a atormentarte mañana.
En su artículo, Catalano señaló que los investigadores debieron descartar sus búsquedas de "¿Qué diablos hago con la quinoa?" y "¿Ya se suspendió A Rod?" Ella dijo que su consulta sobre la olla a presión no era más que hacer quinua. ¿Y la consulta de la mochila? Su marido quería una mochila. Al menos una empresa de motores de búsqueda, Google, ha creado varias herramientas de privacidad que le permiten especificar qué información se siente cómodo guardando.7 Por ejemplo, puede desactivar el seguimiento personalizado de anuncios para que, si busca en la Patagonia (la región de América del Sur ) no empiezas a ver anuncios de viajes a Sudamérica. También puede desactivar su historial de búsqueda por completo. O no pudo iniciar sesión en Gmail, YouTube o cualquiera de sus cuentas de Google mientras busca en línea. Incluso si no ha iniciado sesión en sus cuentas de Microsoft, Yahoo o Google, su dirección IP aún está vinculada a cada solicitud del motor de búsqueda. Una forma de evitar esta coincidencia uno a uno es usar el proxy de Google startpage.com o el motor de búsqueda DuckDuckGo en su lugar. DuckDuckGo ya es una opción predeterminada en Firefox y Safari. A diferencia de Google, Yahoo y Microsoft, DuckDuckGo no prevé cuentas de usuario y la empresa dice que su dirección IP no se registra de manera predeterminada. La compañía también mantiene su propio relé de salida de Tor, lo que significa que puede buscar DuckDuckGo mientras usa Tor sin mucho retraso en el rendimiento.8 Debido a que DuckDuckGo no rastrea su uso, sus resultados de búsqueda no serán filtrados por sus búsquedas anteriores. La mayoría de las personas no se dan cuenta, pero los resultados que ve en Google, Yahoo y Bing están filtrados por todo lo que buscó en esos sitios en el pasado. Por ejemplo, si el motor de búsqueda ve que está buscando sitios relacionados con temas de salud, comenzará a
MachineTranslatedbyGoogle
filtre los resultados de búsqueda y coloque los resultados relacionados con problemas de salud en la parte superior. ¿Por qué? Porque muy pocos de nosotros nos molestamos en avanzar a la segunda página de un resultado de búsqueda. Hay un chiste en Internet que dice que si quieres saber cuál es el mejor lugar para enterrar un cadáver, prueba aquí de los resultados de búsqueda. A algunas personas les puede gustar la conveniencia de no tener que desplazarse a través de resultados aparentemente no relacionados, pero al mismo tiempo es condescendiente que un motor de búsqueda decida lo que puede o no interesarle. Según la mayoría de las medidas, eso es censura. DuckDuckGo devuelve resultados de búsqueda relevantes, pero filtrados por tema, no por su historial anterior. En el próximo capítulo, hablaré sobre las formas específicas en que los sitios web le dificultan ser invisible para ellos y lo que puede hacer para navegar en la Web de forma anónima.
MachineTranslatedbyGoogle
CAPÍTULO SEIS
Cada clic de ratón que hagas, estaré
Viéndote
Ten mucho cuidado con lo que buscas en Internet. No son solo los motores de búsqueda los que rastrean sus hábitos en línea; cada sitio web que visita también lo hace. Y uno pensaría que algunos de ellos sabrían mejor que exponer asuntos privados a otros. Por ejemplo, un informe de 2015 encontró que "el 70 por ciento de las URL de los sitios s itios de salud contienen información que expone condiciones, tratamientos y enfermedades específicas". 1 En otras palabras, si estoy en WebMD y busco "pie de atleta", las palabras sin cifrar el pie de atleta aparecerá dentro de la URL visible en la barra de direcciones de mi navegador. significa que cualquier (mibuscando navegador, mi ISP, misobre operador deEsto telefonía celular) puede verpersona que estoy información el pie de atleta. Tener habilitado HTTPS Everywhere Ev erywhere en su navegador cifraría el contenido del sitio que está visitando, visi tando, suponiendo que el sitio admita https, pero no cifra la URL. Como señala incluso Electronic E lectronic Frontier Foundation, https nunca fue diseñado para ocultar la identidad de los sitios s itios que visita. Además, el estudio encontró que el 91 por ciento de los sitios relacionados con la salud realizan solicitudes a terceros. Estas llamadas están incrustadas en las propias páginas y solicitan imágenes diminutas (que pueden o no ser visibles en la página del navegador), lo que informa a estos otros sitios de terceros que está visitando una página en particular. Haga una búsqueda de "pie de atleta" y hasta veinte entidades diferentes, desde compañías farmacéuticas hasta
MachineTranslatedbyGoogle
Facebook, Pinterest, Twitter y Google son contactados tan pronto como los resultados de la búsqueda se cargan en su navegador. Ahora, todas esas partes saben que ha estado buscando información sobre el pie de atleta.2 Estas terceras partes utilizan esta información para orientarle con publicidad en línea. Además, si inició sesión en el sitio de atención médica, es posible que puedan obtener su dirección de correo electrónico. Afortunadamente puedo ayudarte a evitar que estas entidades aprendan más sobre ti. En los sitios de atención médica analizados en el estudio de 2015, los diez principales terceros fueron Google, comScore, Facebook, AppNexus, AddThis, Twitter, T witter, Quantcast, Amazon, Adobe y Yahoo. Algunos, como comScore, AppNexus y Quantcast, miden el tráfico web, al igual que Google. De los terceros mencionados anteriormente, Google, Facebook, Twitter, Amazon, Adobe y Yahoo están espiando su actividad por motivos comerciales, por lo que pueden, por ejemplo, cargar anuncios de remedios para el pie de atleta en futuras búsquedas. También se mencionaron en el estudio los terceros Experian y Axiom, que son simplemente almacenes de datos: recopilan la mayor cantidad de datos posible sobre una persona. Y luego lo venden. ¿Recuerdas las preguntas de seguridad y las respuestas creativas que sugerí que usaras? A menudo, empresas como Experian y Axiom recopilan, proporcionan y utilizan esas preguntas de seguridad para crear perfiles en línea. Estos perfiles son valiosos para los especialistas en marketing que desean orientar sus productos a ciertos grupos demográficos. ¿Cómo funciona? Ya sea que ingrese la URL manualmente o use un motor de búsqueda, cada sitio en Internet tiene un nombre de host y una dirección IP numérica (algunos sitios existen solo como direcciones numéricas). Pero casi nunca ves la dirección numérica. Su navegador lo oculta y utiliza un servicio de nombre de dominio (DNS) para traducir el nombre de host de un sitio, por ejemplo, Google, a una dirección específica, en el caso de Google, https://74.125.224.72/. https:// 74.125.224.72/. DNS es como una guía telefónica global, cruzando el nombre de host con la dirección numérica del servidor del sitio que acaba de solicitar. Escriba "Google.com" en su navegador y el DNS se comunica con su servidor en https://74.125.224.72. Luego verá la familiar pantalla blanca con el Doodle de Google del día sobre un campo de búsqueda en blanco. En teoría, así es como funcionan todos los navegadores web. En la práctica hay más. Después de que el sitio haya sido identificado a través de su dirección numérica, se
MachineTranslatedbyGoogle
enviar información a su navegador web para que pueda comenzar a "construir" la página web que ve. Cuando la página vuelve a su navegador, ve los elementos que esperaría: la información que desea recuperar, las imágenes relacionadas y las formas de navegar a otras partes del sitio. Pero a menudo hay elementos que se devuelven a su navegador que llaman a otros sitios web para obtener imágenes o secuencias de comandos adicionales. Algunos, si no todos, de estos scripts tienen fines de seguimiento y, en la mayoría de los casos, simplemente no los necesita. Casi todas las tecnologías digitales producen metadatos y, como sin duda ya habrá adivinado, los navegadores no son diferentes. Su navegador puede revelar información sobre la configuración de su computadora si el sitio que está visitando lo consulta. Por ejemplo, qué versión de qué navegador y sistema operativo está usando, qué complementos tiene para ese navegador y qué otros programas está ejecutando en su computadora (como los productos de Adobe) mientras busca. Incluso puede revelar detalles del hardware de su computadora, como la resolución de la pantalla y la capacidad de la memoria integrada. Después de leer hasta aquí, podría pensar que ha dado grandes pasos para volverse invisible en línea. Y tu tienes. Pero hay más trabajo por hacer. Tómese un momento y navegue hasta Panopticlick.com. Este es un sitio creado por Electronic Frontier Foundation que determinará qué tan común o única es la configuración de su navegador en comparación con otros, en función de lo que se ejecuta en el sistema operativo de su PC o dispositivo móvil y los complementos que pueda haber instalado. En otras palabras, ¿tiene algún complemento que pueda usarse para limitar o proteger la información que Panopticlick puede obtener solo de su navegador? Si los números en el lado izquierdo, los resultados de Panopticlick, son altos, digamos, un número de seis dígitos, entonces usted es algo único, porque la configuración de su navegador se encuentra en menos de una en cien mil computadoras. Felicidades. Sin embargo, si sus números son bajos, digamos, menos de tres dígitos, entonces la configuración de su navegador es bastante común. Eres solo uno entre unos pocos cientos. Y eso significa que si voy a dirigirme a usted, con anuncios o malware, no tengo que esforzarme mucho, porque tiene una configuración de navegador común.3
MachineTranslatedbyGoogle
Puede pensar que tener una configuración común puede ayudarlo a volverse invisible: es parte de la multitud; te mezclas. Pero desde una perspectiva técnica, esto te abre a actividades maliciosas. Un hacker criminal no quiere gastar mucho esfuerzo. Si una casa tiene una puerta abierta y la casa de al lado tiene una puerta cerrada, ¿cuál crees que robaría un ladrón? Si un hacker criminal sabe que tiene una configuración común, quizás también carezca de ciertas protecciones que podrían mejorar su seguridad. Entiendo que acabo de pasar de hablar de vendedores que intentan rastrear lo que ve en línea a piratas informáticos criminales que pueden o no usar su información personal para robar su identidad. Estos son muy diferentes. Los especialistas en marketing recopilan información para crear anuncios que mantengan la rentabilidad de los sitios web. Sin publicidad, algunos sitios simplemente no podrían continuar. Sin embargo, los especialistas en marketing, los piratas informáticos criminales y, para el caso, los gobiernos están tratando de obtener información que es posible que usted no desee brindar, por lo que, por el bien de la discusión, a menudo se los agrupa en discusiones sobre la invasión de la privacidad. Una forma de ser común pero también a salvo de las escuchas en línea es usar una máquina virtual (VM; ver aquí), un sistema operativo como Mac OSX que se ejecuta como invitado en la parte superior de su sistema operativo Windows. Puede instalar VMware en su escritorio y usarlo para ejecutar otro sistema operativo. Cuando haya terminado, simplemente apáguelo. El sistema operativo y todo lo que hiciste dentro de él desaparecerá. Sin embargo, los archivos que guarde permanecerán donde los guardó. Otra cosa a tener en cuenta es que tanto los vendedores como los piratas informáticos aprenden algo sobre los visitantes de un sitio web a través de lo que se conoce como archivo de imagen de un píxel o web bug. Como una ventana emergente de navegador en blanco, esta es una imagen de 1 × 1 píxel colocada en algún lugar de una página web que, aunque invisible, llama al sitio de terceros que la colocó allí. El servidor backend registra la dirección IP que intentó representar esa imagen. Una imagen de un píxel colocada en un sitio de atención médica podría decirle a una compañía farmacéutica que estoy interesado en los remedios para el pie de atleta. El estudio de 2015 que mencioné al comienzo de este capítulo encontró que casi la mitad de las solicitudes de terceros simplemente abren ventanas emergentes que no contienen contenido alguno. Estas ventanas "en blanco" generan solicitudes http silenciosas a hosts de terceros que se utilizan solo con fines de seguimiento. Puede evitarlos indicando a su navegador que no permita ventanas emergentes (y esto
MachineTranslatedbyGoogle
también eliminará esos molestos anuncios). Casi un tercio de las solicitudes de terceros restantes, según el estudio, consistían en pequeñas líneas de código, archivos JavaScript, que generalmente solo ejecutan animaciones en una página web. Un sitio web puede identificar la computadora que accede al sitio, principalmente al leer la dirección IP que solicita el archivo JavaScript. Incluso sin una imagen de un píxel o una ventana emergente en blanco, los sitios que visita pueden rastrear su navegación web. Por ejemplo, Amazon podría saber que el último sitio que visitó fue un sitio de atención médica, por lo que le hará recomendaciones de productos para el cuidado de la salud en su propio sitio. La forma en que Amazon podría hacer esto es ver el último sitio que visitó en la solicitud de su navegador. Amazon logra esto mediante el uso de referencias de terceros: texto en la solicitud de una página web que le dice a la nueva página dónde se originó la solicitud. Por ejemplo, si estoy leyendo un artículo en Wired y contiene un enlace, cuando hago clic en ese enlace, el nuevo sitio sabrá que anteriormente estaba en una página dentro de Wired.com. Puede ver cómo este seguimiento de terceros puede afectar su privacidad. Para evitar esto, siempre puede ir primero a Google.com, de modo que el sitio que desea visitar no sepa dónde estuvo anteriormente. No creo que las referencias de terceros sean un gran problema, excepto cuando intenta enmascarar su identidad. Este es un ejemplo más de un equilibrio entre conveniencia (simplemente ir al siguiente sitio web) e invisibilidad (siempre comenzando desde Google.com). Firefox de Mozilla ofrece una de las mejores defensas contra el seguimiento de terceros a través de un complemento llamado NoScript.4 Este complemento bloquea de manera efectiva casi todo lo que se considera dañino para su computadora y navegador, a saber, Flash y JavaScript. Agregar complementos de seguridad cambiará la apariencia de su sesión de navegación, aunque puede elegir y habilitar funciones específicas o confiar permanentemente en algunos sitios. Un resultado de habilitar NoScript es que la página que visite no tendrá anuncios y, ciertamente, no tendrá referencias de terceros. Como resultado del bloqueo, la página web se ve un poco más m ás aburrida que la versión sin NoScript habilitado. Sin embargo, si desea ver ese video codificado en Flash en la esquina superior izquierda de la página, puede permitir específicamente que ese elemento
MachineTranslatedbyGoogle
renderizar mientras continúa bloqueando todo lo demás. O, si cree que puede confiar en el sitio, puede permitir que todos los elementos de esa página se carguen de forma temporal o permanente, algo que tal vez desee hacer en un sitio bancario, por ejemplo.
Por su parte, Chrome cuenta con ScriptBlock,5 que permite bloquear defensivamente el uso de scripts en una página Web. Esto es útil para los niños que pueden navegar a un sitio que permite anuncios emergentes de entretenimiento para adultos. El bloqueo de elementos potencialmente dañinos (y ciertamente que comprometen la privacidad) en estas páginas evitará que su computadora sea invadida por malware que genera anuncios. Por ejemplo, es posible que haya notado que aparecen anuncios en su página de inicio de Google. De hecho, no debería tener anuncios intermitentes en su página de inicio de Google. Si los ve, es posible que su computadora y su navegador se hayan visto comprometidos (quizás hace algún tiempo) y, como resultado, está viendo anuncios de terceros que pueden contener caballos de Troya, registradores de teclas, que registran cada pulsación de tecla que realiza y otro malware. —si hace clic en ellos. Incluso si los anuncios no contienen malware, los ingresos de los anunciantes provienen de la cantidad de clics que reciben. Cuantas más personas engañen para que hagan clic, más dinero ganarán. Tan buenos como son, NoScript y ScriptBlock no bloquean todo. Para una protección completa contra las amenazas del navegador, es posible que desee instalar Adblock Plus. El único problema es que Adblock registra todo: esta es otra empresa que rastrea tu historial de navegación, a pesar de que uses la navegación privada. Sin embargo, en este caso, lo bueno (bloquear anuncios potencialmente peligrosos) supera lo malo: saben dónde ha estado en línea. Otro complemento útil es Ghostery, disponible tanto para Chrome como para Firefox. Ghostery identifica todos los rastreadores de tráfico web (como DoubleClick y Google AdSense) que los sitios usan para seguir su actividad. Al igual que NoScript, Ghostery le brinda control granular sobre qué rastreadores desea permitir en cada página. El sitio dice: “El bloqueo de los rastreadores evitará que se ejecuten en su navegador, lo que puede ayudar a controlar cómo se rastrean sus datos de comportamiento. Tenga en cuenta que algunos rastreadores son potencialmente útiles, como los widgets de fuentes de redes sociales o los juegos basados en navegador. El bloqueo puede tener un efecto no deseado en los sitios que visita”. Lo que significa que algunos sitios ya no funcionarán con Ghostery instalado. Afortunadamente, puede desactivarlo en cada sitio.6
MachineTranslatedbyGoogle
Además de utilizar complementos para impedir que los sitios lo identifiquen, es posible que desee confundir aún más a los piratas informáticos potenciales mediante el uso de una variedad de direcciones de correo electrónico diseñadas para propósitos individuales. Por ejemplo, en el capítulo 2 analicé formas de crear cuentas de correo electrónico anónimas para comunicarse sin ser detectado. Del mismo modo, para la navegación sencilla del día a día, también es una buena idea crear varias cuentas de correo electrónico, no para ocultar sino para hacer que usted sea menos interesante para terceros en Internet. Tener múltiples perfiles de personalidad en línea diluye el impacto de privacidad de tener solo una dirección identificable. Hace que sea más difícil para cualquiera crear un perfil en línea de usted. Digamos que quieres comprar algo en línea. l ínea. Es posible que desee crear una dirección de correo electrónico que utilice exclusivamente para comprar. También es posible que desee que todo lo que compre con esta dirección de correo electrónico se envíe a su buzón de correo en lugar de a su domicilio.7 Además, es posible que desee utilizar una tarjeta de regalo para su compra, tal vez una que recargue de vez en cuando. . De esta manera, la empresa que vende sus productos solo tendrá su dirección de correo electrónico no principal, su dirección del mundo real no principal y su tarjeta de regalo más o menos desechable. Si alguna vez hay una violación de datos en esa empresa, al menos los atacantes no tendrán su dirección de correo electrónico real, dirección real o número de tarjeta de crédito. Este tipo de desconexión de un evento de compra en línea es una buena práctica de privacidad. También es posible que desee crear otra dirección de correo electrónico no principal para las redes sociales. Esta dirección podría convertirse en su dirección de correo electrónico "pública", que extraños y simples conocidos pueden usar para ponerse en contacto con usted. La ventaja de esto es que, una vez más, la gente no aprenderá mucho sobre ti. Al menos no directamente. Puede protegerse aún más dando a cada dirección no principal un nombre único, ya sea una variación de su nombre real o un nombre completamente distinto. Tenga cuidado si opta por la primera opción. Es posible que no desee incluir un segundo nombre o, si siempre usa su segundo nombre, es posible que no desee incluir su primer nombre. Incluso algo inocente como
[email protected] acaba de avisarnos de que tiene un segundo nombre y que comienza con Q. Este es un ejemplo de dar información personal cuando no es necesario. Recuerda que estás tratando de mezclarte con el
MachineTranslatedbyGoogle
fondo, no llamar la atención sobre ti mismo. Si usa una palabra o frase no relacionada con su nombre, hágala lo menos reveladora posible. Si su dirección de correo electrónico es
[email protected], es posible que no sepamos su nombre, pero sí conocemos uno de sus pasatiempos. Es mejor elegir algo genérico, como
[email protected]. Por supuesto, también querrá tener una dirección de correo electrónico personal. Solo debe compartir este con amigos cercanos y familiares. Y las prácticas más seguras a menudo vienen con buenas bonificaciones: encontrará que no usar su dirección de correo electrónico personal para comprar en línea evitará que reciba una tonelada de spam.
Los teléfonos celulares no son inmunes al rastreo corporativo. En el verano de 2015, un investigador con ojo de águila descubrió que AT&T y Verizon agregaban un código adicional a cada solicitud de página web realizada a través de un navegador móvil. Esta no es la IMSI (identidad de suscriptor móvil internacional) de la que hablé en el capítulo 3 (ver aquí); más bien, es un código de identificación único que se envía con cada solicitud de página web. El código, conocido como encabezado de identificador único o UIDH, es un número de serie temporal que los anunciantes pueden usar para identificarlo en la Web. El investigador descubrió lo que estaba pasando porque configuró su teléfono móvil para registrar todo el tráfico web (algo que no mucha gente hace). Luego se dio cuenta de los datos adicionales agregados a los clientes de Verizon y, más tarde, a los clientes de AT&T.8 El problema con este código adicional es que a los clientes no se les informó al respecto. Por ejemplo, aquellos que descargaron la aplicación móvil Firefox y usaron complementos para aumentar su privacidad, si usaron AT&T o Verizon, fueron rastreados por los códigos UIDH. Gracias a estos códigos UIDH, Verizon y AT&T podrían tomar el tráfico asociado con sus solicitudes web y usarlo para crear un perfil de su presencia en línea móvil para publicidad futura o simplemente vender los datos sin procesar a otros. AT&T ha suspendido la operación, por ahora.
9 Verizon lo ha convertido en
otra opción más para que el usuario final configure.10 Nota: al no darse de baja, le da permiso a Verizon para continuar.
Incluso si desactiva JavaScript, un sitio web aún puede pasar un archivo de texto con datos
MachineTranslatedbyGoogle
llamado una cookie http de vuelta a su navegador. Esta cookie podría almacenarse durante mucho tiempo. El término cookie es la abreviatura de cookie mágica, un fragmento de texto que se envía desde un sitio web y se almacena en el navegador del usuario para realizar un seguimiento de cosas, como artículos en un carrito de compras, o incluso para autenticar a un usuario. Las cookies fueron utilizadas por primera vez en la Web por Netscape y originalmente estaban destinadas a ayudar a crear carritos de compras virtuales y funciones de comercio electrónico. Las cookies generalmente se almacenan en el navegador de una PC tradicional y tienen fechas de vencimiento, aunque estas fechas podrían ser décadas en el futuro. ¿Son peligrosas las cookies? No, al menos no por sí mismos. Sin embargo, las cookies proporcionarían proporcionaría n a terceros información sobre su cuenta y sus preferencias específicas, como sus ciudades favoritas en un sitio meteorológico o sus preferencias de línea aérea en un sitio de viajes. La próxima vez que su navegador se conecte a ese sitio, si ya existe una cookie, el sitio lo recordará y tal vez diga "Hola, amigo". Y si es un sitio de comercio electrónico, también puede recordar sus últimas compras. Las cookies en realidad no almacenan esta información en su PC tradicional o dispositivo móvil. Al igual que los teléfonos t eléfonos móviles que utilizan IMSI como proxy, la cookie contiene un proxy para los datos que residen en el back-end del sitio. Cuando su navegador carga una página web con una cookie adjunta, se extraen datos adicionales del sitio que son específicos para usted. Las cookies no solo almacenan sus preferencias de sitio personales, sino que también proporcionan datos de seguimiento seguimiento valiosos para el sitio del que proceden. Por ejemplo, si usted es un posible cliente de una empresa y ha ingresado previamente su dirección de correo electrónico u otra información para acceder a un libro blanco, es probable que haya una cookie en su navegador para el sitio de esa empresa que coincida, en la parte posterior final, información sobre usted en un sistema de gestión de registros de clientes (CRM), por ejemplo, Salesforce o HubSpot. Ahora cada vez que acceda al sitio de esa empresa, será identificado a través de la cookie en su navegador, y esa visita quedará registrada dentro del CRM. Las cookies están segmentadas, lo que significa que el sitio web A no necesariamente puede ver el contenido de una cookie para el sitio web B. Ha habido excepciones, pero generalmente la información es separada y razonablemente segura. Sin embargo, desde una perspectiva de privacidad, las cookies no lo hacen muy invisible. Solo se puede acceder a las cookies de un mismo dominio, un conjunto de recursos asignados a un grupo específico de personas. Las agencias de publicidad evitan esto cargando una cookie que puede rastrear su actividad en varios sitios que forman parte de
MachineTranslatedbyGoogle
sus redes más grandes. Sin embargo, en general, las cookies no pueden acceder a las cookies de otro sitio. Los navegadores modernos proporcionan una forma para que el usuario controle las cookies. Por ejemplo, si navega por la Web usando funciones de incógnito o navegación privada, no conservará un registro histórico dentro del navegador de su visita a un sitio determinado, ni adquirirá una nueva cookie para esa sesión. Sin embargo, si tenía una cookie de una visita anterior, aún se aplicará en modo privado. Si está utilizando la función de navegación normal, por otro lado, es posible que de vez en cuando desee eliminar manualmente algunas o todas las cookies que adquirió a lo largo de los años. Debo señalar que puede no ser aconsejable eliminar todas las cookies. La eliminación selectiva de las cookies asociadas con visitas únicas a sitios que no le interesan ayudará a eliminar sus rastros de Internet. Los sitios que vuelvas a visitar no podrán verte, por ejemplo. Pero para algunos sitios, como un sitio meteorológico, puede ser tedioso seguir escribiendo su código postal cada vez que visita cuando una simple cookie puede ser suficiente. La eliminación de cookies se puede lograr mediante el uso de un complemento o ingresando a la sección de configuración o preferencias de su navegador, donde generalmente hay una opción para eliminar una o más (incluso todas) de las cookies. Es posible que desee determinar el destino de sus cookies caso por caso. Algunos anunciantes usan cookies para rastrear cuánto tiempo pasa en los sitios donde colocaron sus anuncios. Algunos incluso registran sus visitas a sitios anteriores, lo que se conoce como el sitio de referencia. Debe eliminar estas cookies inmediatamente. inmediatament e. Reconocerá algunos de ellos porque sus nombres no contendrán los nombres de los sitios que visitó. Por ejemplo, en lugar de "CNN", una cookie de referencia se identificará como "Ad321". También puede considerar usar una herramienta de software de limpieza de cookies, como la que se encuentra en piriform.com/ccleaner, piriform.com/ccle aner, para ayudar a administrar sus cookies fácilmente. Sin embargo, hay algunas cookies que son inmunes a cualquier decisión que tome en el lado del navegador. Estas se llaman súper cookies porque existen en su computadora, fuera de su navegador. Las súper cookies acceden a las preferencias de un sitio y a los datos de seguimiento, independie independientemente ntemente del navegador que utilice (Chrome hoy, Firefox mañana). Y debe eliminar las súper cookies de su navegador; de lo contrario, su PC tradicional intentará volver a crear cookies http desde la memoria la próxima vez que su navegador acceda al sitio. Hay dos súper cookies específicas que viven fuera de su navegador que
MachineTranslatedbyGoogle
puede eliminar: Flash, de Adobe, y Silverlight, de Microsoft. Ninguna de estas súper cookies caduca. Y, por lo general, es seguro eliminarlas.11 Luego está la cookie más resistente de todas. Samy Kamkar, una vez famoso por crear el gusano de Myspace de rápida propagación llamado Samy, ha creado algo que él llama Evercookie, que es simplemente una cookie muy, muy persistente . en todo el sistema operativo Windows. Siempre que uno de los sitios de almacenamiento permanezca intacto, Evercookie intentará restaurar la cookie en cualquier otro lugar.13 Por lo tanto, simplemente eliminar una Evercookie del caché de almacenamiento de cookies del navegador no es suficiente. Al igual que el juego de niños golpea un topo, Evercookies seguirá apareciendo. Deberá eliminarlos por completo de su máquina para poder ganar.
Si considera cuántas cookies puede tener ya en su navegador, y si lo multiplica por la cantidad de áreas de almacenamiento potenciales en su máquina, puede ver que tendrá una larga tarde y noche.
No son solo los sitios web y los operadores de telefonía móvil los que desean realizar un seguimiento de sus actividades en línea. Facebook se ha vuelto omnipresente, una plataforma que va más allá de las redes sociales. Puede iniciar sesión en Facebook y luego usar ese mismo inicio de sesión de Facebook para iniciar sesión en varias otras aplicaciones.
¿Qué tan popular es esta práctica? Al menos un informe de marketing encuentra que el 88 por ciento de los consumidores estadounidenses han iniciado sesión en un sitio web o una aplicación móvil utilizando una identidad digital existente de una red social como Facebook, Twitter y Google Plus.14 Esta conveniencia tiene ventajas y desventajas: conocido como OAuth, un protocolo de autenticación que permite que un sitio confíe en usted incluso si no ingresa una contraseña. Por un lado, es un atajo: puede acceder rápidamente a nuevos sitios utilizando su contraseña de redes sociales existente. Por otro lado, esto permite que el sitio de redes sociales obtenga información sobre usted para sus perfiles de marketing. En lugar de solo conocer su visita a un solo sitio, conoce todos los sitios, todas las marcas para las que utiliza su información de inicio de sesión. Cuando usamos OAuth, estamos renunciando a mucha privacidad por el bien de
MachineTranslatedbyGoogle
conveniencia. Facebook es quizás la más "pegajosa" de todas las plataformas de redes sociales. Cerrar sesión en Facebook puede desautorizar a su navegador para que no acceda a Facebook y sus aplicaciones web. Además, Facebook agrega rastreadores para monitorear la actividad del usuario que funcionan incluso después de que haya cerrado la sesión, solicitando información como su ubicación geográfica, qué sitios visita, en qué hace clic dentro de los sitios individuales y su nombre de usuario de Facebook. Los grupos de privacidad han expresado su preocupación por la intención de Facebook de comenzar a rastrear información de algunos de los sitios web y aplicaciones que visitan sus usuarios para mostrar anuncios más personalizados. El punto es que Facebook, como Google, quiere datos sobre ti. Puede que no salga directamente y pregunte, pero encontrará maneras de conseguirlo. Si vincula su cuenta de Facebook a otros servicios, la plataforma tendrá información sobre usted
y
ese otro
servicio o aplicación. Tal vez use Facebook para acceder a su cuenta bancaria; si lo hace, sabe qué institución financiera usa. Usar solo una autenticación significa que si alguien ingresa a su cuenta de Facebook, esa persona tendrá acceso a todos los demás sitios web vinculados a esa cuenta, incluso a su cuenta bancaria. En el negocio de la seguridad, tener lo que llamamos un único punto de falla nunca es una buena idea. Aunque lleva unos segundos más, vale la pena iniciar sesión en Facebook solo cuando lo necesites e iniciar sesión en cada aplicación que uses por separado. Además, Facebook ha optado deliberadamente por no cumplir con la señal de “no rastrear” enviada por Internet Explorer con el argumento de que “no existe un consenso de la industria” detrás de ella.15 Los rastreadores de Facebook vienen en las formas clásicas: cookies, JavaScript, one- imágenes de píxeles e iframes. Esto permite a los anunciantes específicos escanear y acceder a cookies y rastreadores de navegadores específicos para ofrecer productos, servicios y anuncios, tanto dentro como fuera de Facebook. Afortunadamente,, existen extensiones de navegador que bloquean los servicios de Afortunadamente Facebook en sitios de terceros, por ejemplo, Facebook Disconnect para Chrome16 y Facebook Privacy List para Adblock Plus (que funciona tanto con Firefox como con Chrome).17 En última instancia, el objetivo de todas estas herramientas complementarias es darle control sobre lo que comparte con Facebook y cualquier otra red social en lugar de obligarlo a pasar a un segundo plano y permitir que el servicio que está utilizando gobierne estas cosas por usted. Dado lo que Facebook sabe sobre sus 1.650 millones de suscriptores, la
MachineTranslatedbyGoogle
la compañía ha sido bastante benévola, hasta ahora. 18 Tiene una tonelada de datos, pero, al igual que Google, ha optado por no actuar sobre todos ellos. Pero eso no significa que no lo hará.
Más evidentes que las cookies, e igualmente parasitarias, son las barras de herramientas. La barra de herramientas adicional que ve en la parte superior de su navegador de PC tradicional puede tener la etiqueta YAHOO , MCAFEE o ASK. O puede llevar el nombre de cualquier número de otras empresas. Lo más probable es que no recuerde cómo llegó allí la barra de herramientas. Ni nunca lo usas. Ni sabes cómo quitarlo. Las barras de herramientas como esta desvían su atención de la barra de herramientas que viene con su navegador. La barra de herramientas nativa le permite elegir qué motor de búsqueda usar como predeterminado. El parásito lo llevará a su propio sitio de búsqueda y los resultados pueden estar llenos de contenido patrocinado. Esto le sucedió a Gary More, un residente de West Hollywood, que se encontró con la barra de herramientas de Ask.com y no tenía una forma clara de eliminarla. “Es como un mal huésped”, dijo More. “No se va”. 19 Si tiene una segunda o tercera barra de herramientas, puede deberse a que descargó un software nuevo o tuvo que actualizar el software existente. Por ejemplo, si tiene Java instalado en su computadora, Oracle, el creador de Java, incluirá automáticamente una barra de herramientas a menos que usted le indique específicamente que no lo haga. Cuando estaba haciendo clic en las pantallas de descarga o actualización, probablemente no notó la pequeña casilla de verificación que, de forma predeterminada, indicaba su consentimiento para la instalación de una barra de herramientas. No hay nada ilegal en esto; usted dio su consentimiento, incluso si eso significa que no optó por que no se instalara automáticamente. Pero esa barra de herramientas le permite a otra compañía rastrear sus hábitos en la Web y quizás también cambiar su motor de búsqueda predeterminado a su propio servicio.
La mejor manera de eliminar una barra de herramientas es desinstalarla de la misma forma que desinstalaría cualquier programa en su PC tradicional. Pero algunas de las barras de herramientas más persistentes y parásitas pueden requerir que descargue una herramienta de eliminación y, a menudo, el proceso de desinstalación puede dejar suficiente información para permitir que los agentes publicitarios relacionados con la barra de herramientas la reinstalen. Cuando instale software nuevo o actualice software existente, preste atención a todas las casillas de verificación. Puede evitar muchas molestias si no lo hace
MachineTranslatedbyGoogle
aceptar la instalación de estas barras de herramientas en primer lugar.
¿Qué sucede si usa la navegación privada, tiene NoScript, HTTPS Everywhere y borra periódicamente las cookies y las barras de herramientas extrañas de su navegador? Deberías estar a salvo, ¿verdad? No. Todavía puede ser rastreado en línea. Los sitios web están codificados usando algo llamado lenguaje de marcado de hipertexto o HTML. Hay muchas funciones nuevas disponibles en la versión actual, HTML5. Algunas de las características han acelerado la desaparición de las súper cookies Silverlight y Flash, lo cual es algo bueno. Sin embargo, HTML5 ha habilitado nuevas tecnologías de seguimiento, quizás por accidente. Una de ellas es la toma de huellas dactilares en el lienzo, una herramienta de seguimiento en línea que es genial de una manera muy espeluznante. La toma de huellas dactilares de lienzo utiliza el elemento de lienzo de HTML5 para dibujar una imagen simple. Eso es todo. El dibujo de la imagen tiene lugar dentro del navegador y no es visible para usted. Solo toma una fracción de segundo. Pero el resultado es visible para el sitio web solicitante. La idea es que su hardware y software, cuando se combinen como recursos para el navegador, representen la imagen de manera única. La imagen, que podría ser una serie de formas de varios colores, se convierte luego en un número único, más o menos como lo son las contraseñas. Luego, este número se compara con instancias anteriores de ese número que se vieron en otros sitios web en Internet. Y a partir de eso, la cantidad de lugares donde se ve ese número único, se puede construir un perfil de los sitios web que visita. Este número, o huella dactilar del lienzo, se puede usar para identificar su navegador cada vez que regresa a un sitio web en particular que lo solicitó, incluso si ha eliminado todas las cookies o ha bloqueado la instalación de cookies futuras, porque utiliza un elemento integrado en el mismo HTML5.20 La toma de huellas dactilares del lienzo es un proceso automático; no requiere que haga clic ni haga nada más que simplemente ver una página web. Afortunadamente, existen complementos para su navegador que pueden bloquearlo. Para Firefox hay 21 Para Google Chrome hay CanvasFingerprintBlock.22 CanvasBlocker.
Incluso el proyecto Tor ha añadido su propia tecnología antilienzo a su navegador. 23 Si usa estos complementos y sigue todas mis otras recomendaciones, puede pensar que finalmente está libre del seguimiento en línea. Y estarías equivocado. Empresas como Drawbridge y Tapad, y Oracle's Crosswise, toman
MachineTranslatedbyGoogle
seguimiento en línea un paso más allá. Afirman tener tecnologías que pueden rastrear sus intereses en múltiples dispositivos, incluidos los sitios que visita solo en sus teléfonos celulares y tabletas. Parte de este seguimiento es el resultado del aprendizaje automático y la lógica difusa. Por ejemplo, si un dispositivo móvil y una PC tradicional contactan un sitio usando la misma dirección IP, es muy posible que sean propiedad de una sola persona. Por ejemplo, supongamos que busca una prenda de ropa en particular en su teléfono celular, luego, cuando llega a casa y está en su PC tradicional, encuentra esa misma prenda de ropa en la sección "visto recientemente" del sitio web del minorista. Mejor aún, digamos que compras la prenda usando tu PC tradicional. Cuantas más coincidencias se creen entre distintos dispositivos, más probable es que una sola persona los esté usando a ambos. Solo Drawbridge afirma que vinculó a 1200 millones de usuarios en 3600 millones de dispositivos en 2015.24 Google, por supuesto, hace lo mismo, al igual que Apple y Microsoft. Los teléfonos Android requieren el uso de una cuenta de Google. Los dispositivos Apple usan una ID de Apple. Ya sea que un usuario tenga un teléfono inteligente o una computadora portátil, el tráfico web generado por cada uno se asocia con un usuario específico. Y los últimos sistemas operativos de Microsoft requieren una cuenta de Microsoft para descargar aplicaciones o almacenar fotos y documentos utilizando el servicio en la nube de la empresa. La gran diferencia es que Google, Apple y Microsoft le permiten deshabilitar parte o la totalidad de esta actividad de recopilación de datos y eliminar retroactivamente los datos recopilados. Drawbridge, Crosswise y Tapad hacen que el proceso de desactivación y eliminación sea menos claro. O puede que simplemente no esté disponible.
Aunque el uso de un servicio de proxy o Tor es una forma conveniente de ocultar su verdadera ubicación al acceder a Internet, este enmascaramiento puede crear problemas interesantes o incluso resultar contraproducente para usted, porque a veces el seguimiento en línea puede estar justificado, especialmente cuando una compañía de tarjetas de crédito está tratando de lucha contra el fraude. Por ejemplo, solo unos días antes de que Edward Snowden se hiciera público, quería crear un sitio web para apoyar los derechos en línea. Sin embargo, tuvo problemas para pagar el registro a la empresa anfitriona con su tarjeta de crédito. En ese momento, todavía usaba su nombre real, dirección de correo electrónico real y tarjetas de crédito personales; esto fue justo antes de que se convirtiera en un denunciante. También estaba usando Tor, que a veces activa advertencias de fraude de crédito.
MachineTranslatedbyGoogle
compañías de tarjetas cuando quieren verificar su identidad y no pueden conciliar parte de la información que proporcionó con lo que tienen en el archivo. Si, por ejemplo, su cuenta de tarjeta de crédito dice que vive en Nueva York, ¿por qué su nodo de salida Tor dice que está en Alemania? Una discrepancia de geolocalización como esta a menudo adicional.señala un intento de compra como posible abuso e invita a un escrutinio Las compañías de tarjetas de crédito ciertamente nos rastrean en línea. Conocen todas nuestras compras. Saben dónde tenemos suscripciones. Saben cuando salimos del país. Y saben cada vez que usamos una máquina nueva para hacer una compra online. Según Micah Lee de EFF, en un momento Snowden estaba en su habitación de hotel de Hong Kong discutiendo secretos gubernamentales con Laura Poitras y Glenn Greenwald, un reportero de The Guardian, y al mismo tiempo estaba en espera con el departamento de atención al cliente en DreamHost, un proveedor de Internet con sede en Los Ángeles. Aparentemente, Snowden le explicó a DreamHost que estaba en el extranjero y que no confiaba en el servicio de Internet local, de ahí su uso de Tor. Finalmente, DreamHost aceptó su tarjeta de crédito de más de 25 Tor. Una forma de evitar esta molestia con Tor es configurar el archivo de configuración de torrec para usar nodos de salida ubicados en su país de origen. Eso debería mantener felices a las compañías de tarjetas de crédito. Por otro lado, usar constantemente los mismos nodos de salida podría revelar quién eres. Existe cierta especulación seria de que las agencias gubernamentales podrían controlar algunos nodos de salida, por lo que tiene sentido usar otros diferentes. Otra forma de pagar sin dejar rastro es usar Bitcoin, una moneda virtual. Como la mayoría de las monedas, su valor fluctúa en función de la confianza que la gente tenga en ella. Bitcoin es un algoritmo que permite a las personas crear (o, en la terminología de Bitcoin, extraer) su propia moneda. Pero si fuera fácil, todos lo harían. Así que no lo es. El proceso es computacionalmente intensivo y lleva mucho tiempo crear un Bitcoin. Por lo tanto, existe una cantidad finita de Bitcoin en un día determinado y eso, además de la confianza del consumidor, influye en su valor. Cada Bitcoin tiene una firma criptográfica que lo identifica como original y único. Las transacciones realizadas con esa firma criptográfica pueden ser
MachineTranslatedbyGoogle
rastreado hasta la moneda, pero el método por el cual obtiene la moneda puede ocultarse, por ejemplo, configurando una dirección de correo electrónico anónima sólida como una roca y usando esa dirección de correo electrónico para configurar una billetera Bitcoin anónima usando el Red Tor. Usted compra Bitcoin en persona o de forma anónima en línea usando tarjetas de regalo prepagas, o encuentra un cajero automático de Bitcoin sin vigilancia por cámara. Dependiendo de qué factores de vigilancia podrían potencialmente revelar su verdadera identidad, todos los riesgos deben tenerse en cuenta al elegir qué método de compra utilizar. Luego puede poner estos Bitcoins en lo que se conoce como vaso. Un vaso toma algunos Bitcoins de mí, algunos de usted y algunos de otras personas elegidas al azar y los mezcla. Mantiene el valor de las monedas menos la tarifa de volteo; es solo que la firma criptográfica de cada moneda puede ser diferente después de mezclarla con otras. Eso anonimiza un poco el sistema.
Una vez que los tienes, ¿cómo almacenas Bitcoins? Debido a que no hay bancos de Bitcoin, y dado que Bitcoin no es una moneda física, deberá usar una billetera de Bitcoin configurada de forma anónima siguiendo las instrucciones detalladas que se describen más adelante en este libro. Ahora que lo compró y lo almacenó, ¿cómo usa Bitcoin? Los intercambios le permiten invertir en Bitcoin y cambiarlo a otras monedas, como dólares estadounidenses, o comprar productos en sitios como Amazon. Digamos que tienes un Bitcoin, valorado en $618. Si solo necesita alrededor de $ 80 para una compra, retendrá un cierto porcentaje del valor original, según el tipo de cambio, después de la transacción. Las transacciones se verifican en un libro público conocido como cadena de bloques e identificado por dirección IP. Pero como hemos visto, las direcciones IP se pueden cambiar o falsificar. Y aunque los comerciantes han comenzado a aceptar Bitcoin, las tarifas de servicio, que normalmente paga el comerciante, se han transferido al comprador. Además, a diferencia de las tarjetas de crédito, Bitcoin no permite devoluciones ni reembolsos. Puede acumular tanto Bitcoin como moneda fuerte. Pero a pesar de su éxito general (los hermanos Winklevoss, famosos por desafiar a Mark Zuckerberg por la fundación de Facebook, son importantes inversores en Bitcoin), el sistema también ha tenido algunas fallas monumentales. En 2004, Mt. Gox, un intercambio de Bitcoin con sede en Tokio, se declaró en bancarrota después de anunciar que le habían robado su Bitcoin. Ha habido otros informes
MachineTranslatedbyGoogle
de robo entre los intercambios de Bitcoin, que, a diferencia de la mayoría de las cuentas bancarias de EE. UU., no están aseguradas. Aún así, aunque ha habido varios intentos de moneda virtual en el pasado, Bitcoin se ha convertido en la moneda anónima estándar de Internet. Un trabajo en progreso, sí, pero una opción para cualquiera que busque privacidad. Es posible que te sientas invisible en este momento, oscureciendo tu dirección IP con Tor; cifrar su correo electrónico y mensajes de texto con PGP y Signal. Sin embargo, no he hablado mucho sobre el hardware, que se puede usar tanto para encontrarlo como para ocultarlo en Internet.
MachineTranslatedbyGoogle
CAPÍTULO SIETE ¡Pague o de lo contrario!
La pesadilla comenzó en línea y terminó con federal
agentes asaltaron una casa en los suburbios de Blaine, Minnesota. Los agentes solo tenían una dirección IP asociada con descargas de pornografía infantil e incluso una amenaza de muerte contra el vicepresidente Joe Biden. Al contactar al proveedor de servicios de Internet asociado con esa dirección IP, los agentes adquirieron la dirección física del usuario. Ese tipo de seguimiento tuvo mucho éxito en los días en que todos todavía tenían una conexión por cable a sus módems o enrutadores. En ese momento, cada dirección IP podía rastrearse físicamente hasta una máquina determinada. Pero hoy en día la mayoría de la gente usa conexiones inalámbricas dentro de sus hogares. La conexión inalámbrica permite que todos los que están dentro se muevan por la casa con dispositivos móviles y permanezcan conectados a Internet. Y si no tienes cuidado, también permite que los vecinos accedan a esa misma señal. En este caso, los agentes federales asaltaron la casa equivocada en Minnesota. Realmente querían la casa de al lado. En 2010, Barry Vincent Ardolf se declaró culpable de los cargos de piratería informática, robo de identidad, posesión de pornografía infantil y amenazas contra el vicepresidente Biden. Los registros judiciales muestran que el problema entre Ardolf y su vecino comenzó cuando el vecino, que en realidad era abogado y no fue identificado, presentó un informe policial diciendo que Ardolf presuntamente “tocó y besó de manera inapropiada” al niño pequeño del abogado en la boca.1
MachineTranslatedbyGoogle
Luego, Ardolf usó la dirección IP del enrutador doméstico inalámbrico de su vecino para abrir cuentas de Yahoo y Myspace a nombre de su víctima. Fue a partir de estas cuentas falsas que Ardolf lanzó una campaña para avergonzar y causar problemas legales al abogado. Muchos ISP ahora brindan a sus enrutadores domésticos capacidades inalámbricas integradas.2 Algunos ISP, como Comcast, están creando un segundo servicio Wi-Fi abierto sobre el cual usted tiene un control limitado. Por ejemplo, es posible que pueda cambiar algunas configuraciones, como la capacidad de apagarlo. Deberías ser consciente de ello. Alguien en una camioneta estacionada frente a su casa podría estar usando su conexión inalámbrica gratuita. Aunque no tiene que pagar más por eso, aún puede notar una ligera degradación en la velocidad de Wi-Fi si hay un uso intensivo de la segunda señal. Puede deshabilitar el punto de acceso Xfinity Home de Comcast si no cree que alguna vez necesitará brindar a los visitantes de su hogar acceso gratuito a Internet . no están configurados correctamente y pueden crear problemas cuando no están protegidos. Por un lado, el acceso inalámbrico no seguro podría proporcionar un punto de entrada digital a su hogar, como lo hizo con Ardolf. Si bien es posible que los intrusos no busquen sus archivos digitales, es posible que busquen causar problemas.
Ardolf no era un genio de la informática. Confesó en la corte que no sabía la diferencia entre el cifrado WEP (privacidad equivalente por cable), que era el que usaba el enrutador del vecino, y el cifrado WPA (acceso protegido Wi-Fi), que es mucho más seguro. Solo estaba enojado. Esta es solo una razón más por la que debería tomarse un momento para considerar la seguridad de su propia red inalámbrica doméstica. Nunca se sabe cuándo un vecino enojado podría intentar usar su red doméstica en su contra. Si alguien hace algo malo en su red doméstica, existe cierta protección para el propietario del enrutador. Según la EFF, los jueces federales rechazaron las demandas de BitTorrent presentadas por los titulares de los derechos de autor porque los demandados afirmaron con éxito que otra persona descargó las películas usando sus redes inalámbricas.4 La EFF establece que una dirección IP no es una persona, lo que significa que los suscriptores inalámbricos no pueden ser responsable de las acciones de otros que usan sus redes inalámbricas.5 Aunque los forenses informáticos liberarán a una persona inocente cuyo Wi-Fi
MachineTranslatedbyGoogle
fue utilizado en la comisión de un delito grave, como sucedió en el caso del abogado de Minnesota, ¿por qué pasar por todo eso?
Incluso si utiliza un módem de acceso telefónico basado en teléfono o un enrutador ASM (multidifusión de cualquier fuente) basado en cable (disponible en Cisco y Belkin, entre otros), estos dispositivos han tenido su parte de problemas de software y configuración. En primer lugar, descargue el último firmware (software instalado en un dispositivo de hardware). Puede hacerlo accediendo a la pantalla de configuración del enrutador (ver a continuación) o visitando el sitio web del fabricante y buscando actualizaciones para su marca y modelo en particular. Haga esto tan a menudo como sea posible. Una manera fácil de actualizar el firmware de su enrutador es comprar uno nuevo cada año. Esto puede ser costoso, pero garantizará que tenga el último y mejor firmware. En segundo lugar, actualice los ajustes de configuración de su enrutador. No desea la configuración predeterminad predeterminada. a. Pero primero: ¿qué hay en un nombre? Más de lo que piensas. E Ell nombre es común tanto al enrutador proporcionado por el ISP como al enrutador que compró en Best Buy. Todos los enrutadores inalámbricos transmiten de forma predeterminada lo que se denomina un identificador de conjunto de servicios (SSID).6 El SSID suele ser el nombre y el modelo de su enrutador, por ejemplo, "Linksys WRT54GL". Si observa las conexiones inalámbricas disponibles en su área, verá a lo que me refiero. Transmitir el SSID predeterminado al mundo puede enmascarar el hecho de que la señal Wi-Fi en realidad proviene de un hogar específico, pero también permite que alguien en la calle sepa la marca y el modelo exactos del enrutador que posee. ¿Por qué es eso malo? Esa persona también podría conocer las vulnerabilidades de esa marca y modelo y poder explotarlas. Entonces, ¿cómo cambia el nombre del enrutador y actualiza su firmware? Acceder al enrutador es fácil; lo hace desde su navegador de Internet. Si no tiene las instrucciones para su enrutador, hay una lista en línea de URL que le indica qué escribir en la ventana de su navegador para que pueda conectarse directamente al enrutador en su red doméstica.7 Después de escribir la URL local (usted (recuerde, solo está hablando con el enrutador, no con Internet en general), debería ver una pantalla de inicio de sesión. Entonces, ¿cuál es el nombre de usuario y la contraseña para iniciar sesión? Resulta que hay una lista de inicios de sesión predeterminados publicada en Internet como
MachineTranslatedbyGoogle
bien.8 En el ejemplo anterior de Linksys, el nombre de usuario está en blanco y la contraseña es "admin". No hace falta decir que una vez que esté dentro de la pantalla de configuración del enrutador, debe cambiar inmediatame i nmediatamente nte su contraseña predeterminada, siguiendo los consejos que le di anteriormente sobre cómo crear contraseñas únicas y seguras (ver aquí) o usar un administrador de contraseñas. Recuerde almacenar esta contraseña en su administrador de contraseñas o anótela, ya que probablemente no necesitará acceder a su enrutador con mucha frecuencia. Si olvida la contraseña (realmente, ¿cuántas veces va a estar en la pantalla de configuración de su enrutador?), No se preocupe. Hay un botón de reinicio físico que restaurará la configuración predeterminada.. Sin embargo, al realizar un restablecimiento físico o completo, también predeterminada deberá volver a ingresar todos los ajustes de configuración que voy a explicar a continuación. Así que anote la configuración del enrutador o tome capturas de pantalla e imprímalas cada vez que establezca una configuración del enrutador que sea diferente a la predeterminada. Estas capturas de pantalla serán valiosas cuando necesite reconfigurar su enrutador.
Le sugiero que cambie "Linksys WRT54GL" por algo inocuo, como "HP Inkjet", para que los extraños no vean de qué casa proviene la señal Wi-Fi. A menudo uso un nombre genérico, como el nombre de mi complejo de apartamentos o incluso el nombre de mi vecino. También hay una opción para ocultar su SSID por completo. Eso significa que otros no podrá verlo fácilmente en la lista como una conexión de red inalámbrica.
Mientras se encuentra dentro de los ajustes básicos de configuración del enrutador, hay varios tipos de seguridad inalámbrica a considerar. Por lo general, no están habilitados de forma predeterminada. Y no todo el cifrado inalámbrico es igual, ni es compatible con todos los dispositivos. La forma más básica de encriptación inalámbrica, la privacidad equivalente por cable (WEP), es inútil. Si lo ves como una opción, ni siquiera lo consideres. WEP se ha descifrado durante años y, por lo tanto, ya no se rrecomienda. ecomienda. Solo los enrutadores y dispositivos antiguos todavía lo ofrecen como una opción heredada. En su lugar, elija uno de los estándares de encriptación más nuevos y más fuertes, como el acceso protegido Wi-Fi o WPA. WPA2 es aún más seguro. Activar el cifrado en el enrutador significa que los dispositivos que se conectan a él también deberán coincidir con la configuración de cifrado. La mayoría de los dispositivos nuevos detectan automáticamente automáticamente el tipo de cifrado que se utiliza, pero los modelos más antiguos aún
MachineTranslatedbyGoogle
requieren que indique manualmente qué nivel de cifrado está utilizando. Utilice siempre el nivel más alto posible. Solo eres tan seguro como tu eslabón más débil, así que asegúrate de maximizar el dispositivo más antiguo en términos de su encriptación disponible. Habilitar WPA2 significa que cuando conecte su computadora portátil o dispositivo móvil, también deberá configurarlo en WPA2, aunque algunos sistemas operativos nuevos reconocerán el tipo de encriptación automáticamente. Los sistemas operativos modernos en su teléfono o computadora portátil identificarán el Wi-Fi disponible en su área. Su transmisión de SSID (ahora “HP Inkjet”) debería aparecer en la lista en la parte superior o cerca de ella. Los íconos de candado dentro de la lista de conexiones Wi-Fi disponibles (generalmente superpuestos a la potencia de cada conexión) indican qué conexiones Wi-Fi requieren contraseñas (la suya ahora debería tener un candado). De la lista de conexiones disponibles, haga clic en su propio SSID. Se le pedirá que ingrese una contraseña; asegúrese de que tenga al menos quince caracteres. O use un administrador de contraseñas para crear una contraseña compleja. Para conectarse a su Wi-Fi protegido con contraseña, deberá ingresar esa contraseña al menos una vez en cada dispositivo para conectarse, por lo que es posible que un administrador de contraseñas no funcione en todos los casos, especialmente cuando tiene que recordar el contraseña compleja y escríbala usted mismo más tarde. Cada dispositivo, incluido su refrigerador "inteligente" y su televisor digital, utilizará la única contraseña del enrutador que eligió cuando configuró el cifrado en su enrutador. Deberá hacer esto una vez por cada dispositivo que acceda a la red Wi-Fi de su hogar u oficina, pero no tendrá que volver a hacerlo a menos que cambie la contraseña de su red doméstica o adquiera un nuevo dispositivo. También puede ir un paso más allá y limitar las conexiones Wi-Fi solo a los dispositivos que especifique. Esto se conoce como inclusión en la lista blanca. Con este proceso, otorga acceso a (lista blanca) algunos dispositivos y prohíbe (lista negra) todo lo demás. Esto requerirá que ingrese la dirección de control de acceso a los medios de su dispositivo o la dirección MAC. También significará que la próxima vez que actualice su teléfono celular, tendrá que agregarlo a la dirección MAC en su enrutador antes de que se conecte.9 Esta dirección es única para cada dispositivo; de hecho, los tres primeros conjuntos de caracteres (octetos) son el código del fabricante y los tres últimos son exclusivos del producto. El router rechazará cualquier dispositivo cuya MAC de hardware no haya sido almacenada previamente. Dicho esto, un hacker
MachineTranslatedbyGoogle
La herramienta llamada aircrack-ng puede revelar la dirección MAC autorizada de un usuario actualmente conectado y luego un atacante puede falsificar la dirección MAC para conectarse al enrutador inalámbrico. Al igual que los SSID inalámbricos ocultos, es trivial eludir el filtrado de direcciones MAC. Encontrar la dirección MAC en su dispositivo es relativamente fácil. En Windows, vaya al botón Inicio, escriba "CMD", haga clic en "Símbolo del sistema" y en el signo de intercalación invertido, escriba "IPCONFIG". La máquina devolverá una larga lista de datos, pero la dirección MAC debe estar allí, y constará de doce caracteres hexadecimales con cada dos caracteres separados por dos puntos. Para los productos de Apple es aún más fácil. Vaya al icono de Apple, seleccione "Preferencias del sistema" y vaya a "Red". Luego haga clic en el dispositivo de red en el panel izquierdo y vaya a Avanzado>Hardware, y verá la dirección MAC. Para algunos productos Apple más antiguos, el procedimiento es: ícono de Apple>Preferencias del sistema>Redes>Ethernet incorporada. Puede encontrar la dirección MAC de su iPhone seleccionando Configuración>General>Acerca de y buscando en "Dirección Wi-Fi". Para un teléfono Android, vaya a Configuración> Acerca del teléfono> Estado y busque en "Dirección MAC de Wi-Fi". Estas instrucciones pueden cambiar según el dispositivo y el modelo que esté utilizando. Con estas direcciones MAC de doce dígitos en la mano, ahora deberá decirle al enrutador que permita solo estos dispositivos y bloquee todo lo demás. Hay algunas desventajas. Si llega un invitado y quiere conectarse a su red doméstica, tendrá que decidir si le da uno de sus dispositivos y su contraseña a esa persona o simplemente apaga el filtrado de direcciones MAC volviendo a ingresar a la pantalla de configuración del enrutador. Además, hay momentos en los que es posible que desee cambiar la dirección MAC de un dispositivo (ver aquí); si no lo vuelve a cambiar, es posible que no pueda conectarse a su red Wi-Fi restringida por MAC en casa o en el trabajo. Afortunadamente, reiniciar el dispositivo restaura la dirección MAC original en la mayoría de los casos.
Para facilitar la conexión de cualquier dispositivo nuevo a un enrutador doméstico, Wi-Fi Alliance, un grupo de proveedores deseosos de difundir el uso de tecnologías Wi-Fi, creó la configuración protegida de Wi-Fi (WPS). WPS se anunció como una forma para que cualquier persona, quiero decir cualquiera, pueda configurar de forma segura un dispositivo móvil en el hogar o en la oficina. En realidad, sin embargo, no es muy seguro. WPS es típicamente un botón que presiona en el enrutador. Otros metodos
MachineTranslatedbyGoogle
incluyen el uso de un PIN y comunicación de campo cercano (NFC). En pocas palabras, activa la función WPS y se comunica con cualquier dispositivo nuevo que tenga en su hogar u oficina, sincronizándolos automáticamente para que funcionen con su red Wi-Fi.
Suena genial. Sin embargo, si el enrutador está en "público", por ejemplo, en su sala de estar, cualquiera puede tocar el botón WPS y unirse a su red doméstica. Incluso sin acceso físico, un atacante en línea lí nea puede usar la fuerza bruta para adivinar su PIN de WPS. Podría llevar varias horas, pero sigue siendo un método de ataque viable, contra el que debe protegerse apagando inmediatamente WPS en el enrutador. Otro método de ataque WPS se conoce como Pixie Dust. Este es un ataque fuera de línea y afecta solo a unos pocos fabricantes de chips, incluidos Ralink, Realtek y Broadcom. Pixie Dust funciona ayudando a los piratas informáticos a obtener acceso a las contraseñas de los enrutadores enrutadores inalámbricos. Básicamente, la herramienta es muy sencilla y puede obtener acceso a un dispositivo en segundos u horas, según la complejidad del PIN WPS elegido o generado.10 generado.10 Por ejemplo, uno de esos programas, Reaver, puede descifrar un enrutador habilitado para WPS en varias horas. En general, es una buena idea desactivar WPS. Simplemente puede conectar cada nuevo dispositivo móvil a su red escribiendo la contraseña que haya asignado para el acceso.
Por lo tanto, ha impedido, mediante el uso de cifrado y contraseñas seguras seguras,, el uso de su red de enrutador inalámbrico doméstico por parte de otros. ¿Significa ¿Si gnifica eso que nadie puede ingresar a su red doméstica o incluso ver digitalmente dentro de su hogar? No completamente. Cuando llamaron al estudiante de segundo año de secundaria Blake Robbins a la oficina del director de su escuela en los suburbios de Filadelfia, no tenía idea de que iba a ser reprendido por “comportam “comportamiento iento inapropiado” en casa. El distrito escolar de Lower Merion, en las afueras de Filadelfia, Fi ladelfia, les había dado a ttodos odos sus estudiantes de secundaria, incluido Robbins, nuevas MacBooks para usar en sus cursos. Lo que el distrito escolar no les dijo a los estudiantes fue que el software diseñado para recuperar los dispositivos en caso de que se pierdan también podría usarse para monitorear el comportamiento de los 2,300 estudiantes mientras estaban a la vista de las cámaras web de las computadoras computadoras portátiles.
MachineTranslatedbyGoogle
¿La presunta ofensa de Robbins? Tomando pastillas. La familia Robbins, a través de su abogado, sostuvo todo el tiempo que el niño simplemente estaba comiendo dulces Mike e Ike mientras hacía su tarea. ¿Por qué fue esto un problema? El distrito escolar sostiene que activó el software de rastreo de robos solo después de que le robaron una de sus computadoras portátiles. El software de seguimiento de robos funciona así: cuando alguien que usa el software informa que su computadora portátil ha sido robada, la escuela puede iniciar sesión en un sitio web y ver imágenes de la cámara web de la computadora portátil robada, así como escuchar sonidos del micrófono. Luego, un administrador de la escuela podría monitorear la computadora portátil y tomar fotografías según sea necesari De esta forma se puede localizar y devolver el dispositivo y se puede identificar al culpable. Sin embargo, en este caso se alegó que los funcionarios escolares estaban activando esta función para espiar a los estudiantes mientras estaban en casa. La cámara web de la computadora portátil Mac proporcionada por la escuela de Robbins registró cientos de fotos, incluidas algunas del niño dormido en su cama. Para otros estudiantes fue peor. Según el testimonio de la corte, la escuela tenía aún más fotografías de algunos estudiantes, algunos de los cuales estaban “parcialmente desnudos”. Esto podría haber pasado desapercibido para los estudiantes si Robbins no hubiera sido reprendido por algo que supuestamente hizo en casa. Robbins, junto con un ex alumno, Jalil Hasan, a quien le tomaron casi quinientas imágenes y cuatrocientas imágenes de la pantalla de su computadora, que revelaron su actividad en línea y los sitios que visitó, demandaron al distrito escolar. Robbins recibió $175,000 y Hasan $10,000.11 El distrito también pagó casi medio millón de dólares para cubrir los gastos legales de los niños. En total, el distrito escolar tuvo que pagar, a través de su aseguradora, alrededor de $1,4 millones. Es fácil que el software malicioso active la cámara web y el micrófono en una PC tradicional sin que el usuario lo sepa. Y esto también es cierto en un dispositivo móvil. En este caso fue una acción deliberada. Pero con demasiada frecuencia no lo es. Una solución rápida es colocar cinta adhesiva sobre la cámara web de su computadora portátil hasta que tenga la intención de usarla nuevamente.
En el otoño de 2014, Sophie Curtis, reportera del Telegraph de Londres, recibió una solicitud de conexión de LinkedIn en un correo electrónico que parecía provenir de alguien que trabajaba en su periódico. Era el
MachineTranslatedbyGoogle
tipo de correo electrónico que Sophie recibía todo el tiempo, y como cortesía profesional, no lo pensó dos veces antes de aceptarlo de un colega. Un par de semanas después, recibió un correo electrónico que parecía ser de una organización anónima de denunciantes que estaba a punto de publicar documentos confidenciales. Como reportera que había cubierto grupos como Anonymous y WikiLeaks, había recibido correos electrónicos como este antes y tenía curiosidad acerca de la solicitud. El archivo adjunto parecía un archivo estándar, por lo que hizo clic para abrirlo. Inmediatamente se dio cuenta de que algo andaba mal. Windows Defender, el programa de seguridad que viene con cada copia de Windows, comenzó a emitir advertencias en su escritorio. Y las advertencias seguían acumulándose en la pantalla. Curtis, como mucha gente hoy en día, había sido engañada para hacer clic en un archivo adjunto que ella pensó que era un archivo ordinario. Mientras fingía tener información que quería ver, el archivo descargó y descomprimió una serie de otros archivos que permitieron al atacante remoto tomar el control total de su computadora. El software malicioso incluso le tomó una foto con su propia cámara web. En él, su rostro muestra una expresión de pura frustración mientras trata de entender cómo alguien pudo haberse apoderado de su computadora. En realidad, Curtis sabía muy bien quién se había apoderado de su computadora. Como experimento, unos meses antes había contratado a un probador de penetración o pen tester. Alguien como yo. Las personas y las empresas contratan a piratas informáticos profesionales para intentar entrar en la red informática de una empresa y ver dónde necesitan refuerzo. En el caso de Curtis, el proceso se extendió durante varios meses. Al comienzo de trabajos como este, siempre trato de obtener la mayor cantidad de información posible sobre el cliente. Paso tiempo aprendiendo sobre su vida y sus hábitos en línea. Hago un seguimiento de las publicaciones públicas del cliente en Twitter, Facebook y, sí, incluso en LinkedIn. Que es exactamente lo que hizo el probador de pluma de Sophie Curtis. Entre todos sus correos electrónicos había un mensaje cuidadosamente elaborado: el primero enviado por su evaluador de pluma. El evaluador de penetración sabía que trabajaba como reportera y sabía que estaba abierta a solicitudes por correo electrónico de personas previamente desconocidas. En ese primer caso, Curtis escribió más tarde que no había suficiente contexto para que ella estuviera interesada en entrevistar a una persona en particular para una historia futura. Pero quedó impresionada por la cantidad de investigación que hicieron el hacker y sus colegas de la empresa de seguridad. Curtis dijo: “Pudieron usar Twitter para averiguar mi correo electrónico de trabajo.
MachineTranslatedbyGoogle
dirección, así como algunas de mis ubicaciones recientes y el nombre de una noche social habitual a la que asisto con otros periodistas. A partir de los objetos del fondo de una de las fotos que había subido a Twitter pudieron descubrir qué móvil usaba, y que mi prometido fumaba roll ups (era una foto antigua), así como el hecho de que le gusta andar en bicicleta.”12 Cualquiera de estos detalles podrían haber sido la base para otro correo electrónico. También hay una nueva herramienta basada en Inteligencia Artificial anunciada en la conferencia DEF CON 2016 que analizará los tweets de un objetivo. Luego construirá un correo electrónico de phishing basado en sus intereses personales.13 personales.13 Por lo tanto, tenga cuidado al hacer clic en los enlaces dentro de un tweet. De hecho, a menudo son las pequeñas cosas (el comentario extraño publicado aquí o allá, la chuchería única en el estante detrás de usted en una foto, la camiseta de un campamento al que asistió una vez) las que brindan información personal crucial que nunca tendría. intención de compartir públicamente. Podemos considerar estos momentos únicos inofensivos, pero cuantos más detalles pueda aprender un atacante sobre usted, mejor podrá engañarlo para que abra los archivos adjuntos de correo electrónico y se apodere de su mundo en línea. Curtis señala que el equipo de prueba de penetración terminó su ataque allí. Si hubieran sido verdaderos piratas informáticos criminales, la diversión y los juegos podrían haber continuado durante algún tiempo, tal vez con los malos obteniendo acceso a sus cuentas de redes sociales, la red de su oficina en Telegraph, incluso sus cuentas financieras. Y lo más probable es que lo hubieran hecho de tal manera que Curtis no supiera que su computadora estaba comprometida; comprometida; la mayoría de los ataques no activan inmediatamente Windows Defender o software antivirus. Algunos atacantes ingresan y persisten durante meses o años antes de que el usuario tenga alguna pista de que ha sido pirateado. Y no es solo su computadora portátil: un ataque desencadenado por correo electrónico también podría lanzarse desde un iPhone con jailbreak o un dispositivo móvil Android.
Si bien Google y otros proveedores de correo electrónico escanean sus mensajes para evitar la transmisión de malware y la propagación de pornografía en línea, y para recopilar datos publicitarios, no necesariamente escanean en busca de fraude. Al igual que la privacidad,, cuyo estándar, como dije, es diferente para todos, el fraude es difícil de privacidad cuantificar. Y no siempre lo reconocemos, incluso cuando nos está mirando a la cara.
MachineTranslatedbyGoogle
Dentro del cuerpo del correo electrónico falso de LinkedIn de Curtis había un píxel de una pulgada por una pulgada, un pequeño punto de una imagen, invisible a la vista, como los que dije que se pueden encontrar en los sitios web y se usan para rastrearte en línea. Cuando ese pequeño punto llama, le dice a un servidor de seguimiento en una ubicación remota, que podría estar en cualquier parte del mundo, a qué hora abrió el correo electrónico, cuánto tiempo permaneció en la pantalla y en qué dispositivo lo abrió. También puede saber si guardó, reenvió o eliminó el mensaje. Además, si el escenario utilizado por el equipo de pen-test hubiera sido real, el atacante podría haber incluido un enlace a través del cual Curtis podría haber visitado una página falsa de LinkedIn. Esta página se parecería a una real en todos los aspectos excepto que estaría alojada en un servidor diferente, quizás en otro país.
Para un anunciante, este Web bug se puede utilizar para recopilar información sobre (y, por lo tanto, perfilar) el destinatario. Para los atacantes, se puede usar para obtener los detalles técnicos que necesitan para diseñar su próximo ataque, que incluiría una forma de ingresar a su computadora. Por ejemplo, si está ejecutando una versión antigua de un navegador, puede haber errores que pueden aprovecharse. Por lo tanto, el segundo correo electrónico que Curtis recibió de los evaluadores de penetración incluía un archivo adjunto, un conjunto de documentos comprimidos para explotar una vulnerabilidad en el software que se utilizó para abrir el archivo (por ejemplo, Adobe Acrobat). Cuando hablamos hablamos de malware, la mayoría de la gente piensa en los virus informáticos de principios de la década de 2000, cuando un solo correo electrónico infectado podía propagar correos electrónicos infectados adicionales a todos los miembros de una lista de contactos. Estos tipos de ataques de infección masiva son menos comunes hoy en día, en parte debido a los cambios en el propio software de correo electrónico. En cambio, el malware más peligroso de la actualidad es mucho más sutil y, a menudo, está dirigido y adaptado a un individuo. Como fue en el caso de Sophie Curtis. Los pentesters utilizaron una forma especial de phishing llamada spear phishing, diseñada para dirigirse a una persona específica. El phishing es el proceso delictivo fraudulento de tratar de obtener información confidencial, como nombres de usuario, contraseñas e información bancaria o de tarjetas de crédito. Se ha utilizado contra los CFO que son engañados para transferir grandes sumas de dinero porque el "CEO" ha autorizado la transferencia. Por lo general, el correo electrónico o mensaje de texto de phishing incluye un elemento de acción, como hacer clic en un enlace o abrir un archivo adjunto. En el caso de Curtis, la intención era plantar malware en su computadora con el fin de ilustrar lo fácil que es para alguien hacer esto.
Uno de los esquemas de phishing más famosos fue la Operación Aurora, en
MachineTranslatedbyGoogle
que se envió un correo electrónico de phishing a los empleados chinos de Google. La idea era infectar sus máquinas en China para poder acceder a la red interna de la sede mundial de Google, en Mountain View, California. Así lo hicieron los atacantes, acercándose peligrosamente al código fuente del motor de búsqueda de Google. Google no estaba solo. Empresas como Adobe informaron de intrusiones similares. Como resultado, Google retiró brevemente sus operaciones de China.14
Cada vez que recibimos una solicitud de LinkedIn o Facebook, bajamos la guardia. Quizás porque confiamos en esos sitios, también confiamos en sus mensajes de correo electrónico. Y, sin embargo, como hemos visto, cualquiera puede elaborar un mensaje que parezca legítimo. En persona, por lo general podemos sentir cuando alguien lleva un bigote falso o implantes de cabello o habla con una voz falsa; tenemos siglos de instintos evolutivos para ayudarnos a detectar el engaño sin pensar en ello. Esos instintos no se aplican en línea, al menos no para la mayoría de nosotros. Sophie Curtis era reportera; su trabajo era ser curioso y escéptico, seguir pistas y verificar hechos. Podría haber consultado la lista de empleados del Telegraph para ver quién era la persona en LinkedIn y haberse enterado de que el correo electrónico probablemente era falso. Pero no lo hizo. Y la realidad es que la mayoría de nosotros estamos igualmente desprotegidos.
Un atacante que realiza phishing tendrá parte de su información personal, pero no toda; la poca que tiene le sirve como cebo. Por ejemplo, un phisher puede enviarle un correo electrónico que incluya los últimos cuatro dígitos de su número de tarjeta de crédito para establecer confianza y luego pedirle aún más información. A veces, los cuatro dígitos son incorrectos y el phisher le pedirá que realice las correcciones necesarias en su respuesta. no lo hagas En resumen, no interactúes con un phisher. En general, no responda a ninguna solicitud de información personal, aunque parezca confiable. En su lugar, comuníquese con el solicitante en un correo electrónico separado (si tiene la dirección) o mensaje de texto (si tiene el número de teléfono celular).
El ataque de phishing más preocupante es el que se usa para engañar a un objetivo para que realice una acción que explote directamente su computadora, dándole al atacante el control total. Eso es lo que hago en los compromisos de ingenier ingeniería ía social. La recolección de credenciales también es una línea de ataque popular, en la que se capturan el nombre de usuario y la contraseña de una persona, pero el peligro real de la suplantación de identidad (spear phishing) es obtener acceso al sistema informático y la red del objetivo.
MachineTranslatedbyGoogle
¿Qué pasaría si interactuara con un phisher y, como resultado, perdiera todos los datos (todas las fotografías personales y documentos privados) en su PC o dispositivo móvil infectado? Eso es lo que le pasó a la madre de la autora Alina Simone. Escribiendo en el New York Times, Simone describió cómo fue para su madre, que no tenía inclinación por la tecnología, enfrentarse a un enemigo sofisticado que estaba usando algo llamado ransomware.15 En 2014, una ola de malware extorsionador llegó a Internet, dirigido tanto a personas como a empresas. Cryptowall es un ejemplo: encripta todo su disco duro, bloqueándolo de todos los archivos hasta que le pague al atacante para que le dé la clave para desbloquear sus archivos. A menos que tenga una copia de seguridad completa, el contenido de su PC tradicional o dispositivo Android será inaccesible hasta que pague el rescate. ¿No quieres pagar? La carta de extorsión que aparece en la pantalla indica que la clave para desbloquear los archivos se destruirá dentro de un período de tiempo determinado. A menudo hay un reloj de cuenta regresiva incluido. Si no paga, en ocasiones se amplía el plazo, aunque el precio aumenta con cada retraso. En general, debe evitar hacer clic en los archivos adjuntos de correo electrónico (a menos que los abra en Google Quick View o Google Docs). Aún así, hay otras formas en que Cryptowall se propaga: anuncios publicitarios en sitios web, por ejemplo. El simple hecho de ver una página con un anuncio de banner infectado puede infectar su PC tradicional; esto se denomina paso en falso porque no hizo clic activamente en el anuncio. Aquí es donde tener complementos de eliminación de anuncios como Adblock Plus en su navegador es realmente efectivo. En los primeros seis meses de 2015, el Centro de Quejas de Delitos en Internet (IC3) del FBI registró casi mil casos de Cryptowall 3.0, con pérdidas estimadas en alrededor de $18 millones. Esta cifra incluye el rescate que se pagó, el costo para los departamentos de TI y los talleres de reparación, y la pérdida de productividad. En algunos casos, los archivos cifrados contienen información de identificación personal, como números de seguridad social, lo que puede calificar el ataque como una violación de datos y, por lo tanto, generar más costos. Aunque la clave para desbloquear los archivos siempre se puede comprar por una tarifa fija de $ 500 a $ 1000, las personas infectadas generalmente intentan otros medios, como romper el cifrado ellos mismos, para eliminar el ransomware. Eso es lo que intentó la madre de Simone. Cuando finalmente llamó a su hija,
MachineTranslatedbyGoogle
estaban casi fuera de tiempo. Casi todos los que intentan descifrar el cifrado del ransomware fallan. El cifrado es realmente fuerte y requiere computadoras más poderosas y más tiempo para descifrarlo que el que la mayoría de la gente tiene a su disposición. Así que las víctimas suelen pagar. Según Simone, la oficina del alguacil del condado de Dickson, Tennessee, pagó en noviembre de 2014 un rescate de Cryptowall para desbloquear 72,000 informes de autopsias, declaraciones declaraciones de testigos, fotografías de la escena del crimen y otros documentos. Los piratas informáticos a menudo exigen el pago en Bitcoin, lo que significa que muchas personas promedio tendrán dificultades para pagar.16 Bitcoin, como mencioné, es una moneda virtual descentralizada, descentralizada, de igual a igual, y la mayoría de las personas no tienen billeteras de Bitcoin disponibles para retirar dinero. . A lo largo del artículo del Times , Simone les recuerda a los lectores que nunca deben pagar el rescate; sin embargo, al final hizo exactamente eso. De hecho, el FBI ahora aconseja a las personas cuyas computadoras están infectadas con ransomware que simplemente paguen. Joseph Bonavolonta, Bonavolonta, el agente especial adjunto a cargo del programa cibernético y de contrainteligencia contrainteligencia del FBI en Boston, dijo: "Para ser honesto, a menudo aconsejamos a las personas que solo paguen el rescate". Dijo que ni siquiera el FBI es capaz de descifrar el cifrado ultraseguro utilizado por los autores del ransomware, y agregó que debido a que muchas personas han pagado a los atacantes, el costo de $500 se ha mantenido bastante constante a lo largo de los años. dicen que depende de las compañías individuales individuale s decidir si pagar o contactar a otros profesionales de la seguridad. La madre de Simone, que nunca había comprado una aplicación en su vida, llamó a su hija en el último momento solo porque necesitaba averiguar cómo pagar con la moneda virtual. Simone dijo que encontró un cajero automático de Bitcoin en Manhattan desde el cual, después de una falla de software y una llamada de servicio al propietario del cajero automático, finalmente realizó el pago. Al tipo de cambio de ese día, cada Bitcoin costaba un poco más de $500. Ya sea que estos extorsionadores reciban su pago en Bitcoin o en efectivo, permanecen en el anonimato, aunque técnicamente existen formas de rastrear ambas formas de pago. Las transacciones realizadas en línea usando Bitcoin se pueden conectar con el comprador, pero no fácilmente. La pregunta es, ¿quién va a dedicar tiempo y esfuerzo a perseguir a estos criminales? En el próximo capítulo describiré lo que puede suceder cuando se conecta a
MachineTranslatedbyGoogle
Internet a través de Wi-Fi público. Desde una perspectiva de privacidad, desea el anonimato de un Wi-Fi público, pero al mismo tiempo deberá tomar precauciones.
MachineTranslatedbyGoogle
CAPÍTULO OCHO
Cree todo, no confíes en nada
Cuando el teléfono era todavía una novedad, era físicamente
conectado a la casa y tal vez colocado en un rincón integrado en la pared. Obtener una segunda línea se consideraba un símbolo de estatus. Del mismo modo, se construyeron cabinas telefónicas públicas para la privacidad. Incluso los bancos de teléfonos públicos en los vestíbulos de los hoteles estaban equipados con deflectores de sonido entre ellos para dar la ilusión de privacidad. Con los teléfonos móviles, esa sensación de privacidad se ha desvanecido por completo. Es común caminar por la calle y escuchar a la gente compartir en voz alta algún drama personal o, peor aún, recitar su número de tarjeta de crédito al alcance del oído de todos los que pasan. En medio de esta cultura de apertura e intercambio, debemos pensar detenidamente sobre la información que ofrecemos al mundo. A veces el mundo está escuchando. Sólo digo. Supongamos que te gusta trabajar en el café que está a la vuelta de la esquina de tu ccasa, asa, como hago a veces. Dispone de wifi gratuito. Eso debería estar bien, ¿verdad? Odio decírtelo, pero no. El Wi-Fi público no se creó teniendo en cuenta la banca en línea o el comercio electrónico. Es simplemente conveniente, y también es increíblemente inseguro. No toda esa inseguridad es técnica. Parte de esto comienza, y espero que termine, con usted.1 ¿Cómo puedes saber si estás en Wi-Fi público? Por un lado, no lo harás
MachineTranslatedbyGoogle
se le pedirá que introduzca una contraseña para conectarse al punto de acceso inalámbrico. Para demostrar qué tan visible es usted en Wi-Fi público, los investigadores de la compañía antivirus F-Secure construyeron su propio punto de acceso o punto de acceso. Llevaron a cabo su experimento en dos lugares diferentes en el centro de Londres: una cafetería y un espacio público. Los resultados fueron reveladores. En el primer experimento, los investigadores se instalaron en un café en una zona concurrida de Londres. Cuando los usuarios consideraron las opciones de redes disponibles, el punto de acceso F Secure resultó ser sólido y gratuito. Los investigadores también incluyeron un banner que aparecía en el navegador del usuario indicando los términos y condiciones. Tal vez haya visto un cartel como este en su cafetería local que estipula lo que puede y no puede hacer mientras usa su servicio. En este experimento, sin embargo, los términos para el uso de este Wi-Fi gratuito requerían la entrega del hijo primogénito o la mascota amada del usuario. Seis personas aceptaron esos términos y condiciones.2 Para ser justos, la mayoría de las personas no se toman el tiempo para leer la letra pequeña, solo quieren lo que sea que esté del otro lado. Aún así, al menos debería hojear los términos y condiciones. En este caso, F-Secure dijo más tarde que ni él ni sus abogados querían tener nada que ver con niños o mascotas. El verdadero problema es lo que pueden ver los terceros mientras estás en una red Wi-Fi pública. Cuando estés en casa, tu conexión inalámbrica debe estar encriptada con WPA2 (ver aquí). Eso significa que si alguien está husmeando, no podrá ver lo que estás haciendo en línea. Pero cuando usa Wi-Fi público y abierto en una cafetería o en un aeropuerto, ese tráfico de destino queda al descubierto. De nuevo te preguntarás, ¿cuál es el problema con todo esto? Bueno, antes que nada, no sabes quién está al otro lado de la conexión. En este caso, el equipo de investigación de F Secure destruyó éticamente los datos que recopilaron, pero los delincuentes probablemente no lo harían. Venderían su dirección de correo electrónico a compañías que le envían spam, ya sea para que compre algo o para infectar su PC con malware. Y es posible que incluso usen los detalles de sus correos electrónicos sin cifrar para crear ataques de phishing selectivo.
En el segundo experimento, el equipo colocó el punto de acceso en un balcón muy cerca de las Casas del Parlamento, la sede de los partidos Laborista y Conservador, y la Agencia Nacional contra el Crimen. En treinta minutos, un total de 250 personas se conectaron al punto de acceso gratuito experimental. La mayoría de estas eran conexiones automáticas realizadas por cualquier dispositivo que se estuviera utilizando.
MachineTranslatedbyGoogle
En otras palabras, los usuarios no eligieron conscientemente la red: el dispositivo lo hizo por ellos. Un par de problemas aquí. Primero veamos cómo y por qué sus dispositivos móviles se unen automáticamente a una red Wi-Fi. Tu PC tradicional y todos tus dispositivos móviles recuerdan tus últimas conexiones Wi-Fi, tanto públicas como privadas. Esto es bueno porque le ahorra la molestia de volver Wi-Fi, a identificar continuamente un punto de acceso Wi-Fi de uso frecuente, como su hogar u oficina. Esto también es malo porque si entras en un café nuevo, un lugar en el que nunca has estado antes, es posible que de repente descubras que tienes conectividad inalámbrica allí. ¿Por qué es eso malo? Porque es posible que esté conectado a algo que no sea la red inalámbrica de la cafetería. Es probable que su dispositivo móvil haya detectado un punto de acceso que coincida con un perfil que ya se encuentra en su lista de conexiones más reciente. Es posible que sienta algo extraño acerca de la conveniencia de conectarse automáticamente a Wi Fi en un lugar en el que nunca ha estado antes, pero también puede estar en medio de un juego de disparos disparos en prime primera ra persona y no quiere pensar pensar mucho más más allá de eso. ¿Cómo funciona la conexión Wi-Fi automática? Como expliqué en el último capítulo, tal vez tenga el servicio de Internet de Comcast en su hogar y, si lo tiene, también podría tener un SSID público gratuito y no encriptado llamado Xfinity como parte de su plan de servicio. Es posible que su dispositivo habilitado para Wi-Fi se haya conectado a él una vez en el pasado.3 Pero, ¿cómo sabe que el tipo con una computadora portátil en la mesa de la esquina no está transmitiendo un punto de acceso inalámbrico falsificado llamado Xfinity? Digamos que estás conectado a ese tipo sombrío en la esquina y no a la red inalámbrica de la cafetería. En primer lugar, aún podrá navegar por la red. Para que puedas seguir jugando tu juego. Sin embargo, cada paquete de datos no cifrados que envíe y reciba a través de Internet será visible para este personaje sombrío a través del punto de acceso inalámbrico de su computadora portátil falsificado. Si se ha tomado la molestia de configurar un punto de acceso inalámbrico falso, probablemente probableme nte esté capturando esos paquetes con una aplicación gratuita como Wireshark. Utilizo esta aplicación en mi trabajo como pen tester. Me permite ver la actividad de la red que ocurre a mi alrededor. Puedo ver las direcciones IP de los sitios a los que se conectan las personas y cuánto tiempo están visitando esos sitios. Si la conexión no está encriptada, es legal interceptar el tráfico porque es
MachineTranslatedbyGoogle
generalmente disponible para el público. Por ejemplo, como administrador de TI, me gustaría saber la actividad en mi red. Tal vez el tipo sombrío en la esquina solo esté olfateando, viendo a dónde vas y no influyendo en el tráfico. O tal vez esté influyendo activamente en su tráfico de Internet. Esto serviría para múltiples propósitos. Tal vez esté redirigiendo su conexión a un proxy que implanta un registrador de teclas javascript en su su navegador para para que cuando cuando visite Amazon, Amazon, sus pulsacion pulsaciones es de teclas sean capturadas mientras interactúa con el sitio. Tal vez le paguen para recopilar sus credenciales: credenciale s: su nombre de usuario y contraseña. Recuerde que su tarjeta de crédito puede estar asociada con Amazon y otros minoristas. Al dar mi discurso de apertura, doy una demostración que muestra cómo puedo interceptar el nombre de usuario y la contraseña de una víctima cuando accede a sitios una vez que él o ella está conectado a mi punto de acceso falsificado. Debido a que estoy sentado en medio de la interacción entre la víctima y el sitio web, puedo inyectar JavaScript y hacer que aparezcan actualizaciones falsas de Adobe en su pantalla, las cuales, si se instalan, infectarán la computadora de la víctima con malware. El propósito generalmente es engañarlo para que instale la actualización falsa para obtener el control de su computadora. Cuando el tipo en la mesa de la esquina está influyendo en el tráfico de Internet, eso se llama un ataque man-in-the-middle. El atacante está enviando sus paquetes al sitio real, pero interceptando o inyectando datos en el camino. Sabiendo que podría conectarse involuntariamente a un punto de acceso Wi-Fi dudoso, ¿cómo puede evitarlo? En una computadora portátil, el dispositivo realizará el proceso de búsqueda de una red inalámbrica preferida y luego se conectará a ella. Pero algunas computadoras portátiles y dispositivos móviles eligen automáticamente a qué red unirse. Esto fue diseñado para hacer que el proceso de llevar su dispositivo móvil de un lugar a otro sea lo menos doloroso posible. Pero como mencioné, hay desventajas en esta conveniencia. Según Apple, sus diversos productos se conectarán automáticamente a redes en este orden de preferencia:
1. la red privada a la que se unió el dispositivo más recientemente, 2. otra red privada y 3. una red de punto de acceso.
MachineTranslatedbyGoogle
Las computadoras portátiles, afortunadamente, brindan los medios para eliminar las conexiones Wi-Fi obsoletas, obsoletas, por ejemplo, el Wi-Fi de ese hotel al que se conectó el verano pasado en un viaje de negocios. En una computadora portátil con Windows, puede desmarcar el campo "Conectar automáticamente" junto al nombre de la red antes de conectarse. O diríjase a Panel de control> Centro de redes y recursos compartidos y haga clic en el nombre de la red. Haga clic en "Propiedades inalámbri inalámbricas", cas", luego desmarque "Conectar automáticamente cuando esta red esté dentro del alcance". En una Mac, diríjase a Preferencias del sistema, vaya a Red, resalte Wi-Fi en el panel de la izquierda y haga clic en "Avanzado Luego desmarque "Recordar redes a las que se ha unido esta computadora". También puede eliminar redes individualmente seleccionando el nombre y presionando el botón menos debajo de él. Los dispositivos Android e iOS también tienen instrucciones para eliminar las conexiones Wi-Fi utilizadas utilizadas anteriormente. En un iPhone o iPod, vaya a su configuración, seleccione "Wi-Fi", "Wi-Fi", haga clic en el ícono "i" junto al nombre de la red y elija "Olvidar esta red". En un teléfono Android, puede acceder a su configuración, elegir "Wi-Fi", mantener presionado el nombre de la red y seleccionar "Olvidar red". En serio, si realmente tiene algo delicado que hacer fuera de su casa, le recomiendo usar la conexión celular en su dispositivo móvil en lugar de usar la red inalámbrica en el aeropuerto o en la cafetería. También puede conectarse a su dispositivo móvil personal mediante USB, Bluetooth o WiFi. Si usa Wi-Fi, asegúrese de configurar la seguridad WPA2 como se mencionó anteriormente. La otra opción es comprar un punto de acceso portátil para usar cuando viaja. Tenga en cuenta también que esto no lo hará invisible, pero es una mejor alternativa que usar Wi-Fi público. Pero si necesita proteger su privacidad del operador móvil, por ejemplo, para descargar una hoja de cálculo confidencial, le sugiero que use HTTPS Everywhere o un Protocolo seguro de transferencia de archivos (SFTP). SFTP es compatible con la aplicación Transmit en Mac y la aplicación Tunnelier en Windows.
Una red privada virtual (VPN) es un "túnel" seguro que extiende una red privada (desde su hogar, oficina o un proveedor de servicios VPN) a su dispositivo en una red pública. Puede buscar proveedores de VPN en Google y comprar el servicio por aproximadamente $60 al año. No se puede confiar en la red que encontrará en la cafetería local o en el aeropuerto o en otros lugares públicos, es pública. Pero al usar una VPN puede hacer un túnel a través del público
MachineTranslatedbyGoogle
red a una red privada y segura. Todo lo que hace dentro de la VPN está protegido por encriptación, ya que todo su tráfico de Internet ahora está protegido en lla a red pública. Por eso es importante utilizar un proveedor de VPN en el que pueda confiar: puede ver su tráfico de Internet. Cuando usa una VPN en la cafetería, el tipo incompleto en la esquina solo puede ver que se ha conectado a un servidor VPN y nada más: sus actividades y los sitios que visita están completamente ocultos detrás de un cifrado difícil de descifrar. Sin embargo, aún tocará Internet con una dirección IP que se puede rastrear directamente hacia usted, en este caso, la dirección IP de su hogar u oficina. Así que todavía no eres invisible, incluso usando una VPN. No lo olvide: su proveedor de VPN conoce su dirección IP de origen. Más adelante discutiremos cómo hacer que esta conexión sea invisible (ver aquí). Muchas empresas proporcionan VPN para sus empleados, lo que les permite conectarse desde una red pública (es decir, Internet) a una red corporativa interna privada. Pero ¿qué pasa con el resto de nosotros? Hay muchas VPN comerciales disponibles. Pero, ¿cómo saber si confiar en ellos? La tecnología VPN subyacente, IPsec (seguridad del protocolo de Internet), incluye automáticamente PFS (secreto directo perfecto; consulte aquí), pero no todos los servicios, incluso los corporativos, se molestan en configurarlo. OpenVPN, un proyecto de código abierto, incluye PFS, por lo que puede inferir que cuando un producto dice que usa OpenVPN, también usa PFS, pero no siempre es así. Es posible que el producto no tenga OpenVPN configurado correctamente. Asegúrese de que el servicio incluya específicamente PFS. Una desventaja es que las VPN son más costosas que los proxies.4 Y, dado que las VPN comerciales son compartidas, también pueden ser lentas o, en algunos casos, simplemente no puede obtener una VPN disponible para su uso personal y tendrá que esperar hasta que una. se vuelve disponible. Otra molestia es que, en algunos casos, Google mostrará una solicitud de CAPTCHA (que te pide que escribas los caracteres que ves en la pantalla) antes de que puedas usar su motor de búsqueda porque quiere asegurarse de que eres un humano y no un bot. . Finalmente, si su proveedor particular de VPN mantiene registros, lea la política de privacidad para asegurarse de que el servicio no retenga su tráfico o registros de conexión, incluso encriptados, y que no haga que los datos sean fáciles de compartir con las fuerzas del orden. Puede averiguarlo en los términos de servicio y la política de privacidad. Si pueden reportar actividades a las fuerzas del orden público, entonces sí registra
MachineTranslatedbyGoogle
Conexiones VPN. Los pasajeros de líneas aéreas que usan un servicio de Internet en el aire como GoGo corren el mismo riesgo que cuando se conectan en línea mientras están sentados en un Starbucks o en la sala del aeropuerto, y las VPN no siempre son excelentes soluciones. Debido a que quieren evitar Skype u otras aplicaciones de llamadas de voz, GoGo y otros servicios en el aire aceleran los paquetes UDP, lo que hará que la mayoría de los servicios VPN sean muy lentos, ya que UDP es el protocolo más utilizado de manera predeterminada. Sin embargo, elegir un servicio VPN que use el protocolo TCP en lugar de UDP, como TorGuard o ExpressVPN, puede mejorar mucho el rendimiento. Ambos servicios de VPN permiten al usuario configurar TCP o UDP como su protocolo preferido. Otra consideración con una VPN es su política de privacidad. Ya sea que use una VPN comercial o una proporcionada por una empresa, su tráfico viaja a través de su red, por lo que es importante usar https para que el proveedor de VPN no pueda ver el contenido de sus comunicaciones.5 Si trabaja en una oficina, lo más probable es que su empresa proporcione una VPN para que pueda trabajar de forma remota. Dentro de una aplicación en su PC tradicional, ingresa su nombre de usuario y contraseña (algo que sabe). La aplicación también contiene un certificado de identificación colocado allí por su departamento de TI (algo que ya tiene), o puede enviarle un mensaje de texto al teléfono emitido por su empresa (algo que también tiene). La aplicación puede emplear las tres técnicas en lo que se conoce como autenticación multifactor. Ahora puede sentarse en un Starbucks o en el salón de un aeropuerto y hacer negocios como si estuviera usando un servicio privado de Internet. Sin embargo, no debe realizar negocios personales, como banca remota, a menos que la sesión real esté encriptada con la extensión HTTPS Everywhere. La única forma de confiar en un proveedor de VPN es ser anónimo desde el principio. Si realmente quiere ser completamente anónimo, nunca use una conexión a Internet que pueda estar vinculada a usted (es decir, una que se origine en su hogar, oficina, casas de amigos, una habitación de hotel reservada a su nombre o cualquier otra cosa conectada a usted) . Me atraparon cuando el FBI rastreó la señal de un teléfono celular hasta mi escondite en Raleigh, Carolina del Norte, en la década de 1990. Por lo tanto, nunca acceda a información personal utilizando un dispositivo grabador en el mismo lugar si está tratando de evitar las autoridades gubernamentales. Todo lo que haga en el dispositivo de grabación debe estar completamente separado para permanecer invisible. Lo que significa que no se pueden vincular metadatos del dispositivo
MachineTranslatedbyGoogle
tu verdadera identidad. También puede instalar una VPN en su dispositivo móvil. Apple brinda instrucciones para hacerlo,6 y también puede encontrar instrucciones para dispositivos Android.7 Si ha seguido mis consejos en el libro hasta ahora, probablemente le irá mucho mejor que al ciudadano promedio. La mayor parte de su uso de Internet probablemente estará a salvo de espionaje o manipulación por parte de un atacante.
También lo harán tus redes sociales. Facebook usa https para todas sus sesiones. ¿Revisando tu correo electrónico? Google también ha cambiado a https solamente. Le siguieron la mayoría de los servicios de correo web, al igual que la mayoría de los principales servicios de mensajería instantánea. De hecho, la mayoría de los sitios principales (Amazon, eBay, Dropbox) ahora usan https. Para ser invisible, siempre es mejor proteger tu privacidad. Su riesgo de que otros vean su tráfico en una red pública disminuye con cada capa adicional de seguridad que emplea. Por ejemplo, desde una red Wi-Fi pública, acceda a su servicio VPN de pago y, a continuación, acceda a Tor con la extensión HTTPS Everywhere instalada de forma predeterminada predeter minada en el navegador Firefox.
Luego, todo lo que haga en línea estará encriptado y será difícil de rastrear.
Digamos que solo desea consultar el clima y no hacer nada financiero o personal, y está utilizando su propia computadora portátil personal fuera de su red doméstica, eso debería ser seguro, ¿verdad? Una vez más, no realmente. Hay algunas precauciones que aún debe tomar.
MachineTranslatedbyGoogle
Primero, apague el Wi-Fi. En serio. Muchas personas dejan el Wi-Fi encendido en sus computadoras portátiles incluso cuando no lo necesitan. Según los documentos publicados por Edward Snowden, el Establecimiento de Seguridad de las Comunicaciones de Canadá (CSEC) puede identificar a los viajeros que pasan por los aeropuertos canadienses simplemente capturando sus direcciones MAC. Estos pueden ser leídos por cualquier computadora que esté buscando cualquier solicitud de sonda enviada desde dispositivos inalámbricos. Incluso si no se conecta, se puede capturar la dirección MAC. Entonces, si no lo necesita, apague su Wi-Fi.8 Como hemos visto, la conveniencia a menudo va en contra de la privacidad y la seguridad.
Hasta ahora hemos eludido un tema importante: su dirección MAC. Esto es exclusivo de cualquier dispositivo que esté utilizando. Y no es permanente; Tú puedes cambiarlo. Dejame darte un ejemplo. En el segundo capítulo, le hablé sobre cómo encriptar su correo electrónico usando PGP (Pretty Good Privacy; vea aquí). Pero, ¿qué pasa si no quiere pasar por la molestia, o qué pasa si el destinatario no tiene una clave PGP pública para que la use? Hay otra forma clandestina de intercambiar mensajes por correo electrónico: usar la carpeta de borradores en una cuenta de correo electrónico compartida. Así intercambió información el ex director de la CIA, el general David Petraeus, con su amante, Paula Broadwell, su biógrafa. El escándalo se desató después de que Petraeus terminara la relación y notara que alguien había estado enviando correos electrónicos amenazantes a un amigo suyo. Cuando el FBI investigó, descubrió no solo que las amenazas procedían de Broadwell, sino que también había estado dejando mensajes románticos para Petraeus.9 Lo interesante es que los mensajes entre Broadwell y Petraeus no se transmitieron sino que se dejaron en la carpeta de borradores de la cuenta de correo electrónico “anónima”. En este escenario, el correo electrónico no pasa por otros servidores en un intento de llegar al destinatario. Hay menos oportunidades para las intercepciones. Y si alguien obtiene acceso a la cuenta más adelante, no habrá evidencia si elimina los correos electrónicos y vacía la papelera de antemano.
Broadwell también inició sesión en su cuenta de correo electrónico "anónimo" usando una computadora dedicada. No se comunicó con el sitio de correo electrónico desde la IP de su casa.
MachineTranslatedbyGoogle
Dirección. Eso hubiera sido demasiado obvio. En cambio, fue a varios hoteles para realizar sus comunicaciones. Aunque Broadwell se había esforzado mucho por esconderse, ella todavía no era invisible. Según el New York Times, “debido a que la cuenta del remitente se había registrado de forma anónima, los investigadores tuvieron que usar técnicas forenses, incluida una verificación de a qué otras cuentas de correo electrónico se había accedido desde la misma m isma dirección de computadora, para identificar quién estaba escribiendo el correo electrónico. -mails.”10 Los proveedores de correo electrónico como Google, Yahoo y Microsoft conservan registros de inicio de sesión durante más de un año, y estos revelan las direcciones IP particulares desde las que se ha conectado un consumidor. Por ejemplo, si usó una red WiFi pública en Starbucks, la dirección IP revelaría la ubicación física de la tienda. En la actualidad, los Estados Unidos permiten que las agencias encargadas de hacer cumplir la ley obtengan estos registros de inicio de sesión de los proveedores de correo electrónico con una mera citación, sin necesidad de un juez. Eso significa que los investigadores tenían la ubicación física de cada dirección IP que se comunicó con esa cuenta de correo electrónico en particular y luego pudieron hacer coincidir la dirección MAC del dispositivo de Broadwell en el registro de conexión del enrutador en esas ubicaciones.11 Con la autoridad total del FBI detrás de ellos (esto fue un gran problema, porque Petraeus era el director de la CIA en ese momento), los agentes pudieron buscar todos los archivos de registro del enrutador para cada hotel y ver cuándo aparecía la dirección MAC de Broadwell en los archivos de registro del hotel. Además, pudieron demostrar que en las fechas en cuestión Broadwell era un invitado registrado. Los investigadores notaron que mientras ella iniciaba sesión en estas cuentas de correo electrónico, en realidad nunca envió un correo electrónico. Cuando se conecta a una red inalámbrica, el equipo de red inalámbrica registra automáticamente la dirección MAC de su computadora. Su dirección MAC es similar a un número de serie asignado a su tarjeta de red. Para ser invisible, antes de conectarse a cualquier red inalámbrica, debe cambiar su dirección MAC a una que no esté asociada con usted. Para permanecer invisible, la dirección MAC M AC debe cambiarse cada vez que se conecta a la red inalámbrica para que sus sesiones de Internet no se puedan correlacionar fácilmente con usted. También es importante no acceder a ninguna de sus cuentas personales en línea durante este proceso, ya que puede comprometer su anonimato.
MachineTranslatedbyGoogle
Las instrucciones para cambiar su dirección MAC varían con cada sistema operativo, es decir, Windows, Mac OS, Linux, incluso Android e iOS.12 Cada vez que se conecte a una red pública (o privada), es posible que desee recordar cambiar su dirección MAC. . Después de un reinicio, vuelve la dirección MAC original.
Supongamos que no tiene una computadora portátil y no tiene más remedio que usar una terminal de computadora pública, ya sea en una cafetería, una biblioteca o incluso en un centro de negocios en un hotel de lujo. Que puedes hacer para protegerte? Cuando voy de campamento, observo la regla de “no dejar rastro”, es decir, el lugar del campamento debe tener el mismo aspecto que tenía cuando llegué por primera vez. Lo mismo ocurre con los terminales de PC públicos. Después de que te vayas, nadie debería saber que estuviste allí.
Esto es especialmente cierto en las ferias comerciales. Un año estuve en el Consumer Electronics Show anual y vi un banco de PC públicas dispuestas para que los asistentes pudieran revisar su correo electrónico mientras caminaban por el piso de la convención. Incluso vi esto en la conferencia anual RSA sobre seguridad, en San Francisco. Tener una fila de terminales genéricos en público es una mala idea por varias razones.
Uno, estas son computadoras alquiladas, reutilizadas de un evento a otro. Que puede ser limpiado, el sistema operativo reinstalado, pero, de nuevo, es posible que no sea así. Dos, tienden a ejecutar derechos de administrador, lo que significa que el asistente a la conferencia puede instalar cualquier software que desee. Esto incluye malware como keyloggers, que pueden almacenar su nombre de usuario y contraseña. En el negocio de la seguridad, hablamos del principio de "privilegio mínimo", lo que significa que una máquina otorga a un usuario solo los privilegios mínimos que necesita para realizar el trabajo. Iniciar sesión en un terminal público con privilegios de administrador del sistema, que es la posición predeterminada en algunos terminales públicos, viola el principio de privilegio mínimo y solo aumenta el riesgo de que esté utilizando un dispositivo previamente infectado con malware. La única solución es estar seguro de que está utilizando una cuenta de invitado, con privilegios limitados, lo que la mayoría de la gente no sabrá cómo hacer.
En general recomiendo no confiar nunca en un terminal PC público. Suponga que la persona que lo usó por última vez instaló malware, ya sea consciente o
MachineTranslatedbyGoogle
inconscientemente. Si inicia sesión en Gmail en una terminal pública y hay un registrador de teclas en esa terminal pública, algún tercero remoto ahora tiene su nombre de usuario y contraseña. Si inicia sesión en su banco, olvídelo. Recuerde, debe habilitar 2FA en cada sitio siti o al que acceda para que un atacante armado con su nombre de usuario y contraseña no pueda hacerse pasar por usted. La autenticación de dos factores mitigará en gran medida las posibilidades de que su cuenta sea pirateada si alguien obtiene conocimiento de su nombre de usuario y contraseña. Me asombra la cantidad de personas que usan quioscos públicos en conferencias basadas en computadoras como CES y RSA. En pocas palabras, si está en una feria comercial, use su teléfono celular o tableta, su punto de acceso personal (consulte aquí) o espere hasta que regrese a su habitación. Si tiene que usar Internet fuera de su hogar u oficina, use su teléfono inteligente. Si es absolutamente necesario utilizar una terminal pública, no inicie sesión en ninguna cuenta personal, ni siquiera en el correo web. Si está buscando un restaurante, por ejemplo, acceda solo a aquellos sitios web que no requieren autenticación, como Yelp. Si usa una terminal pública de manera semirregular, configure una cuenta de correo electrónico para usar solo en terminales públicas y solo reenvíe correos electrónicos desde sus cuentas legítimas a esta dirección "desechable" cuando esté de viaje. Deja de reenviar una vez que regreses a casa. Esto minimiza la información que se puede encontrar en esa dirección de correo electrónico. Luego, asegúrese de que los sitios a los que accede desde la terminal pública tengan https en la URL. Si no ve https (o si lo ve pero sospecha que alguien lo ha puesto allí para darle una falsa sensación de seguridad), quizás debería reconsiderar el acceso a información confidencial desde esta terminal pública. Digamos que obtienes una URL https legítima. Si está en una página de inicio de sesión, busque un cuadro que diga "Mantenerme "M antenerme conectado". Desmarque eso. La razón es clara: esta no es tu PC personal. Es compartido por otros. Al mantenerse conectado, está creando una cookie en esa máquina. No querrá que la siguiente persona en la terminal vea su correo electrónico o pueda enviar correos electrónicos desde su dirección, ¿verdad? Como se indicó, no inicie sesión en sitios financieros o médicos desde una terminal pública. Si inicia sesión en un sitio (ya sea Gmail u otro), asegúrese de cerrar la sesión cuando haya terminado y tal vez considere cambiar su contraseña
desde su propia computadora o dispositivo móvil después solo para estar seguro.
MachineTranslatedbyGoogle
seguro. Es posible que no siempre cierre la sesión de sus cuentas en casa, pero siempre debe hacerlo cuando use la computadora de otra persona. Después de enviar su correo electrónico (o mirar lo que quiera mirar) y cerrar la sesión, intente borrar el historial del navegador para que la siguiente persona no pueda ver dónde ha estado. También elimine las cookies si puede. Y asegúrese de no descargar archivos personales a la computadora. Si lo hace, intente eliminar el archivo o los archivos del escritorio o de la carpeta de descargas cuando haya terminado. Desafortunadamente, sin embargo, solo borrar el archivo no es suficiente. A continuación, deberá vaciar la papelera. Eso todavía no elimina por completo las cosas eliminadas de la computadora. Puedo recuperar el archivo después de que te vayas si quiero. Afortunadamente, la mayoría de las personas no tienen la capacidad de hacer eso y, por lo general, bastará con borrar y vaciar la papelera. Todos estos pasos son necesarios para ser invisible en un terminal público.
MachineTranslatedbyGoogle
CAPÍTULO NUEVE
¿No tienes privacidad? ¡Superalo!
En algún momento durante el tiempo que el antiguo software antivirus El creador John McAfee pasó como fugitivo de las autoridades en Belice, comenzó un blog. Créeme: si estás tratando de salirte de la red y desaparecer por completo, no quieres comenzar un blog. Por un lado, estás obligado a cometer un error. McAfee es un hombre inteligente. Hizo su fortuna en los primeros días de Silicon Valley al ser pionero en la investigación antivirus. Luego vendió su empresa, vendió todos sus activos en Estados Unidos y durante unos cuatro años, de d e 2008 a 2012, vivió en Belice, en una propiedad privada frente a la costa. Hacia el final de ese período, el gobierno de Belice lo tenía bajo vigilancia casi constante, allanando su propiedad y acusándolo de formar un ejército privado además de dedicarse al narcotráfico. McAfee negó haber hecho ninguno de los dos. Afirmó que estaba luchando contra los capos de la droga en la isla. Dijo, por ejemplo, que había ofrecido un televisor de pantalla plana a un traficante de marihuana de poca monta con la condición de que dejara de traficar. Y era conocido por detener autos que sospechaba que transportaban traficantes de drogas.1 De hecho, McAfee tenía un laboratorio de drogas, pero no necesariamente para drogas recreativas. Afirmó que estaba creando una nueva generación de medicamentos "útiles". De ahí su creciente sospecha de que los coches llenos de hombres blancos fuera de su propiedad eran espías de empresas farmacéuticas como
MachineTranslatedbyGoogle
GlaxoSmithKline. Afirmó además que los allanamientos de la policía local fueron instigados por estas mismas empresas farmacéuticas. Custodiando su propiedad había varios hombres armados y once perros. Un vecino dos casas al sur, Greg Faull, se quejaba regularmente a las autoridades de los perros que ladraban a altas horas de la noche. Luego, una noche de noviembre de 2012, algunos de los perros de McAfee fueron envenenados. Y más tarde esa misma semana, Faull recibió un disparo y lo encontraron boca abajo en un charco de sangre en su casa. Las autoridades de Belice, naturalmente, consideraron a McAfee una persona de interés en su investigación. Como relata McAfee en su blog, cuando su ama de llaves le dijo que la policía quería hablar con él, se escondió. Se convirtió en un fugitivo. Pero no fue el blog lo que finalmente llevó a las fuerzas del orden a McAfee. era una foto Y ni siquiera era suyo. Un investigador de seguridad llamado Mark Loveless (más conocido en los círculos de seguridad como Simple Nomad) notó una foto de McAfee publicada en Twitter por la revista
Vice
a
principios de diciembre de 2012. La foto mostraba al editor de Vice de pie junto a McAfee en un lugar tropical, tal vez en Belice. , tal vez en otro lugar.
Loveless sabía que las fotos f otos digitales capturan mucha información sobre cuándo, dónde y cómo se toman, y quería ver qué información digital podría contener esta foto. Las fotos digitales almacenan lo que se conoce como archivo de imagen intercambiable o datos EXIF. Estos son metadatos fotográficos y contienen detalles mundanos como la cantidad de saturación de color en la imagen para que la foto se pueda reproducir con precisión en una pantalla o en una impresora. También puede, si la cámara está equipada para ello, incluir la longitud y latitud exactas del lugar donde se tomó la foto.
Aparentemente, la foto de McAfee con el editor de la revista
Vice
fue tomada con la cámara de
un iPhone 4S. Algunos teléfonos celulares se envían con la geolocalización habilitada automáticamente. Loveless tuvo suerte: la imagen publicada en el archivo en línea incluía la geolocalización exacta de John McAfee, quien resultó estar en la vecina Guatemala.
En un blog posterior, McAfee dijo que falsificó los datos, pero eso parece poco probable. Más tarde dijo que tenía la intención de revelar su ubicación. Lo más probable es que se haya vuelto perezoso. Para resumir, la policía guatemalteca detuvo a McAfee y no lo dejó salir del país. Luego sufrió
un problema de salud, fue
MachineTranslatedbyGoogle
hospitalizado y finalmente se le permitió regresar a los Estados Unidos. El asesinato de Greg Faull sigue sin resolverse. McAfee ahora vive en Tennessee, y en 2015 decidió postularse para presidente para abogar por políticas más cibernéticas en el gobierno de EE. UU. Él no bloguea tan a menudo hoy en día.
Digamos que usted es un joven yihadista ambicioso y está orgulloso de ser enviado a un cuartel general militar recientemente establecido de Daesh o ISIL. ¿Qué es lo primero que haces? Sacas tu celular y te tomas una selfie. Peor aún, además de la foto tuya y de tu nueva excavación, publicas algunas palabras sobre el sofisticado equipo disponible en esta instalación en particular. A medio mundo de distancia, los aviadores de reconocimiento en el Campo Hurlburt de Florida están revisando las redes sociales y ven la foto. “Tenemos una entrada”, dice uno de ellos. Efectivamente, unas horas más tarde, tres JDAM (municiones conjuntas de ataque directo) destruyen ese nuevo y reluciente edificio militar.2 Todo gracias a una selfie.3 No siempre consideramos qué más hay dentro del marco de una selfie que acabamos de tomar. En cine y teatro esto se llama mise-en-scène, traducido aproximadamente del francés como “lo que hay en la escena”. Su imagen puede mostrar el horizonte de una ciudad llena de gente, incluida la Torre de la Libertad, fuera de la ventana de su apartamento. Incluso una foto tuya en un entorno rural, tal vez una pradera que se extiende hasta el horizonte plano, me brinda información valiosa sobre dónde vives. Estas imágenes brindan pequeñas pistas de ubicación que pueden alertar a alguien que está ansioso por encontrarlo. En el caso del joven yihadista, lo que había en el lugar era un cuartel militar. Incrustados en los metadatos de la selfie estaban la longitud y latitud precisas, o geolocalización, del lugar donde se tomó la foto. El general Hawk Carlisle, jefe del Comando de Combate Aéreo de EE. UU., estimó que transcurrieron solo veinticuatro horas desde el momento en que se publicó por primera vez la selfie en las redes sociales hasta la destrucción total de ese cuartel general. Ciertamente, los metadatos dentro de sus archivos de imagen se pueden usar para ubicarlo. Los datos EXIF en una imagen digital contienen, entre otras cosas, la fecha y la hora en que se tomó la foto, la marca y el número de modelo de la cámara y, si tiene la geolocalización activada
en el dispositivo que toma la foto, la
MachineTranslatedbyGoogle
longitud y latitud del lugar donde tomó la imagen. Es esta información, dentro del archivo, que el ejército estadounidense usó para encontrar la sede de Daesh en el desierto, al igual que Mark Loveless usó datos EXIF para identificar la ubicación de John McAfee. Cualquiera puede usar esta herramienta (es nativa en el inspector de archivos en Apple OSX y en herramientas descargables como FOCA para Windows y Metagoofil para Linux) para obtener acceso a los metadatos almacenados en fotos y documentos. A veces no es una foto sino una aplicación la que te da tu lugar. En el verano de 2015, el capo de la droga Joaquín “El Chapo” Guzmán escapó de una prisión mexicana e inmediatamente se desconectó. ¿O lo hizo? Dos meses después de su fuga, de la prisión de máxima seguridad del Altiplano de México, el hijo de veintinueve años de El Chapo, Jesús Alfredo Guzmán Salazar, publicó una imagen en Twitter. Aunque los dos hombres sentados a la mesa con Salazar están oscurecidos por emoticonos, la constitución del hombre de la izquierda tiene un gran parecido con El Chapo. Además, Salazar subtituló la imagen: “Aquí agosto, ya sabes con quién”. El tuit también contenía los datos de ubicación de Twitter—Costa Rica—lo que sugiere que el hijo de El Chapo no desactivó la función de etiquetado automático en la aplicación para teléfonos inteligentes de Twitter.4 Incluso si no tiene un convicto fugitivo en su familia, debe tener en cuenta que La información digital y visual oculta (a veces a simple vista) en sus fotos puede revelar mucho a alguien que no lo conoce y puede volverse contra usted.
Las fotos en línea pueden hacer más que solo revelar su ubicación. Pueden, junto con ciertos programas programas de software, revelar in información formación personal sobre usted. En 2011 Alessandro Acquisti, investigador de la Universidad Carnegie Mellon, planteó una hipótesis simple: “Quería ver si era posible pasar de una cara en la calle a un número de Seguro Social”, dijo. Y descubrió que sí era posible.5 Al tomar una simple fotografía con una cámara web de un estudiante voluntario, Acquisti y su equipo tenían suficiente información para obtener información personal sobre esa persona. Piénsalo. Puede tomar una foto de una persona en la calle y, utilizando un
software de reconocimiento facial, intentar identificar a esa persona.
MachineTranslatedbyGoogle
Sin la confirmación de la identidad de esa persona, es posible que obtenga algunos falsos positivos. Pero es probable que la mayoría de los "éxitos" revelen un nombre más que otro. “Hay una combinación de datos en línea y fuera de línea, y su rostro es el conducto, el verdadero vínculo entre estos dos mundos”, dijo Acquisti a Threatpost. “Creo que la lección es bastante sombría. Tenemos que enfrentar la realidad de que nuestra propia noción de privacidad se está erosionando. Ya no eres privado en la calle o en una multitud. La combinación de todas estas tecnologías desafía nuestra expectativa biológica de privacidad”. Para su estudio, Acquisti y otros detuvieron a los estudiantes en el campus de Carnegie Mellon y les pidieron que completaran una encuesta en línea. La cámara web de la computadora portátil tomó una foto de cada estudiante mientras realizaba la encuesta, y la imagen se cotejó inmediatamente en línea con un software de reconocimiento facial. Al final de cada encuesta, varias de las fotos recuperadas ya habían aparecido en la pantalla. Acquisti dijo que el 42 por ciento de las fotos fueron identificadas positivamente y vinculadas a los perfiles de Facebook de los estudiantes. Si usa Facebook, quizás ya esté al tanto de su limitada tecnología de reconocimiento facial. Cargue una foto en el sitio y Facebook intentará etiquetar a las personas dentro de su red, personas con las que ya es amigo. Tienes cierto control sobre esto. Al ingresar a la configuración de Facebook, puede solicitar que el sitio le notifique cada vez que eso suceda y elija si desea ser identificado en la foto. También puede optar por publicar la foto en su muro o línea de tiempo solo después de que se le haya notificado, si es que lo hace. Para hacer que las fotos etiquetadas sean invisibles en Facebook, abra su cuenta y vaya a "Configuración de privacidad". Hay varias opciones, incluida la limitación de las imágenes a su línea de tiempo personal. Aparte de eso, Facebook aún no ha brindado una opción para evitar que las personas lo etiqueten sin permiso. Empresas como Google y Apple también cuentan con tecnología de reconocimiento facial integrada en algunas de sus aplicaciones, como Google Photo e iPhoto. Puede valer la pena mirar los ajustes de configuración de esas aplicaciones y servicios para que pueda limitar lo que la tecnología de reconocimiento facial puede hacer en cada uno. Hasta ahora, Google se ha abstenido de incluir la tecnología de reconocimiento facial en su función de búsqueda de imágenes (indicado por el pequeño ícono de
cámara que ve en la ventana de búsqueda de Google). Puede cargar una imagen existente,
MachineTranslatedbyGoogle
y Google encontrará la imagen, pero no intentará encontrar otras fotos que muestren a la misma persona o personas dentro de la imagen. Google ha dicho, en varias declaraciones públicas, que permitir que las personas identifiquen a los extraños por el rostro "cruza la línea espeluznante".6
Aun así, algunos gobiernos represivos han hecho precisamente eso. Han tomado fotografías de manifestantes en grandes mítines antigubernamentales y luego han puesto las imágenes en la web. No se trata tanto de usar un software de reconocimiento de imágenes como de colaborar en el proceso de identificación. Además, algunos estados de EE. UU. han utilizado las bases de datos de fotografías de sus departamentos d epartamentos de vehículos motorizados para identificar sospechosos en casos penales. Pero esas son operaciones sofisticadas basadas en el estado. ¿Qué podría hacer un académico solitario? Acquisti y sus colegas investigadores querían ver cuánta información derivada de imágenes sobre una persona podía ser referenciada en línea. Para averiguarlo, utilizaron una tecnología de reconocimiento facial llamada Pittsburgh Pattern Recognition, o PittPatt, ahora propiedad de Google. Los algoritmos utilizados en PittPatt han sido autorizados a varias empresas de seguridad e instituciones gubernamentales. Poco después de la adquisición, Google dejó constancia de sus intenciones: “Como hemos dicho durante más de un año, no agregaremos el reconocimiento facial a Google a menos que podamos encontrar un modelo de privacidad sólido para él. No lo hemos resuelto”.7 Esperemos que la empresa cumpla su palabra.
En el momento de su investigación, Acquisti pudo usar PittPatt junto con imágenes de Facebook extraídas de datos de lo que él y su equipo consideraban perfiles de búsqueda, es decir, aquellos en los que los voluntarios de Carnegie Mellon ya habían publicado fotos de ellos mismos junto con ciertos piezas de información personal. Luego aplicaron este conjunto de caras conocidas a las caras "anónimas" en un popular sitio de citas en línea. Allí, los investigadores descubrieron que podían identificar el 15 por ciento de estos rompecorazones digitales supuestamente "anónimos".
Sin embargo, el experimento más espeluznante consistió en vincular la cara de una persona con su número de Seguro Social. Para ello, Acquisti y su equipo buscaron perfiles de Facebook que incluyeran la fecha y ciudad de nacimiento de la persona. Anteriormente, en 2009, el mismo grupo de investigadores había demostrado que esta información por sí sola era suficiente para permitirles obtener el número de Seguro Social de una persona (los números de Seguro Social se emiten secuencialmente según la fórmula propia de cada estado, y desde 1989 los SSN se emiten en o muy cerca
MachineTranslatedbyGoogle
la fecha de nacimiento, lo que hace que sea aún más fácil adivinar los últimos cuatro dígitos de una persona).8 Después de algunos cálculos iniciales, los investigadores i nvestigadores enviaron una encuesta de seguimiento a cada uno de sus estudiantes voluntarios de CMU preguntando si los primeros cinco dígitos de su El número de Seguro Social según lo predicho por su algoritmo era correcto. Y la mayoría de ellos lo eran.9 Apuesto a que hay algunas fotos que ahora no quieres en línea. Lo más probable es que no pueda recuperarlos todos, incluso si pudiera eliminarlos de su sitio de redes sociales. Eso es en parte porque una vez que publicas algo en una red social, es propiedad de esa red y está fuera de tus manos. Y usted estuvo de acuerdo con esto en los términos del servicio. Si usa la popular aplicación apli cación Google Photos, incluso eliminar una foto no significa necesariamente que haya desaparecido. Los clientes han descubierto que las imágenes siguen ahí incluso después de eliminar la aplicación de sus dispositivos móviles. ¿Por qué? Porque una vez que la imagen llega a la nube, es independiente de la aplicación, lo que significa que otras aplicaciones pueden tener acceso a ella y pueden continuar mostrando la imagen que eliminó.10 Esto tiene consecuencias en el mundo real. Digamos que publicaste una leyenda estúpida en una foto de alguien que ahora trabaja en la misma empresa para la que estás solicitando trabajo. O publicaste una foto tuya con alguien que no quieres que sepa tu cónyuge actual. Aunque puede ser su cuenta de red social personal, son los datos de la red social . Probablemente nunca se haya tomado la molestia de leer los términos de uso de ningún sitio web donde publique sus datos personales, experiencias diarias, pensamientos, opiniones, historias, quejas, quejas, etc., o donde compre, juegue, aprenda, e interactuar, i nteractuar, tal vez a diario o incluso cada hora. La mayoría de los sitios de redes sociales requieren que los usuarios acepten términos y condiciones antes de utilizar sus servicios. De manera controvertida, estos términos a menudo contienen cláusulas que permiten a los sitios almacenar datos obtenidos de los usuarios e incluso compartirlos con terceros. Facebook ha llamado la atención a lo l o largo de los años por sus políticas de almacenamiento de datos, incluido el hecho de que el sitio dificulta la eliminación de una cuenta. Y Facebook no está solo. Muchos sitios web tienen un lenguaje casi idéntico en sus términos de uso que muy probablemente lo asustaría si hubiera leído los términos antes de
iniciar sesión. Aquí hay un ejemplo, de Facebook,
MachineTranslatedbyGoogle
al 30 de enero de 2015:
Eres dueño de todo el contenido y la información que publicas en Facebook, y puedes controlar cómo se comparte a través de la configuración de privacidad y de la aplicación. Además: 1. Para el contenido que está cubierto por derechos de propiedad intelectual, como fotos y videos (contenido IP), nos otorga específicamente el siguiente permiso, sujeto a su configuración de privacidad y aplicación: nos otorga una licencia no exclusiva, transferible y sublicenciable. , licencia mundial libre de regalías para usar cualquier contenido de propiedad intelectual que publique en o en relación con Facebook (licencia de propiedad intelectual). Esta Licencia de propiedad intelectual finaliza cuando elimina su contenido de propiedad intelectual o su cuenta, a menos que su contenido haya sido compartido con otros y no lo hayan eliminado.11
En otras palabras, la compañía de redes sociales tiene derecho a usar cualquier cosa que publique en el sitio de la forma que desee. Incluso puede vender su imagen, sus opiniones, su escritura o cualquier otra cosa que publique, ganando dinero con su contribución sin pagarle un centavo. Puede usar sus comentarios publicados, críticas, opiniones, calumnias, calumnias (si le gustan ese tipo de cosas) y los detalles más personales que haya publicado sobre sus hijos, su jefe o su amante. Y no tiene que hacerlo de forma anónima: si ha usado su nombre real, el sitio también puede usarlo. Todo esto significa, entre otras cosas, que las imágenes que publicas en Facebook pueden terminar en otros sitios. Para averiguar si hay fotos tuyas vergonzosas en el mundo, puedes realizar lo que se llama una búsqueda inversa de imágenes en Google. Para hacer esto, haga clic en la pequeña cámara dentro de la ventana de búsqueda de Google y cargue cualquier foto de su disco duro. En unos minutos, verá cualquier copia de esa imagen que se pueda encontrar en línea. En teoría, si es tu foto, debes conocer todos los sitios que aparecen en los resultados. Sin embargo, si encuentra que alguien ha publicado su foto en un sitio que no le gusta, tiene opciones limitadas. Las búsquedas de imágenes inversas están limitadas por lo que ya se ha publicado. En otras palabras, si hay una imagen similar en línea pero no exactamente la misma, Google no la encontrará. Encontrará versiones recortadas de la imagen que buscó, pero en ese
caso los datos centrales, o suficientes, siguen siendo los mismos.
MachineTranslatedbyGoogle
mismo. Una vez, para mi cumpleaños, alguien intentó crear un sello con mi imagen. La empresa, Stamps.com, tiene una política estricta contra el uso de imágenes de personas condenadas. Mi imagen fue rechazada. Tal vez hicieron una búsqueda de imágenes en línea.
Yo estaba en una base de datos en algún lugar como Kevin Mitnick, condenado por un crimen. Al año siguiente, mi amigo probó una foto anterior con un nombre diferente, una tomada antes de que yo fuera conocido. Ella razonó que tal vez esta foto no se había subido a Internet. ¿Y adivina qué? Funcionó. La segunda foto, que mostraba un yo mucho más joven, fue aprobada. Esto muestra las limitaciones de las búsquedas de imágenes.
Dicho esto, si encuentra fotos suyas que preferiría no ver en línea, tiene algunas opciones.
Primero, póngase en contacto con el sitio. La mayoría de los sitios tienen una dirección de correo electrónico “
[email protected]”. También puede ponerse en contacto con el webmaster del sitio en "
[email protected]". "
[email protected]". Explique que es el propietario de la imagen y que no da permiso para que se publique. La mayoría de los webmasters quitarán la imagen sin mucho problema. Sin embargo, si lo necesita, puede presentar una solicitud de la Ley de derechos de autor del milenio digital, o DMCA, enviando un correo electrónico a "
[email protected]".
Ten cuidado. La tergiversación de una solicitud de DMCA puede causarle problemas, así que busque asesoramiento legal si llega a este nivel. Si aún no puede eliminar la imagen, considere ir hacia arriba y comunicarse con el ISP del sitio web (ya sea Comcast, GoDaddy u otra compañía). La mayoría tomará en serio una solicitud legítima de DMCA.
Además de fotos, ¿qué más hay en tu perfil de redes sociales? No compartirías todo lo que hay que saber sobre ti con la persona que está sentada a tu lado en el metro. De la misma manera, no es una buena idea compartir demasiada información personal en sitios web impersonales. Nunca sabes quién está mirando tu perfil. Y una vez que está ahí fuera, no puedes recuperarlo.
Piense detenidamente en lo que pone en su perfil: no tiene que llenar todos los espacios en blanco, como la universidad a la que asistió (o incluso cuándo c uándo asistió). De hecho, complete la menor cantidad de información posible.
También es posible que desee crear un perfil de redes sociales dedicado. no mientas,
MachineTranslatedbyGoogle
ser deliberadamente vago con los hechos. Por ejemplo, si creciste en Atlanta, di que creciste en el "sureste de los Estados Unidos" o simplemente "Soy del sur". También puede crear un cumpleaños de "seguridad", un día que no sea su cumpleaños real, para enmascarar aún más la información personal. Asegúrese de realizar un seguimiento de sus cumpleaños de seguridad, ya que a veces se usan para verificar su identidad cuando llama al soporte técnico o necesita volver a ingresar a un sitio después de haber sido bloqueado. Después de crear o modificar sus perfiles en línea, tómese unos minutos para ver las opciones de privacidad en cada sitio. Por ejemplo, dentro de Facebook debe habilitar los controles de privacidad, incluida la revisión de etiquetas. Desactive "Sugerir fotos mías a amigos". Deshabilite "Los amigos pueden registrarme en lugares". Los niños con cuentas de Facebook son quizás los más preocupantes. Tienden a llenar cada casilla en blanco que pueden, incluso el estado de su relación. O revelan inocentemente los nombres de las escuelas a las que asisten y los maestros que tienen, así como los números de los autobuses en los que viajan cada mañana. Si bien no necesariamente le dicen al mundo específicamente dónde viven, también podrían hacerlo. Los padres deben hacerse amigos de sus hijos, monitorear lo que publican e, idealmente, discutir con anticipación qué es aceptable y qué no. Ser invisible no significa que no pueda compartir actualizaciones sobre su vida personal de forma segura, sino que implica tanto el sentido común como visitar y revisar la configuración de privacidad de los sitios de redes sociales que usa, porque las políticas de privacidad cambian, y a veces no para el mejor. No muestres tu cumpleaños, ni siquiera tu cumpleaños de seguridad, o al menos lo ocultes de los "amigos" de Facebook que no conoces personalmente. Considere una publicación que diga que la Sra. Sánchez es una gran maestra. Otra publicación podría ser sobre una feria de artesanías en Alamo Elementary. En Google podemos encontrar que la Sra. Sánchez enseña el quinto grado en Alamo Elementary, y a partir de esto podemos suponer que el titular de la cuenta del estudiante tiene alrededor de diez años. A pesar de las advertencias de Consumer Reports y otras organizaciones a aquellos que publican información personal, la gente continúa informando todo en línea. Recuerde que es perfectamente legal que vengan terceros y se lleven esa información una vez que se haga pública.12 Recuerde también que nadie lo está obligando a publicar información personal. Puedes publicar tanto o tan poco como quieras. En algunos casos
MachineTranslatedbyGoogle
usted está obligado a completar algunos datos. Más allá de eso, usted decide cuánto compartir es adecuado para usted. Debe determinar su propio nivel de privacidad personal y comprender que cualquier información que proporcione no se puede recuperar.
Para ayudarlo a estar al tanto de todas las opciones que tiene, Facebook lanzó una nueva herramienta de verificación de privacidad en mayo de 2015.13 A pesar de herramientas como estas, casi trece millones de usuarios de Facebook en 2012 dijeron a la revista Consumer Reports que nunca habían configurado o no No conozco las herramientas de privacidad de Facebook. Y el 28 por ciento compartió todas, o casi todas, sus publicaciones en el muro con una audiencia más amplia que solo sus amigos. Más revelador es que el 25 por ciento de los entrevistados por Consumer Reports dijeron que falsificaron información en sus perfiles para proteger su identidad, y esta cifra aumentó del 10 por ciento en 2010.14 Al menos estamos aprendiendo. Si bien tiene derecho a publicar información sobre usted que no sea estrictamente precisa, tenga en cuenta que en California es ilegal publicar en línea como otra persona. No puede hacerse pasar por otra persona per sona viva. Y Facebook tiene una política que no te permitirá crear una cuenta con un nombre falso. En realidad, esto me pasó a mí. Facebook suspendió mi cuenta porque Facebook me acusó de hacerme pasar por Kevin Mitnick. En ese momento había doce Kevin Mitnicks en Facebook. La situación se solucionó cuando CNET publicó una historia sobre el "verdadero" Kevin Mitnick que quedó fuera de Facebook.15 Sin embargo, existen muchas razones por las que las personas podrían necesitar publicar con un nombre diferente. Si es importante para usted, busque un servicio de redes sociales que le permita publicar de forma anónima o con un nombre diferente. Dichos sitios, sin embargo, no igualarán la amplitud y el alcance de Facebook. Ten cuidado con quién eres amigo. Si has conocido a la persona cara a cara, bien. O si la persona es amiga de alguien que conoces, tal vez. Pero si recibe una solicitud no solicitada, piénselo detenidamente. Si bien puede dejar de ser amigo de esa persona en cualquier momento, él o ella tendrán la oportunidad de ver todo su perfil, y solo se necesitan unos segundos para que alguien con intenciones maliciosas interfiera en su vida. La mejor recomendación es limitar toda la información personal que compartes en Facebook, porque ha habido ataques muy personales, incluso entre amigos, a través de
sitios web de redes sociales. Y
MachineTranslatedbyGoogle
los datos visibles para sus amigos pueden volver a ser publicados por ellos en otro lugar sin su consentimiento o control. Te daré un ejemplo. Una vez un tipo me quiso contratar porque era víctima de una extorsión. Conoció a una chica increíble y hermosa en Facebook y comenzó a enviarle fotos de él desnudo. Esto continuó por un tiempo. Entonces, un día le dijeron que le enviara a esta mujer, que podría haber sido un tipo que vivía en Nigeria usando la foto de una mujer, $4,000. Lo hizo, pero luego me contactó después de que le pidieran que enviara otros $ 4,000 o sus fotos desnudas se enviarían a todos sus amigos, incluidos sus padres, en Facebook. Estaba desesperado por arreglar esta situación. Le dije que su única opción real era decirle a su familia o esperar y ver si el extorsionador cumplió con la amenaza. Le dije que dejara de pagar el dinero; el extorsionador no iba a renunciar mientras siguiera pagando. Incluso las redes sociales legítimas pueden ser pirateadas: alguien podría ser tu amigo solo para tener acceso a alguien que conoces. Un oficial de la ley podría estar buscando información sobre una persona de interés que forma parte de su red social. Sucede. Según Electronic Frontier Foundation, los investigadores federales han utilizado las redes sociales para la vigilancia pasiva durante años. En 2011, la EFF publicó un curso de capacitación de treinta y ocho páginas para empleados del IRS (obtenido a través de la Ley de Libertad de Información) que, según la fundación, se usó para realizar investigaciones a través de las redes sociales.16 Aunque los agentes federales no pueden pretender legalmente ser alguien de lo contrario, pueden pedir legalmente ser tu amigo. Al hacerlo, pueden ver todas sus publicaciones (según su configuración de privacidad), así como las de otras personas en su red. La EFF continúa estudiando los problemas de privacidad asociados con esta nueva forma de vigilancia policial.
A veces, las corporaciones te siguen, o al menos te controlan, si publicas o tuiteas algo que encuentran objetable, algo tan inocente como un comentario sobre un examen que hiciste en la escuela, por ejemplo. Para un estudiante, un tuit como ese causó muchos problemas. Cuando Elizabeth C. Jewett, superintendente de la escuela secundaria regional Watchung Hills, en Warren, Nueva Jersey, recibió una comunicación de la compañía de
pruebas que le proporcionó a su escuela un examen estatal,
MachineTranslatedbyGoogle
su reacción fue de sorpresa más que de preocupación. Le sorprendió que Pearson Education estuviera viendo la cuenta de Twitter de un estudiante en primer lugar. A los menores se les da cierta privacidad y libertad de acción cuando se trata de lo que publican en las redes sociales. Pero los estudiantes, ya sea que estén en la escuela intermedia, la secundaria o la universidad, deben darse cuenta de que lo que hacen en línea es público y está siendo observado. En este caso, uno de los estudiantes de Jewett supuestamente tuiteó material de una prueba estandarizada. De hecho, el estudiante había publicado una pregunta sobre una pregunta, no una imagen de la página del examen, solo unas pocas palabras, en una prueba estatal de un día realizada en Nueva Jersey, la Asociación para la Evaluación de la Preparación para la Universidad y las Carreras, o PARCC, prueba. El tuit se publicó alrededor de las 3:00 p. m., mucho después de que los estudiantes del distrito hubieran tomado el examen. Después de que el superintendente habló con uno de los padres del estudiante que publicó el tuit, el estudiante lo eliminó. No hubo evidencia de engaño. El tuit, no revelado al público, fue un comentario subjetivo en lugar de una solicitud de respuesta. Pero la revelación sobre Pearson desconcertó a la gente. “El DOE [Departamento de Educación] nos informó que Pearson está monitoreando todas las redes sociales durante las pruebas PARCC”, escribió Jewett a sus colegas en un correo electrónico que un columnista local hizo público sin su permiso. En ese correo electrónico, Jewett confirmó que Pearson había identificado al menos tres casos más y los había pasado al DOE estatal. Si bien Pearson no está solo en el monitoreo de las redes sociales para detectar el robo de propiedad intelectual, su comportamiento genera dudas. ¿Cómo, por ejemplo, supo la empresa la identidad del estudiante involucrado a partir de su cuenta de Twitter? En una declaración proporcionada al New York Times, Pearson dijo: “Una violación incluye cada vez que alguien comparte información sobre una prueba fuera del aula, desde conversaciones informales hasta publicaciones en las redes sociales. Una vez más, nuestro objetivo es garantizar un examen justo para todos los estudiantes. Cada estudiante merece su oportunidad de tomar el examen en igualdad de condiciones.”17 The Times dijo que confirmó a través de funcionarios en Massachusetts, que también está administrando la prueba PARCC, que Pearson hace referencias cruzadas de tuits sobre pruebas estandarizadas con listas de estudiantes que se han registrado para tomar Times.
las pruebas. Sobre esto, Pearson se negó a comentar para el
Durante años, el estado de California también monitoreó las redes sociales durante su
MachineTranslatedbyGoogle
pruebas anuales de Pruebas e Informes Estandarizados (STAR). En 2013, el último año en que se administraron las pruebas en todo el estado, el Departamento de Educación de California identificó 242 escuelas cuyos estudiantes publicaron en las redes sociales durante la administración de las pruebas, de las cuales solo dieciséis incluyeron publicaciones de preguntas o respuestas de las pruebas.18 “El incidente destacó el grado en que los estudiantes están bajo vigilancia, tanto dentro como fuera de los entornos escolares tradicionales”, dijo Elana Zeide, investigadora de privacidad en el Instituto de Derecho de la Información de la Universidad de Nueva York. “Las redes sociales generalmente se ven como un dominio separado de la escuela. Twitter parece más un discurso 'fuera del campus', por lo que el monitoreo de Pearson se parece más a espiar las conversaciones de los estudiantes en los vehículos compartidos que en los pasillos de la escuela”.19 Sin embargo, continúa diciendo: “La conversación también debe pasar de centrarse en los intereses y daños individuales a tener en cuenta las consecuencias más amplias de las prácticas de información. Las escuelas y los proveedores deben dejar de descartar a los padres como luditas simplemente porque no pueden articular un daño específico e inmediato para su hijo. Los padres, a su vez, deben comprender que las escuelas no pueden ceder en todas sus preferencias de privacidad porque también hay intereses colectivos en juego que afectan a todo el sistema educativo”.
Twitter, con su icónico límite de 140 caracteres, se ha generalizado y recopila muchos detalles aparentemente pequeños sobre nuestra vida diaria. Su política de privacidad reconoce que recopila y retiene información personal a través de sus diversos sitios web, aplicaciones, servicios de SMS, API (interfaces de programación de aplicaciones) y otros terceros. Cuando las personas usan el servicio de Twitter, dan su consentimiento para la recopilación, transferencia, almacenamiento, manipulación, divulgación y otros usos de esta información. Para crear una cuenta de Twitter, se debe proporcionar un nombre, nombre de usuario, contraseña y dirección de correo electrónico. Su dirección de correo electrónico no se puede utilizar para más de una cuenta de Twitter. Otro problema de privacidad en Twitter se refiere a los tuits filtrados: tuits privados que se han hecho públicos. Esto ocurre cuando los amigos de alguien con una cuenta privada retuitean, o copian y pegan, el tuit privado de esa persona en una cuenta pública. Una vez público, no se puede retirar. La información personal aún puede ser peligrosa para compartir en Twitter, especialmente
si sus tweets son públicos (el valor predeterminado). Evite compartir direcciones,
MachineTranslatedbyGoogle
números de teléfono, números de tarjetas de crédito y números de Seguro Social mayores de
Gorjeo. 20 años . Si debe compartir información confidencial, use la función de mensaje directo para comunicarse con una persona específica. Pero tenga en cuenta que incluso los tweets privados o de mensajes directos pueden volverse públicos.
Para la juventud actual, la llamada Generación Z, Facebook y Twitter ya son viejos. Las acciones de la Generación Z en sus dispositivos móviles se centran en WhatsApp (irónicamente, ahora es parte de Facebook), Snapchat (no Facebook) e Instagram e Instagram Stories (también Facebook). Todas estas aplicaciones son visuales, ya que le permiten publicar fotos y videos o principalmente mostrar fotos o videos tomados por otros. Instagram, una aplicación para compartir fotos y videos, es Facebook para una audiencia más joven. Permite seguimientos, me gusta y chats entre miembros. Instagram tiene términos de servicio y parece responder a las solicitudes de eliminación de miembros y titulares de derechos de autor. Snapchat, quizás porque no es propiedad de Facebook, es quizás el más espeluznante del grupo. Snapchat anuncia que te permite enviar una foto autodestructiva a alguien. La vida de la imagen es corta, alrededor de dos segundos, lo suficiente para que el destinatario pueda ver la imagen. Desafortunadamente, dos segundos son suficientes para que alguien tome una captura de pantalla rápida que dure. En el invierno de 2013, dos chicas menores de edad de secundaria en Nueva Jersey se tomaron fotos desnudas y se las enviaron a un chico de su escuela a través de Snapchat, asumiendo naturalmente que las imágenes se eliminarían automáticamente dos segundos después de que las enviaran. Al menos eso es lo que la compañía dijo que sucedería. Sin embargo, el chico supo tomar una captura de pantalla del mensaje de Snapchat y luego subió las imágenes a su aplicación de Instagram. Instagram no elimina las fotos después de dos segundos. No hace falta decir que las imágenes de las niñas menores de edad desnudas se volvieron virales, y el superintendente de la escuela tuvo que enviar una nota a los padres para pedirles que borraran las imágenes de los teléfonos de todos los estudiantes o correrían el riesgo de ser arrestados por cargos de pornografía infantil. En cuanto a los tres estudiantes, por ser menores de edad no podían ser acusados de ningún delito, pero cada uno estaba sujeto a medidas disciplinarias dentro del distrito escolar.21
MachineTranslatedbyGoogle
Y no son solo las chicas las que envían fotos de desnudos a los chicos. En el Reino Unido, un chico de catorce años envió una foto de sí mismo desnudo a una chica de su escuela a través de Snapchat, pensando nuevamente que la imagen desaparecería después de unos segundos. La chica, sin embargo, tomó una captura de pantalla y… ya sabes el resto de la historia. Según la BBC, el niño, y la niña, aparecerán en una base de datos del Reino Unido por delitos sexuales aunque sean demasiado jóvenes para ser procesados.22 Al igual que WhatsApp, con sus capacidades inconsistentes para difuminar imágenes, Snapchat, a pesar de las promesas de la , realmente no elimina imágenes. De hecho, Snapchat accedió en 2014 a un acuerdo de la Comisión Federal de Comercio sobre los cargos de que la empresa había engañado a los usuarios sobre la naturaleza de desaparición de sus mensajes, que la agencia federal alegó que podrían guardarse o recuperarse en un momento posterior.23 La política de privacidad de Snapchat también dice que no solicita, rastrea ni accede a ninguna información específica de la ubicación de su dispositivo en ningún momento, pero la FTC también encontró que esas afirmaciones eran falsas.24 Es un requisito de todos los servicios en línea que las personas tengan trece años de edad o más para suscribirse. Es por eso que estos servicios solicitan su fecha de nacimiento. Sin embargo, un usuario podría simplemente decir, bajo pena de perjurio, "Juro que tengo más de trece años", o veintiuno o lo que sea. Los padres que descubren que sus hijos de diez años se han registrado en Snapchat o Facebook pueden denunciarlos y eliminar esas cuentas. Por otro lado, los padres que quieren que sus hijos tengan una cuenta a menudo modifican la fecha de nacimiento del niño. Esos datos pasan a formar parte del perfil del niño. De repente, su hijo de diez años tiene catorce años, lo que significa que podría recibir anuncios en línea dirigidos a niños mayores. También tenga en cuenta que se registra cada dirección de correo electrónico y foto que su hijo comparte a través del servicio. La aplicación Snapchat también transmite información de ubicación basada en Wi-Fi y celular desde los dispositivos móviles de los usuarios de Android a su proveedor de servicios de seguimiento de análisis. Si es un usuario de iOS e ingresa su número de teléfono para buscar amigos, Snapchat recopila los nombres y números de teléfono de todos los contactos en la libreta de direcciones de su dispositivo móvil sin su aviso o consentimiento, aunque iOS le pedirá permiso la primera vez que lo haga. solicitado. Mi recomendación es probar otra aplicación si quieres una verdadera privacidad. En Carolina del Norte, un estudiante de secundaria y su novia fueron acusados de
poseer fotos de menores de edad desnudos a pesar de que las fotos eran de
MachineTranslatedbyGoogle
ellos mismos y habían sido tomados y compartidos consensualmente. La novia enfrentó dos cargos de explotación sexual de un menor: uno por tomar la foto y otro por poseerla. Dejando de lado el sexteo, eso significa que es ilegal que los adolescentes de Carolina del Norte tomen o posean fotos de desnudos.
sí mismos
En la orden policial, la novia figura tanto como víctima como criminal.
El novio enfrentó cinco cargos, dos por cada foto que tomó de sí mismo más uno por poseer una foto de su novia. Si es declarado culpable, podría enfrentar hasta diez años de prisión y tener que registrarse como delincuente sexual por el resto de su vida. Todo por sacarse fotos desnudo y quedarse con una que le envió su novia.25
Cuando estaba en la escuela secundaria, simplemente conocí a alguien y la invité a salir. Hoy tienes que poner algo de información en línea para que la gente pueda verte primero. Pero ten cuidado. Si está utilizando un sitio de citas y accede a él desde la computadora de otra persona, o si usa una computadora pública para acceder, siempre cierre la sesión. En serio. No desea que alguien presione el botón Atrás en el navegador y vea su información de citas. O cambiarlo. Además, recuerda desmarcar la casilla que dice "Recordarme" en la pantalla de inicio de sesión. No desea que esta computadora, ni ninguna otra, inicie sesión automáticamente en su cuenta de citas.
Digamos que tienes una primera cita, tal vez una segunda cita. Las personas no siempre revelan su verdadero yo en una primera o segunda cita. Una vez que tu cita se ha hecho amigo tuyo en Facebook o te ha seguido en Twitter o en cualquier otra red social, él o ella puede ver a todos tus amigos, tus fotos, tus intereses... las cosas pueden ponerse raras rápidamente.
Hemos cubierto los servicios en línea: ¿qué pasa con las aplicaciones móviles? Las aplicaciones de citas pueden informar tu ubicación, y parte de eso es por diseño. Supongamos que ve a alguien que le gusta en su área: luego puede usar la aplicación para averiguar si esa persona está cerca. La aplicación móvil de citas Grindr brinda información de ubicación muy precisa para sus suscriptores... quizás demasiado precisa. Los investigadores Colby Moore y Patrick Wardle de la firma de ciberseguridad Synack pudieron falsificar solicitudes a Grindr para seguir a algunas de las personas a su servicio mientras se movían por
una sola ciudad. Ellos también
MachineTranslatedbyGoogle
descubrió que si tenían tres cuentas para buscar a una persona, podían triangular los resultados para obtener una medida mucho más precisa de dónde estaba esa persona en un momento dado.26 Tal vez las aplicaciones de citas no sean lo tuyo, pero incluso iniciar sesión en la El servicio de Yelp para buscar un buen restaurante brinda a las empresas de terceros información sobre su sexo, edad y ubicación. Una configuración predeterminada predetermin ada dentro de la aplicación le permite enviar información al restaurante, diciéndole, por ejemplo, que una mujer, de treinta y un años, de la ciudad de Nueva York estaba mirando su reseña. Sin embargo, puede acceder a su configuración y elegir "Básico", que revela solo su ciudad (lamentablemen (lamentablemente, te, no puede deshabilitar la función por completo).27 Quizás la mejor manera de evitar esto es no iniciar sesión y simplemente usar Yelp como invitado. . Con respecto a la geolocalización, en general es una buena idea verificar si alguna aplicación móvil que utiliza transmite su ubicación. En la mayoría de los casos, puede girar esta función está desactivada, ya sea en cada aplicación individual o por completo.
28
Y antes de aceptar descargar cualquier aplicación de Android, siempre lea primero los permisos. Puede ver estos permisos en Google Play yendo a la aplicación y luego desplazándose desplazándos e hacia abajo hasta la sección sobre el contenido de Google Play que dice "Permisos".. Si los permisos te hacen sentir incómodo, o si crees que le dan demasiado "Permisos" control al desarrollador de la aplicación, entonces no descargues la aplicación. Apple no proporciona información información similar sobre las aplicaciones en su tienda y, en cambio, se solicitan permisos cuando se necesitan al usar la aplicación. De hecho, prefiero usar dispositivos iOS porque el sistema operativo siempre me avisa antes de revelar información privada, como mis datos de ubicación. Además, iOS es mucho más seguro que Android si no haces jailbreak a tu iPhone o iPad. Por supuesto, los adversarios bien financiados podrían comprar exploits para cualquier sistema operativo en el mercado, pero los exploits de iOS son bastante caros: cuestan más de un millón de dólares.29
MachineTranslatedbyGoogle
CAPÍTULO DIEZ Puedes correr pero no esconderte
Si lleva consigo su teléfono celular durante todo el día, como la mayoría de nosotros lo hacemos, entonces no eres invisible. Está siendo vigilado, incluso si no tiene activado el seguimiento de geolocalización en su teléfono. Por ejemplo, si tiene iOS 8.2 o anterior, Apple desactivará el GPS en modo avión, pero si tiene una versión más nueva, como la mayoría de nosotros, el GPS permanece activado, incluso si está en modo avión, a menos que tome más tiempo. pasos.1 Para averiguar cuánto sabía su operador de telefonía móvil sobre su actividad diaria, un destacado político alemán, Malte Spitz, presentó una demanda contra el operador, y un tribunal alemán ordenó a la empresa que entregara sus registros. El volumen total de esos registros fue asombroso. Solo en un período de seis meses, registraron su ubicación 85,000 veces y también rastrearon cada llamada que hizo y recibió, el número de teléfono de la otra parte y cuánto duró cada llamada. En otras palabras, estos fueron los metadatos producidos por el teléfono de Spitz. Y no era solo para la comunicación de voz, sino también para los mensajes de texto.2 Spitz se asoció con otras organizaciones y les pidió que formatearan los datos y los hicieran públicos. Una organización produjo resúmenes diarios como el siguiente. La ubicación de la reunión del Partido Verde de esa mañana se determinó a partir de la latitud y la longitud proporcionadas en los registros de la compañía telefónica.
MachineTranslatedbyGoogle
Actividad de Malte Spitz para el 12 de octubre de 2009
A partir de estos mismos datos, otra organización creó un mapa animado. Muestra los movimientos minuto a minuto de Spitz por toda Alemania y muestra un símbolo parpadeante cada vez que realiza o recibe una llamada. Este es un asombroso nivel de detalle capturado en unos pocos días normales.3 Los datos sobre Spitz no son un caso especial, por supuesto, ni esta situación se limita a Alemania. Es simplemente un ejemplo sorprendente de los datos que guarda su operador de telefonía celular. Y se puede utilizar en un tribunal de justicia. En 2015, un caso ante la Corte de Apelaciones del Cuarto Circuito de los Estados Unidos involucró el uso de registros de teléfonos celulares similares en los Estados Unidos. El caso se refería a dos ladrones que asaltaron un banco, un 7-Eleven, 7-Eleven, varios restaurantes de comida rápida y una joyería en Baltimore. Al hacer que Sprint entregara información sobre la ubicación de los teléfonos de los principales sospechosos durante los 221 días
anteriores, la policía pudo relacionar a los sospechosos con una serie de
MachineTranslatedbyGoogle
crímenes, tanto por la proximidad de los crímenes entre sí como por la proximidad de los sospechosos a las escenas del crimen.4 Un segundo caso, escuchado por el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California, no detalló los detalles del crimen. , pero también se centró en la "información histórica del sitio celular" disponible de Verizon y AT&T para los teléfonos de los objetivos. En palabras de la Unión Estadounidense de Libertades Civiles, que presentó un escrito de amicus curiae en el caso, estos datos “generan un registro casi continuo de las ubicaciones y movimientos de un individuo”. Cuando un juez federal mencionó la privacidad de los teléfonos celulares durante el caso de California, el fiscal federal sugirió que “los usuarios de teléfonos celulares que estén preocupados por su privacidad no pueden cargar sus teléfonos o apagarlos”, según el registro oficial. Esto parecería violar nuestro derecho de la Cuarta Enmienda a estar protegidos contra registros irrazonables. La mayoría de la gente nunca equipararía simplemente llevar un teléfono celular con perder su derecho a no ser rastreado por el gobierno, pero eso es lo que significa llevar un teléfono en estos días. Ambos casos señalan que Verizon, AT&T y Sprint no les dicen a los clientes en las políticas de privacidad qué tan generalizado es el rastreo de ubicación. Aparentemente, AT&T, en una carta al Congreso en 2011, dijo que almacena datos celulares durante cinco años “en caso de disputas de facturación”. 5 Y los datos de ubicación no se almacenan solo con el operador; también se almacena con el proveedor. Por ejemplo, su cuenta de Google conservará todos sus datos de geolocalización de Android. Y si usas un iPhone, Apple también tendrá un registro de tus datos. Para evitar que alguien mire estos datos en el propio dispositivo y para evitar que se realice una copia de seguridad en la nube, periódicamente debe eliminar los datos de ubicación de su teléfono inteligente. En dispositivos Android, vaya a Configuración de Google>Ubicación>Eliminar historial de ubicación. En un dispositivo iOS, debe profundizar un poco; Apple no lo pone fácil. Vaya a Configuración> Privacidad> Servicios de ubicación, luego desplácese hacia abajo hasta "Servicios del sistema", luego desplácese hacia abajo hasta "Ubicaciones frecuentes" y luego "Borrar historial reciente". En el caso de Google, a menos que haya desactivado la función, los datos de geolocalización disponibles en línea se pueden utilizar para reconstruir sus movimientos. Por ejemplo, es posible que pase gran parte de su día en un solo lugar,
pero puede haber una explosión de viajes cuando se reúna con clientes o
MachineTranslatedbyGoogle
tomar un bocado para comer. Más inquietante es que si alguien alguna vez obtiene acceso a su cuenta de Google o Apple, esa persona tal vez también pueda identificar dónde vive o quiénes son sus amigos en función de dónde pasa la mayor parte de su tiempo. Como C omo mínimo, alguien puede averiguar cuál podría ser su rutina diaria.
Entonces, está claro que el simple hecho de salir a caminar hoy está lleno de oportunidades para que otros rastreen su comportamiento. Sabiendo esto, digamos que conscientemente dejas tu celular en casa. Eso debería resolver el problema de ser rastreado, ¿verdad? Bueno eso depende.
¿Usa un dispositivo de seguimiento de actividad física como c omo Fitbit, el brazalete UP de Jawbone o Nike+ FuelBand? Si no, tal vez use un reloj inteligente de Apple, Sony o Samsung. Si usa uno o ambos (una banda de ejercicios y/o un reloj inteligente), aún puede ser rastreado. Estos dispositivos y las aplicaciones que los acompañan están diseñados para registrar su s u actividad, a menudo con información de GPS, por lo que, ya sea que se transmita en vivo o se cargue más tarde, aún puede ser rastreado.
La palabra vigilancia, acuñada por el defensor de la privacidad Steve Mann, es un juego de la palabra vigilancia. La palabra francesa para "arriba" es sur; la palabra francesa para "abajo" es sous. Entonces, la vigilancia significa que, en lugar de ser observados desde arriba, por otras personas o por cámaras de seguridad, por ejemplo, estamos siendo observados desde "abajo" por los pequeños dispositivos que llevamos y que tal vez incluso usamos en nuestros cuerpos.
Los rastreadores de actividad física y los relojes inteligentes registran datos biométricos como la frecuencia cardíaca, la cantidad de pasos que das e incluso la temperatura de tu cuerpo. La tienda de aplicaciones de Apple admite muchas aplicaciones creadas de forma independiente para realizar un seguimiento de la salud y el bienestar en sus teléfonos y relojes. Lo mismo con la tienda Google Play. Y, ¡sorpresa!, estas aplicaciones están configuradas para enviar por radio los datos a la empresa, aparentemente solo para recopilarlos para una futura revisión por parte del propietario, pero también para compartirlos, a veces sin su s u consentimiento activo. Por ejemplo, durante el Amgen Tour of California 2015, los participantes en la carrera de bicicletas pudieron identificar quién los había adelantado y luego, mientras estaban en línea, enviarles un mensaje directo. Eso podría ser un poco espeluznante cuando un extraño comienza a hablarte sobre un movimiento en particular que hiciste durante una carrera, un movimiento que tal vez ni
siquiera recuerdes haber hecho.
MachineTranslatedbyGoogle
A mi me paso algo parecido. En la autopista, conduciendo de Los Ángeles a Las Vegas, un tipo que conducía un BMW me cortó el paso. Ocupado con su teléfono celular, de repente cambió de carril, desviándose a pulgadas de mí, asustándome. Casi nos aniquiló a los dos. Tomé mi teléfono celular, llamé al DMV y me hice pasar por la policía. Conseguí que el DMV revisara su placa, luego me dieron su nombre, dirección y número de Seguro Social. Luego llamé a AirTouch Cellular, haciéndome pasar por un empleado de AirTouch, y les pedí que buscaran en su número de Seguro Social cualquier cuenta celular. Así fue como pude obtener su número de celular. Apenas más de cinco minutos después de que el otro conductor me cortara el paso, llamé al número y lo puse al teléfono. Todavía estaba temblando, enojado y enojado. Grité: “Oye, idiota, soy el tipo al que cortaste hace cinco minutos, cuando casi nos matas a los dos. ¡Soy del DMV, y si haces un truco t ruco más como ese, vamos a cancelar tu licencia de conducir! Debe estar preguntándose hasta el día de hoy cómo un tipo en la autopista pudo obtener su número de teléfono celular. Me gustaría pensar que la llamada lo asustó para que se convirtiera en un conductor más considerado. Pero nunca se sabe. Lo que va, vuelve, sin embargo. En un momento, mi cuenta móvil de AT&T fue pirateada por algunos script kiddies (un término para los aspirantes a piratas informáticos poco sofisticados) utilizando ingeniería social. Los piratas informáticos llamaron a una tienda de AT&T en el medio oeste y se hicieron pasar por empleados de otra tienda de AT&T. Convencieron al empleado para que restableciera la dirección de correo electrónico en mi cuenta de AT&T para que pudieran restablecer mi contraseña en línea y obtener acceso a los detalles de mi cuenta, ¡incluidos todos mis registros de facturación! En el caso del Amgen Tour of California, los ciclistas utilizaron la función Flyby de la aplicación Strava para compartir, de forma predeterminada, datos personales con otros usuarios de Strava. En una entrevista en Forbes, Gareth Nettleton, director de marketing internacional de Strava, dijo: “Strava es fundamentalmente una plataforma abierta donde los atletas se conectan con una comunidad global. Sin embargo, la privacidad de nuestros atletas es muy importante para nosotros y hemos tomado medidas para permitir que los atletas administren su privacidad de manera simple”. 6 Strava ofrece una configuración de privacidad mejorada que le permite controlar quién puede ver su frecuencia cardíaca. . También puede crear zonas de privacidad del dispositivo para que otros no puedan ver
dónde vive o trabaja. En el Amgen Tour de
MachineTranslatedbyGoogle
California, los clientes podían optar por no participar en la función Flyby para que sus actividades se marcaran como "privadas" en el momento de la carga. Otros dispositivos y servicios de seguimiento del estado físico ofrecen protecciones de privacidad similares. Puede pensar que, dado que no anda en bicicleta en serio y probablemente no se cruzará con alguien mientras corre por la acera alrededor de su complejo de oficinas, no necesita esas protecciones. ¿Cuál podría ser el daño? Pero hay otras actividades que realiza, algunas en privado, que aún podrían compartirse a través de la aplicación y en línea y, por lo tanto, crear problemas de privacidad. Por sí solo, la grabación de acciones como dormir o subir varios tramos de escaleras, especialmente cuando se realiza con un propósito médico específico, como reducir las primas de su seguro médico, podría no comprometer su privacidad. Sin embargo, cuando estos datos se combinan con otros datos, comienza a surgir una imagen holística de usted. Y puede revelar más información de la que se siente cómodo. Un usuario de un dispositivo de seguimiento de la salud descubrió al revisar sus datos en línea que mostraba un aumento significativo en su frecuencia cardíaca cada vez que tenía relaciones sexuales.7 De hecho, Fitbit, como empresa, informó brevemente sobre el sexo como parte de su lista en línea de registros actividades. Aunque anónimos, los datos se podían buscar en Google hasta que se divulgaron públicamente. y rápidamente retirado por la empresa.
8
Algunos de ustedes podrían pensar, “¿Y qué?” Cierto: no muy interesante por sí mismo. Pero cuando los datos de frecuencia cardíaca se combinan con, por ejemplo, datos de geolocalización, las cosas pueden ponerse complicadas. El reportero de Fusion , Kashmir Hill, llevó los datos de Fitbit a su extremo lógico y se preguntó: “¿Qué pasaría si las compañías de seguros combinaran sus datos de actividad con los datos de ubicación del GPS para determinar no solo cuándo es probable que tenga relaciones sexuales, sino también dónde lo está haciendo? ¿Podría una compañía de seguros de salud identificar a un cliente que estaba teniendo suerte en varios lugares por semana y darle a esa persona un perfil de riesgo médico más alto, en función de su supuesta promiscuidad?”9 Por otro lado, los datos de Fitbit se han utilizado con éxito en casos judiciales para probar o refutar afirmaciones que antes no se podían verificar. En un caso extremo, se usaron los datos de Fitbit para demostrar que una mujer había mentido sobre una violación.10 A la policía, la mujer, mientras visitaba Lancaster, Pensilvania, dijo que se había despertado alrededor de la medianoche con un extraño encima de ella. Además, afirmó que
había perdido su Fitbit en la lucha por su liberación. Cuando el
MachineTranslatedbyGoogle
la policía encontró el Fitbit y la mujer les dio su consentimiento para acceder a él, el dispositivo contó una historia diferente. Aparentemente, la mujer había estado despierta y caminando toda la noche. Según un canal de televisión local, la mujer fue “acusada de informes falsos a las fuerzas del orden, falsas alarmas a la seguridad pública y manipulación de pruebas por supuestamente volcar muebles y colocar un cuchillo en la escena para que pareciera que había sido violada por un intruso.”11 Por otro lado, los rastreadores de actividad también se pueden usar para respaldar reclamos por discapacidad. Un bufete de abogados canadiense utilizó datos de seguimiento de actividad para mostrar las graves consecuencias de la lesión laboral de un cliente. El cliente había proporcionado datos a la empresa Vivametrica, que recopila datos de dispositivos portátiles y los compara con datos sobre la actividad y la salud de la población en general, y los datos de Fitbit muestran una marcada disminución en su actividad. “Hasta ahora, siempre hemos tenido que depender de la interpretación clínica”, dijo a Forbes Simon Muller, de McLeod Law, LLC, en Calgary. “Ahora estamos analizando períodos de tiempo más largos a lo largo del día y tenemos datos concretos”.12 Incluso si no tiene un rastreador de actividad física, los relojes inteligentes, como el Galaxy Gear, de Samsung, pueden comprometer su privacidad de manera similar. Si recibe notificaciones notificacion es rápidas, como mensajes de texto, correos electrónicos y llamadas telefónicas, en su muñeca, es posible que otras personas también puedan ver esos mensajes. Ha habido un tremendo crecimiento recientemente en el uso de GoPro, una pequeña cámara que se sujeta a su casco o al tablero de su automóvil para que pueda grabar un video de sus movimientos. Pero, ¿qué sucede si olvida la contraseña de su aplicación móvil GoPro? Un investigador israelí tomó prestada la GoPro de su amigo y la aplicación móvil asociada, pero no tenía la contraseña. Al igual que el correo electrónico, la aplicación GoPro le permite restablecer la contraseña. Sin embargo, el procedimiento, que desde entonces ha sido modificado, tenía fallas. GoPro envió un enlace a su correo electrónico como parte del proceso de restablecimiento de contraseña, pero este enlace en realidad conducía a un archivo ZIP que debía descargarse e insertarse en la tarjeta SD del dispositivo. Cuando el investigador abrió el archivo ZIP, encontró un archivo de texto llamado "configuración" que contenía las credenciales inalámbricas del usuario, incluido el SSID y la contraseña que la GoPro usaría para acceder a Internet. El investigador descubrió que si cambiaba el número en el enlace, 8605145, a otro número, digamos 8604144, podía acceder a los datos de configuración de
GoPro de otras personas, que incluían su
MachineTranslatedbyGoogle
contraseñas inalámbricas.
Se podría argumentar que Eastman Kodak inició la discusión sobre la privacidad en Estados Unidos, o al menos la hizo interesante, a fines del siglo XIX. Hasta ese momento, la fotografía era un arte serio, lento e inconveniente que requería equipo especializado (cámaras, luces, cuartos oscuros) y largos períodos de inmovilidad (mientras los sujetos posaban en un estudio). Luego apareció Kodak e introdujo una cámara portátil relativamente relativamente asequible. El primero de su línea se vendió por $ 25, alrededor de $ 100 en la actualidad. Posteriormente, Kodak presentó la cámara Brownie, que se vendió por solo $ 1. Ambas cámaras fueron diseñadas para ser llevadas fuera del hogar y la oficina. Eran las computadoras móviles y los teléfonos móviles de su época.
De repente, la gente tenía que lidiar con el hecho de que alguien en la playa o en un parque público podría tener una cámara y esa persona podría incluirte en el marco de una foto. Tenías que verte bien. Tenías que actuar con responsabilidad. “No solo estaba cambiando tu actitud hacia la fotografía, sino también hacia el objeto mismo que estabas fotografiando”, dice Brian Wallis, ex curador en jefe del Centro Internacional de Fotografía. “Así que tenías que organizar una cena y organizar una fiesta de cumpleaños”. c umpleaños”. 13
Creo que en realidad nos comportamos de manera diferente cuando estamos siendo observados. La mayoría de nosotros nos comportamos de la mejor manera cuando sabemos que hay una cámara sobre nosotros, aunque, por supuesto, siempre habrá quienes no les importe menos. El advenimiento de la fotografía también influyó en cómo se sentía la gente acerca de su privacidad. De repente, podría haber un registro visual de alguien comportándose mal. De hecho, hoy tenemos cámaras en el tablero y en el cuerpo de nuestros agentes de la ley, de modo que habrá un registro de nuestro comportamiento cuando nos enfrentemos enfrentemos a la ley. Y hoy, con la tecnología de reconocimiento facial, puede puede tomar una foto de alguien y hacer que coincida con su perfil de Facebook. Hoy tenemos selfies.
Pero en 1888, ese tipo de exposición constante seguía siendo una novedad impactan impactante te y desconcertante.. El Hartford Courant hizo sonar una alarma: “El ciudadano sereno no puede permitirse desconcertante ninguna broma sin correr el riesgo de ser atrapado en el acto y que su fotografía pase entre sus hijos de la escuela dominical. Y el joven que desea acurrucarse con su mejor chica mientras navega río abajo debe mantenerse constantemente
MachineTranslatedbyGoogle
protegido por su paraguas.”14 A algunas personas no les gustó el cambio. En la década de 1880, en los Estados Unidos, un grupo de mujeres rompió una cámara a bordo de un tren porque no querían que su dueño les tomara una foto. En el Reino Unido, un grupo de niños británicos se unieron para vagar por las playas y amenazaron a cualquiera que intentara tomar t omar fotografías de mujeres que salían del océano después de nadar. Escribiendo en la década de 1890, Samuel Warren y Louis Brandeis, el último de los cuales se desempeñó posteriormente posteriormente en la Corte Suprema, escribieron en un artículo que “las fotografías instantáneas y la empresa periodística han invadido los recintos sagrados de la vida privada y doméstica”. Propusieron que la ley estadounidense estadounidense debería reconocer formalmente la privacidad y, en parte para detener la ola de fotografías subrepticias, imponer responsabilidad por cualquier intrusión.15 Leyes de este tipo fueron aprobadas en varios estados.
Hoy, varias generaciones han crecido con la amenaza de las fotografías instantáneas: ¿Polaroid, alguien? Pero ahora también tenemos que lidiar con la ubicuidad de la fotografía. Dondequiera Dondequier a que vaya, seguramente será capturado en video, ya sea que dé su permiso o no.
Y esas imágenes pueden ser accesibles para cualquier persona, en cualquier parte del mundo. Vivimos con una contradicción cuando se trata de privacidad. Por un lado, lo valoramos intensamente, lo consideramos un derecho y lo vemos ligado a nuestra libertad e independencia: ¿no debería permanecer privado todo lo que hacemos en nuestra propiedad, a puertas cerradas? Por otro lado, los humanos son criaturas curiosas. Y ahora tenemos los medios para satisfacer esa curiosidad de formas antes inimaginables.
¿Alguna vez se preguntó qué hay sobre esa cerca al otro lado de la calle, en el patio trasero de su vecino? La tecnología puede ser capaz de responder a esa pregunta para casi cualquier persona. Las compañías de drones como 3D Robotics y CyPhy facilitan hoy en día que el Joe promedio tenga su propio dron (por ejemplo, tengo el dron DJI Phantom 4). Los drones son aeronaves a control remoto y significativamente más sofisticados que los que solías comprar en Radio Shack. Casi todos vienen con pequeñas cámaras de video. Te dan la oportunidad de ver el mundo de una manera nueva. Algunos drones también se pueden controlar desde su teléfono celular.
Los drones personales son Peeping Toms con esteroides. Casi nada está fuera
límites ahora que puedes flotar unos cientos de pies sobre el suelo.
MachineTranslatedbyGoogle
Actualmente, la industria de seguros utiliza drones por motivos comerciales. Piénsalo. Si es un ajustador de seguros y necesita tener una idea de la condición de una propiedad que está a punto de asegurar, puede volar un dron a su alrededor, tanto para inspeccionar visualmente las áreas a las que no tenía acceso antes como para crear una permanente. registro de lo que encuentre. Puede volar alto y mirar hacia abajo para obtener el tipo de vista que antes solo podía obtener desde un helicóptero. El dron personal es ahora una opción para espiar a nuestros vecinos; podemos simplemente volar alto sobre el techo de alguien y mirar hacia abajo. Quizás el vecino tenga piscina. Quizás al vecino le gusta bañarse desnudo. Las cosas se han complicado: tenemos la expectativa de privacidad dentro de nuestros propios hogares y en nuestra propiedad, pero ahora eso está siendo cuestionado. Google, por ejemplo, enmascara rostros y matrículas y otra información personal en Google Street View y Google Earth. Pero un vecino con un dron privado no te da ninguna de esas garantías, aunque puedes intentar pedirle amablemente que no vuele sobre tu patio trasero. Un dron equipado con video te brinda Google Earth y Google Street View combinados. Hay algunas regulaciones. La Administración Federal de Aviación, por ejemplo, tiene pautas que establecen que un dron no puede salir de la línea de visión del operador, que no puede volar dentro de una cierta distancia de los aeropuertos y que no puede volar a alturas que excedan ciertos niveles.16 Hay una aplicación llamada B4UFLY eso lo ayudará a determinar dónde volar su dron.17 Y, en respuesta al uso comercial de drones, varios estados han aprobado leyes que restringen o limitan severamente su uso. En Texas, losuna ciudadanos comunesinmobiliarios. no pueden volar drones, aunque hay excepciones, incluida para los agentes La actitud más liberal hacia los drones quizás se encuentre en Colorado, donde los civiles pueden legalmente disparar drones desde el cielo. Como mínimo, el gobierno de EE. UU. debería exigir a los entusiastas de los drones que registren sus juguetes. En Los Ángeles, donde vivo, alguien estrelló un dron contra las líneas eléctricas en West Hollywood, cerca de la intersección de Larrabee Street y Sunset Boulevard. Si el dron hubiera sido registrado, las autoridades podrían saber quién molestó a setecientas personas durante horas y horas mientras docenas de empleados de la compañía eléctrica trabajaban durante la noche para
restaurar la energía en el área.
MachineTranslatedbyGoogle
Las tiendas minoristas quieren cada vez más conocer a sus clientes. Un método que realmente funciona es una especie de receptor IMSI de teléfono celular (ver aquí). Cuando entras a una tienda, el IMSI catcher toma información de tu teléfono celular y de alguna manera averigua tu número. A partir de ahí, el sistema puede consultar toneladas de bases de datos y crear un perfil sobre usted. Los minoristas tradicionales también están utilizando la tecnología de reconocimiento facial. Piense en ello como un saludo de Walmart de gran tamaño. “Hola, Kevin”, podría ser el saludo estándar que recibo de un empleado en un futuro no muy lejano, aunque nunca antes haya estado en esa tienda. La personalización de su experiencia minorista es otra forma de vigilancia, aunque muy sutil. Ya no podemos comprar de forma anónima. En junio de 2015, apenas dos semanas después de apoyarse en el Congreso para aprobar la Ley de Libertad de EE. UU., una versión modificada de la Ley Patriota con algo de protección de la privacidad añadida, nueve grupos de privacidad del consumidor, algunos de los cuales habían cabildeado fuertemente a favor de la Ley de Libertad, se frustró con varios grandes minoristas y abandonó las negociaciones para restringir el uso del reconocimiento facial.18 El problema era si los consumidores deberían dar permiso por defecto antes de que puedan ser escaneados. Eso suena razonable, pero ninguna de las principales organizaciones minoristas involucradas en las negociaciones cedería este punto. Según ellos, si ingresa a sus tiendas, debe ser un blanco fácil para el escaneo y la identificación.19 Algunas personas pueden querer ese tipo de atención personal cuando ingresan a una tienda, pero a muchos de nosotros nos resultará simplemente inquietante. Las tiendas lo ven de otra manera. No quieren dar a los consumidores el derecho de optar por no participar porque están tratando de atrapar a ladrones conocidos, quienes simplemente optarían por no participar si esa fuera una opción. Si se utiliza el reconocimiento facial automático, los ladrones conocidos se identificarían en el momento en que ingresan a una tienda. ¿Qué dicen los clientes? Al menos en el Reino Unido, siete de cada diez encuestados consideran que el uso de la tecnología de reconocimiento facial dentro de una tienda es “demasiado espeluznante”.20 Y algunos estados de EE. data.21 Estas regulaciones han dado lugar a demandas. Por ejemplo, un hombre de Chicago está demandando a Facebook porque no le dio permiso expreso al servicio en línea para usar la tecnología de reconocimiento facial para identificarlo en otros
MachineTranslatedbyGoogle
las fotos de las personas.22 El reconocimiento facial se puede utilizar para identificar a una persona basándose únicamente en su imagen. Pero, ¿qué pasa si ya sabes quién es la persona y solo quieres asegurarte de que esté donde debería estar? Este es otro uso potencial del reconocimiento facial. Moshe Greenshpan es el director ejecutivo de Face-Six, una empresa de reconocimiento facial con sede en Israel y Las Vegas. Su software Churchix se usa, entre otras cosas, para tomar asistencia en las iglesias. La idea es ayudar a las iglesias a identificar a los feligreses que asisten irregularmente para animarlos a venir más a menudo e identificar a los feligreses que
asisten
regularmente para animarlos a donar
más dinero a la iglesia. Face-Six dice que hay al menos treinta iglesias en todo el mundo que utilizan su tecnología. Todo lo que la iglesia debe hacer es subir fotos de alta calidad de sus feligreses. El sistema estará entonces pendiente de ellos en los servicios y funciones sociales. Cuando se le preguntó si las iglesias le dicen a sus feligreses que están siendo rastreados, Greenshpan le dijo a
Fusion: “No
creo que las iglesias le digan a la gente.
Los alentamos a que lo hagan, pero no creo que lo hagan” .23 Jonathan Zittrain, director del Centro Berkman para Internet y la Sociedad de la Facultad de Derecho de Harvard, ha sugerido en broma que los humanos necesitan una etiqueta “nofollow” como las que se usan en ciertos sitios web. .24 Esto evitaría que las personas que desean optar por no aparecer en las bases de datos de reconocimiento facial. Con ese fin, el Instituto Nacional de Informática de Japón ha creado un “visor de privacidad” comercial. Los anteojos, que se venden por alrededor de $240, producen luz visible solo para las cámaras. La luz fotosensible se emite alrededor de los ojos para frustrar los sistemas de reconocimiento facial. Según los primeros probadores, las gafas tienen éxito el 90 por ciento de las veces. La única advertencia parece ser que no son adecuados para conducir o andar en bicicleta. Puede que tampoco estén tan de moda, pero son perfectos para ejercer su derecho a la privacidad en un lugar público.25 Sabiendo que su privacidad puede verse comprometida cuando está al aire libre, es posible que se sienta más seguro en la privacidad. de su automóvil, su hogar o incluso su oficina. Por desgracia, esto ya no es el caso. En los próximos capítulos explicaré por qué.
MachineTranslatedbyGoogle
CAPÍTULO ONCE
Oye, KITT, no compartas mi ubicación
Los investigadores Charlie Miller y Chris Valasek no eran ajenos a la l a piratería de automóviles. Anteriormente, los dos habían pirateado un Toyota Prius, pero lo habían hecho mientras estaban conectados físicamente al automóvil y sentados en el asiento trasero. Luego, en el verano de 2015, Miller y Valasek lograron tomar los controles principales de un Jeep Cherokee mientras viajaba a setenta millas por hora por una autopista en St. Louis. Podían controlar remotamente un automóvil sin estar cerca de él.1 El Jeep en cuestión tenía un conductor: el reportero de Wired Andy Greenberg. Los investigadores le habían dicho a Greenberg de antemano: pase lo que pase, no se asuste. Eso resultó ser una tarea difícil, incluso para un tipo que esperaba que le piratearan el auto. “Inmediatamente mi acelerador dejó de funcionar”, escribió Greenberg sobre la experiencia. “Mientras presionaba frenéticamente el pedal y observaba cómo aumentaban las RPM, el Jeep perdió la mitad de su velocidad y luego redujo la velocidad a paso de tortuga. Esto ocurrió justo cuando llegué a un largo paso elevado, sin hombro para ofrecer un escape. El experimento había dejado de ser divertido”. Posteriormente, los investigadores enfrentaron algunas críticas por ser "imprudentes" y "peligrosos". El Jeep de Greenberg estaba en una vía pública, no en una pista de prueba, por lo que la policía de Missouri, en el momento de escribir este artículo, todavía está
considerando presentar cargos contra Miller y Valasek, y posiblemente contra Greenberg. Hace años que se habla de hackear autos conectados de forma remota, pero
MachineTranslatedbyGoogle
tomó el experimento de Miller y Valasek para que la industria automotriz prestara atención. Ya sea que se tratara de "hackeo acrobático" o investigación legítima, hizo que los fabricantes de automóviles comenzaran a pensar seriamente en la seguridad cibernética y en si el Congreso debería prohibir el pirateo de automóviles.2 Otros investigadores han demostrado que pueden aplicar ingeniería inversa al protocolo que controla su vehículo interceptando y analizando el tráfico GSM o CDMA desde la computadora a bordo de su automóvil hasta los sistemas del fabricante de automóviles. Los investigadores pudieron falsificar los sistemas de control del automóvil mediante el envío de mensajes SMS para bloquear y desbloquear las puertas de los automóviles. Algunos incluso han secuestrado las capacidades de inicio remoto usando los mismos métodos también. Pero Miller y Valasek fue el primero en poder tomar el control completo de un automóvil de forma remota.
3
Y afirman que, al usar los mismos métodos, también podrían apoderarse de automóviles en otros estados. Quizás el resultado más importante del experimento de Miller-Valasek fue el retiro por parte de Chrysler de más de 1,4 millones de sus automóviles debido a un problema de programación, el primer retiro de este tipo. Como medida provisional, Chrysler también suspendió la conexión de los autos afectados a la red Sprint, que los autos habían utilizado para la telemática, los datos que los autos recopilan y comparten con el fabricante en tiempo real. Miller y Valasek le dijeron a una audiencia en DEF CON 23 que se habían dado cuenta de que podían hacer eso (apoderarse de autos en otros estados), pero sabían que no era ético. En cambio, llevaron a cabo su experimento controlado con Greenberg en la ciudad natal de Miller. En este capítulo, analizaré las diversas formas en que los automóviles que conducimos, los trenes en los que viajamos y las aplicaciones móviles que usamos para impulsar nuestro viaje diario al trabajo son vulnerables a los ciberataques, sin mencionar los numerosos compromisos de privacidad que introducen nuestros automóviles conectados. en nuestras vidas.
Cuando Johana Bhuiyan, reportera de BuzzFeed, llegó a las oficinas de Uber en Nueva York, el servicio de llamadas de automóviles, en uno de los automóviles de Uber, Josh Mohrer, el gerente general, estaba esperando. "Ahí estás", dijo, sosteniendo su iPhone. "Te estaba siguiendo". No fue un comienzo auspicioso para su entrevista, que abordó, entre otras cosas, la privacidad del consumidor. 4
Hasta que apareció la historia de Bhuiyan, en noviembre de 2014, pocos fuera de Uber conocían God View, una herramienta con la que Uber rastrea el
MachineTranslatedbyGoogle
localización de sus miles de conductores contratados así como de sus clientes, todo en tiempo real.
Como mencioné anteriormente, las aplicaciones solicitan de forma rutinaria a los usuarios varios permisos, incluido el derecho a acceder a sus datos de geolocalización. La aplicación de Uber va más allá: solicita tu ubicación aproximada (Wi-Fi) ( Wi-Fi) y precisa (GPS), el derecho a acceder a tus contactos y no permite que tu dispositivo móvil entre en modo de suspensión (para que pueda controlar dónde estás). ). Bhuiyan supuestamente le dijo a Mohrer por adelantado que no le dio permiso a la compañía para rastrearla en cualquier momento y en cualquier lugar. Pero lo hizo, aunque tal vez no explícitamente. El permiso estaba en el acuerdo de usuario al que dio su consentimiento al descargar el servicio a su dispositivo móvil. Después de su reunión, Mohrer envió por correo electrónico a Bhuiyan registros de algunos de sus viajes recientes en Uber.
Uber compila un dossier personal para cada cliente, registrando cada viaje que hace. Esa es una mala idea si la base de datos no es segura. Conocida en el negocio de la seguridad como trampa, la base de datos de Uber puede atraer a todo tipo de fisgones, desde el gobierno de EE. UU. hasta piratas informáticos chinos.5 En 2015, Uber cambió algunas de sus políticas de privacidad; en algunos casos, 6 Uber ahora consumidor. todos los usuarios de EE. UU., incluso recopilasidatos la aplicación de geolocalización se ejecuta en solo detrimento en segundo delplano e incluso si las comunicaciones satelitales y celulares están desactivadas. Uber dijo que usará Wi-Fi y direcciones IP para rastrear a los usuarios "fuera de línea". Eso significa que la aplicación Uber actúa como un espía silencioso en su dispositivo móvil. La empresa no,
7
sin embargo, diga por qué necesita esta habilidad. Uber tampoco ha explicado completamente por qué necesita God View. Por otro lado, según la política de privacidad de la empresa: “Uber tiene una política estricta que prohíbe a todos los empleados de todos los niveles acceder a los datos de un pasajero o conductor. La única excepción a esta política es para un conjunto limitado de fines comerciales legítimos”. El negocio legítimo puede incluir el seguimiento de cuentas sospechosas de fraude y la resolución de problemas de los conductores (por ejemplo, conexiones perdidas). Probablemente no incluya el seguimiento de los viajes de un reportero. Se podría pensar que Uber les daría a sus clientes el derecho de eliminar la información de seguimiento. No. Y si después de leer esto has eliminado la aplicación de tu teléfono, ¿adivina qué?
Los datos todavía existen dentro de Uber. 8 Según la política de privacidad revisada, Uber también recopila su libreta de direcciones
MachineTranslatedbyGoogle
información. Si tiene un iPhone, puede acceder a su configuración y cambiar su preferencia para compartir compartir contactos. Si tienes un Android, esa no es una opción. Los representantes de Uber han afirmado que la empresa actualmente no recopila este tipo de datos de clientes. Sin embargo, al incluir la recopilación de datos en la política de privacidad, que los usuarios existentes ya aceptaron y que los nuevos usuarios deben aceptar, la empresa se asegura de poder implementar estas funciones en cualquier momento. Y el usuario no tendrá ninguna reparación. God View de Uber es quizás suficiente para hacerte sentir nostálgico por los viejos taxis normales. En el pasado, te subías a un taxi, decías tu destino y pagabas en efectivo por el viaje una vez que llegabas. En otras palabras, su viaje sería casi completamente completamente anónimo. Con el advenimiento de la aceptación casi universal de las tarjetas de crédito a principios del siglo XXI, muchas transacciones ordinarias ordinarias se han vuelto rastreables, por lo que probablemente haya un registro de su viaje en taxi en alguna parte, tal vez no resida con un conductor específico. o compañía, pero ciertamente reside en la compañía de su tarjeta de crédito. En la década de 1990, solía trabajar como investigador privado y podía averiguar los movimientos de mi objetivo obteniendo las transacciones de su tarjeta de crédito. Basta con mirar un estado de cuenta para saber que la semana pasada tomó un taxi en la ciudad de Nueva York y pagó $54 por ese viaje. Alrededor de 2010 los taxis comenzaron a utilizar datos de GPS. Ahora la compañía de taxis conoce su lugar de recogida y entrega, el monto de su tarifa y quizás el número de tarjeta de crédito asociado con su viaje. Estos datos se mantienen privados en Nueva York, San Francisco y otras ciudades que apoyan el movimiento de datos abiertos en el gobierno, proporcionando proporcionando a los investigadore investigadores s conjuntos de datos ricos y anónimos. Mientras no se incluyan los nombres, ¿qué daño podría haber en hacer públicos esos datos anónimos? En 2013, Anthony Tockar, entonces estudiante de posgrado de la Universidad de Northwestern que realizaba una pasantía en una empresa llamada Neustar, analizó los metadatos anónimos publicados públicamente públicamente por la Comisión de Taxis y Limusinas de la Ciudad de Nueva York. Este conjunto de datos contenía un registro de cada viaje realizado por los automóviles de su flota durante el año anterior e incluía el número de
taxi, las horas de recogida y entrega, las ubicaciones, las tarifas y los montos de las propinas, y versiones anónimas (hash) de los números de licencia y medallón de los taxis.9 Por sí mism
MachineTranslatedbyGoogle
este conjunto de datos no es muy interesante. Desafortunadamente, el valor hash en este caso es relativamente fácil de deshacer.10 Sin embargo, cuando combina el conjunto de datos públicos con otros conjuntos de datos, comienza a obtener una imagen completa de lo que está sucediendo. En este caso, Tockar pudo determinar dónde habían tomado sus taxis celebridades específicas como Bradley Cooper y Jessica Alba dentro de la ciudad de Nueva York durante el año anterior. ¿Cómo dio este salto? Ya tenía datos de geolocalización, por lo que sabía dónde y cuándo los taxis recogían y dejaban sus tarifas, pero tenía que ir más allá para determinar quién estaba . delos dentro del taxi11 Así que combinó metadatos de la Comisión Taxis Limusinas la Ciudad de Nueva York conde fotos en ylínea de sitios web de tabloides ordinarios disponibles en línea. l ínea. Una base de datos de paparazzi. Piénsalo. Los paparazzi suelen fotografiar a las l as celebridades justo cuando entran y salen de los taxis de la ciudad de Nueva York. En estos casos, el número exclusivo del medallón de la cabina suele verse dentro de la imagen. Está impreso en el costado de cada cabina. Entonces, un número de taxi fotografiado junto a Bradley Cooper, por ejemplo, podría coincidir con los datos disponibles públicamente sobre los lugares de recogida y entrega y los montos de las tarifas y las propinas. Afortunadamente, no todos tenemos paparazzi siguiéndonos la pista. Sin embargo, eso no significa que no haya otras formas de rastrear nuestros viajes. Tal vez no tomas taxis. ¿Existen otras formas de determinar su ubicación? Existen. Incluso si tomas el transporte público.
Si vas en autobús, tren o ferry al trabajo, ya no eres invisible entre las masas. Los sistemas de tránsito están experimentando con el uso de aplicaciones móviles y comunicación de campo cercano (NFC) para etiquetar a los pasajeros cuando suben y bajan del transporte público. NFC es una señal de radio de corta distancia que a menudo requiere contacto físico. Los sistemas de pago como Apple Pay, Android Pay y Samsung Pay utilizan NFC para hacer que buscar monedas de veinticinco centavos sea cosa del pasado. Supongamos que tiene un teléfono habilitado para NFC con una aplicación de su autoridad de tránsito local instalada. La aplicación querrá una conexión con su cuenta bancaria o tarjeta de crédito para que siempre pueda abordar cualquier autobús, tren o
ferry sin preocuparse por un saldo negativo en su cuenta. Esa conexión con su número de tarjeta de crédito, si no está oculta por un token, o
MachineTranslatedbyGoogle
marcador de posición, número, podría revelar a la autoridad de tránsito quién es usted. Reemplazar su número de tarjeta de crédito con un token es una nueva opción que ofrecen Apple, Android y Samsung. De esa manera, el comerciante, en este caso la autoridad de tránsito, solo tiene un token y no su número de tarjeta de crédito real. El uso de un token reducirá las filtraciones de datos que afectan a las tarjetas de crédito en un futuro próximo porque el delincuente necesitaría dos bases de datos: el token y el número real de la tarjeta de crédito detrás del token. Pero digamos que no usa un teléfono habilitado para NFC. En su lugar, tiene una tarjeta de tránsito, como CharlieCard en Boston, la tarjeta SmarTrip en Washington, DC y la tarjeta Clipper en San Francisco. Estas tarjetas usan tokens para alertar al dispositivo receptor, ya sea un torniquete o una caja de cobro de tarifas, que hay suficiente saldo para que usted viaje en autobús, tren o ferry. Sin embargo, los sistemas de tránsito no usan tokens en el back-end. La tarjeta en sí tiene solo un número de cuenta, no la información de su tarjeta de crédito, en su banda magnética. Pero si se infringiera la autoridad de tránsito en el back-end, la información de su tarjeta de crédito o bancaria también podría quedar expuesta. Además, algunos sistemas de tránsito quieren que registre sus tarjetas en línea para que puedan enviarle un correo electrónico, lo que significa que sus direcciones de correo electrónico también podrían quedar expuestas en un futuro ataque. De cualquier manera, la capacidad de viajar en autobús de forma anónima se ha ido por la ventana en gran medida, a menos que pague la tarjeta con efectivo, no con crédito.12 Este desarrollo es de gran ayuda para la aplicación de la ley. Debido a que estas compañías de tarjetas de viajero son terceros de propiedad privada, no gobiernos, pueden establecer las reglas que quieran sobre el intercambio de datos. Pueden compartirlo no solo con las fuerzas del orden, sino también con los abogados que llevan casos civiles, en caso de que su ex quiera acosarlo. Entonces, alguien que mire los registros de la autoridad de tránsito podría saber exactamente quién pasó por una estación de metro en tal o cual momento, pero esa persona podría no saber qué tren abordó su objetivo, especialmente si la estación es un centro de varias líneas. ¿Qué pasaría si su dispositivo móvil pudiera resolver la cuestión de en qué tren viajó y, por lo tanto, inferir su destino? Investigadores de la Universidad de Nanjing, en China, decidieron responder a esa pregunta enfocando su trabajo en algo dentro de nuestros teléfonos llamado acelerómetro. Cada
dispositivo móvil tiene uno. Es un pequeño chip responsable de determinar la orientación de su dispositivo, ya sea que lo esté sujetando
MachineTranslatedbyGoogle
vista horizontal o vertical. Estos chips son tan sensibles que los investigadores decidieron usar solo los datos del acelerómetro en sus cálculos. Y, efectivamente, pudieron predecir con precisión en qué tren subterráneo viajaba un usuario. Esto se debe a que la mayoría de las líneas de metro incluyen giros que afectan al acelerómetro. También es importante el tiempo que transcurre entre las paradas de las estaciones: solo necesita mirar un mapa para ver por qué. La precisión de sus predicciones mejoró con cada estación que pasaba un ciclista. Los investigadores afirman que su método tiene una tasa de precisión del 92 por ciento.
Supongamos que posee un automóvil de modelo antiguo y lo lleva al trabajo. Podrías pensar que eres invisible, solo uno entre un millón de autos en la carretera hoy. Y quizas tengas razon. Pero la nueva tecnología, incluso si no es parte del propio automóvil, está erosionando su anonimato. Lo más probable es que, con esfuerzo, alguien aún pueda identificarte si pasas zumbando por la de autopista con bastante rapidez. En la ciudad San Francisco, la Agencia de Transporte Municipal ha comenzado a utilizar el sistema de peaje FasTrak, que le permite cruzar cualquiera de los ocho puentes del Área de la Bahía con facilidad, para rastrear los movimientos de los automóviles habilitados para FasTrak en toda la ciudad. Usando una tecnología similar a la que usan los puentes de peaje para leer el dispositivo FasTrak (o E-ZPass) en su automóvil, la ciudad ha comenzado a buscar esos dispositivos a medida que los usuarios dan vueltas en busca de estacionamiento. Pero los funcionarios no siempre están interesados en sus movimientos: más bien, están interesados en los espacios de estacionamiento, la mayoría de los cuales están equipados con parquímetros electrónicos. Los espacios que son muy buscados pueden cobrar una tarifa más alta. La ciudad puede ajustar de forma f orma inalámbrica el precio en medidores específicos, incluidos los medidores cerca de un evento popular. Además, en 2014, los funcionarios decidieron no utilizar peajes humanos en el puente Golden Gate, por lo que todos, incluso los turistas, deben pagar electrónicamente o recibir una factura por correo. ¿Cómo saben las autoridades dónde enviar su factura? Te fotografían la matrícula cuando cruzas la plaza de peaje. Estas fotografías de matrículas también se utilizan para atrapar a los corredores de luz roja en intersecciones problemáticas. Y cada vez más, la policía está utilizando una estrategia similar cuando conducen por estacionamientos y entradas residenciales.
Los departamentos de policía rastrean pasivamente los movimientos de su automóvil todos los días con la tecnología de reconocimiento automático de matrículas (ALPR). Ellos pueden
MachineTranslatedbyGoogle
fotografíe la matrícula de su automóvil y almacene esa información, a veces durante años, según la política del departamento de policía. Las cámaras ALPR escanean y leen cada placa que pasan, ya sea que el automóvil esté registrado a nombre de un delincuente o no. Aparentemente, la tecnología ALPR se usa principalmente para localizar autos robados, delincuentes buscados y ayudar con las Alertas AMBER. La tecnología involucra tres cámaras montadas en la parte superior de un patrullero que están conectadas a una pantalla de computadora dentro del vehículo. El sistema está además vinculado a una base de datos del Departamento de Justicia que realiza un seguimiento de las placas de los automóviles robados y los vehículos asociados con delitos. Mientras M ientras un oficial conduce, la tecnología ALPR puede escanear hasta sesenta placas por segundo. Si una placa escaneada coincide con una placa en la base de datos del DOJ, el oficial recibe una alerta tanto visual como audible. The Wall Street Journal informó por primera vez sobre la tecnología de reconocimiento de matrículas en 2012.13 El problema para quienes se oponen o cuestionan la tecnología ALPR no es el sistema en sí, sino cuánto tiempo se conservan los datos y por qué algunas agencias de aplicación de la ley no los divulgan, incluso a los dueño del auto rastreado. Es una herramienta inquietante que la policía puede usar para averiguar dónde has estado. “Los lectores automáticos de matrículas son una forma sofisticada de rastrear las ubicaciones de los conductores, y cuando sus datos se agregan a lo largo del tiempo, pueden pintar imágenes detalladas de la vida de las personas”, señala Bennett Stein del Proyecto sobre Discurso, Privacidad y Tecnología de la l a ACLU.
14
Un hombre de California que presentó una solicitud de registros públicos estaba preocupado por la cantidad de fotos (más de cien) que se habían tomado de su placa. La mayoría estaban en cruces de puentes y otros lugares muy públicos. Sin embargo, uno lo mostró a él y a sus hijas saliendo del automóvil familiar mientras estaba estacionado en su propio camino de entrada. Eso sí, esta persona no estaba bajo sospecha de haber cometido un delito. Los documentos obtenidos por la ACLU muestran que incluso la oficina del abogado general del FBI ha cuestionado el uso de ALPR en ausencia de una política de gobierno coherente.
15
Desafortunadamente, no es necesario que presente una solicitud de registros públicos para ver algunos de los datos de ALPR. Según la EFF, las imágenes de más de cien cámaras ALPR están disponibles para cualquier persona en línea. Todo lo que necesitas es
un navegador. Antes de hacer públicos sus hallazgos, la EFF trabajó con las fuerzas del orden para corregir la fuga de datos. La EFF dijo esto
MachineTranslatedbyGoogle
se encontró una configuración incorrecta en más de esos cien casos e instó a las fuerzas del orden público de todo el país a eliminar o limitar lo que se publica en Internet. Pero al momento de escribir este artículo, aún es posible, si escribe la consulta correcta en una ventana de búsqueda, obtener acceso a las imágenes de matrículas en muchas comunidades. Un investigador encontró más de 64 000 imágenes de placas y sus correspondientes puntos de datos de ubicación durante un período de una semana.16 Tal vez no tengas un auto y solo alquiles uno ocasionalmente. Aún así, definitivamente no eres invisible, dada toda la información personal y de la tarjeta de crédito que debes proporcionar al momento del alquiler. Además, la mayoría de los autos de alquiler hoy en día tienen GPS incorporado. Lo sé. Me enteré de la manera difícil. Cuando le dan un auto prestado de un concesionario porque su auto está siendo reparado, por lo general acepta no llevarlo al otro lado de las fronteras f ronteras estatales. El concesionario quiere mantener el auto en el estado en el que se tomó prestado. Esta regla se refiere principalmente a su seguro, no al suyo. esto me paso a mi Llevé mi automóvil a un concesionario Lexus en Las Vegas para que lo repararan y me permitieron usar un automóvil prestado. Como ya había pasado la hora de cierre en el concesionario, simplemente firmé el papeleo sin leerlo, principalmente porque el asociado de servicio me estaba apurando. Más tarde, conduje el automóvil al norte de California, al Área de la Bahía, para un trabajo t rabajo de consultoría. Cuando el tipo de servicio me llamó para discutir sus recomendaciones, me preguntó: "¿Dónde estás?" Dije: “San Ramón, California”. Él dijo: "Sí, ahí es donde vemos el auto". Luego me leyó el acto antidisturbios sobre sacar el auto fuera del estado. Al parecer, el contrato de préstamo que había firmado rápidamente estipulaba que no sacaría el coche de Nevada. Cuando alquila o toma prestado un automóvil hoy, existe la tentación de emparejar su dispositivo inalámbrico con el sistema de entretenimiento para recrear la experiencia de audio que tiene en casa. Por supuesto, hay algunas preocupaciones inmediatas sobre la privacidad. Este no es tu coche. Entonces, ¿qué sucede con sus datos de información y entretenimiento una vez que devuelve el automóvil a la agencia de alquiler? Antes de emparejar su dispositivo con un automóvil que no es suyo, eche un vistazo al sistema de entretenimiento. Tal vez al tocar la configuración del teléfono móvil, verá los dispositivos y/o nombres de los usuarios anteriores en la pantalla de Bluetooth.
Piensa si quieres unirte a esa lista. En otras palabras, sus datos no desaparecen simplemente cuando sale del automóvil.
MachineTranslatedbyGoogle
Tienes que quitarlo tú mismo. Podrías estar pensando: "¿Qué hay de malo en compartir mis canciones favoritas con los demás?" El problema es que tu música no es lo único que se comparte. Cuando la mayoría de los dispositivos móviles se conectan al sistema de infoentretenimiento de un automóvil, vinculan automáticamente sus contactos al sistema del automóvil. La suposición es que es posible que desee realizar una llamada con manos libres mientras conduce, por lo que tener sus contactos almacenados en el automóvil lo hace mucho más fácil. El problema es que no es tu coche. “Cuando alquilo un auto”, dice David Miller, director de seguridad de Covisint, “lo último que hago es vincular mi teléfono. t eléfono. Descarga todos mis contactos porque eso es lo que quiere hacer. En la mayoría de los autos de alquiler, puedes entrar y, si alguien está emparejado con él, ver sus contactos”. Lo mismo es cierto cuando finalmente vendes tu auto. Los automóviles modernos le brindan acceso a su mundo digital mientras viaja. ¿Quieres consultar Twitter? ¿Quieres publicar en Facebook? Los automóviles de hoy se parecen cada vez más a su PC tradicional y su teléfono celular: contienen datos personales que debe eliminar antes de vender la máquina o el dispositivo. Trabajar en el negocio de la seguridad le dará el hábito de pensar en el futuro, incluso en transacciones mundanas. “Paso todo este tiempo conectando mi vehículo con toda mi vida”, dice Miller, “y luego, en cinco años, lo vendo. ¿Cómo lo desconecto de toda mi vida? No quiero que el tipo que compre [mi auto] pueda ver a mis amigos de Facebook, así que tienes que deshacerte. Los encargados de la seguridad están mucho más interesados en las vulnerabilidades de seguridad relacionadas con el desaprovisionami desaprovisionamiento ento que con el aprovisionamiento”.17 Y, tal como lo hace con su dispositivo móvil, necesitará proteger su automóvil con una contraseña. Excepto en el momento de escribir este artículo, no hay ningún mecanismo disponible que le permita bloquear con contraseña su sistema de infoentretenimiento. Tampoco es fácil eliminar todas las cuentas que ha puesto en su automóvil a lo largo de los años; la forma de hacerlo varía según el fabricante, la marca y el modelo. Tal vez eso cambie: alguien podría inventar un botón único que elimine un perfil de usuario completo de su automóvil. Hasta entonces, al menos conéctese a Internet y cambie todas las contraseñas de sus redes sociales después de vender su automóvil.
Quizás el mejor ejemplo de una computadora sobre ruedas es un Tesla, un vehículo totalmente electrónico de última generación. En junio de 2015, Tesla T esla alcanzó un importante
MachineTranslatedbyGoogle
hito: en conjunto, los automóviles Tesla de todo el mundo habían recorrido más de mil millones de millas.18 Conduzco un Tesla. Son excelentes autos, pero debido a sus sofisticados tableros y su constante comunicación celular, generan dudas sobre los datos que recopilan. Cuando toma posesión de un Tesla, se le ofrece un formulario de consentimiento. Tiene la capacidad de controlar si Tesla registrará cualquier información sobre su automóvil a través de un sistema de comunicación inalámbrico. Puede habilitar o deshabilitar el uso compartido de sus datos personales con Tesla a través de una pantalla táctil en el tablero. Muchas personas aceptan el argumento de que sus datos ayudarán a Tesla a fabricar un mejor automóvil en el futuro. De acuerdo con la política de privacidad de Tesla, la empresa puede recopilar el número de identificación del vehículo, información sobre la velocidad, lecturas del cuentakilómetros, información sobre el uso de la batería, historial de carga de la batería, información sobre las funciones del sistema eléctrico, información sobre la versión del software, datos del sistema de infoentretenimiento y datos relacionados con la seguridad (incluidos información sobre los sistemas SRS, los frenos, la seguridad y el sistema de frenos electrónicos del vehículo), entre otras cosas, para ayudar a analizar el rendimiento del vehículo. Tesla afirma que pueden recopilar dicha información en persona (por ejemplo, durante una cita de servicio) o mediante acceso remoto. Eso es lo que dicen en su póliza impresa. En la práctica, también pueden determinar la ubicación y el estado de su automóvil en cualquier momento. Para los medios, Tesla ha sido cauteloso sobre qué datos recopila en tiempo real y cómo los usa. Al igual que Uber, Tesla se sienta en una posición divina que le permite saber todo sobre cada automóvil y su ubicación en cualquier lugar. momento. Si eso lo pone nervioso, puede comunicarse con Tesla y optar por no participar en su programa telemático. Sin embargo, si lo hace, se perderá las actualizaciones automáticas automáticas de software, que incluyen correcciones de seguridad y nuevas funciones. Por supuesto, la comunidad de seguridad está interesada en Tesla, y el investigador de seguridad independiente independiente Nitesh Dhanjani ha identificado algunos problemas. Si bien está de acuerdo conmigo en que el Tesla Model S es un gran automóvil y un fantástico producto de innovación, Dhanjani descubrió descubrió que Tesla usa un sistema de autenticación de un factor
bastante débil para acceder a los sistemas del automóvil. 19 El sitio web y la aplicación de Tesla carecen de la capacidad de limitar el número de forma remota.
MachineTranslatedbyGoogle
de intentos de inicio de sesión en una cuenta de usuario, lo que significa que un atacante podría usar la fuerza bruta para descifrar la contraseña de un usuario. Eso significa que un tercero podría (suponiendo que qu e su contraseña esté descifrada) iniciar sesión y usar la API de Tesla para verificar la ubicación u bicación de su vehículo. Esa persona también podría iniciar sesión de forma remota en la aplicación de Tesla y controlar los sistemas del vehículo: el aire acondicionado, las luces, etc., aunque el vehículo debe estar parado. Tesla ha abordado la mayoría de las preocupaciones de Dhanjani al momento de escribir este artículo, pero la situación es un ejemplo de cuánto más deben hacer los fabricantes de automóviles hoy para proteger sus automóviles. El solo hecho de ofrecer una aplicación para iniciar y verificar el estado de su automóvil de forma remota re mota no es suficiente. También tiene que ser seguro. La actualización más reciente, una característica llamada Invocar, le permite decirle al automóvil que salga del garaje o se estacione en un lugar estrecho. En el futuro, Summon permitirá que el automóvil lo recoja en cualquier lugar del país. Un poco como el e l viejo programa de televisión Knight Rider. Al refutar una reseña negativa en el New York Times, Tesla admitió el poder de los datos que tienen de su lado. El reportero del Times , John Broder, dijo que su Tesla Model S se había averiado y lo había dejado varado. En un blog, Tesla respondió, identificando varios puntos de datos que dijeron que cuestionaban la versión de la historia de Broder. Por ejemplo, Tesla señaló que Broder conducía a velocidades que oscilaban entre sesenta y cinco millas por hora y ochenta o chenta y una millas por hora, con una configuración de temperatura promedio en la cabina de setenta y dos grados Fahrenheit.20 Según Forbes, “los registradores de datos en el Modelo S conocía los ajustes de temperatura del automóvil, el nivel de la batería durante todo el viaje, la velocidad del automóvil de un minuto a otro y la ruta exacta tomada, hasta el hecho de que el revisor del automóvil conducía en círculos en un estacionamiento cuando la batería del automóvil estaba casi agotada. muerto.”21 La capacidad telemática es una extensión lógica de las cajas negras obligatorias en todos los autos producidos para la venta en los Estados Unidos después de 2015. Pero las cajas negras en los autos no son nada nuevo. Se remontan a la década de 1970, cuando se introdujeron por primera vez las bolsas de aire. En las colisiones, las personas en ese entonces sufrieron lesiones que amenazaron sus vidas debido a las bolsas de aire, y algunas murieron por la fuerza de las bolsas al golpear sus cuerpos. En algunos casos, si el automóvil no hubiera estado equipado con esas bolsas, los ocupantes podrían estar vivos hoy. Para realizar mejoras, los ingenieros necesitaban
los datos sobre el despliegue de las bolsas en los momentos antes y después de un choque, recopilados por la detección y el diagnóstico de las bolsas de aire.
MachineTranslatedbyGoogle
módulos (SDM). Sin embargo, a los propietarios de los vehículos no se les dijo hasta hace muy poco que los sensores de sus automóviles registraban datos sobre su conducción. Activadas por cambios repentinos en las fuerzas g, las cajas negras en los automóviles, al igual que las cajas negras en los aviones, registran solo los últimos segundos que rodean el evento de fuerza g, como aceleración repentina, torsión y frenado brusco. Pero es fácil imaginar que se recopilen más tipos de datos en estas cajas negras y se transmitan en tiempo real a través de conexiones celulares. Imagine, en el futuro, que los datos recopilados durante un período de tres a cinco días podrían almacenarse en el vehículo o en la nube. En lugar de tratar de describir ese ruido de ping-ping que escucha cuando su automóvil viaja a treinta y cinco millas por hora o más, simplemente le daría acceso a su mecánico a los datos registrados. La verdadera pregunta es, ¿quién más tiene acceso a todos estos datos? Incluso Tesla admite que los datos que recopila pueden ser utilizados por terceros. ¿Y si el tercero fuera su banco? Si tuviera un acuerdo con el fabricante de su automóvil, podría rastrear su capacidad de conducción y juzgar su elegibilidad para futuros préstamos para automóviles en consecuencia. O su aseguradora de salud podría hacer lo mismo. O incluso su aseguradora de coche. Puede ser necesario que el gobierno federal evalúe quién posee los datos de su automóvil y qué derechos tiene para mantener dichos datos privados. Es poco lo que puede hacer al respecto hoy, pero vale la pena prestarle atención en el futuro.
Incluso si no posee un Tesla, el fabricante de su automóvil podría ofrecerle una aplicación que le permita abrir las puertas del automóvil, arrancar el motor o incluso inspeccionar ciertos diagnósticos en su automóvil. Un investigador ha demostrado que estas señales, entre el automóvil, la nube y la aplicación, pueden piratearse y usarse para rastrear un vehículo objetivo, desbloquearlo sin esfuerzo, activar la bocina y la alarma e incluso controlar su motor. El hacker puede hacer casi todo excepto poner el auto en marcha y alejarlo. Eso todavía requiere la llave del conductor. Aunque, recientemente descubrí cómo deshabilitar el llavero de Tesla para que el Tesla esté completamente conectado a tierra. Al usar un pequeño transmisor a 315 MHz, puede hacer que no se detecte el llllavero, avero, inhabilitando así el automóvil. Hablando en DEF CON 23, Samy Kamkar, el investigador de seguridad mejor conocido
por desarrollar el gusano Samy específico de Myspace en 2005, demostró un dispositivo que construyó llamado OwnStar, que puede hacerse pasar por un
MachineTranslatedbyGoogle
red vehicular conocida. Con él podría abrir su vehículo de General Motors habilitado para OnStar, por ejemplo. El truco consiste en colocar físicamente el dispositivo en el parachoques o en la parte inferior de un automóvil o camión objetivo. El dispositivo falsifica el punto de acceso inalámbrico del automóvil, que asocia automáticamente el dispositivo móvil del conductor desprevenido con el nuevo punto de acceso (suponiendo que el conductor se haya asociado previamente con el punto de acceso original). Cada vez que el usuario inicia la aplicación móvil de OnStar, ya sea en iOS o Android, el código OwnStar explota una falla en la aplicación para robar las credenciales de OnStar del conductor. “Tan pronto como esté en mi red y abra la aplicación, me haré cargo”, dijo Kamkar.22 Después de obtener las credenciales de inicio de sesión del usuario para RemoteLink, el software que activa OnStar, y escuchar el sonido de bloqueo o desbloqueo (bip-bip), un atacante puede rastrear un automóvil en un estacionamiento lleno de gente, abrirlo y robar cualquier cosa. valioso por dentro. Luego, el atacante quitaría el dispositivo del parachoques. Es un ataque muy limpio, ya que no hay señales de una intrusión forzada. El propietario y la compañía de seguros deben descifrar qué sucedió. Los investigadores han descubierto que también se pueden rastrear los estándares de automóviles conectados diseñados para mejorar el flujo de tráfico. Las comunicaciones de vehículo a vehículo (V2V) y de vehículo a infraestructura (V2I), conocidas en conjunto como V2X, exigen que los automóviles transmitan mensajes diez veces por segundo, utilizando una parte del espectro Wi-Fi a 5,9 gigahercios conocida como 802.11p.23 Lamentablemente, estos datos se envían sin cifrar, tiene que ser así. Cuando los automóviles circulan a toda velocidad por una carretera, el milisegundo de retraso necesario para descifrar la señal podría provocar un accidente peligroso, por lo que los diseñadores optaron por comunicaciones abiertas y sin cifrar. Sabiendo esto, insisten en que las comunicaciones no contienen información personal, ni siquiera un número de matrícula. Sin embargo, para evitar falsificaciones, los mensajes se firman digitalmente. Son estas firmas digitales, como los datos IMEI (número de serie del teléfono móvil) enviados desde nuestros teléfonos celulares, las que se pueden rastrear hasta los propietarios registrados del vehículo. Jonathan Petit, uno de los investigadores detrás del estudio, le dijo a Wired: “El vehículo dice: 'Soy Alice, esta es mi ubicación, esta es mi velocidad y mi dirección'. Todos
a tu alrededor pueden escuchar eso... Pueden decir, 'Ahí está Alice, dijo que estaba en casa, pero pasó por la farmacia, se fue
MachineTranslatedbyGoogle
a una clínica de fertilidad', este tipo de cosas... Alguien puede inferir mucha información privada sobre el pasajero.”24 Petit ha diseñado un sistema por alrededor de $ 1,000 que puede escuchar las comunicaciones V2X, y sugiere que una pequeña ciudad podría cubrirse con sus sensores por alrededor de $ 1 millón. En lugar de tener una gran fuerza policial, la ciudad usaría los sensores para identificar a los conductores y, lo que es más importante, sus hábitos.
Una propuesta de la Administración Nacional de Seguridad del Tráfico en las Carreteras y las autoridades europeas es que la señal 802.11p, el “seudónimo” del vehículo, cambie cada cinco minutos. Sin embargo, eso no detendrá a un atacante dedicado, simplemente instalará más sensores en la carretera que identificarán el vehículo antes y después de que realice el cambio. En resumen, parece haber muy pocas opciones para evitar la identificación del vehículo.
“El cambio de seudónimo no detiene el seguimiento. Solo puede mitigar este ataque”, dice Petit. "Pero aún es necesario para mejorar la privacidad... Queremos demostrar que en cualquier implementación, aún debe tener esta protección, o alguien podrá rastrearlo".
La conectividad del automóvil a Internet es realmente buena para los propietarios de vehículos: los fabricantes pueden enviar correcciones de errores de software al instante en caso de que sean necesarias. Al momento de escribir este artículo, Volkswagen,25 Land Rover, 26 y Chrysler27 han experimentado vulnerabilidades de software de alto perfil. Sin embargo, solo unos pocos fabricantes de automóviles, como Mercedes, Tesla y Ford, envían actualizaciones inalámbricas a todos sus automóviles. El resto de nosotros todavía tenemos que ir al taller para actualizar el software de nuestro automóvil.
Si crees que la forma en que Tesla y Uber rastrean cada viaje que haces es aterradora, entonces los autos sin conductor serán aún más aterradores. Al igual que los dispositivos de vigilancia personal que guardamos en nuestros bolsillos (nuestros teléfonos celulares), los autos autónomos necesitarán realizar un seguimiento de a dónde queremos ir y tal vez incluso saber dónde estamos en un momento dado para estar siempre listos. El escenario propuesto por Google y otros es que las ciudades ya no necesitarán estacionamientos o garajes: su automóvil conducirá hasta que se necesite. O tal vez las ciudades sigan el modelo bajo demanda, en el que la propiedad privada es cosa del pasado y todos comparten el automóvil que tienen cerca.
Así como nuestros teléfonos móviles se parecen menos a los teléfonos con hilos de cobre que a los
MachineTranslatedbyGoogle
Al igual que las PC tradicionales, los automóviles autónomos también serán una nueva forma de computadora.
Serán dispositivos informáticos autónomos, capaces de tomar decisiones autónomas en una fracción de segundo mientras conducen en caso de que se corten las comunicaciones de su red. Usando conexiones celulares, podrán acceder a una variedad de servicios en la nube, lo que les permitirá recibir información de tráfico en tiempo real, actualizaciones de construcción de carreteras e informes meteorológicos del Servicio Meteorológico Nacional.
Estas actualizaciones están disponibles en algunos vehículos convencionales en este momento. Pero se pronostica que para 2025 la mayoría de los autos en la carretera estarán conectados (a otros autos, a los servicios de asistencia en la carretera) y es probable que un porcentaje considerable de estos sean autónomos.28 Imagínese qué error de software en un se vería un coche autónomo.
Mientras tanto, cada viaje que hagas quedará registrado en alguna parte. Necesitará una aplicación, muy parecida a la aplicación de Uber, que estará registrada para usted y para su dispositivo móvil. Esa aplicación registrará sus viajes y, presumiblemente, los gastos asociados con su viaje si se cargan a la tarjeta de crédito registrada, que podría ser citada, si no de Uber, entonces de su compañía de tarjeta de crédito. Y dado que lo más probable es que una empresa privada participe en el diseño del software que hace funcionar estos autos sin conductor, estaría a merced de esas empresas y de sus decisiones sobre si compartir parte o toda su información personal con las fuerzas del orden. agencias
Bienvenido al futuro. Espero que cuando lea esto haya regulaciones más estrictas, o al menos un indicio de regulaciones más estrictas en el futuro cercano, con respecto a la fabricación de automóviles conectados y sus protocolos de comunicación. En lugar de utilizar prácticas de seguridad de software y hardware ampliamente aceptadas que son estándar hoy en día, la industria automotriz, al igual que la industria de dispositivos médicos y otras, está intentando reinventar la rueda, como si no hubiéramos aprendido mucho sobre la seguridad de la red en los últimos cuarenta años. años. Lo hemos hecho, y sería mejor si estas industrias comenzaran a seguir las mejores prácticas existentes en lugar de insistir en que lo que están haciendo es radicalmente diferente de lo que se ha hecho antes. No es. Desafortunadamente, la falta de seguridad del código en un automóvil tiene consecuencias mucho mayores que un simple bloqueo del software, con su pantalla azul de muerte.
En un automóvil, esa falla podría dañar o matar a un ser humano. A
MachineTranslatedbyGoogle
Al momento de escribir este artículo, al menos una persona ha muerto mientras un Tesla estaba en el modo de piloto automático beta, ya sea que el resultado de frenos defectuosos o un error de juicio por parte del software del automóvil aún no se ha resuelto.29 Al leer esto, es posible que no desee dejar tu casa. En el próximo capítulo, analizaré las formas en que los dispositivos de nuestros hogares escuchan y graban lo que hacemos a puerta cerrada. En este caso, no es al gobierno al que debemos temer.
MachineTranslatedbyGoogle
CAPÍTULO DOCE
Internet de la vigilancia
Hace unos años a nadie le importaba el termostato de tu hogar. Era un simple termostato operado manualmente que mantenía su hogar a una temperatura agradable. Entonces los termostatos se volvieron programables. Y luego, una empresa, Nest, decidió que debería poder controlar su termostato programable con una aplicación basada en Internet. Puedes sentir a dónde voy con esto, ¿verdad? En una reseña vengativa del producto del termostato con pantalla táctil inteligente Wi-Fi de Honeywell, alguien que se hace llamar el General escribió en Amazon que su exesposa se quedó con la casa, el perro y el 401(k), pero conservó la contraseña del Termostato Honeywell. Cuando la ex esposa y su novio estaban fuera de la ciudad, el general afirmó que subiría la temperatura de la casa y luego la bajaría antes de que regresaran: “Solo puedo imaginar cuál será su factura de electricidad. Me hace sonreír”.1 Los investigadores de Black Hat USA 2014, una conferencia para personas de la industria de la seguridad de la información, revelaron algunas formas en las que el firmware de un termostato Nest podría verse comprometido.2 Es importante tener en cuenta que muchas de estas los compromisos requieren acceso físico al dispositivo, lo que significa que alguien tendría que entrar a su casa e instalar un puerto USB en el termostato. Daniel Buentello, un investigador de seguridad
independiente, uno de los cuatro presentadores que hablaron sobre la piratería independiente, del dispositivo, dijo: "Este es un
MachineTranslatedbyGoogle
computadora en la que el usuario no puede instalar un antivirus. Peor aún, hay una puerta trasera secreta que una mala persona podría usar y permanecer allí para siempre. Es literalmente una mosca en la pared”.3 El equipo de investigadores mostró un video en el que cambiaron la interfaz del termostato Nest (hicieron que pareciera la lente de la cámara en forma de pecera HAL 9000) y cargaron otras características nuevas. Curiosamente, no pudieron desactivar la función de informes automáticos dentro del dispositivo, por lo que el equipo produjo su propia herramienta para hacerlo.4 Esta herramienta cortaría el flujo de datos que regresaba a Google, la empresa matriz de Nest. Al comentar sobre la presentación, Zoz Cuccias de Nest le dijo más tarde a VentureBeat: “Todos
los dispositivos de hardware, desde computadoras portátiles
hasta teléfonos inteligentes, son susceptibles de fugas; esto no es un problema único. Este es un jailbreak físico que requiere acceso físico al Nest Learning Thermostat. Si alguien lograra ingresar a su hogar y pudiera elegir, es probable que instale sus propios dispositivos o se lleve las joyas. Este jailbreak no compromete la seguridad de nuestros servidores o las conexiones a ellos y, hasta donde sabemos, no se ha accedido ni comprometido ningún dispositivo dispositivo de forma remota. La seguridad del cliente es muy importante para nosotros y nuestra máxima prioridad son las vulnerabilidades remotas. Una de sus mejores defensas es comprar una Dropcam Pro para que pueda monitorear su hogar cuando no esté allí”. que otros productos utilizarán. En otras palabras, estas empresas quieren que los dispositivos desarrollados por otras empresas se conecten a sus servicios y no a los de otra persona. Google posee tanto Dropcam como Nest, pero quieren que otros dispositivos de Internet de las cosas, como bombillas inteligentes inteligentes y monitores para bebés, también se conecten a su cuenta de Google. La ventaja de esto, al menos para Google, es que pueden recopilar más datos sin procesar sobre sus hábitos personales (y esto se aplica a cualquier gran empresa: Apple, Samsung e incluso Honeywell).
Al hablar sobre el Internet de las cosas, el experto en seguridad informática Bruce Schneier concluyó en una entrevista: “Esto se parece mucho al campo informático de los años noventa. Nadie está prestando atención a la seguridad, nadie está actualizando, nadie sabe nada; todo es muy, muy malo y se va a derrumbar... Habrá
vulnerabilidades, serán explotadas por los malos, y habrá no hay manera de parchearlos.”6
MachineTranslatedbyGoogle
Para probar ese punto, en el verano de 2013, el periodista Kashmir Hill hizo algunos reportajes de investigación y pirateó computadoras. Al usar una búsqueda en Google, encontró una frase simple que le permitía controlar algunos dispositivos de concentrador Insteon para el hogar. Un concentrador es un dispositivo central que brinda acceso a una aplicación móvil o a Internet directamente. A través de la aplicación, las personas pueden controlar la iluminación de sus salas de estar, cerrar las puertas de sus casas o ajustar la temperatura de sus hogares. A través de Internet, el propietario puede ajustar estas cosas durante, por ejemplo, un viaje de negocios. Como mostró Hill, un atacante también podría usar Internet para comunicarse de forma remota con el concentrador. Como prueba adicional, se acercó a Thomas Hatley, un completo extraño, en Oregón, y le preguntó si podía usar su casa como prueba. caso. Desde su casa en San Francisco, Hill pudo encender y apagar las luces dentro de la casa de Hatley, a unas seiscientas millas de la costa del Pacífico. También podría haber controlado sus bañeras de hidromasaje, ventiladores, televisores, bombas de agua, puertas de garaje y cámaras de videovigilancia si él las hubiera conectado. El problema, ahora corregido, fue que Insteon hizo que toda la información de Hatley estuviera disponible en Google. Peor aún, el acceso a esta información no estaba protegido por una contraseña en ese momento: cualquier persona que tropezara con este hecho podría controlar cualquier centro de Insteon que pudiera encontrarse en línea. El enrutador de Hatley tenía una contraseña, pero se podía eludir buscando el puerto utilizado por Insteon, que es lo que hizo Hill. “La casa de Thomas Hatley fue una de las ocho a las que pude acceder”, escribió Hill. “Se reveló información confidencial, no solo qué electrodomésticos y dispositivos tenían las personas, sino también su zona horaria (junto con la ciudad importante más cercana a su hogar), direcciones IP e incluso el nombre de un niño; aparentemente, los padres querían tener la capacidad de desconectar su televisor desde lejos. En al menos tres casos, hubo suficiente información para vincular vincular las casas en Internet con sus ubicacione ubicaciones s en el mundo real. Los nombres de la mayoría de los sistemas eran genéricos, pero en uno de esos casos, incluía la dirección de una calle que pude rastrear hasta una casa en Connecticut” .7 Casi al mismo tiempo, Nitesh Dhanjani encontró un problema similar. , un investigador de seguridad. Dhanjani estaba mirando en particular el sistema de iluminación Philips Hue, que permite al propietario ajustar el color y el brillo de una bombilla desde un
dispositivo móvil. La bombilla tiene un alcance de dieciséis millones.
MachineTranslatedbyGoogle
colores. Dhanjani descubrió que un simple script insertado en una computadora doméstica en la red doméstica era suficiente para provocar un ataque distribuido de denegación de servicio, o ataque DDoS, en el sistema de iluminación.8 En otras palabras, podía hacer cualquier habitación con un Hue la bombilla se apaga a voluntad. Lo que escribió fue un código simple para que cuando el usuario reinicie la bombilla, se apague rápidamente de nuevo y siga apagándose mientras el código esté presente. Dhanjani dijo que esto podría significar serios problemas para un edificio de oficinas o de apartamentos. El código haría que todas las luces no funcionaran, y las personas afectadas llamarían a la empresa de servicios públicos local solo para descubrir que no había cortes de energía en su área. Si bien los dispositivos de automatización del hogar accesibles por Internet pueden ser el objetivo directo de los ataques DDoS, también pueden verse comprometidos y unirse a una red de bots: un ejército de dispositivos infectados bajo un controlador que se puede usar para lanzar ataques DDoS contra otros sistemas en Internet. . En octubre de 2016, una empresa llamada Dyn, que maneja los servicios de infraestructura de DNS para las principales marcas de Internet como Twitter, Reddit y Spotify, se vio muy afectada por uno de estos ataques. Millones de usuarios en la parte este de los Estados Unidos no pudieron acceder a muchos sitios importantes porque sus navegadores no pudieron acceder a los servicios DNS de Dyn. El culpable fue una pieza de malware llamada Mirai, un programa malicioso que recorre Internet en busca de dispositivos inseguros de Internet de las cosas, como cámaras de CCTV, enrutadores, DVR y monitores para bebés, para secuestrar y aprovechar en futuros ataques. Mirai intenta apoderarse del dispositivo simplemente adivinando la contraseña. Si el ataque tiene éxito, el dispositivo se une a una botnet donde espera instrucciones. Ahora, con un simple comando de una línea, el operador de la red de bots puede indicar a todos los dispositivos, cientos de miles o millones de ellos, que envíen datos a un sitio de destino e inundarlo con información, obligándolo a desconectarse. Si bien no puede evitar que los piratas informáticos lancen ataques DDoS contra otros, puede volverse invisible para sus botnets. El primer elemento del negocio al implementar un dispositivo de Internet de las cosas es cambiar la contraseña a algo difícil de adivinar. Si ya tiene un dispositivo implementado, reiniciarlo debería eliminar cualquier
código malicioso existente.
MachineTranslatedbyGoogle
Los scripts de computadora pueden afectar otros sistemas de hogares inteligentes.
Si tiene un recién nacido en su hogar, también puede tener un monitor de bebé. Este dispositivo, ya sea un micrófono o una cámara o una combinación de ambos, permite a los padres estar fuera de la sala de recién nacidos y seguir a su bebé. Desafortunadamente, estos dispositivos dispositivos también pueden invitar a otros a observar al niño. Los monitores de bebés analógicos utilizan frecuencias inalámbricas retiradas en el rango de 43 a 50 MHz. Estas frecuencias se usaron por primera vez para teléfonos inalámbricos en la década de 1990, y cualquier persona con un escáner de radio barato podría interceptar fácilmente llamadas de teléfonos inalámbricos sin que el objetivo supiera lo que sucedió. Incluso hoy en día, un pirata informático podría usar un analizador de espectro para descubrir la frecuencia que usa un monitor de bebé analógico en particular, y luego emplear varios esquemas de demodulación para convertir la señal eléctrica en audio. Un escáner policial de una tienda de electrónica también sería suficiente. Ha habido numerosos casos legales en los que los vecinos que usaban la misma marca de monitores para bebés configurados en el mismo canal se escuchaban a escondidas entre sí. En 2009, Wes Denkov de Chicago demandó a los fabricantes del monitor de video para bebés Summer Infant Day & Night, alegando que su vecino podía escuchar conversaciones privadas en su casa.9
Como contramedida, es posible que desee utilizar un monitor de bebé digital. Estos siguen siendo vulnerables a las escuchas, pero tienen mejor seguridad y más opciones de configuración. Por ejemplo, puede actualizar el firmware del monitor (el software en el chip) inmediatamente después de la compra. También asegúrese de cambiar el nombre de usuario y la contraseña predeterminados. Una vez más, es posible que se encuentre con una elección de diseño que está fuera de su control. Nitesh Dhanjani descubrió que el vigilabebés inalámbrico Belkin WeMo utiliza un token en una aplicación que, una vez instalada en su dispositivo móvil y utilizada en su red doméstica, permanece activa, desde cualquier parte del mundo. Supongamos que acepta cuidar a su sobrina recién nacida y su hermano lo invita a descargar la aplicación de Belkin en su teléfono a través de su red doméstica local (con un poco de suerte, está protegida con una contraseña WPA2). Ahora tiene acceso al monitor de bebé de su hermano desde todo el país, desde todo el mundo. Dhanjani señala que esta falla de diseño está presente en muchos dispositivos
interconectados de Internet de las cosas. Básicamente, estos dispositivos asumen que todo en la red local es confiable. Si, como algunos creen, todos tenemos veinte o
MachineTranslatedbyGoogle
treinta dispositivos de este tipo en nuestros hogares dentro de poco, el modelo de seguridad tendrá que cambiar. Dado que todo en la red es confiable, una falla en cualquier dispositivo (el monitor de su bebé, la bombilla, el termostato) podría permitir que un atacante remoto ingrese a su red doméstica inteligente y darle la oportunidad de aprender aún más sobre sus hábitos personales.
Mucho antes de las aplicaciones móviles, existían los controles remotos portátiles. La mayoría de nosotros somos demasiado jóvenes para recordar los días antes de que los televisores tuvieran controles remotos, los días en que las personas tenían que levantarse físicamente del sofá y girar un dial para cambiar de canal. O para subir el volumen. Hoy, desde la comodidad de nuestros sofás, solo podemos instruir al televisor con nuestras palabras. Eso puede ser muy conveniente, pero también significa que el televisor está escuchando, aunque solo sea para que el comando se encienda solo. En los primeros días, los controles remotos de los televisores requerían una línea de visión directa y funcionaban utilizando luz, específicamente, tecnología infrarroja. Un control remoto a batería emitiría una secuencia de destellos de luz apenas visibles para el ojo humano pero visibles (nuevamente, dentro de la línea de visión) para un receptor en el televisor. ¿Cómo sabría el televisor si querías encenderlo cuando estaba apagado? Simple: el sensor de infrarrojos ubicado dentro del televisor siempre estaba encendido, en espera, esperando una secuencia particular de pulsos de luz infrarroja del control remoto de mano para despertarlo. Los televisores con control remoto evolucionaron a lo largo de los años para incluir señales inalámbricas, lo que significaba que no tenía que pararse directamente frente al televisor; podrías estar a un lado, a veces incluso en otra habitación. Nuevamente, el televisor estaba encendido en modo de espera, esperando la señal adecuada para despertarlo. Avance rápido a televisores activados por voz. Estos televisores eliminan el control remoto que tienes en la mano, que, si eres como yo, nunca puedes encontrar cuando lo deseas de todos modos. En su lugar, dices algo tonto como "TV encendida" o "Hola, TV" y la TV, mágicamente, se enciende. En la primavera de 2015, los investigadores de seguridad Ken Munro y David Lodge querían ver si los televisores Samsung activados por voz escuchaban las conversaciones en la habitación, incluso cuando el televisor no estaba en uso. Si bien descubrieron que los televisores digitales, de hecho, permanecen inactivos cuando están apagados, lo cual es
tranquilizador, los televisores graban todo lo que se habla después de que les da un comando simple, como "Hola, TV" (es decir, graban todo hasta que el la televisión es
MachineTranslatedbyGoogle
ordenó que se apagara de nuevo). ¿Cuántos de nosotros recordaremos mantenernos absolutamente callados mientras la televisión está encendida? No lo haremos, y para hacer las cosas aún más inquietantes, lo que decimos (y lo que se graba) después del comando "Hola, TV" no está encriptado. Si puedo conectarme a la red de su hogar, puedo escuchar cualquier conversación que tenga en su hogar mientras el televisor está encendido. El argumento a favor de mantener el televisor en modo de escucha es que el dispositivo necesita escuchar cualquier comando adicional que pueda darle, como "Subir volumen", "Cambiar el canal" y "Silenciar el sonido". Eso podría estar bien, excepto que los comandos de voz capturados suben a un satélite antes de volver a bajar.
Y debido a que toda la cadena de datos no está encriptada, puedo llevar a cabo un ataque de intermediario en su televisor, insertando mis propios comandos para cambiar su canal, subir el volumen o simplemente apagar el televisor cuando quiera. desear.
Pensemos en eso por un segundo. Eso significa que si está en una habitación con un televisor activado por voz, en medio de una conversación con alguien, y decide encender el televisor, el flujo de conversación que sigue puede ser grabado por su televisor digital. Además, esa conversación grabada sobre la próxima venta de pasteles en la escuela primaria puede transmitirse a un servidor en algún lugar lejos de su sala de estar. De hecho, Samsung transmite esos datos no solo a sí mismo sino también a otra empresa llamada Nuance, una empresa de software de reconocimiento de voz. Esas son dos empresas que tienen información vital sobre la próxima venta de pasteles.
Y seamos realistas aquí: la conversación promedio que está teniendo en su sala de televisión probablemente no se trate de una venta de pasteles. Tal vez estés hablando de algo ilegal, que la policía podría querer saber. Es muy probable que estas empresas informen a la policía, pero si la policía, por ejemplo, ya estuviera interesada en usted, los agentes podrían obtener una orden judicial que obligue a estas empresas a proporcionar transcripciones completas. “Lo siento, pero fue tu televisor inteligente el que te narcó…”
Samsung, en su defensa, ha declarado que tales escenarios de espionaje se mencionan en el acuerdo de privacidad que todos los usuarios aceptan implícitamente cuando encienden el televisor. Pero, ¿cuándo fue la última vez que leyó un acuerdo de privacidad antes de encender un dispositivo
por primera vez? Samsung dice que en un futuro cercano todas sus comunicaciones de TV estarán encriptadas.10 Pero a partir de 2015,
MachineTranslatedbyGoogle
la mayoría de los modelos en el mercado no están protegidos. Afortunadamente, hay formas de desactivar esta función similar a HAL 9000 en su Samsung y presumiblemente también en los televisores de otros fabricantes. En el Samsung PN60F8500 y productos similares, vaya al menú Configuración, seleccione "Funciones inteligentes" y luego, en "Reconocimiento de voz", seleccione "Desactivado". Pero si desea evitar que su televisor pueda grabar conversaciones confidenciales en su hogar, tendrá que sacrificar la posibilidad de entrar a una habitación y ordenar por voz que se encienda su televisor. Todavía puede, con el control remoto en la mano, seleccionar el botón del micrófono y decir sus comandos. O podrías levantarte del sofá y cambiar los canales tú mismo. Lo sé. La vida es dura.
Los flujos de datos sin cifrar no son exclusivos de Samsung. Mientras probaba los televisores inteligentes LG, un investigador descubrió que los datos se envían a LG a través de Internet cada vez que el espectador cambia de canal. El televisor también tiene una opción de configuración llamada "Recopilación de información de visualización", habilitada de forma predeterminada. Su "información de observación" incluye los nombres de los archivos almacenados en cualquier unidad USB que conecte a su televisor LG, por ejemplo, una que contenga fotos de sus vacaciones familiares. Los investigadores llevaron a cabo otro experimento en el que crearon un archivo de video simulado y lo cargaron en una unidad USB, luego lo conectaron a su televisor. Cuando analizaron el tráfico de la red, encontraron que el nombre del archivo de video se transmitió sin cifrar dentro del tráfico http y se envió a la dirección GB.smartshare.lgtvsdp.com.
Sensory, una empresa que fabrica soluciones integradas de reconocimiento de voz para productos inteligentes, cree que puede hacer aún más. “Creemos que la magia en [los televisores inteligentes] es dejarlo siempre encendido y siempre escuchando”, dice Todd Mozer, director ejecutivo de Sensory. “En este momento [escuchar] consume demasiada energía para hacer eso. Samsung hizo algo realmente inteligente y creó un modo de escucha. Queremos ir más allá y hacerlo siempre encendido, siempre escuchando sin importar dónde se encuentre”. 11 Ahora que sabe de lo que es capaz su televisor digital, es posible que se pregunte: ¿Puede su teléfono celular escuchar a escondidas cuando está apagado? Hay tres campamentos. Sí, no, y depende.
Hay quienes en la comunidad de la privacidad juran que tienes que sacar la batería de tu teléfono
inteligente apagado para asegurarte de que no esté escuchando. No parece haber mucha evidencia para apoyar esto; es
MachineTranslatedbyGoogle
en su mayoría anecdótico. Luego están las personas que juran que simplemente apagar el teléfono es suficiente; caso cerrado. Pero creo que en realidad hay instancias, por ejemplo, si se agrega malware a un teléfono inteligente, cuando no se apaga por completo y aún podría grabar conversaciones cercanas. Así que depende de una variedad de factores.
Hay algunos teléfonos que se activan cuando dices una frase mágica, al igual que los televisores activados por voz. Esto implicaría que los teléfonos están escuchando en todo momento, esperando la frase mágica. Esto también implicaría que lo que se dice se está grabando o transmitiendo de alguna manera. En algunos teléfonos infectados con malware eso es cierto: la cámara o el micrófono del teléfono se activan cuando no hay una llamada en curso. Estos casos, creo, son raros.
Pero volvamos a la pregunta principal. Hay algunos en la comunidad de privacidad que juran que puedes activar un teléfono cuando está apagado. Hay malware que puede hacer que el teléfono parezca estar apagado cuando no lo está. Sin embargo, la posibilidad de que alguien pueda activar un teléfono apagado (sin batería) me parece imposible. Básicamente, cualquier dispositivo que tenga energía de batería que permita que su software esté en estado de ejecución puede ser explotado. No es difícil que una puerta trasera de firmware haga que el dispositivo parezca que está apagado cuando no lo está. Un dispositivo sin energía no puede hacer nada. ¿O puede? Algunos todavía argumentan que la NSA ha colocado chips en nuestros teléfonos que proporcionan energía y permiten el seguimiento incluso cuando el teléfono está físicamente apagado (incluso si se extrae la batería física).
Ya sea que su teléfono sea capaz de escuchar o no, el navegador que usa ciertamente lo es. Alrededor de 2013, Google comenzó lo que se llama hotwording, una función que le permite dar un comando simple que activa el modo de escucha en Chrome. Otros han seguido su ejemplo, incluidos Siri de Apple, Cortana de Microsoft y Alexa de Amazon. Por lo tanto, su teléfono, su PC tradicional y ese dispositivo independiente en su mesa de café contienen servicios de back-end en la nube que están diseñados para responder a comandos de voz como "Siri, ¿qué tan lejos está la estación de servicio más cercana? ?” Lo que significa que escuchan. Y si eso no te preocupa, debes saber que las búsquedas realizadas por estos servicios se registran y guardan indefinidamente.
12 Indefinidamente.
Entonces, ¿cuánto oyen estos dispositivos? En realidad, es un poco confuso lo que hacen cuando no están respondiendo preguntas o encendiendo su televisor y
MachineTranslatedbyGoogle
apagado. Por ejemplo, utilizando la versión tradicional para PC del navegador Chrome, los investigadores descubrieron que alguien (¿Google?) parecía estar escuchando todo el tiempo al habilitar el micrófono. Esta función llegó a Chrome desde su equivalente de código abierto, un navegador conocido como Chromium. En 2015, los investigadores descubrieron que alguien (¿Google?) parecía estar escuchando todo el tiempo. Tras una investigación más profunda, descubrieron que esto se debe a que el navegador enciende el micrófono de forma predeterminada. A pesar de estar incluido en el software de código abierto, este código no estaba disponible para su inspección. Hay varios problemas con esto. Primero, "código abierto" significa que las personas deberían poder ver el código, pero en este caso el código era una caja negra, un código que nadie había examinado. En segundo lugar, este código llegó a la versión popular del navegador a través de una actualización automática automática de Google, que los usuarios no tuvieron la oportunidad de rechazar. Y a partir de 2015 Google no lo ha eliminado. Ofrecieron un medio para que las personas optaran por no participar, pero esa opción requiere habilidades de codificación tan complicadas que los usuarios promedio no pueden hacerlo por sí mismos . y otros programas. Para la cámara web, simplemente coloque un trozo de cinta adhesiva sobre ella. Para el micrófono, una de las mejores defensas es colocar un enchufe de micrófono ficticio en la toma de micrófono de su PC tradicional. Para hacer esto, consiga unos auriculares o audífonos viejos y rotos y simplemente corte el cable cerca del conector del micrófono. Ahora conecte ese trozo de un conector de micrófono en el enchufe. Su computadora pensará que hay un micrófono allí cuando no lo hay. Por supuesto, si desea realizar una llamada a través de Skype o algún otro servicio en línea, primero deberá quitar el enchufe. Además, y esto es muy importante, asegúrese de que los dos cables en el extremo del micrófono no se toquen para que no se fríe el puerto del micrófono.
Otro dispositivo conectado que vive en el hogar es Amazon Echo, un centro de Internet que permite a los usuarios pedir películas a pedido y otros productos de Amazon con solo hablar. El Echo también está siempre encendido, en modo de espera, escuchando cada palabra, esperando la "palabra de activación". Debido a que Amazon Echo hace más que un televisor inteligente, requiere que los usuarios primerizos hablen hasta veinticinco frases específicas en el dispositivo antes
de darle cualquier comando. Amazon puede indicarle el clima exterior, brindarle los últimos resultados deportivos deportivos y ordenar o reordenar artículos de su
MachineTranslatedbyGoogle
colección si usted lo solicita. Dada la naturaleza genérica de algunas de las frases que reconoce Amazon, por ejemplo, "¿Lloverá mañana?", Es lógico que su Echo esté escuchando más que su televisor inteligente. Afortunadamente, Amazon ofrece formas de eliminar sus datos de voz de Echo.14 Si desea eliminar todo (por ejemplo, si planea vender su Echo a otra parte), debe conectarse a Internet para hacerlo.15 Si bien todos estos dispositivos activados por voz requieren una frase específica para despertarse, no está claro qué hace cada dispositivo durante el tiempo de inactividad, el momento en que nadie le ordena que haga nada. Cuando sea posible, desactive la función de activación por voz en los ajustes de configuración. Siempre puedes volver a encenderlo cuando lo necesites. Uniéndose al Amazon Echo en el Internet de las cosas, además de su televisor y termostato, está su refrigerador. ¿Refrigerador? Samsung ha anunciado un modelo de refrigerador que se conecta con su calendario de Google para mostrar los próximos eventos en una pantalla plana incrustada en la puerta del electrodoméstico, algo así como esa pizarra que alguna vez tuvo en su lugar. Solo que ahora el frigorífico se conecta a Internet a través de tu cuenta de Google. Samsung hizo varias cosas bien al diseñar este refrigerador inteligente. Incluyeron una conexión SSL/https para que el tráfico entre el refrigerador y el servidor de Google Calendar esté encriptado. Y presentaron su refrigerador futurista para probarlo en DEF CON 23, una de las convenciones de hackers más intensas del mundo. Pero según los investigadores de seguridad Ken Munro y David Lodge, las personas que hackearon las comunicaciones de la televisión digital, Samsung no verificó el certificado para comunicarse con los servidores de Google y obtener la información del calendario de Gmail. Un certificado validaría que las comunicaciones entre el refrigerador y los servidores de Google son seguras. Pero sin él, alguien con intenciones maliciosas podría aparecer y crear su propio certificado, lo que le permitiría espiar la conexión entre su refrigerador y Google.16 ¿Y qué?
Bueno, en este caso, al estar en su red doméstica, alguien no podría
MachineTranslatedbyGoogle
solo obtenga acceso a su refrigerador y eche a perder su leche y huevos, pero también obtenga acceso a la información de su cuenta de Google al realizar un ataque de hombre en el medio en el cliente del calendario del refrigerador y robar sus credenciales de inicio de sesión de Google, lo que le permite a él o ella lea su Gmail y tal vez haga un daño aún mayor. Los refrigeradores inteligentes aún no son la norma. Pero es lógico que a medida que conectemos más dispositivos a Internet, e incluso a nuestras redes domésticas, habrá fallas en la seguridad. Lo cual es aterrador, especialmente cuando lo que se compromete es algo realmente precioso y privado, como tu hogar. Las empresas de Internet de las cosas están trabajando en aplicaciones que convertirán cualquier dispositivo en un sistema de seguridad para el hogar. Su televisor, por ejemplo, algún día podría contener una cámara. En ese escenario, una aplicación en un teléfono inteligente o tableta podría permitirle ver cualquier habitación de su hogar u oficina desde cualquier ubicación remota. Las luces también se pueden encender cuando hay movimiento dentro o fuera de la casa. En un escenario, puede conducir hasta su casa y, mientras lo hace, la aplicación del sistema de alarma en su teléfono o en su automóvil utiliza sus capacidades de geolocalización integradas para detectar su llegada. Cuando estás a quince metros de distancia, la aplicación le indica al sistema de alarma de la casa que desbloquee la puerta delantera o del garaje (la aplicación en tu teléfono ya se conectó a la casa y se autenticó). El sistema de alarma contacta además con el sistema de iluminación del hogar, pidiéndole que ilumine el porche, la entrada y tal vez la sala de estar o la cocina. Además, es posible que desee ingresar a su hogar mientras se reproduce música de cámara suave o la última melodía Top 40 de un servicio como Spotify en el estéreo. Y por supuesto la temperatura de la casa calienta o enfría, según la estación y tus preferencias, ahora que estás de nuevo en casa. Las alarmas para el hogar se hicieron populares a principios del siglo XXI. Los sistemas de alarma para el hogar en ese momento requerían que un técnico montara sensores cableados en las puertas y ventanas de la casa. Estos sensores cableados estaban conectados a un concentrador central que usaba una línea fija cableada para enviar y recibir mensajes del servicio de monitoreo. Pondría la alarma, y si alguien comprometiera las puertas y ventanas aseguradas, el servicio de monitoreo se comunicaría con usted,
generalmente por teléfono. A menudo se proporcionaba una batería en caso de que se cortara la energía. Tenga en cuenta que un teléfono fijo generalmente nunca pierde energía a menos que se corte el cable a la casa.
MachineTranslatedbyGoogle
Cuando mucha gente se deshizo de sus líneas fijas de cobre y se basó únicamente en sus servicios de comunicación móvil, las empresas de monitoreo de alarmas comenzaron a ofrecer conexiones basadas en celulares. Últimamente han cambiado a servicios de aplicaciones basados en Internet. Los sensores de alarma en las puertas y ventanas ahora son inalámbricos. Ciertamente hay menos perforaciones y tendidos de cables feos, pero también hay más riesgo. Los investigadores han encontrado repetidamente que las señales de estos sensores inalámbricos no están encriptadas. Un posible atacante solo necesita escuchar las comunicaciones entre los dispositivos para comprometerlos. Por ejemplo, si puedo violar su red local, puedo espiar las comunicaciones entre los servidores de su compañía de alarmas y su dispositivo doméstico (suponiendo que esté en la misma red local y no esté encriptado), y al manipular esas comunicaciones puedo comenzar a controlar su hogar inteligente, falsificando comandos para controlar el sistema. Las empresas ahora brindan servicios de monitoreo del hogar "hágalo usted mismo". Si se altera algún sensor, su teléfono celular se ilumina con un mensaje de texto informándole del cambio. O tal vez la aplicación proporciona una imagen de cámara web desde el interior de la casa. De cualquier manera, usted tiene el control y está monitoreando la casa usted mismo. Eso es genial hasta que se va el Internet de tu casa. afuera.
Incluso cuando Internet está funcionando, los malos aún pueden subvertir o suprimir estos sistemas de alarma inalámbricos de bricolaje. Por ejemplo, un atacante puede activar falsas alarmas (que en algunas ciudades debe pagar el propietario). Los dispositivos que crean falsas alarmas pueden activarse desde la calle frente a su casa o hasta 250 yardas de distancia. Demasiadas falsas alarmas podrían hacer que el sistema no sea confiable (y que el dueño de la casa se quede sin dinero por una tarifa considerable). O el atacante podría bloquear las señales del sensor inalámbrico de bricolaje enviando ruido de radio para evitar la comunicación con el concentrador principal o el panel de control. Suprime la alarma y evita que suene, neutralizando efectivamente la protección y permitiendo que el criminal entre.
Mucha gente ha instalado cámaras web en sus hogares, ya sea por seguridad, para monitorear a una persona que limpia o a una niñera, o para controlar un
MachineTranslatedbyGoogle
adulto mayor confinado en el hogar o un ser querido con necesidades especiales. Desafortunadamente, muchas de estas cámaras web a través de Internet son vulnerables a ataques remotos. Hay un motor de búsqueda web disponible públicamente conocido como Shodan que expone dispositivos no tradicionales configurados para conectarse a Internet.17 Shodan muestra resultados no solo de sus dispositivos de Internet de las cosas en el hogar, sino también de redes internas de servicios públicos municipales y sistemas de control industrial que han sido mal configurados. para conectar sus servidores a la red pública. También muestra flujos de datos de innumerables cámaras web comerciales mal configuradas en todo el mundo. Se ha estimado que en un día determinado puede haber hasta cien mil cámaras web con poca o ninguna seguridad transmitiendo a través de Internet.
Entre estas se encuentran cámaras de Internet sin autenticación predeterminada de una empresa llamada D-Link, que se pueden usar para espiar a las personas en sus momentos privados (dependiendo de lo que estas cámaras estén configuradas para capturar). Un atacante puede usar los fil filtros tros de Google para buscar "cámaras de Internet D-Link". Luego, el atacante puede buscar los modelos que por defecto no tienen autenticación, luego ir a un sitio web como Shodan, hacer clic en un enlace y ver las secuencias de video cuando lo desee.
Para ayudar a prevenir esto, mantenga sus cámaras web w eb accesibles por Internet apagadas cuando no estén en uso. Desconéctelos físicamente para asegurarse de que estén apagados. Cuando estén en uso, asegúrese de que tengan la autenticación adecuada y que estén configuradas con una contraseña personalizada fuerte, no la predeterminada. Si cree que su hogar es una pesadilla de privacidad, espere a ver su lugar de trabajo. Lo explicaré en el siguiente capítulo.
MachineTranslatedbyGoogle
CAPÍTULO TRECE
Cosas que tu jefe no quiere que sepas
Si has leído hasta aquí, obviamente te preocupa preo cupa privacidad, pero para la mayoría de nosotros no se trata de esconderse del gobierno federal. Más bien, sabemos que cuando estamos en el trabajo, nuestros empleadores pueden ver exactamente lo que estamos haciendo en línea a través de sus redes (por ejemplo, compras, juegos, holgazanear). ¡Muchos de nosotros solo queremos cubrir nuestros trase traseros! ros! Y eso es cada vez más difícil de hacer, gracias en parte a los teléfonos celulares que tenemos. Cada vez que Jane Rodgers, gerente de finanzas de una empresa de paisajismo de Chicago, quiere saber si sus empleados en el campo están donde deberían estar, busca sus ubicaciones exactas en su computadora portátil. Al igual que muchos gerentes y propietarios de empresas, está recurriendo al software de seguimiento en los teléfonos inteligentes y camiones de servicio de propiedad corporativa habilitados personalmente (COPE) con dispositivos GPS para vigilar a sus empleados. Un día, un cliente le preguntó a Jane si uno de sus paisajistas había ido a realizar un servicio. Después de algunas pulsaciones de teclas, Jane verificó que entre las 10:00 am y las 10:30 am uno de sus empleados había estado en el lugar especificado. El servicio telemático que utiliza Rodgers proporciona capacidades más allá de la geolocalización. Por ejemplo, en sus nueve teléfonos propiedad de la empresa, también puede ver fotos, mensajes de texto y correos electrónicos enviados por sus jardineros. Ella también tiene acceso a sus registros de llamadas y visitas al sitio web. Pero Rodgers dice
que ella solo usa la función GPS.1 El rastreo GPS en la industria de servicios ha estado disponible durante mucho tiempo.
MachineTranslatedbyGoogle
Junto con el propio sistema ORION de selección de ruta algorítmica de United Parcel Service, ha permitido a la empresa de entrega de paquetes reducir los gastos de gasolina al monitorear y sugerir rutas optimizadas para sus conductores. La compañía también pudo tomar medidas enérgicas contra los conductores perezosos. De esta forma, UPS ha aumentado su volumen en 1,4 millones de paquetes adicionales por día, con mil conductores menos.2 Todo esto es bueno para los empleadores, quienes argumentan que al obtener márgenes más altos, a su vez pueden permitirse pagar mejores salarios. Pero, ¿cómo se sienten los empleados? Hay un inconveniente en toda esta vigilancia. En un análisis, la revista de Harper presentó el perfil de un conductor que fue monitoreado electrónicamente mientras estaba en el trabajo. El conductor, que no dio su nombre, dijo que el software cronometraba sus entregas al segundo y le informaba cuando estaba por debajo o por encima del tiempo óptimo. Al final de un día típico, el conductor dijo que podría haber llegado hasta por cuatro horas. holgazaneando? El conductor señaló que una sola parada puede incluir varios paquetes, que el software ORION no siempre tiene en cuenta. El conductor describió a sus compañeros de trabajo en su centro de distribución de Nueva York que luchaban contra el dolor crónico en la parte inferior de la espalda y las rodillas por tratar de cargar demasiado en un solo viaje, a pesar de los constantes recordatorios de la empresa sobre el manejo adecuado de cargas pesadas, para mantenerse al día. con el programa Entonces, hay un tipo de costo humano para este monitoreo de empleados. Otro lugar donde la vigilancia del trabajo se usa regularmente es la industria de servicio de alimentos. Desde cámaras en los techos de los restaurantes hasta quioscos en la mesa, varios sistemas de software pueden observar y calificar al personal de servicio. Un estudio de 2013 realizado por investigadores de la Universidad de Washington, la Universidad Brigham Young y el MIT encontró que el software de monitoreo de robos utilizado en 392 restaurantes produjo una reducción del 22 por ciento en el robo financiero del lado del servidor después de su instalación.3 Como mencioné, monitorear monitorear activamente a las personas no cambiar su comportamiento. Actualmente no existen estatutos federales en los Estados Unidos que prohíban a las empresas rastrear a sus empleados. Solo Delaware y Connecticut requieren que los empleadores informen a los empleados cuando están siendo rastreados. En la mayoría de
los estados, los empleados no tienen idea de si están siendo observados en el trabajo. ¿Qué pasa con los empleados en la oficina? La gerencia americana
MachineTranslatedbyGoogle
Association encontró que el 66 por ciento de los empleadores monitorea el uso de Internet de sus empleados, el 45 por ciento rastrea las pulsaciones de teclas de los empleados en la computadora (señalando el tiempo de inactividad como posibles "descansos") y el 43 por ciento monitorea el contenido del correo electrónico de los empleados.4 Algunas compañías compañías monitorean las entradas del calendario de Outlook, los encabezados de correo electrónico y los registros de mensajería instantánea de los empleados. Aparentemente, Aparenteme nte, los datos se utilizan para ayudar a las empresas a determinar cómo emplean el tiempo sus empleados, desde cuánto tiempo dedican los vendedores a los clientes hasta qué divisiones de la empresa se mantienen en contacto por correo electrónico y cuánto tiempo dedican los empleados a las reuniones. o lejos de sus escritorios.
Por supuesto, hay un giro positivo: tener tales métricas significa que la empresa puede ser más eficiente en la programación de reuniones o en alentar a los equipos a tener más contacto entre sí. Pero la conclusión es que alguien está recopilando todos estos datos corporativos. Y algún día podría ser entregado a la policía o, al menos, utilizado en su contra en una revisión de desempeño.
No eres invisible en el trabajo. Todo lo que pasa por una red corporativa pertenece a la empresa, no es tuyo. Incluso si está revisando su cuenta de correo electrónico personal, su último pedido con Amazon o planeando unas vacaciones, probablemente esté usando un teléfono, una computadora portátil o una VPN proporcionados por la compañía, así que espere que alguien controle todo lo que hace.
Aquí hay una manera fácil de evitar que su gerente e incluso sus compañeros de trabajo husmeen: cuando deje su escritorio para ir a una reunión o al baño, bloquee la pantalla de su computadora. En serio. No deje su correo electrónico o los detalles sobre el proyecto en el que ha pasado semanas abiertos, simplemente sentado allí para que alguien se meta. Bloquea tu computadora hasta que regreses a tu pantalla. Toma unos segundos más, pero te ahorrará mucho dolor. Configure un temporizador en el sistema operativo para bloquear la pantalla después de una cierta cantidad de segundos. O busque en una de las aplicaciones de Bluetooth que bloquearán automáticamente automáticamente su pantalla si su teléfono móvil no está cerca de la computadora. Dicho esto, hay un nuevo ataque que utiliza un dispositivo USB armado. Muchas Muchas oficinas sellan los puertos USB en sus computadoras portátiles y de escritorio, pero si la suya no lo hace, una memoria USB armada aún podría desbloquear su computadora sin una contraseña.5
Además de los secretos corporativos, también hay una buena cantidad de correo electrónico personal.
MachineTranslatedbyGoogle
correo que pasa por nuestras computadoras durante la jornada laboral y, a veces, lo imprimimos nosotros mismos mientras estamos en la oficina. Si le preocupa la privacidad, no haga nada personal en el trabajo. Mantenga un cortafuegos estricto entre su vida laboral y su vida hogareña. O traiga un dispositivo personal como una computadora portátil o un iPad de casa si siente la necesidad de hacer cosas personales durante el descanso. Y si su dispositivo móvil está habilitado para celulares, nunca use el Wi-Fi de la compañía y, además, apague la transmisión SSID si está usando un punto de acceso portátil (ver aquí). Solo use datos móviles cuando realice negocios personales en el trabajo. Realmente, una vez que llegue a su oficina, su rostro público debe estar encendido. Así como no hablaría de cosas realmente personales con sus compañeros de oficina ocasionales, debe mantener sus asuntos personales fuera de los sistemas informáticos de la empresa (especialmente cuando está buscando temas relacionados con la salud o buscando un nuevo trabajo). Es más difícil de lo que parece. Por un lado, estamos acostumbrados a la ubicuidad de la información ya la disponibilidad casi universal de Internet. Pero si vas a dominar el arte de la invisibilidad, debes evitar hacer cosas privadas en público. Suponga que todo lo que escribe en la computadora de su oficina es público. Eso no significa que su departamento de TI esté monitoreando activamente su dispositivo en particular o que alguna vez actuará sobre el hecho de que imprimió el proyecto de la feria de ciencias de su hijo en la costosa impresora a color en el quinto piso, aunque es posible que así sea. El punto es que hay un registro de que hiciste estas cosas, y si hay sospechas en el futuro, pueden acceder a los registros de todo lo que hiciste en esa máquina. Es su máquina, no la tuya. Y es su red. Eso significa que están analizando el contenido que entra y sale de la empresa. Considere el caso de Adam, quien descargó su informe crediticio gratuito en la computadora de su trabajo. Ingresó al sitio de la oficina de crédito utilizando la computadora de la empresa a través de la red de la empresa. Digamos que usted, como Adam, también descarga su informe de crédito en el trabajo. Quieres imprimirlo, ¿verdad? Entonces, ¿por qué no enviarlo a la imprenta de la empresa en la esquina? Porque si lo hace, habrá una copia del archivo PDF que contiene su historial crediticio
en el disco duro de la impresora. Tú no controlas esa impresora. Y después de retirar la impresora y sacarla de la oficina, no tiene control sobre cómo se desecha el disco duro. Algunas impresoras ahora cifran sus
MachineTranslatedbyGoogle
unidades, pero ¿puede estar seguro de que la impresora de su oficina está cifrada? no puedes
Eso no es todo. Cada documento de Word o Excel que crea con Microsoft Office incluye metadatos que describen el documento. Por lo general, los metadatos del documento incluyen el nombre del autor, la fecha de creación, el número de revisiones y el tamaño del archivo, así como una opción para agregar más detalles. Esto no está habilitado de forma predeterminada por Microsoft; tiene que pasar por algunos aros para verlo.6 Sin embargo, Microsoft ha incluido un Inspector de documentos que puede eliminar estos detalles antes de exportar el documento a otro lugar.7 Un estudio de 2012 patrocinado por Xerox y McAfee encontró que el 54 por ciento de los empleados dicen que no siempre siguen las políticas de seguridad seguridad de TI de su empresa, y el 51 por ciento de los empleados cuyo lugar de trabajo tiene una impresora, fotocopiadora o impresora multifunción dicen que han copiado, escaneado o impreso información personal confidencial en el trabajo. Y no es solo trabajo: lo mismo ocurre con las impresoras en la copistería local y la biblioteca local. Todos contienen discos duros que recuerdan todo lo que han impreso durante su vida. Si necesita imprimir algo personal, quizás deba imprimirlo más tarde en casa, en una red y una impresora sobre las que tenga control.
Espiar, incluso a los empleados, se ha vuelto muy creativo. Algunas empresas contratan dispositivos de oficina no tradicionales que de otro modo daríamos por sentado, sin imaginar nunca que podrían usarse para espiarnos. Considere la historia de un joven estudiante graduado de la Universidad de Columbia llamado Ang Cui. Preguntándose Preguntánd ose si podría piratear una oficina corporativa y robar datos confidenciales a través de medios no tradicionales, Cui decidió primero atacar las impresoras láser, un elemento básico en la mayoría de las oficinas en la actualidad. Cui notó que las imprentas estaban muy atrasadas. Durante varias pruebas de pluma, también he observado esto. Pude aprovechar la impresora para obtener más acceso a la red corporativa. Esto se debe a que los trabajadores rara vez cambian la contraseña de administrador en las impresoras que se implementan internamen internamente. te.
El software y el firmware utilizados en las impresoras, especialmente las impresoras comerciales para la oficina en el hogar, contienen muchas fallas básicas de seguridad. La cuestión es que muy pocas personas ven una impresora de oficina como vulnerable. Ellos piensan que son
MachineTranslatedbyGoogle
disfrutar de lo que a veces se llama "seguridad por oscuridad": si nadie nota la falla, entonces está a salvo. Pero como he dicho, las impresoras y fotocopiadoras, según el modelo, tienen una cosa importante en común: ambas pueden contener discos duros. Y a menos que ese disco duro esté encriptado, y muchos todavía no lo están, es posible acceder a lo que se ha impreso en una fecha posterior. Todo esto se sabe desde hace años. Lo que Cui se preguntaba era si podría volver a una imprenta de la empresa en contra de sus propietarios y filtrar todo lo que se imprimiera. Para hacer las cosas más interesantes, Cui quería atacar el código de firmware de la impresora, la programación incrustada dentro de un chip dentro de la impresora. A diferencia de nuestras PC y dispositivos móviles tradicionales, los televisores digitales y otros dispositivos electrónicos "inteligentes" no tienen la potencia ni los recursos de procesamiento para ejecutar un sistema operativo completo como Android, Windows e iOS. En su lugar, estos dispositivos utilizan lo que se denomina sistemas operativos en tiempo real (RTOS), que se almacenan en chips individuales dentro del dispositivo (frecuentemente conocido como fireware). Estos chips almacenan solo los comandos necesarios para operar el sistema y no mucho más. Ocasionalmente, incluso estos comandos simples deben ser actualizados por el fabricante o el proveedor al actualizar o reemplazar los chips. Dado que esto se hace con poca frecuencia, es obvio que muchos fabricantes simplemente no incorporaron las medidas de seguridad adecuadas. Esto, la falta de actualización, fue el vector que Cui decidió perseguir para su ataque. Cui quería ver qué pasaría si pirateaba el formato de archivo que HP usaba para sus actualizaciones de firmware y descubrió que HP no verificaba la validez de cada actualización. Así que creó su propio firmware de impresora y la impresora lo aceptó. Así. No hubo autenticación en el lado de la impresora de que la actualización provino de HP. A la impresora solo le importaba que el código estuviera en el formato esperado. Cui ahora era libre de explorar. En un famoso experimento, Cui informó que podía encender la barra del fusor, la parte de la impresora que calienta el papel después de aplicar la tinta, y dejarla encendida, lo que haría que la impresora se incendiara. El proveedor, no HP, respondió de inmediato argumentando que había un mecanismo de seguridad térmico dentro de la barra del fusor, lo que significaba que la impresora no podía sobrecalentarse. Sin
embargo, ese era el punto de Cui: había logrado desactivar esa función de seguridad para que la máquina realmente pudiera incendiarse. Como resultado de estos experimentos, Cui y su asesor, Salvatore Stolfo,
MachineTranslatedbyGoogle
argumentó que las imprentas eran eslabones débiles en cualquier organización u hogar. Por ejemplo, el departamento de recursos humanos de una empresa Fortune 500 podría recibir un archivo de currículum vitae codificado de forma malintencionada a través de Internet. En el tiempo que le toma al gerente de contratación imprimir ese documento, la impresora a través de la cual viaja podría verse completamente comprometida comprometida al instalar una versión maliciosa del firmware. Para evitar que alguien tome sus documentos de la impresora, la impresión i mpresión segura, también conocida como impresión pull, garantiza que los documentos solo se liberen con la autenticación de un usuario en la impresora (por lo general, se debe ingresar un código de acceso antes de que se imprima el documento). Esto se puede hacer usando un PIN, una tarjeta inteligente o una huella digital biométrica. La impresión pull también elimina los documentos no reclamados, lo que evita que la información confidencial permanezca a la vista de todos.8
Sobre la base de sus ataques a la impresora, Cui comenzó a buscar en la oficina típica otros objetos comunes que pudieran ser vulnerables y se decidió por los teléfonos de Voz sobre Protocolo de Internet (VoIP). Al igual que con las impresoras, nadie había apreciado el valor oculto pero obvio de estos dispositivos para recopilar información. Y al igual que con una impresora, el teléfono VoIP puede falsificar y aceptar una actualización del sistema. La mayoría de los teléfonos VoIP tienen una opción de manos libres que le permite poner a alguien en altavoz en su cubículo u oficina. Lo que significa que no solo hay un altavoz, sino también un micrófono en la parte exterior del teléfono. También hay un interruptor de "descolgado", que le dice al teléfono cuando alguien ha descolgado el auricular y quiere hacer o escuchar una llamada, así como cuando el auricular se ha vuelto a colocar y el altavoz está activado. Cui se dio cuenta de que si podía comprometer el interruptor "descolgado", podría hacer que el teléfono escuchara conversaciones conversacione s cercanas a través del micrófono del altavoz, ¡incluso cuando el auricular estaba colgado! Una advertencia: a diferencia de una impresora, que puede recibir código malicioso a través de Internet, los teléfonos VoIP deben "actualizarse" individualmente individualmente a mano. Esto requiere que el código se propague mediante una unidad USB. No hay problema, decidió
Cui. Por un precio, un conserje nocturno podría instalar el código en cada teléfono con una memoria USB mientras limpiaba la oficina. Cui ha presentado esta investigación en varias conferencias conferencias,, cada vez
MachineTranslatedbyGoogle
usando diferentes teléfonos VoIP. Y cada vez que se notificó al proveedor por adelantado, y cada vez que el proveedor produjo una solución. Pero Cui ha señalado que el hecho de que exista un parche no significa que se aplique. Algunos de los teléfonos sin parchear aún podrían estar en oficinas, hoteles y hospitales en este momento. Entonces, ¿cómo obtuvo Cui los datos del teléfono? Dado que las redes informáticas de la oficina se supervisan en busca de actividad inusual, necesitaba otro medio para extraer los datos. Decidió salir de la red y usar ondas de radio en su lugar. Anteriormente, los investigadores de la Universidad de Stanford y en Israel descubrieron que tener su teléfono móvil colocado junto a su computadora puede permitir que un tercero remoto escuche sus conversaciones. El truco requiere que se inserte malware en su dispositivo móvil. Pero con aplicaciones codificadas maliciosamente disponibles para descargar desde tiendas de aplicaciones no autorizadas, eso es bastante fácil, ¿verdad? Con el malware instalado en su teléfono móvil, el giroscopio dentro del teléfono ahora es lo suficientemente sensible como para captar vibraciones leves. El malware en este caso, dicen los investigadores, también puede captar vibraciones de aire diminutas, incluidas las producidas por el habla humana. El sistema operativo Android de Google permite leer los movimientos de los sensores a 200 Hz, o 200 ciclos por segundo. La mayoría de las voces humanas oscilan entre 80 y 250 Hz. Eso significa que el sensor puede captar una parte significativa de esas voces. Los investigadores incluso crearon un programa personalizado de reconocimiento de voz diseñado para interpretar aún más las señales de 80 a 250 Hz. 9 Cui encontró algo similar en los teléfonos e impresoras VoIP. Descubrió que los pines finos que sobresalen de casi cualquier microchip dentro de cualquier dispositivo integrado hoy en día podrían oscilar en secuencias únicas y, por lo tanto, filtrar datos a través de radiofrecuencia (RF). Esto es lo que él llama una funtenna, y es un campo de juego virtual virtual para los p posibles osibles atacantes. atacantes. Ofic Oficialmente, ialmente, dic dice e el investig investigador ador de seguridad Michael Ossmann, a quien Cui atribuye la idea, “una funtenna es una antena que el diseñador del sistema no pretendía que fuera una antena, particularmente cuando un atacante la usa como antena”.10 Aparte de a funtenna, ¿cuáles son otras formas en que la gente puede espiar lo que haces en el trabajo?
MachineTranslatedbyGoogle
Investigadores en Israel han descubierto que los teléfonos celulares ordinarios pueden, con malware instalado, recibir datos binarios de las computadoras. Y anteriormente, los investigadores de Stanford descubrieron que los sensores de los teléfonos móviles podían interceptar el sonido de las emisiones electrónicas de un teclado inalámbrico.11 Esto se basa en una investigación similar realizada por científicos del MIT y Georgia Tech.12 Baste decir que todo lo que escribe, ve o usa en la oficina puede ser escuchada de una forma u otra por un tercero remoto. Por ejemplo, supongamos que usa un teclado inalámbrico. La señal de radio inalámbrica enviada desde el teclado a la computadora portátil o de escritorio puede ser interceptada. El investigador de seguridad Samy Kamkar desarrolló algo llamado KeySweeper que está diseñado para hacer precisamente eso: un cargador USB disfrazado que busca, descifra, registra e informa de forma inalámbrica y pasiva (a través de GSM) todas las pulsaciones de teclas de cualquier teclado inalámbrico de Microsoft en las cercanías.
13
Hemos discutido el peligro de usar puntos de acceso falsos en cafés y aeropuertos. Lo mismo puede ser cierto en las oficinas. Alguien en su oficina puede configurar un punto de acceso inalámbrico y su dispositivo puede conectarse automáticamente a él. Los departamentos de TI suelen buscar estos dispositivos, pero a veces no lo hacen. Un equivalente moderno de traer su propio punto de acceso a la oficina es traer su propia conexión celular. Las femtoceldas son pequeños dispositivos disponibles a través de su operador de telefonía móvil. Están diseñados para impulsar las conexiones celulares dentro de una casa u oficina donde la señal puede ser débil. No están exentos de riesgos de privacidad. En primer lugar, debido a que las femtoceldas son estaciones base para comunicaciones celulares, su dispositivo móvil a menudo se conectará a ellas sin informarle. Piénsalo. En los Estados Unidos, las fuerzas del orden usan algo llamado StingRay, también conocido como receptor IMSI, un simulador de sitio celular. Además, están TriggerFish, Wolfpack, Gossamer y Swamp Box. Aunque las tecnologías varían, estos dispositivos básicamente actúan como una femtocelda sin la conexión celular. Están diseñados para recopilar la identidad del suscriptor móvil internacional, o IMSI, desde su teléfono celular. Su uso en los Estados Unidos está significativamente por detrás del de Europa, por ahora. Los receptores IMSI se utilizan en grandes protestas sociales, por ejemplo, para ayudar a
las fuerzas del orden público a identificar quién estaba en la asamblea. Presumiblemente, los organizadores estarán en sus teléfonos, coordinando eventos.
MachineTranslatedbyGoogle
Después de una prolongada batalla legal, la Unión Estadounidens Estadounidense e de Libertades Civiles del Norte de California obtuvo documentos del gobierno que detallan cómo utiliza StingRay. Por ejemplo, a los agentes de la ley se les dice que obtengan un registro de llamadas o una orden judicial de captura y rastreo. Los registros de bolígrafos se han utilizado para obtener números de teléfono, un registro de dígitos marcados en un teléfono. La tecnología de captura y rastreo se ha utilizado para recopilar información sobre las llamadas recibidas. Además, las fuerzas del orden pueden, con una orden judicial, obtener legalmente la grabación de voz de una llamada telefónica o el texto de un correo electrónico electrónico.. Según Wired, los documentos recibidos por la ACLU establecen que los dispositivos “pueden ser capaces de interceptar el contenido de las comunicaciones y, por lo tanto, dichos dispositivos dispositiv os deben configurarse configurarse para desactiva desactivarr la función de interceptación, a menos que las interceptaciones interceptaci ones hayan sido autorizadas por una orden del Título III. ”14 Una orden del Título III permite la interceptación de comunicaciones en tiempo real. Digamos que no estás bajo vigilancia de las fuerzas del orden. Supongamos que está en una oficina que está muy regulada, por ejemplo, en una empresa de servicios públicos. públicos. Alguien puede instalar una femtoceld femtocelda a para permitir comunicacio comunicaciones nes personales fuera del sistema normal de registro de llamadas de la empresa de servicios públicos. El peligro es que el compañero de trabajo con la femtocelda modifi modificada cada en su escritorio podría realizar un ataque de hombre en el medio, y él o ella también podría escuchar sus llamadas o interceptar sus mensajes de texto. En una demostración en Black Hat USA 2013, los investigadores pudieron capturar llamadas de voz, mensajes de texto SMS e incluso tráfico web de voluntarios en la audiencia en sus femtoceldas de Verizon. La vulnerabilidad en las femtoceldas emitidas por Verizon ya había sido reparada, pero los investigadores querían mostrarles a las empresas que deberían evitar usarlas de todos modos. Algunas versiones de Android le informarán cuando cambie de red celular; Los iPhone no lo harán. “Tu teléfono se asociará a una femtocelda sin tu conocimiento”, explicó el investigador Doug DePerry. “Esto no es como Wi-Fi; no tienes opción.”15 Una compañía, Pwnie Express, produce un dispositivo llamado Pwn Pulse que identifica femtoceldas e incluso receptores IMSI como StingRay. dieciséis
Brinda a
las empresas la capacidad de monitorear las redes celulares a su alrededor. Herramientas
como estas, que detectan el espectro completo de amenazas celulares potenciales, alguna vez fueron compradas en gran parte por el gobierno, pero ya no.
MachineTranslatedbyGoogle
A pesar de lo fácil que es, Skype no es el más amigable cuando se trata de privacidad. Según Edward Snowden, cuyas revelaciones se publicaron por primera vez en The Guardian, Microsoft trabajó con la NSA para asegurarse de que las conversaciones de Skype pudieran ser interceptadas y monitoreadas. Un documento se jacta de que un programa de la NSA conocido como Prism monitorea el video de Skype, entre otros servicios de comunicaciones. “Las partes de audio de estas sesiones se han procesado correctamente todo el tiempo, pero sin el video que las acompaña. Ahora, los analistas tendrán la 'imagen' completa”, escribió The Guardian.17
En marzo de 2013, un estudiante de posgrado en informática de la Universidad de Nuevo México descubrió que TOM-Skype, una versión china de Skype creada a través de una colaboración entre Microsoft y la empresa china TOM Group, carga listas de palabras clave en la máquina de cada usuario de Skype: porque en China hay palabras y frases que no puede buscar en línea (incluida la "Plaza de Tiananmen"). TOM-Skype TOM-Skype también envía al gobierno chino el nombre de usuario del titular de la cuenta, la hora y fecha de transmisión e información sobre si el mensaje fue enviado o recibido por el usuario. 18
Los investigadores han descubierto que incluso los sistemas de videoconferencia de muy alto nivel (los costosos, no Skype) pueden verse comprometidos por ataques de intermediarios. Eso significa que la señal se enruta a través de otra persona antes de que llegue a tu destino. Lo mismo ocurre con las conferencias de audio. A menos que el moderador tenga una lista de números que se han marcado, y a menos que haya pedido verificar cualquier número cuestionable, por ejemplo, códigos de área fuera de los Estados Unidos, no hay forma de probar o determinar si se ha unido una parte no invitada. El moderador debe llamar a los recién llegados y, si no se identifican, colgar y usar un segundo número de conferencia telefónica en su lugar. Digamos que su oficina ha gastado mucho dinero y ha comprado un sistema de videoconferencia realmente caro. Uno pensaría que sería más seguro que un sistema de nivel de consumidor. Pero estarías equivocado. Al observar estos sistemas de alta gama, el investigador HD Moore descubrió
que casi todos responden automáticamente a las videollamadas entrantes. Eso tiene sentido. Fijó una reunión para las 10:00 a. m. y desea que los participantes llamen. Sin embargo, también significa que en algún otro momento del día, cualquiera que
MachineTranslatedbyGoogle
sabe que ese número podría marcar y, bueno, literalmente echar un vistazo a su oficina. “La popularidad de los sistemas de videoconferencia entre las industrias de capital de riesgo y finanzas conduce a un pequeño grupo de objetivos de valor increíblemente alto para cualquier atacante que intente espionaje industrial u obtenga una ventaja comercial injusta”, escribió Moore.19 ¿Qué tan difícil es encontrar estos sistemas? Los sistemas de conferencias utilizan un protocolo H.323 exclusivo. Entonces, Moore miró una porción de Internet e identificó 250,000 sistemas que usaban ese protocolo. Él estima a partir de ese número que menos de cinco mil de estos estaban configurados para responder automáticamente, un pequeño porcentaje del total, pero aún así un número muy grande por sí solo. Y eso sin contar el resto de Internet. ¿Qué puede aprender un atacante al piratear un sistema de este tipo? La cámara del sistema de conferencias está bajo el control del usuario, por lo que un atacante remoto podría inclinarla hacia arriba, hacia abajo, hacia la izquierda o hacia la derecha. En la mayoría de los casos, la cámara no tiene una luz roja que indique que está encendida, por lo que, a menos que esté mirando la cámara, es posible que no se dé cuenta de que alguien la ha movido. La cámara también puede hacer zoom. Moore dijo que su equipo de investigación pudo leer una contraseña de seis dígitos colocada en una pared a seis metros de la cámara. También podían leer el correo electrónico en la pantalla de un usuario al otro lado de la habitación. La próxima vez que esté en la oficina, considere lo que se puede ver desde la cámara de videoconferencia. Tal vez el organigrama del departamento esté en la pared. Quizás la pantalla de su escritorio mire hacia la sala de conferencias. Tal vez las fotos de sus hijos y su cónyuge también sean visibles. Eso es lo que un atacante remoto podría ver y posiblemente usar contra su empresa o incluso contra usted personalmente. Algunos proveedores de sistemas son conscientes de este problema. Polycom, por ejemplo, proporciona una guía de refuerzo (fortalecimiento de la seguridad) de varias páginas, que incluso limita el reposicionamiento de la cámara.20 Sin embargo, el personal de TI generalmente no tiene tiempo para seguir pautas como estas, y a menudo seguridad una preocupación. Hay miles de sistemas de conferencias en Internet con configuraciones predeterminadas habilitadas.
Los investigadores también descubrieron que los firewalls corporativos no saben cómo manejar el protocolo H.323. Sugieren dar al dispositivo una dirección de Internet pública y establecer una regla para él dentro del firewall corporativo.
MachineTranslatedbyGoogle
El mayor riesgo es que muchas de las consolas de administración de estos sistemas de conferencias tienen poca o ninguna seguridad incorporada. En un ejemplo, Moore y su equipo pudieron acceder al sistema de un bufete de abogados, que contenía una entrada en la libreta de direcciones para la sala de juntas de un conocido banco de inversión. Los investigadores investigadores habían comprado un dispositivo de videoconferencia usado en eBay, y cuando llegó, su disco duro todavía tenía datos antiguos, incluida la libreta de direcciones, que enumeraba docenas de números privados, muchos de los cuales estaban configurados para responder automáticamente automáticam ente a las llamadas entrantes del Internet en general.21 Al igual que con las impresoras y fotocopiadoras antiguas, antiguas, si tiene un disco duro, debe borrar los datos de forma segura antes de venderlo o donarlo (consulte aquí).
A veces, en el trabajo, tenemos la tarea de colaborar en un proyecto con un colega que puede estar al otro lado del planeta. Los archivos se pueden compartir de un lado a otro a través del correo electrónico corporativo, corporativo, pero a veces son tan grandes que los sistemas de correo electrónico simplemente simplemente se resisten y no los aceptan como archivos adjuntos. Cada vez más, las personas utilizan los servicios de intercambio de archivos para enviar y recibir archivos de gran tamaño. ¿Qué tan seguros son estos servicios basados en la nube? Varía. Los cuatro grandes jugadores (iCloud de Apple, Google Drive, OneDrive de Microsoft (anteriormente SkyDrive) SkyDrive) y Dropbox) brindan verificación en dos pasos. Eso significa que recibirá un mensaje de texto fuera de banda en su dispositivo móvil que contiene un código de acceso para confirmar su identidad. Y aunque los cuatro servicios cifran los datos mientras están en tránsito, usted debe —si no desea que la empresa o la NSA los lean— cifrar los datos antes de enviarlos.22 Ahí terminan las similitudes. La autenticación de dos factores es importante, pero aún puedo evitar esto mediante el secuestro de cuentas no utilizadas. Por ejemplo, recientemente hice una prueba de penetración en la que el cliente agregó 2FA de Google a su sitio web de VPN utilizando herramientas disponibles públicamente. públicamente. La forma en que pude ingresar fue obteniendo las credenciales de inicio de sesión del directorio activo para un usuario que no se registró para usar el portal VPN.
Como fui el primero en iniciar sesión en el servicio VPN, se me pidió que configurara 2FA usando Google Authenticator. Si el empleado nunca accede al servicio por sí mismo, el atacante tendrá acceso continuo.
MachineTranslatedbyGoogle
Para los datos en reposo, Dropbox usa un cifrado AES de 256 bits (que es bastante fuerte). Sin embargo, conserva las claves, lo que podría dar lugar a un acceso no autorizado por parte de Dropbox o de las fuerzas del orden. Google Drive e iCloud utilizan un cifrado de 128 bits considerablemente más débil para los datos en reposo. La preocupación aquí es que los datos podrían potencialmente ser descifrados por una fuerte fuerza computacional. Microsoft OneDrive no se molesta con el cifrado, lo que lleva a sospechar que esto fue por diseño, tal vez a instancias de algunos gobiernos. Google Drive ha introducido una nueva función de administración de derechos de información (IRM). Además de los documentos, hojas de cálculo y presentaciones creados en Google Docs, Google Drive ahora también acepta PDF y otros formatos de archivo. Las características útiles incluyen la capacidad de desactivar las capacidades de descarga, impresión y copia para comentaristas y espectadores. También puede evitar que alguien agregue más personas a un archivo compartido. Por supuesto, estas funciones de administración solo están disponibles para los propietarios de archivos. Eso significa que si alguien te ha invitado a compartir un archivo, esa persona tiene que establecer las restricciones de privacidad, no tú.
Microsoft también ha introducido una función única de cifrado por archivo, que es lo que parece: una función que cifra cada archivo individual con su propia clave. Si una clave se ve comprometida, solo ese archivo individual se verá afectado en lugar de todo el archivo. Pero este no es el valor predeterminado, por lo que los usuarios tendrán que acostumbrarse a cifrar cada archivo ellos mismos. Lo que parece una buena recomendación en general. Los empleados y los usuarios en general deben acostumbrarse a cifrar los datos antes de enviarlos a la nube. De esa manera conservas el control de las teclas. Si una agencia gubernamental llama a la puerta de Apple, Google, Dropbox o Microsoft, esas empresas no podrán ayudarlo: tendrá las llaves individuales. También puede optar por utilizar el único proveedor de servicios en la nube que se distingue del resto: SpiderOak, que ofrece todos los beneficios del almacenamiento en la nube y la capacidad de sincronización junto con el 100 por ciento de privacidad de datos. SpiderOak protege los datos confidenciales del usuario a través de la autenticación de contraseña de dos factores y el cifrado AES de 256 bits para que los archivos y las contraseñas permanezcan privados. Los usuarios pueden almacenar y sincronizar información confidencial con total
privacidad, ya que este servicio en la nube tiene un conocimiento absolutamente nulo de contraseñas y datos.
Pero la mayoría de los usuarios continuarán continuarán usando otros servicios bajo su propio riesgo. A la gente le encanta la facilidad de obtener datos de la nube, al igual que a las fuerzas del orden. Una gran preocupación sobre el uso de la nube es que su
MachineTranslatedbyGoogle
los datos no tienen las mismas protecciones de la Cuarta Enmienda que tendrían si estuvieran almacenados en un cajón del escritorio o incluso en su computadora de escritorio. Los organismos encargados de hacer cumplir la ley solicitan datos basados en la nube con una frecuencia cada vez mayor (e inquietante). Y pueden obtener acceso con relativa facilidad, ya que todo lo que carga en línea, ya sea en un servicio de correo electrónico basado en la web, Google Drive o Shutterfly, va a un servidor que pertenece al proveedor de servicios en la nube, no a usted. La única protección verdadera es comprender que cualquier otra persona puede acceder a cualquier cosa que coloque allí y actuar en consecuencia encriptando todo primero.
MachineTranslatedbyGoogle
CAPÍTULO CATORCE
Obtener el anonimato es un trabajo duro
Hace unos años regresaba a los Estados Unidos de un viaje a Bogotá, Colombia, y al llegar a Atlanta, dos agentes de Aduanas de EE. UU. me escoltaron silenciosamente a una habitación privada. Habiendo sido arrestado anteriormente y habiendo pasado tiempo en prisión, tal vez estaba un poco menos nervioso de lo que hubiera estado el Joe promedio. Aún así, era inquietante. No había hecho nada malo. Y estuve en esa habitación durante cuatro horas, cinco menos del máximo que me podían retener sin que me arrestaran. El problema comenzó cuando un agente de aduanas de EE. UU. robó mi pasaporte y luego se quedó mirando la pantalla. “Kevin”, dijo el agente con una gran sonrisa en su rostro. "¿Adivina qué? Hay algunas personas abajo que quieren hablar contigo. Pero no te preocupes. Todo estará bien." Estuve en Bogotá para dar un discurso patrocinado por el diario El Tiempo. También estaba visitando a la mujer que era mi novia en ese momento. Mientras esperaba en esa habitación de abajo, llamé a mi novia en Bogotá. Dijo que la policía de Colombia había llamado para pedirle permiso para registrar un paquete que había puesto en una caja de FedEx a los Estados Unidos. “Encontraron rastros de cocaína”, dijo. Sabía que no lo habían hecho. El paquete contenía un disco duro interno de 2,5 pulgadas. Aparentemente, las
autoridades colombianas, o tal vez las estadounidenses, querían verificar el contenido del disco, que estaba encriptado. La cocaína fue una excusa poco convincente para abrir el paquete. Nunca recuperé mi disco duro.
MachineTranslatedbyGoogle
Más tarde me enteré de que la policía había abierto la caja, desarmado el equipo electrónico y luego destruido mi disco duro mientras mi entras intentaba abrirlo perforándolo para ver si tenía cocaína. Podrían haber usado un destornillador especial para abrir la unidad. No encontraron ninguna droga. Mientras tanto, en Atlanta, los funcionarios abrieron mi equipaje y encontraron mi MacBook Pro, una computadora portátil Dell XPS M1210, una computadora portátil Asus 900, tres o cuatro discos duros, numerosos dispositivos de almacenamiento USB, algunos dongles Bluetooth, tres iPhones y cuatro teléfonos celulares Nokia. (cada uno con su propia tarjeta SIM, por lo que podría evitar los cargos de roaming mientras hablaba en diferentes países). Estas son herramientas estándar en mi profesión. También en mi equipaje estaba mi kit para forzar cerraduras y un dispositivo de clonación cl onación que podía leer y reproducir cualquier tarjeta de proximidad HID. H ID. Este último se puede utilizar para recuperar las credenciales almacenadas en las tarjetas de acceso colocándolo muy cerca de ellas. Puedo, por ejemplo, falsificar las credenciales de la tarjeta de una persona y entrar por puertas cerradas sin tener que falsificar la tarjeta. Los tenía porque había dado una presentación magistral sobre seguridad en Bogotá. Naturalmente, los ojos de los agentes de aduanas se iluminaron cuando los vieron, pensando que estaba tramando otra cosa, por ejemplo, robando tarjetas de crédito, lo cual era imposible im posible con estos dispositivos. Finalmente, llegaron agentes del Servicio de Inmigración y Control de Aduanas (ICE, por sus siglas en inglés) de EE. UU. y me preguntaron por qué estaba en Atlanta. Estuve allí para moderar un panel en una conferencia de seguridad patrocinada por la Sociedad Estadounidense de Seguridad Industrial (ASIS). Más tarde, un agente del FBI en el mismo panel pudo confirmar el motivo de mi viaje. Las cosas parecieron empeorar cuando abrí mi computadora portátil e inicié sesión en mostrarles el correo electrónico que confirma mi presencia en el panel. Mi navegador se configuró para borrar automáticamente mi historial cuando se inició, por lo que cuando lo inicié, se me solicitó que borrara mi historial. Cuando confirmé e hice clic en el botón Aceptar para borrar mi historial, los agentes se asustaron. Pero luego simplemente presioné el botón de encendido para apagar la MacBook, por lo que no se podía acceder a mi disco sin mi frase de contraseña PGP. A menos que estuviera bajo arresto, lo cual me dijeron repetidamente que no era así, no
debería haber tenido que dar mi contraseña. Incluso si hubiera estado bajo arresto, técnicamente no habría tenido que dar mi contraseña según la ley de los EE. UU., pero si ese derecho está protegido depende de cuánto tiempo uno esté dispuesto
MachineTranslatedbyGoogle
para luchar.1 Y diferentes países tienen diferentes leyes sobre esto. En el Reino Unido y Canadá, por ejemplo, las autoridades pueden obligarlo a revelar r evelar su contraseña. Después de mis cuatro horas, tanto ICE como los agentes de aduanas me dejaron ir. Sin embargo, si una agencia como la NSA me hubiera apuntado, probablemente habrían logrado descubrir el contenido de mi disco duro. Las agencias gubernamentales pueden comprometer el firmware de su computadora o teléfono móvil, dañar la red que usa para conectarse a Internet y explotar una variedad de vulnerabilidades encontradas en sus dispositivos. Puedo viajar a países extranjeros que tienen reglas r eglas aún más estrictas y nunca tener los problemas que tengo en los Estados Unidos debido a mis antecedentes penales aquí. Entonces, ¿cómo viajas al extranjero con datos confidenciales? ¿Y tú cómo viajas a países “hostiles” como China? Si no desea tener ningún dato confidencial disponible en su disco duro, las opciones son:
1. Limpie todos los datos confidenciales antes de viajar y realice una revisión completa. respaldo. 2. Deje los datos allí, pero cífrelos con una clave segura (aunque algunos países pueden obligarlo a revelar la clave o la contraseña). No guarde la frase de contraseña con usted: tal vez entregue la mitad de la frase de contraseña a un amigo fuera de los Estados Unidos a quien no se le pueda obligar a que la entregue. 3. Cargue los datos cifrados en un servicio en la nube, luego descárguelos y cargar según sea necesario.
4. Utilice un producto gratuito como VeraCrypt para crear una carpeta de archivos cifrada oculta en su disco duro. Nuevamente, un gobierno extranjero, si encuentra la carpeta de archivos oculta, puede obligarlo a revelar la contraseña.
5. Siempre que ingrese su contraseña en sus dispositivos, cúbrase usted y su computadora, tal vez con una chaqueta u otra prenda de vestir, para evitar lla a
vigilancia de la cámara. 6. Selle su computadora portátil y otros dispositivos en un sobre de FedEx u otro Tyvek y fírmelo, luego guárdelo en la caja fuerte de la habitación del hotel. Si el
MachineTranslatedbyGoogle
el sobre está manipulado, debe notarlo. Tenga en cuenta, también, que las cajas fuertes de los hoteles no son realmente tan seguras. Debería considerar comprar un dispositivo de cámara que pueda colocar dentro de la caja fuerte para tomar una foto de cualquiera que la abra y enviar la foto a través del celular en tiempo real. 7. Lo mejor de todo es que no se arriesgue. Lleva tu dispositivo contigo en todo momento veces, y no lo pierdas de vista.
Según documentos obtenidos por la Unión Estadounidense de Libertades Civiles a través de la Ley de Libertad de Información, entre octubre de 2008 y junio de 2010, más de 6,500 personas que viajaban hacia y desde Estados Unidos registraron sus dispositivos electrónicos en la frontera. Esto es un promedio de más de trescientos registros fronterizos de dispositivos electrónicos por mes. Y casi la mitad de esos viajeros eran ciudadanos estadounidenses. Un hecho poco conocido: los dispositivos electrónicos de cualquier persona se pueden registrar sin una orden judicial o sospecha razonable dentro de las cien millas aéreas de la frontera de EE. UU., que probablemente incluye a San Diego. ¡El hecho de que haya cruzado la frontera no significa necesariamente que esté a salvo! Dos agencias gubernamentales son las principales responsables de inspeccionar a los viajeros y artículos que ingresan a los Estados Unidos: la Oficina de Aduanas y Protección Fronteriza (CBP) y el Servicio de Inmigración y Control de Aduanas (ICE) del Departamento de Seguridad Nacional. En 2008, el Departamento de Seguridad Nacional anunció que podía inspeccionar cualquier dispositivo electrónico que ingresara a los Estados Unidos.2 También presentó su Sistema Automatizado de Identificación de Objetivos (ATS), que crea un expediente personal instantáneo sobre usted, uno muy detallado, cada vez que usted viajar internacionalmente. Los agentes de CBP usan su archivo ATS para decidir si estará sujeto a una búsqueda mejorada y, a veces, invasiva al volver a ingresar a los Estados Unidos.
El gobierno de los EE. UU. puede incautar un dispositivo electrónico, buscar en todos llos os archivos y conservarlo para un mayor escrutinio sin ninguna ni nguna sugerencia de irregularidad de ningún tipo. Los agentes de CBP pueden buscar en su dispositivo, copiar su contenido e intentar recuperar imágenes y videos.
Así que esto es lo que hago.
Para proteger mi privacidad y la de mis clientes, encripto los datos confidenciales en mis computadoras portátiles. Cuando estoy en un país extranjero, transmito los archivos cifrados a través de Internet para almacenarlos en servidores seguros en cualquier parte del mundo.
MachineTranslatedbyGoogle
Luego los borro físicamente de la computadora antes de regresar a casa, en caso de que los funcionarios del gobierno decidan registrar o confiscar mi equipo. Limpiar datos no es lo mismo que borrar datos. Eliminar datos solo cambia la entrada del registro de arranque maestro para un archivo (el índice utilizado para encontrar partes del archivo en el disco duro); el archivo (o algunas de sus partes) permanece en el disco duro hasta que se escriben nuevos datos en esa parte del disco duro. Así es como los expertos forenses digitales pueden reconstruir los datos eliminados. Limpiar, por otro lado, sobrescribe de forma segura los datos en el archivo con datos aleatorios. En las unidades de estado sólido, la limpieza es muy difícil, así que llevo una computadora portátil que tiene un disco duro estándar y la limpio con al menos treinta y cinco pasadas. El software de trituración de archivos hace esto sobrescribiendo datos aleatorios cientos de veces en cada paso sobre un archivo eliminado, lo que dificulta que alguien recupere esos datos. Solía hacer una copia de seguridad de la imagen completa de mi dispositivo en un disco duro externo y cifrarla. Luego enviaría la unidad de respaldo a los Estados Unidos. No borraría los datos de mi parte hasta que un colega confirmara que la unidad fue recibida en condiciones legibles. Luego borraría de forma segura todos los archivos personales y de clientes. No formatearía todo el disco y dejaría el sistema operativo intacto. De esa manera, si me buscaran, sería más fácil restaurar mis archivos de forma remota sin tener que reinstalar todo el sistema operativo. Desde la experiencia en Atlanta, he cambiado un poco mi protocolo. Empecé a mantener un "clon" actualizado de todas mis computadoras de viaje con un colega de negocios. Mi colega puede enviarme los sistemas clonados a cualquier parte de los Estados Unidos, si es necesario. Mi iPhone es otro asunto. Si alguna vez conecta su iPhone a su computadora portátil para cargarlo y hace clic en "Confiar" cuando le muestra la pregunta "Confiar en esta computadora", se almacena un certificado de emparejamiento en la computadora que le permite acceder a todo el contenido del iPhone. sin necesidad de saber el código de acceso. El certificado de emparejamiento se utilizará siempre que el mismo iPhone esté conectado a esa computadora. Por ejemplo, si conecta su iPhone a la computadora de otra persona y "confía", se
crea una relación de confianza entre la computadora y el dispositivo iOS, lo que le permite a la computadora acceder a fotos, videos, mensajes SMS, registros de llamadas, mensajes de WhatsApp, y casi todo lo demás sin necesidad del código de acceso. Aún más preocupante, esa persona puede simplemente hacer una
MachineTranslatedbyGoogle
Haga una copia de seguridad de iTunes de todo su teléfono a menos que haya establecido previamente una contraseña para las copias de seguridad cifradas de iTunes i Tunes (lo cual es una buena idea). Si no estableció esa contraseña, un atacante podría establecer una para usted y simplemente hacer una copia de seguridad de su dispositivo móvil en su computadora sin su conocimiento.
Eso significa que si las fuerzas del orden quieren ver qué hay en su iPhone protegido con contraseña, pueden hacerlo fácilmente conectándolo a su computadora portátil, ya que es probable que tenga un certificado de emparejamiento válido con ese teléfono. La regla es: nunca “confíe en esta computadora” a menos que sea su sistema personal. ¿Qué sucede si desea revocar todos los certificados de emparejamiento de su dispositivo Apple? La buena noticia es que puede restablecer su certificado de emparejamiento en sus dispositivos Apple.3 Si necesita compartir archivos y está usando un producto Apple, use AirDrop. Y si necesita cargar su teléfono, use el cable lightning conectado a su sistema o a un tomacorriente, no a la computadora de otra persona. O puede comprar un condón USB en syncstop.com, que le permite conectarlo de manera segura a cualquier cargador USB o computadora. ¿Qué sucede si solo tiene su iPhone y no su computadora cuando viaja? He habilitado Touch ID en mi iPhone para que reconozca mi huella digital. Yo lo que hago es reiniciar mi iPhone antes de acercarme al control de inmigración de cualquier país. Y cuando se enciende, deliberadamente no pongo mi código de acceso. Aunque he habilitado Touch ID, esa función está deshabilitada de manera predeterminada hasta que ingrese mi código de acceso por primera vez. Los tribunales de EE. UU. tienen claro que las fuerzas del orden no pueden exigir su contraseña. Tradicionalmente, en los Estados Unidos, no se le puede obligar a dar testimonio; sin embargo, puede verse obligado a entregar una llave física de una caja fuerte. Como tal, un tribunal puede obligarlo a proporcionar sus huellas dactilares para desbloquear el dispositivo.4 Solución simple: reinicie su teléfono. De esa manera, su huella digital no se habilitará y no tendrá que dar su contraseña. En Canadá, sin embargo, es la ley; si es ciudadano canadiense, debe proporcionar su código de acceso cuando se le solicite. Esto le sucedió a Alain Philippon, de Sainte-Annedes-Plaines, des-Plaine s, Quebec. Se dirigía a su casa desde Puerto Plata, en la República Dominicana, cuando se negó a proporcionar a los agentes fronterizos de Nueva Escocia el código de
acceso de su teléfono móvil. Fue acusado en virtud de la sección 153.1(b) de la Ley de Aduanas de Canadá por obstaculizar o impedir que los funcionarios fronterizos desempeñaran su función. los
MachineTranslatedbyGoogle
la pena si lo declaran culpable es de $1,000, con una multa máxima de $25,000 y la posibilidad de un año de cárcel.5 Conozco de primera mano la ley de contraseñas de Canadá. Contraté un servicio de automóvil como Uber para que me llevara de Chicago a Toronto en 2015 (no quería volar en medio de fuertes tormentas eléctricas), y cuando cruzamos la frontera hacia Canadá desde Michigan, nos enviaron de inmediato a un sitio de inspección secundario. Tal vez fue porque un hombre del Medio Oriente con solo una tarjeta verde conducía. Tan pronto como llegamos al punto de inspección secundario, entramos en una escena sacada directamente de CSI.
Un equipo de agentes de aduanas se aseguró de que dejáramos el vehículo con todas nuestras pertenencias adentro, incluidos incluidos nuestros celulares. c elulares. El conductor y yo estábamos separados. Uno de los agentes se acercó al lado del conductor del automóvil y sacó su teléfono celular de la base. El agente exigió el código de acceso del conductor y comenzó a revisar su teléfono.
Previamente había tomado la decisión de nunca dar mi contraseña. Sentí que tendría que elegir entre dar mi contraseña y que me permitieran viajar a Canadá para mi concierto. Así que decidí usar un poco de ingeniería social.
Le grité al agente de aduanas que buscaba el teléfono del conductor. “Oye, no vas a registrar mi maleta, ¿verdad? Está bloqueado, así que no puedes. Inmediatamente llamó su atención. Dijo que tenían todo el derecho de registrar mi maleta.
Respondí: “Lo cerré con llave, por lo que no se puede registrar”. Lo siguiente que supe fue que dos agentes se me acercaron y me pidieron la llave. Empecé a preguntarles por qué necesitaban registrar mi maleta y me explicaron nuevamente que tenían derecho a registrarlo todo. Saqué mi billetera y le entregué al agente la llave de mi maleta.
Eso fue suficiente. Se olvidaron por completo de los teléfonos móviles y se concentraron en mi maleta. Misión cumplida a través de una mala dirección. Me soltaron y, afortunadamente, nunca me pidieron la contraseña de mi teléfono celular.
En la confusión de ser evaluado, es fácil distraerse. No se deje caer víctima de las circunstancias.
Al pasar por cualquier punto de control de seguridad, asegúrese de que su computadora portátil y sus dispositivos electrónicos sean los últimos en la cinta transportadora. No quiere que su computadora portátil se quede en el otro extremo mientras
MachineTranslatedbyGoogle
alguien delante de usted está retrasando la fila. Además, si necesita salir de la línea, asegúrese de tener su computadora portátil y dispositivo electrónico con usted. Cualesquiera que sean las protecciones de privacidad que podamos disfrutar en casa, no se aplican necesariamente a los viajeros en la frontera de EE. UU. Para médicos, abogados y muchos profesionales de negocios, una búsqueda fronteriza invasiva podría comprometer la privacidad de la información profesional confidencial. Esta información puede incluir secretos comerciales, comunicaciones abogado-cliente y médico-paciente, y estrategias comerciales y de investigación, algunas de las cuales el viajero tiene obligaciones legales y contractuales de proteger. Para el resto de nosotros, las búsquedas en nuestros discos duros y dispositivos móviles pueden revelar correo electrónico, información de salud e incluso registros financieros. Si ha viajado recientemente a ciertos países considerados hostiles a los intereses de los EE. UU., tenga en cuenta que esto puede generar un escrutinio adicional por parte de los agentes de aduanas. Los gobiernos represivos presentan otro desafío. Es posible que insistan en revisar sus dispositivos electrónicos más a fondo, leyendo su correo electrónico y revisando su carpeta de Descargas. También existe la posibilidad, especialmente si le quitan su computadora portátil, de que intenten instalar un software de seguimiento en su dispositivo.
Muchas empresas entregan teléfonos desechables y computadoras portátiles de préstamo cuando los empleados viajan al extranjero. Estos dispositivos se desechan o se limpian con un trapo cuando el empleado regresa a los Estados Unidos. Pero para la mayoría de nosotros, subir archivos cifrados a la nube o comprar un nuevo dispositivo y desecharlo al devolverlo no son opciones prácticas. En general, no lleve consigo dispositivos electrónicos que almacenen información confidencial a menos que sea absolutamente necesario. Si lo hace, traiga solo lo mínimo. Y si necesita traer su teléfono móvil, piense en obtener un teléfono desechable para la duración de su visita. Sobre todo porque las tarifas de roaming de voz y datos son escandalosas. Es mejor traer un teléfono desechable desbloqueado y comprar una tarjeta SIM en el país que está visitando.
Puede pensar que entrar y salir de la aduana es la parte más aterradora de cualquier viaje. Pero podría no serlo. Su habitación de hotel también se puede buscar.
Hice varios viajes a Colombia en 2008, no solo el que me detuvieron en Atlanta. En uno de los viajes que hice ese mismo año, algo extraño sucedió en mi habitación de hotel en Bogotá. Y esto no era un cuestionable
MachineTranslatedbyGoogle
hotel; era uno de los hoteles donde se alojaban con frecuencia los funcionarios colombianos. Quizás ese era el problema. Salí a cenar con mi novia y, cuando volvimos, la cerradura de mi puerta se veía amarilla cuando inserté la llave de mi habitación. No verde. No rojo. Pero amarillo, lo que generalmente significa que la puerta está cerrada desde adentro. Bajé a la recepción y le pedí al empleado que me entregara una nueva tarjeta de acceso. Una vez más, la cerradura mostró una luz amarilla. Hice esto de nuevo. Mismo resultado. Después de la tercera vez, convencí al hotel para que enviara a alguien conmigo. La puerta se abrio. En el interior, nada se veía mal de inmediato. De hecho, en ese momento, atribuí todo el asunto a que la cerradura estaba mal. No fue hasta que regresé a los Estados Unidos que me di cuenta de lo que había sucedido. Antes de irme de los Estados Unidos, llamé a una exnovia, Darci Wood, que solía ser la técnica principal de TechTV, y le pedí que viniera a mi casa y cambiara el disco duro de mi computadora portátil MacBook Pro. En ese momento, los discos duros de MacBook Pro no eran fáciles de quitar. Sin embargo, ella lo hizo. En su lugar, colocó una unidad nueva que tuve que formatear e instalar el sistema operativo OSX. Varias semanas después, cuando regresé de ese viaje a Colombia, le pregunté Darci para que venga a mi casa en Las Vegas a cambiar las unidades. Inmediatamente notó que algo era diferente. Dijo que alguien había apretado los tornillos del disco duro mucho más que ella. Claramente, alguien en Bogotá había quitado el disco, tal vez para hacer una copia de imagen cuando salí de mi habitación. Esto le sucedió más recientemente a Stefan Esser, un investigador conocido por hacer jailbreak a los productos iOS. Tuiteó una fot foto o de su disco duro m mal al montado. Incluso una unidad con muy pocos datos tiene algunos datos. Afortunadamente, utilicé PGP Whole Disk Encryption de Symantec para cifrar todo el contenido de mi disco duro. (También puede usar WinMagic para Windows o FileVault 2 para OSX; consulte aquí). Por lo tanto, el clon de mi disco duro no tendría ningún valor a menos que el ladrón pudiera obtener
la clave para desbloquearlo. Es por lo que creo que sucedió en Bogotá que ahora llevo mi computadora portátil cuando viajo, incluso cuando salgo a cenar. Si tengo que dejar mi computadora portátil, nunca la dejo en modo de hibernación. Más bien, lo apago. si no lo hiciera,
MachineTranslatedbyGoogle
un atacante posiblemente podría volcar la memoria y obtener mis claves de cifrado de PGP Whole Disk.6 Así que lo apago por completo.
Al principio del libro hablé de las muchas precauciones que tomó Edward Snowden para mantener privada su comunicación con Laura Poitras. Sin embargo, una vez que el caché secreto de datos de Snowden estuvo listo para ser revelado al público, él y Poitras necesitaban un lugar para almacenarlo. Los sistemas operativos más comunes (Windows, iOS, Android e incluso Linux) contienen vulnerabilidades. Todo el software lo hace. Así que necesitaban un sistema operativo seguro, uno que esté encriptado desde el primer día y requiera una clave para desbloquearlo. El cifrado del disco duro funciona así: cuando enciende su computadora, ingresa una contraseña segura o, más bien, una frase de contraseña como "No necesitamos educación" (de la famosa canción de Pink Floyd). Luego, el sistema operativo se inicia y puede acceder a sus archivos y realizar sus tareas sin notar ningún retraso, ya que un controlador realiza las tareas de cifrado de forma transparente y sobre la marcha. Sin embargo, esto crea la posibilidad de que si te levantas y dejas tu dispositivo, aunque sea por un momento, alguien pueda acceder a tus archivos (ya que están desbloqueados). Lo importante que debe recordar es que mientras su disco duro encriptado está desbloqueado, debe tomar precauciones para mantenerlo seguro. Tan pronto como apaga, la clave de cifrado ya no está disponible para el sistema operativo: es decir, simplemente elimina la clave de la memoria para que ya no se pueda acceder a los datos en el disco.7 Tails es un sistema operativo que se puede iniciar en cualquier computadora moderna para evitar dejar datos recuperables de forma forense en el disco duro, preferiblemente uno que se pueda proteger contra escritura.8 Descargue Tails en un DVD o una memoria USB, luego configure el firmware de su BIOS o la secuencia de inicio inicial de EFI (OSX) para DVD o USB para iniciar la distribución de Tails. Cuando inicie, iniciará el sistema operativo, que cuenta con varias herramientas de privacidad, incluido el navegador Tor. Las herramientas de privacidad le permiten encriptar el correo electrónico usando PGP, encriptar su USB y discos duros, y proteger sus mensajes con OTR (mensajes no registrados).
Si desea cifrar archivos individuales en lugar de todo el disco duro, hay varias opciones. Todavía existe una opción gratuita, TrueCrypt, pero ya no se mantiene y no ofrece cifrado de disco completo. porque no es
MachineTranslatedbyGoogle
mantenido por más tiempo, no se abordarán las nuevas vulnerabilidades. Si continúa usando TrueCrypt, tenga en cuenta los riesgos. Un reemplazo para TrueCrypt 7.1a es VeraCrypt, que es una continuación del proyecto TrueCrypt. También hay varios programas a la venta. Uno obvio es Windows BitLocker, que generalmente no se incluye en las ediciones domésticas del sistema operativo Windows. Para habilitar BitLocker, si está instalado, abra el Explorador de archivos, haga clic con el botón derecho en la unidad C y desplácese hacia abajo hasta la opción "Activar BitLocker". BitLocker aprovecha un chip especial en su placa base conocido como módulo de plataforma confiable o TPM. Está diseñado para desbloquearr su clave de cifrado solo después de confirmar que su programa de desbloquea arranque no ha sido modificado. Esta es una defensa perfecta contra los ataques de las sirvientas malvadas, que describiré en breve. Puede configurar BitLocker para que se desbloquee cuando lo encienda o solo cuando haya un PIN o un USB especial que proporcione. Las últimas opciones son mucho más seguras. También tiene la opción de guardar la clave en su cuenta de Microsoft. No hagas eso, porque si lo haces, más o menos le habrás dado a Microsoft tus claves (que, como verás, es posible que ya tenga). Hay varios problemas con BitLocker. En primer lugar, utiliza un generador de números pseudoaleatorios (PRNG) llamado Dual_EC_DRB Dual_EC_DRBG, G, abreviatura de generador de bits aleatorios deterministas de curva elíptica dual, que podría También de propiedad privada, que contener una significa puerta trasera de la NSA. que solo tiene que9 creer en laespalabra de Microsoft de lo que funciona y que no tiene puertas traseras para la NSA, lo que puede no ser el caso con el software de código abierto. Otro problema con BitLocker es que debe compartir la clave con Microsoft a menos que la compre por $250. No hacerlo puede permitir que las fuerzas del orden soliciten la clave de Microsoft. A pesar de estas reservas, la EFF en realidad recomienda BitLocker para el consumidor promedio que busca proteger sus archivos.10 Sin embargo, tenga en cuenta que también hay una manera de eludir BitLocker.11 Otra opción comercial es PGP Whole Disk Encryption de Symantec. Muchas universidades usan esto, al igual que muchas corporaciones. Lo he usado en el pasado también. PGP
Whole Disk Encryption fue creado por Phil Zimmermann, el hombre que creó PGP para el correo electrónico. Al igual que BitLocker, PGP puede admitir el chip TPM para brindar autenticación adicional cuando
MachineTranslatedbyGoogle
encienda su PC. Una licencia perpetua se vende por alrededor de $200. También está WinMagic, una de las pocas opciones que requiere autenticación de dos factores en lugar de solo una contraseña. WinMagic tampoco depende de una contraseña maestra. Más bien, los archivos cifrados se agrupan y cada grupo tiene una contraseña. Esto puede dificultar la recuperación de la contraseña, por lo que puede no ser adecuado para todos. Y para Apple está FileVault 2. Después de la instalación, puede habilitar FileVault 2 abriendo Preferencias del sistema, haciendo clic en el ícono "Seguridad y privacidad" y cambiando a la pestaña FileVault. Nuevamente, no guarde su clave de cifrado en su cuenta de Apple. Esto puede darle acceso a Apple, que a su vez podría dárselo a las fuerzas del orden. En su lugar, elija "Crear una clave de recuperación y no use mi cuenta de iCloud", luego imprima o escriba la clave de veinticuatro caracteres. Proteja esta clave, ya que cualquiera que la encuentre podría desbloquear su disco duro. Si tiene iOS 8 o una versión más reciente del sistema operativo en su iPhone o iPad, su contenido se cifra automáticamente. Yendo un paso más allá, Apple ha dicho que la clave permanece en el dispositivo, con el usuario. Eso significa que el gobierno de los EE. UU. no puede pedirle a Apple la clave: es única para todos y cada uno de los dispositivos. El director del FBI, James Comey, afirma que, en última instancia, el cifrado irrompible no es algo bueno. En un discurso dijo: “Los delincuentes sofisticados llegarán a contar con estos medios para evadir la detección. Y mi pregunta es, ¿a qué costo?”12 El temor es que las cosas malas se mantengan bajo la cobertura de la encriptación. El mismo miedo retrasó mi caso durante meses mientras languidecía en la cárcel en la década de 1990. Mi equipo de defensa legal quería tener acceso al descubrimiento que el gobierno planeaba usar en mi contra en mi juicio. El gobierno se negó a entregar ningún archivo cifrado a menos que proporcionara la clave de descifrado. Me negué.13 El tribunal, a su vez, se negó a ordenar al gobierno que proporcionara el descubrimiento porque yo no les daría la clave.
14
Los dispositivos Android, a partir de la versión 3.0 (Honeycomb), también se pueden cifrar. La mayoría de nosotros optamos por no hacerlo. A partir de Android 5.0 (Lollipop), las unidades cifradas son las predeterminadas en la línea Nexus de teléfonos Android, pero son
opcionales en los teléfonos de otros fabricantes, como LG, Samsung y otros. Si elige encriptar su teléfono Android, tenga en cuenta que podría tomar hasta una hora hacerlo y que su dispositivo debe estar
MachineTranslatedbyGoogle
conectado durante el proceso. Según se informa, cifrar su dispositivo móvil no afecta significativamente significativam ente el rendimiento, pero una vez que haya tomado la decisión de cifrar, no podrá deshacerlo. En cualquiera de estos programas de cifrado de disco completo, siempre existe la posibilidad de una puerta trasera. Una vez fui contratado por una empresa para probar un producto USB que permitía a los usuarios almacenar archivos en un contenedor cifrado. Durante el análisis del código, descubrimos que el desarrollador había puesto una puerta trasera secreta: la clave para desbloquear el contenedor cifrado estaba enterrada en una ubicación aleatoria en la unidad USB. Eso significaba que cualquier persona con conocimiento de la ubicación de la clave podía desbloquear los datos cifrados por el usuario. Peor aún, las empresas no siempre saben qué hacer con esta información. Cuando completé mi análisis de seguridad del dispositivo USB encriptado, el director ejecutivo me llamó y me preguntó si debía dejar la puerta trasera adentro o no. Le preocupaba que las fuerzas del orden público o la NSA pudieran necesitar acceder a los datos de un usuario. El hecho de que necesitaba preguntar dice mucho. En su informe de escuchas telefónicas de 2014, el gobierno de EE. UU. informó haber encontrado unidades encriptadas encriptadas en solo veinticinco de los 3554 dispositivos en los que las fuerzas del orden habían buscado evidencia.15 Y todavía pudieron descifrar las unidades en veintiuno de los veinticinco . Por lo tanto, si bien tener el cifrado a menudo es lo suficientemente bueno para evitar que un ladrón común acceda a sus datos, para un gobierno dedicado, podría no representar un gran desafío.
Hace años, la investigadora Joanna Rutkowska escribió sobre lo que llamó un ataque de criada malvada.16 Supongamos Supongamos que alguien deja una computadora portátil apagada cuyo disco duro está encriptado con TrueCrypt o PGP Whole Disk Encryption en una habitación de hotel. (Usé PGP Whole Disk Encryption en Bogotá; también apagué la computadora portátil). Más tarde, alguien ingresa a la habitación e inserta una memoria USB que contiene un gestor de arranque malicioso. Luego, la computadora portátil de destino debe arrancarse desde el USB para instalar el cargador de arranque malicioso que roba la del usuario. frase de contraseña Ahora la trampa está lista.
Una mucama, alguien que puede frecuentar una habitación de hotel sin demasiadas
sospechas, sería la mejor candidata para hacer esto, de ahí el nombre del ataque. Una mucama puede volver a ingresar a casi cualquier habitación habitación de hotel al día siguiente y escribir una combinación de clave secreta que extrae la frase de contraseña que se almacenó en secreto.
MachineTranslatedbyGoogle
en el disco Ahora el atacante puede ingresar la frase de contraseña y obtener acceso a todos sus archivos. No sé si alguien hizo esto en mi laptop en Bogotá. El disco duro en sí había sido removido y luego reemplazado con los tornillos demasiado apretados. De cualquier manera, afortunadamente, la unidad no contenía información real. ¿Qué hay de poner sus dispositivos electrónicos en la caja fuerte de un hotel? ¿Es mejor que dejarlos afuera o guardarlos en maletas? Sí, pero no mucho mejor. Cuando asistí a un Black Hat reciente, me alojé en el Four Seasons de Las Vegas. Coloqué $4,000 en efectivo en la caja fuerte con varias tarjetas de crédito y cheques. Unos días después, fui e intenté abrir la caja fuerte pero el código falló. Llamé a seguridad y lo abrieron. Inmediatamente noté que la pila de billetes de $100 era mucho menos gruesa. Quedaron $2,000. Entonces, ¿a dónde fueron a parar los otros $2,000? La seguridad del hotel no tenía idea. Un amigo mío que se especializa en pruebas de penetración física intentó piratear la caja fuerte pero no pudo explotarla. Hoy en día, sigue siendo un misterio. Irónicamente, la caja fuerte se llamaba l lamaba Lugar Seguro. Una empresa alemana de antivirus, G DATA, descubrió que en las habitaciones de hotel donde se hospedaba su personal de investigación, "la mayoría de las veces" la caja fuerte tenía la contraseña predeterminada (0000). En casos como ese, no importa qué contraseña privada seleccione, cualquiera que conozca la contraseña predeterminada también podría obtener acceso a sus objetos de valor en el interior. G DATA sí dijo que esta información no se descubrió sistemáticamente sino de manera anecdótica durante varios años.17 Si un atacante no conoce la contraseña predeterminada para una caja fuerte de una habitación de hotel determinada, otra opción para él es, literalmente, forzar la cerradura con fuerza bruta. Aunque al gerente del hotel se le confía un dispositivo electrónico de emergencia que se conecta al puerto USB y abre la caja fuerte, un ladrón inteligente puede simplemente desenroscar la placa en el frente de la caja fuerte y usar un dispositivo digital para abrir la cerradura debajo. O puede cortocircuitar la caja fuerte e iniciar un reinicio, luego ingresar un nuevo código. Si eso no te molesta, considera esto. G DATA también descubrió que los lectores de tarjetas de crédito en las cajas fuertes de las habitaciones, a menudo el medio por el cual paga por su uso, pueden ser leídos por un tercero que podría hojear los datos de la tarjeta
de crédito y luego usar o vender esa información en Internet.
Hoy en día, los hoteles utilizan NFC o incluso tarjetas magnéticas para bloquear y
MachineTranslatedbyGoogle
abre tu habitación. La ventaja es que el hotel puede cambiar estos códigos de acceso de forma rápida y sencilla desde la recepción. Si pierde su tarjeta, puede solicitar una nueva. Se envía un código simple a la cerradura y, cuando llega a su habitación, la nueva tarjeta llave funciona. La herramienta MagSpoof de Samy Kamkar se puede usar para falsificar las secuencias correctas y abrir la cerradura de una habitación de hotel que usa tarjetas de banda magnética. Esta herramienta se utilizó en un episodio del programa de televisión Mr. Robot.
La presencia de una banda magnética o un chip NFC ha dado lugar a la idea de que la información personal podría almacenarse almacenarse en la tarjeta llave del hotel. No es. Pero la leyenda urbana continúa. Incluso hay una historia famosa que se originó en el condado de San Diego. Supuestamente, un ayudante del alguacil emitió una advertencia de que el nombre, la dirección de la casa y la información de la tarjeta de crédito de un huésped del hotel se habían encontrado en la tarjeta llave del hotel. Tal vez hayas visto el correo electrónico. Se ve algo como esto:
Los profesionales encargados encargados de hacer cumplir la ley del sur de California asignados para detectar nuevas amenazas a los problemas de seguridad personal descubrieron recientemente qué tipo de información está incrustada en las llaves de las habitaciones de hotel tipo tarjeta de crédito que se utilizan en toda la industria. Aunque las llaves de las habitaciones difieren de un hotel a otro, se encontró que una llave obtenida de la cadena DoubleTree que se estaba utilizando para una presentación regional de robo de identidad contenía la siguiente información:
Nombre del cliente Domicilio parcial del cliente Número de habitación de hotel
Fecha de entrada y fecha de salida ¡Número de tarjeta de crédito del cliente y fecha de vencimiento! Cuando los entrega en la recepción, su información personal está allí para que cualquier empleado pueda acceder simplemente escaneando la tarjeta en el escáner del hotel. Un
empleado puede llevarse un puñado de tarjetas a casa y, mediante un dispositivo de escaneo, acceder a la información en una computadora portátil e ir de compras a su cargo. En pocas palabras, los hoteles no borran estas tarjetas hasta que un empleado
MachineTranslatedbyGoogle
emite la tarjeta al siguiente huésped del hotel. ¡Por lo general, se guarda en un cajón en la recepción con SU INFORMACIÓN EN ÉL! ¡La conclusión es, quédate con las cartas o destrúyelas! NUNCA los deje atrás y NUNCA los entregue en la recepción cuando salga de una habitación. No te cobrarán por la tarjeta.18 La veracidad de este correo electrónico ha sido ampliamente discutida.19 Francamente,
me suena a estupidez. La información enumerada ciertamente podría almacenarse en una tarjeta de acceso, pero eso parece extremo, incluso para mí. Los hoteles usan lo que se puede considerar un token, un número de marcador de posición, para cada huésped. Solo con acceso a las computadoras de back-end que realizan la facturación se puede conectar el token con información personal. No creo que necesite recolectar y destruir sus viejas tarjetas de acceso, pero bueno, es posible que desee hacerlo de todos modos. Otra pregunta común que se relaciona con el viaje y sus datos: ¿Qué hay en el código de barras en la parte inferior de su boleto de avión? ¿Qué, en todo caso, podría revelar? En verdad, relativamente poca información personal, a menos que tenga un número de viajero frecuente. A partir de 2005, la Asociación Internacional de Transporte Aéreo (IATA) decidió utilizar tarjetas de embarque con código de barras por la sencilla razón de que las tarjetas de embarque magnéticas eran mucho más costosas de mantener. Los ahorros se han estimado en $ 1.5 mil millones. m illones. Además, el uso de códigos de barras en llos os billetes de avión permite a los pasajeros descargar sus billetes de Internet e imprimirlos en casa, o pueden utilizar un teléfono móvil en la puerta de embarque. No hace falta decir que este cambio en el procedimiento requería algún tipo de estándar. Según el investigador Shaun Ewing, el código de barras típico de la tarjeta de embarque contiene información que en su mayoría es inofensiva: nombre del pasajero, nombre de la aerolínea, número de asiento, aeropuerto de salida, aeropuerto de llegada y número de
vuelo. 20 Sin embargo, la parte más sensible del código de barras es su viajero frecuente 21 un número. Todos contraseñas los sitiospersonales. web de las Dar aerolíneas su número ahora deprotegen viajero frecuente sus cuentas no es decomo clientes darcon su número de Seguro Social, pero sigue siendo un problema de privacidad.
MachineTranslatedbyGoogle
Una mayor preocupación por la privacidad son las tarjetas de fidelización que se ofrecen en los supermercados, farmacias, gasolineras gasolineras y otros negocios. A diferencia de los boletos de avión, que deben estar a su nombre legal, las tarjetas de fidelización se pueden registrar con un nombre, una dirección y un número de teléfono falsos (un número falso que pueda recordar), por lo que sus hábitos de compra no se pueden vincular con usted.
Cuando se registre en su hotel y encienda su computadora, es posible que vea una lista de redes Wi-Fi disponibles, disponibles, como ""Hotel Hotel Guest", "tmobile123", "El iPhone de Kimberley", "attwifi", "Android de Steve" y "Punto de acceso de Chuck". ¿A cuál deberías conectarte? ¡Espero que ya sepas la respuesta! La mayoría de las redes Wi-Fi de los hoteles no usan encriptación, pero requieren el apellido y el número de habitación del huésped como autenticación. Hay trucos para sortear los muros de pago, por supuesto. Un truco para obtener Internet gratis en cualquier hotel es llamar a cualquier otra habitación, tal vez la que está al otro lado del pasillo, haciéndose pasar por servicio de habitaciones. Si el hotel usa identificador de llamadas, solo use el teléfono de la casa en el vestíbulo. Dígale a la persona que contesta el teléfono que sus dos hamburguesas están en camino. Cuando el invitado dice que no hizo un pedido, le pides cortésmente su apellido para corregir el error. Ahora tiene tanto el número de habitación (usted lo llamó) como el apellido, que es todo lo que se necesita para autenticarlo (un huésped que no paga) como un huésped legítimo en ese hotel.
Supongamos que se hospeda en un hotel de cinco estrellas con acceso a Internet, gratuito o no. Al iniciar sesión, tal vez vea un mensaje que le informa que Adobe (o algún otro fabricante de software) tiene una actualización disponible disponible.. Siendo un buen ciudadano de Internet, puede sentirse tentado a descargar la actualización y seguir adelante. Excepto que la red del hotel aún debe considerarse hostil, incluso si tiene una contraseña. No es su red doméstica, por lo que es posible que la actualización no sea real y, si continúa y la descarga, puede instalar un código malicioso sin darse cuenta en su PC.
Si viaja mucho, como yo, actualizar o no es una decisión difícil. Es poco lo que puede hacer excepto verificar que haya una actualización disponible. disponible. El problema es que, si usa Internet del hotel para descargar esa actualización, es posible que lo redirijan a un sitio web falsificado que proporciona la información maliciosa.
MachineTranslatedbyGoogle
"actualizar." Si puede, use su dispositivo móvil para confirmar la existencia de la actualización desde el sitio del proveedor y, si no es crítica, espere hasta que esté de vuelta en un entorno seguro, como una oficina corporativa o en casa, para descargarla. 22 Investigadores de Kaspersky Lab, una empresa de seguridad de software, descubrieron un grupo de piratas informáticos criminales criminales a los que llaman DarkHotel (también conocido como Tapaoux) que utilizan esta técnica. Operan identificando a los ejecutivos de negocios que podrían estar hospedados en un hotel de lujo en particular, luego anticipan su llegada colocando malware en el servidor del hotel. Cuando los ejecutivos se registran y se conectan al Wi-Fi del hotel, el malware se descarga y ejecuta en sus dispositivos. Una vez completada la infección, el malware se elimina del servidor del hotel. Al parecer, esto ha estado ocurriendo durante casi una década, anotaron los investigadores.
Aunque afecta principalmente a los ejecutivos que se hospedan en hoteles de lujo en Asia, podría ser común en otros lugares. El grupo DarkHotel en general utiliza un ataque de phishing de lanza de bajo nivel para objetivos masivos y reserva los ataques de hotel para objetivos singulares de alto perfil, como ejecutivos en las industrias de defensa y energía nuclear. Un análisis inicial sugirió que DarkHotel tenía su sede en Corea del Sur. Un keylogger (malware utilizado para registrar las pulsaciones de teclas de los sistemas comprometidos) utilizado en los ataques contiene caracteres coreanos dentro del código. Y los días cero (vulnerabilidades en el software que el proveedor desconoce) eran fallas muy avanzadas que antes se desconocían. Además, un nombre de Corea del Sur identificado dentro del keylogger se ha rastreado hasta otros keyloggers sofisticados utilizados por los coreanos en el pasado. Cabe señalar, sin embargo, que esto no es suficiente para confirmar la atribución. El software se puede cortar y pegar desde una variedad de fuentes. Además, se puede hacer que el software parezca creado en un país cuando en realidad se creó en otro. Para obtener el malware en las computadoras portátiles, DarkHotel utiliza certificados falsificados falsificados que parecen haber sido emitidos por el gobierno de Malasia y Deutsche Telekom. Los certificados, si recuerda del capítulo 5, se utilizan para verificar
el origen del software o del servidor web. Para ocultar aún más su trabajo, los piratas informáticos lo arreglaron para que el malware permanezca inactivo hasta seis meses antes de activarse. Esto es para deshacerse de los departamentos de TI que
MachineTranslatedbyGoogle
podría vincular una visita con una infección. Kaspersky solo se enteró de este ataque cuando un grupo de sus clientes se infectó después de hospedarse en ciertos hoteles de lujo en Asia. Los investigadores investigadores recurrieron a un host de Wi-Fi de terceros común a ambos, y el host de Wi-Fi se asoció con la empresa antivirus para averiguar qué sucedía en sus redes. Aunque los archivos utilizados para infectar a los huéspedes desaparecieron desaparecieron hace mucho tiempo, quedaron registros de eliminación de archivos que correspondían a las fechas de las estadías de los huéspedes. La forma más fácil de protegerse contra este tipo de ataques es conectarse a un servicio VPN tan pronto como se conecte a Internet en el hotel. El que uso es barato, solo seis dólares al mes. Sin embargo, esa no es una buena opción si desea ser invisible, ya que no permitirá la configuración anónima.
Si quiere ser invisible, no confíe en el proveedor de VPN con su información real. Esto requiere configurar una dirección de correo electrónico falsa por adelantado (ver aquí) y usar una red inalámbrica abierta. Una vez que tenga esa dirección de correo electrónico falsa, use Tor para configurar una billetera de Bitcoin, busque un cajero automático de Bitcoin para depositar fondos en la billetera y luego use un vaso para lavar Bitcoin para que no se pueda rastrear hasta usted en la cadena de bloques. Este proceso de lavado requiere configurar dos billeteras de Bitcoin utilizando diferentes circuitos Tor. La primera billetera se usa para enviar Bitcoin al servicio de lavado y la segunda está configurada para recibir Bitcoin lavado. Una vez que haya logrado el verdadero anonimato mediante el uso de Wi-Fi abierto fuera de la vista de la cámara más Tor, busque un servicio VPN que acepte Bitcoin para el pago. Paga con el Bitcoin lavado. Algunos proveedores de VPN, incluido WiTopia, bloquean Tor, por lo que debe encontrar uno que no lo haga, preferiblemente con un proveedor de VPN que no registre las conexiones. En este caso, no estamos "confiando" al proveedor de VPN con nuestra dirección IP o nombre real. Sin embargo, cuando use la VPN recién configurada, debe tener cuidado de no usar ninguno de los servicios conectados a su nombre real y de no conectarse a la VPN desde una dirección IP que pueda vincularse con usted. Puede considerar conectarse a un teléfono desechable adquirido de forma anónima, consulte aquí.
Lo mejor es comprar un punto de acceso portátil, comprado de tal manera que sea muy difícil identificarlo. Por ejemplo, puede contratar a alguien para que lo compre por usted para que su rostro no aparezca en una cámara de vigilancia.
MachineTranslatedbyGoogle
en la tienda. Cuando esté usando el punto de acceso anónimo, debe apagar cualquiera de sus dispositivos personales que usen señales celulares para evitar que el patrón de sus dispositivos personales se registre en el mismo lugar que el dispositivo anónimo.
Para resumir, esto es lo que debe hacer para usar Internet de forma privada mientras viaja:
1. Compre tarjetas de regalo prepagas de forma anónima (consulte aquí). En la UE, puede comprar tarjetas de crédito prepagas de forma anónima en viabuy.com. 2. Use Wi-Fi abierto después de cambiar su dirección MAC (ver aquí). 3. Encuentre un proveedor de correo c orreo electrónico que le permita registrarse sin validación de SMS. O puede registrarse para obtener un número de entrada de Skype usando Tor y una tarjeta de regalo prepaga. Con Skype-in, puede recibir llamadas de voz para verificar su identidad. Asegúrese de estar fuera de la vista de la cámara (es decir, no en un Starbucks ni en ningún otro lugar con vigilancia por cámara). Utilice Tor para enmascarar su ubicación cuando se suscriba a este servicio de correo electrónico. 4. Usando su nueva dirección de correo electrónico anónima, regístrese en un s sitio itio como paxful.com, nuevamente usando Tor, para registrarse en una billetera Bitcoin y comprar un suministro de Bitcoin. Pague por ellos usando las tarjetas de regalo prepago. 5. Configure una segunda dirección de correo electrónico anónima y una nueva billetera secundaria de Bitcoin después de cerrar y establecer un nuevo circuito Tor para evitar cualquier asociación con la primera cuenta de correo electrónico y billetera. 6. Use un servicio de lavado de Bitcoin como bitlaunder.com para que sea difícil rastrear el origen de la moneda. Haga que el Bitcoin lavado se envíe a la segunda dirección de Bitcoin.23 7. Regístrese en un servicio VPN utilizando Bitcoin lavado que no registra tráfico ni conexiones IP. Por lo general, puede averiguar qué se registra revisando la política de privacidad del proveedor de VPN (p. ej., TorGuard). 8. Haga que un recorte obtenga un dispositivo de punto de acceso portátil quemador en su
beneficio. Da el recorte en efectivo para comprarlo. 9. Para acceder a Internet, use el dispositivo de punto de acceso de grabación fuera de casa, el trabajo y sus otros dispositivos celulares.
MachineTranslatedbyGoogle
10. Una vez encendido, conéctese a VPN a través del punto de acceso del quemador dispositivo.
11. Usa Tor para navegar por Internet.
MachineTranslatedbyGoogle
CAPÍTULO QUINCE
El FBI siempre consigue a su hombre
En la sección de ciencia ficción de la sucursal de Glen Park de la Biblioteca Pública de San Francisco, no muy lejos de su apartamento, Ross William Ulbricht participaba en un chat de atención al cliente en línea para la empresa que poseía. En ese momento, octubre de 2013, la persona al otro lado del chat de Internet pensó que estaba hablando con el administrador ad ministrador del sitio, que usaba el nombre de Internet de Dread Pirate Roberts, un nombre tomado de la película La princesa prometida. Roberts, también conocido como DPR, era de hecho Ross Ulbricht, no solo el administrador, sino también el propietario de Silk Road, un emporio de drogas en línea, y como tal fue objeto de una persecución federal.1 Ulbricht usaba con frecuencia ubicaciones públicas de Wi-Fi como la biblioteca por su trabajo, tal vez bajo la impresión errónea de que el FBI, si alguna vez lo identificara como DPR, nunca realizaría una redada en un lugar público. Ese día, sin embargo, la persona con la que estaba hablando Ulbricht resultó ser un agente encubierto del FBI. Dirigir un emporio de drogas en línea, en el que los clientes podían pedir cocaína y heroína y una amplia gama de drogas de diseño de forma anónima, requería cierto valor. El sitio estaba alojado en la Dark Web (ver aquí) y solo era accesible a través
de Tor. El sitio solo aceptaba Bitcoin como pago. Y elUnos creador de Silk Road habíaUlbricht sido cuidadoso, lo suficiente. meses antes de que se sentarapero en lanoBiblioteca Pública de San Francisco con el FBI rodeándolo, un héroe improbable relacionado con el gobierno federal.
MachineTranslatedbyGoogle
manhunt se presentó con evidencia que vinculaba a Ulbricht con DPR. El héroe, un agente del IRS llamado Gary Alford, había estado leyendo sobre Silk Road y sus orígenes, y por las noches había estado realizando búsquedas avanzadas en Google para ver qué podía encontrar. Una de las primeras menciones de Silk Road que encontró fue de 2011. Alguien que se hacía llamar "altoide" lo había estado hablando en un grupo de chat. Dado que Silk Road aún no se había lanzado, Alford pensó que lo más probable era que altoid tuviera conocimiento interno de la operación. Naturalmente, Naturalment e, Alford comenzó una búsqueda de otras referencias. Encontró oro. Aparentemente,, altoid había publicado una pregunta en otro grupo de chat, pero había Aparentemente eliminado el mensaje original. Alford obtuvo una respuesta a la consulta ahora eliminada que contenía el mensaje original. En ese mensaje, altoid dijo que si alguien podía responder a su pregunta, esa persona podía contactarlo en
[email protected] [email protected] No era la última vez que se cometía un desliz. Hubo otras preguntas publicadas, una en un sitio llamado Stack Overflow: la pregunta original se envió desde rossulbricht
[email protected], @gmail.com, pero luego, sorprendentemente, sorprendentem ente, el nombre del remitente se cambió a DPR.
Regla número 1 sobre ser invisible: nunca puedes vincular tu persona anónima en línea con su persona del mundo real. Simplemente no puedes. Hubo otros vínculos establecidos después de eso. Ulbricht, como DPR, defendió las filosofías libertarias de libre mercado de Ron Paul. Y en un momento, Ulbricht incluso había pedido un conjunto de identificaci identificaciones ones falsas (licencias de conducir con diferentes nombres de varios estados) que atrajeron a las autoridades federales a su puerta en San Francisco en julio de 2013, pero en ese momento las autoridades no tenían idea de que estaban hablando. con DPR. Poco a poco, la evidencia se volvió tan convincente que una mañana de octubre de 2013, tan pronto como comenzó el chat de atención al cliente del DPR, los agentes federales comenzaron a entrar silenciosamente en la biblioteca de Glen Park. Luego, en un golpe quirúrgico, capturaron a Ulbricht antes de que pudiera apagar su computadora portátil. Si lo hubiera cerrado, ciertas pruebas clave habrían sido destruidas. Tal como estaban las cosas, pudieron fotografiar las pantallas de administración del sistema de un sitio llamado Silk Road
momentos después del arresto y, por lo tanto, establecieron un vínculo concreto entre Ulbricht, Dread Pirate Roberts y Silk Road, poniendo así fin a cualquier futura esperanza de anonimato.
MachineTranslatedbyGoogle
Esa mañana de octubre en Glen Park, Ulbricht inició sesión en Silk Road como administrador.. Y el FBI lo sabía porque habían estado observando su máquina iniciando administrador sesión en Internet. Pero, ¿y si hubiera podido falsificar su ubicación? ¿Qué pasaría si no estuviera en la biblioteca sino que usara un servidor proxy en su lugar?
En el verano de 2015, el investigador Ben Caudill de Rhino Security anunció que no solo hablaría en DEF CON 23 sobre su nuevo dispositivo, ProxyHam, sino que también lo vendería al costo (alrededor de $200) en la sala de vendedores de DEF CON. . Luego, aproximadamente aproximadam ente una semana después, Caudill anunció que su charla fue cancelada y que todas las unidades ProxyHam existentes serían destruidas. No ofreció más explicaciones.3 Las conversaciones en las principales conferencias de seguridad se cancelan por varias razones. O las empresas cuyos productos se están discutiendo o el gobierno federal presiona a los investigadores para que no se hagan públicos. En este caso, Caudill no estaba señalando un defecto en particular; había construido algo nuevo. Lo curioso de Internet: una vez que una idea está ahí, tiende a permanecer ahí. Entonces, incluso si los federales o alguien más convenciera a Caudill de que su discurso no era de interés para la seguridad nacional, parecía probable que alguien más crearía un nuevo dispositivo. Y eso es exactamente lo que sucedió. ProxyHam es un punto de acceso muy remoto. Usarlo es muy parecido a poner un transmisor Wi-Fi en su hogar u oficina. Excepto que la persona que usa y controla ProxyHam podría estar a una milla de distancia. El transmisor de Wi-Fi utiliza una radio de 900 MHz para conectarse a un dongle de antena en una computadora a una distancia de hasta 2,5 millas. Entonces, en el caso de Ross Ulbricht, el FBI podría haber estado reuniendo afuera de la biblioteca de Glen Park mientras él estaba en el sótano de alguien lavando la ropa a varias cuadras de distancia. La necesidad de tales dispositivos es clara si vives en un país oprimido. Ponerse en contacto con el mundo exterior a través de Tor es un riesgo que muchos corren. Este tipo de dispositivo agregaría otra capa de seguridad al enmascarar la geolocalización geolocaliza ción del solicitante.
Excepto que alguien no quería que Caudill hablara de eso en DEF CON. En entrevistas, Caudill negó que la Comisión Federal de Comunicaciones Comunicaciones lo haya desalentado. Wired especuló que plantar en secreto un ProxyHam en la red de otra persona podría interpretarse como no autorizado.
MachineTranslatedbyGoogle
acceso bajo la draconiana y vaga Ley de Abuso y Fraude Informático de Estados Unidos. Caudill se niega a comentar sobre cualquiera de las especulaciones. Como dije, una vez que una idea está disponible, cualquiera puede ejecutarla. Entonces, el investigador de seguridad Samy Kamkar creó ProxyGambit, un dispositivo que esencialmente reemplaza a ProxyHam.4 Excepto que usa tráfico celular inverso, lo que significa que en lugar de estar a solo unas pocas millas del dispositivo cuando lo usa, podría estar al otro lado del mundo. ¡Enfriar! ProxyGambit y dispositivos como este, por supuesto, crearán dolores de cabeza para la ley.
cumplimiento cuando los delincuentes deciden utilizarlos.
Silk Road de Ulbricht era un emporio de drogas en línea. No era algo que pudieras buscar en Google; no estaba en lo que se llama Surface Web, que se puede indexar y buscar fácilmente. Surface Web, que contiene sitios familiares como Amazon y YouTube, representa solo el 5 por ciento de todo Internet. Todos los sitios web que la mayoría de ustedes han visitado o conocen constituyen un número trivial en comparación con el número real de sitios que existen. La gran mayoría de los sitios de Internet en realidad están ocultos para la mayoría de los motores de búsqueda. Después de Surface Web, la siguiente parte más grande de Internet es lo que se llama Deep Web. Esta es la parte de la Web que está oculta detrás del acceso con contraseña; por ejemplo, el contenido del catálogo de fichas de la sucursal de Glen Park de la Biblioteca Pública de San Francisco. La Deep Web también incluye la mayoría de los sitios solo por suscripción y los sitios de intranet corpora corporativos. tivos. netflix Pandora. Entiendes la idea. Finalmente, hay una parte mucho más pequeña de Internet conocida como Dark Web. No se puede acceder a esta parte de Internet a través de un navegador común, ni se puede buscar en sitios como Google, Bing y Yahoo. La Dark Web es donde vivía Silk Road, junto con sitios donde puedes contratar a un asesino y adquirir pornografía infantil. Sitios como estos viven en la Dark Web porque es prácticamente anónimo. Digo "virtualmente" porque nada realmente lo es.
El acceso a la Dark Web solo se puede obtener a través de un navegador Tor. De hecho, los sitios web oscuros, con URL alfanuméricas complicadas, todos terminan con .onion. Como mencioné anteriormente, el enrutador cebolla fue creado por el Laboratorio de Investigación Naval de EE. UU. para brindar a las personas oprimidas una forma de comunicarse entre sí.
MachineTranslatedbyGoogle
otro, así como el mundo exterior. También expliqué que Tor no conecta su navegador directamente a un sitio; más bien, establece un enlace a otro servidor, que luego se conecta a otro servidor para finalmente llegar al sitio de destino. Los múltiples saltos hacen que sea más difícil de rastrear. Y sitios como Silk Road son productos de servicios ocultos dentro de la red Tor. Sus direcciones URL se generan a partir de un algoritmo y las listas de sitios web oscuros cambian con frecuencia. Tor puede acceder tanto a la Surface Web como a la Dark Web. Otro navegador Dark Web, I2P, también puede acceder a Surface Web y Dark Web. Incluso antes del desmantelamiento de Silk Road, la gente especulaba que la NSA u otros tenían una forma de identificar a los usuarios en la Dark Web. Una forma de que la NSA lo haga sería plantar y controlar lo que se llama nodos de salida, los puntos en los que se pasa una solicitud de Internet a uno de estos servicios ocultos, aunque eso aún no permitiría la identificación del solicitante inicial. Para hacer eso, el observador del gobierno tendría que ver que se hizo una solicitud para acceder al sitio X y que unos segundos antes, alguien en New Hampshire activó el navegador Tor. El observador podría sospechar que los dos eventos estaban relacionados. Con el tiempo, el acceso al sitio y el acceso repetido a Tor al mismo tiempo podrían establecer un patrón. Una forma de evitar crear ese patrón es mantener su navegador Tor conectado en todo momento.
En el caso de Ulbricht, se volvió descuidado. Ulbricht aparentemente no tenía un plan desde el principio. En sus conversaciones iniciales sobre Silk Road, alternó entre usar su dirección de correo electrónico real y una seudónima. Como puede ver, es muy difícil operar en el mundo actual sin dejar rastros de su verdadera identidad en algún lugar de Internet. Pero como dije al principio, con un poco de cuidado, tú también puedes dominar el arte de la invisibilidad. En las siguientes páginas, le mostraré cómo hacerlo.
MachineTranslatedbyGoogle
CAPÍTULO DIECISÉIS Dominando el arte de la invisibilidad
Después de leer hasta aquí, es posible que esté pensando en su nivel de experiencia y lo fácil (o difícil) que será para ti desaparecer en línea. O puede que se pregunte hasta dónde debe llegar o si algo de esto es para usted. ¡Después de todo, es posible que no tenga secretos de estado para compartir! Sin embargo, es posible que esté peleando con su ex en una disputa legal. O podría estar en desacuerdo con su jefe. Es posible que esté contactando a un amigo que todavía está en contacto con un familiar abusivo. O tal vez quiera mantener algunas actividades privadas y no observables por un abogado. Hay una variedad de razones legítimas por las que podría necesitar comunicarse con otras personas en línea o usar la Web y otras tecnologías de forma anónima. Asi que… ¿Qué pasos realmente necesita tomar para ir all-in? ¿Cuánto tiempo será ¿tomar? ¿Y cuánto costará? Si no está muy claro por ahora, para ser invisible en línea, más o menos necesita crear una identidad separada, una que no tenga ninguna relación con usted. Ese es el significado de ser anónimo. Cuando no estás siendo anónimo, también debes defender con rigor la separación de tu vida de esa identidad anónima. Lo que quiero decir con eso es que necesita comprar algunos dispositivos separados que solo se usan cuando es
anónimo. Y esto podría resultar costoso. Podría, por ejemplo, usar su computadora portátil actual y crear lo que se llama una máquina virtual (VM) en su escritorio. Una máquina virtual es un software.
MachineTranslatedbyGoogle
computadora. Está contenido dentro de una aplicación de máquina virtual, como VMware Fusion. Puede cargar una copia con licencia de Windows 10 dentro de una máquina virtual y decirle cuánta RAM desea, cuánto espacio en disco necesita, etc. Para alguien que lo observa al otro lado de Internet, parecería que está usando una máquina con Windows 10, incluso si en realidad está usando una Mac.
Los investigadores de seguridad profesionales usan máquinas virtuales todo el tiempo, creándolas y destruyéndolas fácilmente. Pero incluso entre los profesionales existe la posibilidad de fuga. Por ejemplo, es posible que esté en su versión de máquina virtual de Windows 10 y, por algún motivo, inicie sesión en su cuenta de correo electrónico personal. Ahora esa máquina virtual se puede asociar con usted.
Entonces, el primer paso para ser anónimo es comprar una computadora portátil independiente que solo usará para sus actividades anónimas en línea. Como hemos visto, el nanosegundo que transcurre y, por ejemplo, revisa su cuenta de correo electrónico personal en esa máquina, el juego del anonimato ha terminado. Así que recomiendo una computadora portátil con Windows de bajo precio (Linux es mejor, si sabes cómo usarlo). La razón por la que no recomiendo una MacBook Pro es que es mucho más cara que una computadora portátil con Windows.
Anteriormente le recomendé que comprara una segunda computadora portátil, específicamente, una Chromebook, para usar solo para la banca en línea. Otra opción para la banca en línea sería usar un iPad. Debe registrarse para obtener una ID de Apple utilizando su dirección de correo electrónico y una tarjeta de crédito, o comprando una tarjeta de regalo de iTunes. Pero dado que este dispositivo solo se usa para su banca personal segura, la invisibilidad no es el objetivo. Pero si su objetivo aquí es la invisibilidad, un Chromebook no es la mejor solución porque no tiene la misma flexibilidad que usar una computadora portátil con Windows o un sistema operativo basado en Linux como Ubuntu. Windows 10 está bien siempre que omita la opción que le pide que se registre para obtener una cuenta de Microsoft. No desea crear ningún vínculo desde su computadora a Microsoft en absoluto.
Debe comprar la nueva computadora portátil en efectivo en persona, no en línea, de esa manera no se puede rastrear fácilmente la compra hasta usted. Recuerde, su nueva computadora portátil tiene una tarjeta de red inalámbrica con una dirección MAC única. No desea que nadie pueda rastrear el equipo hasta usted, en caso de que su verdadero
MachineTranslatedbyGoogle
La dirección MAC se filtró de alguna manera. Por ejemplo, si está en un Starbucks y enciende la computadora portátil, el sistema buscará cualquier red inalámbrica previamente "conectada". Si hay un equipo de monitoreo en el área que registra la solicitud de sondeo, es posible que se revele su dirección MAC real. Una preocupación es que el gobierno pueda tener una forma de rastrear la compra de su computadora portátil si existe algún vínculo entre la dirección MAC de su tarjeta de red y el número de serie de su computadora. Si es así, los federales solo necesitarían encontrar quién compró la computadora específica para identificarlo, lo que probablemente no sea tan difícil. Debes instalar Tails (ver aquí) y Tor (ver aquí) y usarlos en lugar del sistema operativo nativo y el navegador. No inicie sesión en ningún sitio o aplicación con su identidad real. Ya Y a aprendiste los riesgos basados en lo fácil que es rastrear personas y computadoras en Internet. Como hemos discutido, usar sitios o cuentas con su identidad real es una muy mala idea: los bancos y otros sitios usan de forma rutinaria la toma de huellas dactilares del dispositivo para minimizar el fraude, y esto deja una gran huella que puede identificar su computadora si alguna vez accede a los mismos sitios siti os de forma anónima. . De hecho, es mejor apagar su enrutador inalámbrico antes de encender su computadora portátil anónima en casa. Su proveedor de servicios podría obtener la dirección MAC de su computadora portátil anónima si se conecta al enrutador de su hogar (suponiendo que el proveedor sea propietario y administre el enrutador en su hogar). Siempre es mejor comprar su propio enrutador doméstico sobre el que tenga control total, de modo que el proveedor de servicios no pueda obtener las direcciones MAC asignadas a sus computadoras en su red local. Como tal, el proveedor de servicios solo verá la dirección MAC de su enrutador, lo cual no representa ningún riesgo para usted. Lo que quieres es una negación plausible. Desea que sus conexiones pasen por proxy a través de múltiples capas para que sea muy, muy difícil para un investigador vincularlas con una sola persona, y mucho menos con usted. Cometí un error cuando todavía era un fugitivo. Llamé repetidamente a los módems de Netcom —un fantasma de los proveedores de servicios de Internet del pasado— pasado— usando un módem de teléfono
celular para enmascarar mi ubicación física. Como estaba en una ubicación fija, fue un juego de niños usar usar técnicas de radiogoniometría radiogoniometría para encontrarme, una una vez que supieron qué torre celular estaba usando mi teléfono móvil para las conexiones de datos. Esto permitió a mi adversario (Tsutomu Shimomura) encontrar la ubicación general
MachineTranslatedbyGoogle
y pásalo al FBI.1 Lo que esto significa es que nunca puedes usar tu computadora portátil anónima en casa o en el trabajo. Alguna vez. Así que obtenga una computadora portátil y comprométase a no usarla 2
nunca para revisar su correo electrónico personal, Facebook o incluso el clima local. Otra forma en que se le puede rastrear en línea es a través del método comprobado de seguimiento del dinero. Deberá pagar algunas cosas, por lo que antes de sacar su computadora portátil anónima y encontrar una red inalámbrica abierta, el primer paso es comprar algunas tarjetas de regalo de forma anónima. Dado que todas las tiendas que venden tarjetas de regalo probablemente tengan cámaras de vigilancia en el quiosco o mostrador, debe tener mucho cuidado. No debe comprarlos usted mismo. Debe contratar a una persona elegida al azar en la calle para comprar las tarjetas de regalo mientras espera a una distancia segura. Pero, ¿cómo haces eso? Podrías acercarte, como lo hice yo, a alguien en un estacionamiento y decir que tu ex trabaja en esa tienda de allí y que no quieres una confrontación, u ofrecer alguna otra excusa que suene plausible. Tal vez agregue que ella tiene una orden de restricción en su contra. Por $100 en efectivo, hacer una compra para usted puede sonar muy razonable para alguien. Ahora que hemos configurado nuestro recorte para entrar a la tienda y comprar un puñado de tarjetas prepagas, ¿qué tarjetas debería comprar? Recomiendo comprar algunas tarjetas prepagas preestablecidas de $100. No compre ninguna de las tarjetas de crédito recargables, ya que debe proporcionar su identidad real según la Ley Patriota cuando las active. Estas compras requieren su nombre real, dirección, fecha de nacimiento y un número de Seguro Social que coincida con la información sobre usted registrada en las agencias de crédito. Proporcionar un nombre inventado o el número de Seguro Social de otra persona es ilegal y probablemente no valga la pena correr el riesgo. Intentamos ser invisibles en línea, no infringir la ley. Recomiendo tener el recorte para comprar tarjetas de regalo Vanilla Visa o Vanilla MasterCard de $100 en una cadena de farmacias, 7-Eleven, Walmart o una gran tienda. Estos a menudo se entregan como obsequios y se pueden usar como lo harían las tarjetas de
crédito normales. Para estos no tiene que proporcionar ninguna información de identificación. Y puedes comprarlos de forma anónima, con efectivo. Si vive en la UE, debe solicitar de forma anónima una tarjeta de crédito física a través de viabuy.com. En Europa pueden enviar las tarjetas a la oficina de correos,
MachineTranslatedbyGoogle
que no requiere identificación para recoger. Según tengo entendido, le envían un código PIN y puede abrir el buzón con el PIN para recoger las tarjetas de forma anónima (suponiendo que no haya cámara).
Entonces, ¿dónde puede usar su nueva computadora portátil y comprar tarjetas prepagas de forma anónima? Con la llegada de dispositivos de almacenamiento óptico económicos, las empresas que brindan acceso inalámbrico gratuito pueden almacenar imágenes de cámaras de vigilancia durante años. Para un investigador es relativamente fácil obtener ese metraje y buscar posibles sospechosos. Durante el tiempo de su visita, el investigador puede analizar los registros, buscando direcciones MAC autenticadas en la red inalámbrica que coincidan con su dirección MAC. Por eso es importante cambiar su dirección MAC cada vez que se conecta a una red inalámbrica gratuita. Por lo tanto, debe encontrar una ubicación cercana o adyacente a una que ofrezca Wi-Fi gratis. Por ejemplo, puede haber un restaurante chino al lado de un Starbucks u otro establecimiento que ofrezca acceso inalámbrico gratuito. Siéntese en una mesa cerca de la pared contigua al proveedor de servicios. Es posible que experimente velocidades de conexión un poco más lentas, pero tendrá un anonimato relativo (al menos hasta que el investigador comience a mirar todas las imágenes de vigilancia del área circundante).
Es probable que su dirección MAC se registre y almacene una vez que se autentique en la red inalámbrica gratuita. ¿Recuerdas a la amante del general David Petraeus? ¿Recuerda que las horas y fechas de los registros de su hotel coincidieron con las horas y fechas de aparición de su dirección MAC en la red del hotel? No querrás que errores simples como estos comprometan tu anonimato. Así que recuerda cambiar tu dirección MAC cada vez que accedas a Wi-Fi público (ver aquí).
Hasta ahora esto parece bastante sencillo. Desea comprar una computadora c omputadora portátil separada desde la cual realizará su actividad anónima. Quiere comprar de forma anónima algunas tarjetas de regalo. Desea encontrar una red Wi-Fi a la que pueda acceder desde un sitio cercano o adyacente para evitar ser visto en la cámara. Y desea cambiar su dirección MAC cada vez que se conecta a una
red inalámbrica gratuita.
Por supuesto que hay más. Mucho más. Solo estamos comenzando.
MachineTranslatedbyGoogle
También es posible que desee contratar un segundo recorte, esta vez para hacer una compra más importante: un punto de acceso personal. Como mencioné antes, el FBI me atrapó porque estaba llamando a sistemas de todo el mundo usando mi teléfono celular y módem, y con el tiempo mi ubicación fija se vio comprometida porque mi teléfono celular estaba conectado a la misma torre celular. En ese momento, fue fácil usar la búsqueda de dirección por radio para ubicar el transceptor (mi teléfono celular). Puede evitar eso contratando a alguien para que vaya a una tienda de Verizon (o AT&T o T-Mobile) y compre un punto de acceso personal que le permita conectarse a Internet usando datos móviles. Eso significa que tiene su propio acceso local a Internet, por lo que no tiene que pasar por una red Wi-Fi pública. Lo más importante es que nunca debe usar un punto de acceso personal en una ubicación fija durante demasiado tiempo cuando necesita mantener su anonimato.
Idealmente, la persona que contrate no verá su matrícula ni tendrá ninguna forma de identificarlo. Dale a la persona en efectivo: $200 por el punto de acceso y otros $100 cuando la persona regrese con el punto de acceso. El operador móvil venderá al recorte un punto de acceso personal que no lleva información de identificación. Y mientras lo hace, ¿por qué no comprar algunas tarjetas de recarga para agregar más datos? Con suerte, el recorte no se fugará con su dinero, pero es un riesgo que vale la pena por el anonimato. Más tarde, puede recargar el dispositivo grabador con Bitcoin.3 Una vez que haya comprado de forma anónima un punto de acceso portátil, es muy importante que, al igual que con la computadora portátil, nunca, nunca, nunca
encienda el dispositivo en casa. Cada vez que se enciende el punto de acceso,
se registra con la torre celular más cercana. No desea que su hogar u oficina o cualquier lugar que frecuenta aparezca en los archivos de registro del operador móvil. Y nunca encienda su teléfono personal o computadora portátil personal en el mismo lugar donde enciende su computadora portátil anónima o teléfono prepago o punto de acceso anónimo. La separación es muy importante. Cualquier registro que lo vincule a su yo anónimo en una fecha y hora posterior niega toda la operación.
Ahora, armados con tarjetas de regalo prepagas y un punto de acceso personal con un plan de datos prepago, ambos comprados de forma anónima por dos personas muy diferentes que no tendrían ninguna información sobre usted para identificarlo ante la policía, casi estamos listos. Casi.
MachineTranslatedbyGoogle
A partir de este momento, el navegador Tor siempre debe usarse para crear y acceder a todas las cuentas en línea porque cambia constantemente su dirección IP. Uno de los primeros pasos es configurar un par de cuentas de correo electrónico anónimas usando Tor. Esto fue algo que Ross Ulbricht se olvidó de hacer. Como vimos en el capítulo anterior, usó su cuenta de correo electrónico personal más de una vez mientras realizaba su negocio de Silk Road en Dark Web. Estos cruces no intencionales de Dread Pirate Roberts a Ross Ulbricht y viceversa ayudaron a los investigadores a confirmar que los dos nombres estaban asociados con una persona. Para evitar el abuso, la mayoría de los proveedores de correo electrónico, como Gmail, Hotmail, Outlook y Yahoo, exigen la verificación del teléfono móvil. Eso significa que debe proporcionar su número de teléfono móvil e, inmediatamente durante el proceso de registro, se envía un mensaje de texto a ese dispositivo para confirmar su identidad. Todavía puede usar un servicio comercial como los mencionados anteriormente si usa un teléfono desechable. Sin embargo, ese teléfono desechable y cualquier tarjeta de recarga deben obtenerse de forma segura, es decir, comprarse en efectivo por un tercero que no pueda ser rastreado hasta usted. Además, una vez que tenga un teléfono desechable, no podrá usarlo cuando esté cerca de cualquier otro dispositivo celular que posea. Nuevamente, deje su teléfono personal en casa. Para comprar Bitcoin en línea, necesitará al menos dos direcciones de correo electrónico creadas de forma anónima y billeteras de Bitcoin. Entonces, ¿cómo se crean direcciones de correo electrónico anónimas como las creadas por Edward Snowden y Laura Poitras?
En mi investigación, descubrí que podía crear una cuenta de correo electrónico en protonmail.com y una en tutanota.com usando Tor, ambas sin ninguna solicitud para verificar mi identidad. Ninguno de estos dos proveedores de correo electrónico me pidió verificación durante la configuración. Puede realizar su propia investigación buscando proveedores de correo electrónico y verificando si requieren su número de teléfono móvil durante el proceso de registro. También puede ver cuánta información necesitan para crear las nuevas cuentas. Otra opción de correo electrónico es fastmail.com, que no tiene tantas funciones como Gmail, pero debido a que es un servicio pago, no hay extracción de datos de usuario ni visualización de anuncios.
Así que ahora tenemos una computadora portátil, con Tor y Tails cargados, un teléfono desechable, un puñado de tarjetas de regalo prepagas anónimas y un punto de acceso anónimo con un plan de datos comprado de forma anónima. Todavía no estamos listos. para mantener esto
MachineTranslatedbyGoogle
anonimato, necesitamos convertir nuestras tarjetas de regalo prepagas prepaga s compradas de forma anónima a Bitcoin.
En el capítulo 6 hablé de Bitcoin, moneda virtual. Por sí mismo, Bitcoin no es anónimo. Se pueden rastrear a través de lo que se llama una cadena de bloques hasta la fuente de la compra; Del mismo modo, también se pueden rastrear todas las compras posteriores. Entonces, Bitcoin por sí solo no ocultará su identidad. Tendremos que ejecutar los fondos a través de un mecanismo de anonimato: convertir las tarjetas de regalo prepagas en Bitcoin y luego ejecutar el Bitcoin a través de un servicio de lavado. Este proceso dará como resultado Bitcoin anonimizado que se utilizará para futuros pagos. Necesitaremos el Bitcoin lavado, por ejemplo, para pagar nuestro servicio VPN y cualquier compra futura de uso de datos en nuestro punto de acceso portátil o teléfono desechable. Usando Tor, puede configurar una billetera Bitcoin inicial en paxful.com u otros sitios de billetera Bitcoin. Algunos sitios negocian ofertas en las que puede comprar Bitcoin con tarjetas de regalo prepagas, como las tarjetas de regalo Vanilla Visa y Vanilla MasterCard preestablecidas que mencioné anteriormente. La desventaja es que pagará una gran prima por este servicio, al menos el 50 por ciento. Paxful.com es más como un sitio de subastas de eBay donde encuentras vendedores de Bitcoin: el sitio simplemente te conecta con compradores y vendedores. Aparentemente el anonimato tiene un alto costo. Cuanta menos información de identidad proporcione en una transacción, más pagará. Eso tiene sentido: las personas que venden Bitcoin corren un gran riesgo al no verificar su identidad. Pude comprar Bitcoin a cambio de mis tarjetas de regalo Vanilla Visa compradas de forma anónima a una tasa de $ 1.70 por dólar, lo cual es indignante pero necesario para garantizar el anonimato. Mencioné que Bitcoin por sí mismo no es anónimo. Por ejemplo, hay un registro de que cambié ciertas tarjetas de regalo prepagas por Bitcoin. Un investigador podría rastrear mi Bitcoin hasta las tarjetas de regalo. Pero hay formas de lavar Bitcoin, oscureciendo cualquier vínculo que me dirija. El lavado de dinero es algo que los delincuentes hacen todo el tiempo. Se usa con mayor
frecuencia en el tráfico de drogas, pero también desempeña un papel en los delitos financieros de cuello blanco. El lavado significa que disfraza la propiedad original de los fondos, a menudo enviando el dinero fuera del país a varios bancos en países que tienen leyes de privacidad estrictas. Resulta que puedes hacer
MachineTranslatedbyGoogle
algo similar con la moneda virtual. Hay servicios llamados tumblers que toman Bitcoin de una variedad de fuentes y los mezclan, o los mezclan, para que el Bitcoin resultante conserve su valor pero contenga rastros de muchos propietarios. Esto hace que sea difícil para alguien decir más tarde qué propietario realizó una determinada compra. Pero hay que tener mucho cuidado, porque hay toneladas de estafas por ahí. Me arriesgué. Encontré un servicio de lavado en línea y cobraron una tarifa adicional de la transacción. De hecho, obtuve el valor de Bitcoin que quería. Pero piense en esto: ese servicio de lavado ahora tiene una de mis direcciones de correo electrónico anónimas y ambas direcciones de Bitcoin que se usaron en la transacción. Entonces, para mezclar aún más las cosas, envié el Bitcoin a una segunda billetera de Bitcoin que se configuró al abrir un nuevo circuito Tor, que estableció nuevos saltos entre el sitio que quería visitar y yo. Ahora la transacción está completamente ofuscada, lo que dificulta que alguien llegue más tarde y descubra que las dos direcciones de Bitcoin son propiedad de la misma persona. Por supuesto, el servicio de lavado de Bitcoin podría cooperar con terceros proporcionando ambas direcciones de Bitcoin. Por eso es tan importante comprar de forma segura las tarjetas de regalo prepagas. Después de usar las tarjetas de regalo para comprar Bitcoin, recuerde desechar las tarjetas de plástico de forma segura (no en la basura de su casa). Recomiendo usar una trituradora de corte transversal que esté clasificada para tarjetas de plástico, luego desechar los fragmentos en un contenedor de basura al azar lejos de su hogar u oficina. Una vez que se haya recibido el Bitcoin lavado, puede suscribirse a un servicio VPN que haga de su privacidad una prioridad. La mejor política cuando intenta ser anónimo es simplemente no confiar en ningún proveedor de VPN, especialmente en aquellos que afirman no retener ningún registro. Lo más probable es que sigan revelando tus datos si se ponen en contacto con la policía o la NSA. Por ejemplo, no puedo imaginar que ningún proveedor de VPN pueda solucionar problemas dentro de su propia red. Y la resolución de problemas requiere el mantenimiento de algunos registros, por ejemplo, registros de conexión que podrían usarse para vincular a los clientes con sus direcciones IP de origen.
Entonces, debido a que no se puede confiar incluso en el mejor de estos proveedores, compraremos un servicio VPN utilizando Bitcoin lavado a través del navegador Tor. Sugiero revisar los términos de servicio y las políticas de privacidad de un proveedor de VPN y encontrar el que parezca el mejor del grupo. No vas a encontrar una pareja perfecta, solo una buena. Recuerda que no puedes confiar en ninguna
MachineTranslatedbyGoogle
proveedor para mantener su anonimato. Tienes que hacerlo tú mismo con el entendimiento de que un solo error puede revelar tu verdadera identidad. Ahora, con una computadora portátil independiente, que ejecuta Tor o Tails, usando un proveedor de VPN comprado con Bitcoin lavado, en un punto de acceso comprado de forma anónima y con un suministro de aún más Bitcoin lavado, ha completado la parte fácil: la configuración. Esto le costará un par de cientos de dólares, tal vez quinientos, pero todas las piezas han sido aleatorias para que no puedan conectarse fácilmente con usted. Ahora viene la parte difícil: mantener ese anonimato. Toda la configuración y los procesos por los que acabamos de pasar pueden perderse en un segundo si usa el punto de acceso anónimo en casa, o si enciende su teléfono celular personal, tableta o cualquier otro dispositivo celular vinculado a su identidad real en el ubicación física donde está utilizando su identidad anónima. Solo necesita un desliz por su parte para que un investigador forense pueda correlacionar su presencia con una ubicación mediante el análisis de los registros del proveedor de telefonía celular. Si existe un patrón de acceso anónimo al mismo tiempo que su dispositivo celular está registrado en el mismo sitio celular, podría llevar a desenmascarar su verdadera identidad. Ya he dado varios ejemplos de esto. Ahora, si su anonimato se ve comprometido y decide participar en otra actividad anónima, es posible que deba realizar este proceso una vez más: borrar y reinstalar el sistema operativo en su computadora portátil anónima y crear otro conjunto de cuentas de correo electrónico anónimas con Monederos de Bitcoin y comprar otro punto de acceso anónimo. Recuerde que Edward Snowden y Laura Poitras, quienes ya tenían cuentas de correo electrónico anónimas, configuraron cuentas de correo electrónico anónimas adicionales para poder comunicarse específicamente entre ellos. Esto solo es necesario si sospecha que el anonimato original que ha establecido está comprometido. De lo contrario, podría usar el navegador Tor (después de establecer un nuevo circuito Tor) a través del punto de acceso anónimo y VPN para acceder a
Internet usando una persona diferente. Por supuesto, depende de usted qué tanto o qué tan poco decida seguir estas recomendaciones.
MachineTranslatedbyGoogle
Incluso si sigues mis recomenda recomendaciones, ciones, es posible que alguien del otro lado te reconozca. ¿Cómo? Por cierto, escribes. Hay un cuerpo considerable de investigación que se ha centrado en las elecciones de palabras específicas que hacen las personas cuando escriben correos electrónicos y comentan publicaciones en las redes sociales. Al observar esas palabras, los investigadores a menudo pueden identificar el sexo y el origen étnico. Pero más allá de eso no pueden ser más específicos. ¿O pueden? En la Segunda Guerra Mundial, el gobierno británico instaló varias estaciones de escucha en todo el país para interceptar señales del ejército alemán. Los avances que llevaron a los Aliados a descifrar estos mensajes llegaron un poco más tarde, en Bletchley Park, el sitio de la Escuela de Cifrado y Código del Gobierno, Gobierno, donde se descifró el código Enigma alemán. Al principio, la gente de Bletchley Park que interceptaba los mensajes del telégrafo alemán podía identificar ciertas características únicas de un remitente basándose en los intervalos entre los puntos y los guiones. Por ejemplo, podían reconocer cuando entraba un nuevo operador de telégrafo, e incluso comenzaron a dar a los operadores nombres
¿Cómo podrían simples puntos y rayas revelar a las personas detrás de ellos? Bueno, se puede medir el intervalo de tiempo entre el toque de una tecla por parte del remitente y el toque de la tecla de nuevo. Este método de diferenciación más tarde se conoció como el Puño del Remitente. Varios operadores clave de código Morse podrían identificarse por sus "puños" únicos. No era para lo que se diseñó el telégrafo (a quién le importa quién envió el mensaje; ¿cuál era
el mensaje?), pero en este caso, la escucha única fue un producto interesante.
Hoy en día, con los avances en la tecnología digital, los dispositivos electrónicos pueden medir las diferencias de nanosegundos en la forma en que cada persona presiona las teclas en los teclados de las computadoras, no solo el tiempo que se mantiene presionada una tecla determinada, sino también la rapidez con la que sigue la siguiente tecla. Puede notar la diferencia entre alguien que escribe normalmente y alguien que busca y picotea el teclado. Eso, junto con las palabras elegidas, puede revelar mucho sobre una comunicación anónima.
Este es un problema si se ha tomado t omado la molestia de anonimizar su dirección IP. El sitio del otro lado aún puede reconocerlo, no por algo técnico sino por algo exclusivamente humano.
Esto también se conoce como análisis de comportamiento. comportamiento.
MachineTranslatedbyGoogle
Digamos que un sitio web anonimizado por Tor decide rastrear su perfil de pulsaciones de teclas. Tal vez las personas detrás de esto sean maliciosas y solo quieran saber más sobre ti. O tal vez trabajan con las fuerzas del orden. Muchas instituciones financieras ya utilizan el análisis de pulsaciones de teclas para autenticar aún más a los titulares de cuentas. De esa manera, si alguien tiene su nombre de usuario y contraseña, él o ella realmente no pueden falsificar la cadencia de su escritura. Eso es tranquilizador cuando desea autenticarse en línea. Pero, ¿y si no lo haces? Debido a que el análisis de pulsaciones de teclas es tan inquietantemente fácil de implementar, los investigadores Per Thorsheim y Paul Moore crearon un complemento del navegador Chrome llamado Keyboard Privacy. El complemento almacena en caché sus pulsaciones de teclas individuales y luego las reproduce en diferentes intervalos. La idea es introducir la aleatoriedad en la cadencia normal de pulsaciones de teclas como medio para lograr el anonimato El complemento podría enmascarar aún más sus actividades anónimas en Internet.4
Como hemos visto, mantener la separación entre tu vida real y tu vida anónima en línea es posible, pero requiere una vigilancia constante. En el capítulo anterior hablé de algunos fracasos espectaculares en ser invisible. Estos fueron intentos gloriosos pero a corto plazo de invisibilidad. En el caso de Ross Ulbricht, realmente no planeó su alter ego con mucho cuidado, ocasionalmente usaba su dirección de correo electrónico real en lugar de una anónima, particularmente al principio. Mediante el uso de una búsqueda avanzada de Google, un investigador pudo reunir suficiente información para revelar al misterioso propietario de Silk Road. Entonces, ¿qué pasa con Edward Snowden y otros como él que están preocupados por su vigilancia por parte de una o más agencias gubernamentales? Snowden, por ejemplo, tiene una cuenta de Twitter. Al igual que otras personas dedicadas a la privacidad, ¿de qué otra forma podría involucrarlos en una ronda de conversación en línea? Hay un par de posibilidades para explicar cómo estas personas permanecen "invisibles".
No están bajo vigilancia activa. Tal vez un gobierno o una agencia gubernamental sepa exactamente dónde están sus objetivos, pero no le importa. En ese caso, si los objetivos no
están infringiendo ninguna ley, ¿quién puede decir que no han bajado la guardia en algún momento? Pueden afirmar que solo usan Tor para sus correos electrónicos anónimos, pero también pueden estar usando esa cuenta para sus compras de Netflix.
MachineTranslatedbyGoogle
Están bajo vigilancia, pero no pueden ser arrestados. Creo que eso podría describir muy bien a Snowden. Es posible que se haya deslizado con respecto a su anonimato en algún momento y que ahora esté siendo rastreado activamente donde quiera queyvaya, excepto que vive enUnidos. Rusia. Rusia no tiene ninguna razón real para arrestarlo devolverlo a los Estados Notarás que dije "desliz": a menos que tengas una increíble atención a los detalles, es realmente difícil vivir dos vidas. Lo sé. Lo he hecho. Bajé la guardia al usar una ubicación fija al acceder a las computadoras a través de una red de telefonía celular. Existe una perogrullada en el negocio de la seguridad de que un atacante persistente tendrá éxito con el tiempo y los recursos suficientes. Tengo éxito todo el tiempo cuando pruebo los controles de seguridad de mi cliente. Todo lo que realmente está haciendo al tratar de hacerse anónimo es poner ttantos antos obstáculos que un atacante se dará por vencido y pasará a otro objetivo. La mayoría de nosotros solo tenemos que escondernos por un rato. Para evitar a ese jefe que quiere que te despidan. Para evitar a ese ex cuyos abogados están buscando algo, cualquier cosa, para acusarte. Para evadir a ese acosador espeluznante que vio tu foto en Facebook y está decidido a acosarte. Cualquiera que sea su razón para ser invisible, los pasos que he esbozado funcionarán funcionarán lo suficiente como para sacarlo de una mala situación. Ser anónimo en el mundo digital actual requiere mucho trabajo y vigilancia constante. Los requisitos de anonimato de cada persona difieren: ¿necesita proteger sus contraseñas y mantener los documentos privados fuera del alcance de sus compañeros de trabajo? ¿Necesitas esconderte de un fan que te está acosando? ¿Necesita evadir la aplicación de la ley porque es un denunciante? Sus requisitos individuales dictarán los pasos necesarios que debe seguir para mantener el nivel deseado de anonimato, desde establecer contraseñas seguras y darse cuenta de que la impresora de su oficina está fuera de servicio hasta seguir los pasos que se detallan aquí para que sea extremadamente difícil. para que un investigador forense descubra su verdadera identidad. Sin embargo, en general, todos podemos aprender algo sobre cómo minimizar
nuestras huellas dactilares en el mundo digital. Podemos pensar antes de publicar esa foto con una dirección de casa visible en el fondo. O antes de proporcionar una fecha de nacimiento real y otra información personal en nuestros perfiles de redes sociales. O antes de navegar por Internet sin usar la extensión HTTPS Everywhere. Everywhere. O antes de hacer llamadas confidenciales o enviar mensajes de texto sin
MachineTranslatedbyGoogle
utilizando una herramienta de cifrado de extremo a extremo como Signal. O antes de enviar mensajes a un médico a través de AOL, MSN Messenger o Google Talk sin OTR. O antes de enviar un correo electrónico confidencial sin usar PGP o GPG. Podemos pensar de manera proactiva sobre nuestra información y darnos cuenta de que incluso si lo que estamos haciendo con ella se siente benigno: compartir una fotografía, olvidar cambiar los inicios de sesión y las contraseñas predeterminados, usar un teléfono de trabajo para un mensaje personal o configurar una cuenta de Facebook. dar cuenta de nuestros hijos, en realidad estamos tomando decisiones que conllevan ramificaciones de por vida. Así que tenemos que actuar. Este libro se trata de permanecer en línea mientras conservamos nuestra preciada privacidad. Todos, desde los más tecnológicamente desafiantes hasta los expertos profesionales en seguridad, deben hacer una práctica comprometida de dominar este arte, que se vuelve más esencial cada día que pasa: el arte de la invisibilidad.
MachineTranslatedbyGoogle
Expresiones de gratitud
Este libro está dedicado a mi amada madre, Shelly Jaffe, y a mi abuela Reba Vartanian, quienes sacrificaron mucho por mí durante toda mi vida. No importa en qué situación me metí, mi mamá y la abuela siempre estuvieron ahí para mí, especialmente en mis momentos de necesidad. Este libro no hubiera sido posible sin mi maravillosa familia, que me ha brindado tanto amor y apoyo incondicional a lo largo de mi vida. El 15 de abril de 2013, mi madre falleció después de una larga lucha contra el cáncer de pulmón. Llegó después de años de dificultades y luchas para lidiar con los efectos de la quimioterapia. Hubo pocos días buenos después de los terribles tratamientos utilizados en la medicina moderna para combatir este tipo de cánceres. Por lo general, los pacientes tienen muy poco tiempo; por lo general, son solo meses antes de que sucumban a la enfermedad. Me siento muy afortunado por el tiempo que pude pasar con ella mientras luchaba en esta horrible batalla. Estoy muy agradecida de haber sido criada por una madre tan amorosa y dedicada, a quien también considero mi mejor amiga. Mi mamá es una persona increíble y la extraño muchísimo. El 7 de marzo de 2012, mi abuela falleció inesperadamente mientras recibía tratamiento en el Hospital Sunrise de Las Vegas. Nuestra familia esperaba que ella regresara a casa, pero nunca sucedió. Durante los últimos años previos a la
muerte de mi abuela, su corazón estaba en constante tristeza debido a la batalla de mi madre contra el cáncer. Se la extraña terriblemente y desearía que estuviera aquí para disfrutar de este logro. Espero que este libro traiga mucha felicidad a los corazones de mi madre y mi abuela y las haga sentir orgullosas de que estoy ayudando a proteger
MachineTranslatedbyGoogle
derecho de las personas a la privacidad.
Ojalá mi padre, Alan Mitnick, y mi hermano, Adam Mitnick, estuvieran aquí para celebrar la publicación de este importante libro sobre volverse invisible cuando el espionaje y la vigilancia son ahora la norma. Tuve la suerte de colaborar con el experto en seguridad y privacidad Robert Vamosi para escribir este libro. El notable conocimiento de Rob en seguridad y sus habilidades como escritor incluyen su capacidad para encontrar historias convincentes, investigar estos temas y tomar la información proporcionada por mí y escribirla en tal estilo y manera que cualquier persona sin conocimientos técnicos pueda entenderla. Debo quitarme el sombrero ante Rob, quien hizo una enorme cantidad de trabajo duro en este proyecto. A decir verdad, no podría haberlo hecho sin él. Estoy ansioso por agradecer a aquellas personas que representan mi carrera profesional y se dedican de manera extraordinaria. Mi agente literario, David Fugate de LaunchBooks, negoció el contrato del libro y actuó como enlace con el editor, Little, Brown. El concepto de El arte de la invisibilidad fue creado por John Rafuse de 121 Minds, quien es mi agente para charlas y patrocinios, y también realiza desarrollo comercial estratégico para mi empresa. Totalmente por su propia iniciativa, John me dio una propuesta de libro intrigante, junto con una maqueta de la portada. Él me animó enfáticamente a escribir este libro para ayudar a educar a la población mundial sobre cómo proteger sus derechos de privacidad personal contra el exceso de Big Brother y Big Data. Juan es increíble.
Estoy agradecido de haber tenido la oportunidad de trabajar con Little, Brown en el desarrollo de este emocionante proyecto. Deseo agradecer a mi editor, John Parsley, por todo su arduo trabajo y excelentes consejos sobre este proyecto. Gracias John. Deseo agradecer a mi amigo Mikko Hypponen, director de investigación de F Secure, por dedicar su valioso tiempo a escribir el prólogo de este libro. Mikko es un experto en seguridad y privacidad muy respetado que se ha centrado en la investigación de malware durante más de veinticinco años. También me gustaría agradecer a Tomi Tuominen de F-Secure por tomarse un tiempo de su apretada agenda para hacer una revisión técnica del manuscrito y ayudar a detectar
cualquier error y detectar cualquier cosa que se haya pasado por alto.
MachineTranslatedbyGoogle
Sobre el Autor
KEVIN MITNICK ha sido objeto de innumerables perfiles publicados y difundidos en todo el mundo. El equipo líder en pruebas de penetración de Mitnick es muy respetado y buscado por sus servicios de seguridad por parte de las principales corporaciones y gobiernos del mundo. La compañía que fundó, Mitnick Security Consulting LLC, tiene clientes que incluyen docenas de Fortune 500 y muchas naciones en todo el mundo. Mitnick es el autor más vendido de Ghost in the Wires, The Art of Intrusion y The Art of Deception. Vive en Las Vegas y viaja por el mundo como el principal orador principal sobre seguridad cibernética.
mitnicksecurity.com
twitter.com/kevinmitnick
MachineTranslatedbyGoogle
Libros de Kevin Mitnick
El arte de la invisibilidad
Fantasma en los cables
(con Robert Vamosi)
(con William L. Simon)
El arte de la intrusión (con William L. Simon) El arte del engaño (con William L. Simon)
MachineTranslatedbyGoogle
notas
Todas las URL de origen citadas a continuación eran precisas en el momento de la redacción original de este libro, julio de 2016.
Introducción: Hora de desaparecer 1. https://www.youtube. https://www.youtube.com/watch? com/watch?t=33&v=XEVlyP t=33&v=XEVlyP4_11M. 4_11M. 2. Snowden fue primero a Hong Kong antes de recibir permiso para vivir en Rusia. Desde entonces, ha solicitado vivir en Brasil y otras naciones y no ha descartado regresar a los Estados Unidos si tuviera un juicio justo. 3. http://www.reuters.com/article/2011/02/24/idUSN2427826420110224. 4. https://www.law.cornell.edu/supct/html/98-93.ZD.html. 5. https:// www.law.cornell.edu/uscode/text/16/3372. 6. http://www.wired.com/2013/06/ por-que-no-tengo-nada-que-esconder-es-la-manera-errónea-de-pensar-sobrela-vigilancia/.
MachineTranslatedbyGoogle
Capítulo uno: ¡Su contraseña puede ser descifrada!
1. https://www.apple.com/pr/library/2014/09/02Apple-Media Asesoramiento.html.
2. http://anon-ib.com http://anon-ib.com/. /. Tenga en cuenta que este sitio no es seguro para el trabajo y puede también contienen imágenes perturbadoras. 3. http://www.wired.com/2014/09/eppb-icloud/. 4. https://www.justice.gov https://www.justice.gov/usao-mdpa/pr/lancaster/usao-mdpa/pr/lancaster-county-m county-man-sentenc an-sentenced ed 18-months-feder 18-months-federalalprison-hacking-apple-and-google-e-mail. 5. http://arstechnica.com/security http://arstechnica.com/security/2015/09/new-stats/2015/09/new-stats-showshow-ashley ashley madisonpasswords-are-tan-weak-as-all-the-rest/. 6. http://www.openwall.com/john/. 7. “MaryHadALLitt “MaryHadALLittleLamb123$” leLamb123$” tal como lo presenta http://www.danstools.com/md5-hashhttp://www.danstools.com /md5-hash-generator/. generator/. 8. http://news.bbc.co.uk/2/hi/technology/3639679.stm. 9. http://www.consumerr http://www.consumerreports.org/cro/news/2014/04/smarteports.org/cro/news/2014/04/smart-phone-thefts phone-thefts subió a 3-1-millones-el-año-pasado/index.htm. 10. http://www.mercury http://www.mercurynews.com/california/ci_26793089/war news.com/california/ci_26793089/warrant-chp rant-chp oficial-dice-robar-fotos-desnudas-de. 11. http://arstechnica.com/security http://arstechnica.com/security/2015/08/new-data/2015/08/new-data-uncoversuncovers-the the sorprendentepredictability-of-android-lock-patterns/. 12. http://www.knoxnews.co http://www.knoxnews.com/news/local/officialm/news/local/official-explainsexplains-placeingplaceing-david david kernell-at-ky-facility-ep-406501153-358133611.html. 13. http://www.wired.com http://www.wired.com/2008/09/palin-e/2008/09/palin-e-mailmail-ha/. ha/. http://fusion.net/story/62076/mothers-maidenmaiden-namename-securitysecurity-question/. question/. 14. http://fusion.net/story/62076/mothers15. http://web.archive.org/web/20110514200839/http://latimesblogs.latimes .com/webscout/2008/09/4chans-half-hac.html. 16. http://www.commercialappeal.com/news/david-kernell-ut-student-in-palin-email-case-is-
released-from-supervision-ep-361319081326647571.html; http://edition.cnn.com/2010/CRIME/11/12/tennessee.palin.hacking.case /. http://www.symantec.com/connect/blogs/passwordom/connect/blogs/password-recoveryrecovery-scamscam17. http://www.symantec.c
MachineTranslatedbyGoogle
trucos-usuarios-entrega-correo-acceso-cuenta. 18. https://techcrunch.com/2016/06 https://techcrunch.com/2016/06/10/how-activist/10/how-activist-derayderay-mckessons mckessons twitter-account-was-hacked/.
MachineTranslatedbyGoogle
Capítulo dos: ¿Quién más está leyendo su correo electrónico? 1. En caso de que se lo pregunte, las imágenes de abuso sexual infantil son identificadas y etiquetadas por el Centro Nacional para Niños Desaparecidos y Explotados, que es la forma en que el sistema de escaneo automatizado de Google y otras compañías de motores de búsqueda distingue esas imágenes de las imágenes no pornográficas en sus redes Consulte http:// www.dailymail.co.uk/news/article 2715396/Google-s-email-scan2715396/Google-s-email-scan-helps-catchhelps-catch-sex-offendersex-offender-tipstipspolice indecent-images-children-Gm indecent-images-children-Gmail-account.html. ail-account.html. 2. http://www.braingle.com/brainteasers/ codes/caesar.php. 3. https://theintercept.com/2014/10/28/smuggling-snowden-secrets/.
4. Por ejemplo, vea la lista aquí: https://en.wikipedia.org/wiki/Category:Cryptographic_algorithms. 5. Mailvelope funciona con Outlook, Gmail, Yahoo Mail y varios otros servicios de correo electrónico basados en la Web. Consulte https://www.mailvelope.com/. 6. Para ver los metadatos en su cuenta de Gmail, elija un mensaje, ábralo y luego haga clic en la flecha hacia abajo en la esquina superior derecha del mensaje. Entre las opciones ("Responder", "Responder a todos", "Reenviar", etc.) está "Mostrar original". En Apple Mail, seleccione el mensaje y luego elija Ver>Mensaje>Todos los encabezados. En Yahoo, haz clic en "Más" y luego en "Ver encabezado completo". Opciones similares aparecen en otros programas de correo. 7. http://www.bbc.com/future/story/20150206-biggesthttp://www.bbc.com/future/story/20150206-biggest-myth-aboutmyth-about-phone phone privacidad. 8. https://immersion.media.mit.edu/. 9. http:// www.npr.org/2013/06/13/191226106/fisa-court-appearswww.npr.org/2013/06/13/191226106/fisacourt-appears-to-be to-be sello de caucho para solicitudes gubernamentales. 10. Puede escribir "Dirección IP" en la ventana de búsqueda de Google para ver su propia dirección IP en el momento de la solicitud. 11. https://play.google.com/store/apps/details?id=org.torproject.android. 12. http://www.wired.com/
threatlevel/2014/01/tormail/. 13. https://www.theguardian.com/technology/2014/oct/28/tor users
aconseja-comprobar-computadorasaconseja-compr obar-computadoras-malware. malware. 14. http://arstechnica.com/security/2014/07/active-attack-on-tor-network intentó-desenmascarar-usuariosintentó-desenmascar ar-usuarios-durante-cincodurante-cinco-meses/. meses/.
MachineTranslatedbyGoogle
15. Para la caja Tor en una Raspberry Pi, puedes usar algo como Portal: https://github.com/grugq/PORTALofPi. 16. https://www.skype.com/en/features/online-number/. 17. http:// www.newyorker.com/magazine/2007/02/19/thewww.newyorker.com/maga zine/2007/02/19/the-kona-fil kona-files. es. 18. Una vez más, probablemente sea mejor no usar Google ni grandes proveedores de correo electrónico.
pero por el bien de la ilustración lo estoy usando aquí.
MachineTranslatedbyGoogle
Capítulo tres: escuchas telefónicas 101 1. Puede optar por no compartir sus datos personales con los servicios de transporte en Android. Vaya a Configuración> Buscar y ahora> Cuentas y privacidad>Viajes privacidad>Via jes compartidos. Apple no proporciona un servicio similar, pero las versiones futuras de iOS pueden ayudarlo a planificar viajes en función de dónde esté su
teléfono está en un momento dado. 2. http://www.abc.net.au/news/2015-07-06/nick-mckenzie-speaks-out sobre-su-roce-con-la-mafia/6596098. 3. De hecho, compraría una tarjeta de recarga que usaría con el teléfono en sí. Lo mejor es usar Bitcoin para hacerlo. 4. https://www.washingtonpost.com/news/the switch/wp/2014/12/18/german-researchers-descubre-una-falla-que-podría-permitir-quecualquiera-escuche-sus-llamadas-celulares-y-lea-sus-textos/. 5. http://arstechnica.com/gadgets/2010/12/15-phone-3-minutes-all-thats need-to-eavesdrop-ongsm-call/. 6. http://www.latimes.co http://www.latimes.com/local/la-me m/local/la-me-pe -pellicano5mar0 llicano5mar055story.html#navtype=storygallery. 7. http://www.nytimes.com http://www.nytimes.com/2008/03/24/busin /2008/03/24/business/media/24pellican ess/media/24pellicano.html? o.html? pagina buscada=todas.
8. https://www.hollywoodreporter.com/thr-esq/anthony-pellicanos-prison sentencia-vacante-817558. 9. http://www.cryptop http://www.cryptophone.de/en/prod hone.de/en/products/landline/. ucts/landline/. 10. https://www.kickstarter https://www.kickstarter.com/projects/620001 .com/projects/620001568/jackpair568/jackpair-safeguard safeguard tu-teléfono-conversación/publicaciones/1654032. 11. http://spectrum.ieee http://spectrum.ieee.org/telecom/security/the.org/telecom/security/the-athensathens-affair. affair. 12. http://bits.blogs.nytimes.co http://bits.blogs.nytimes.com/2007/07/10/eng m/2007/07/10/engineersineers-as-cou as-counterspys nterspys cómo-se-intervino-el-sistema-de-teléfono-celular-griego/. 13. https://play.google.com/store/apps/details?
id=org.crimen de pensamiento.teléfono rojo.
MachineTranslatedbyGoogle
Capítulo cuatro: si no cifra, no está equipado 1. http://caselaw.f http://caselaw.findlaw.com/waindlaw.com/wa-supremesupreme-court/1658742.html. court/1658742.html. 2. http://courts.mrsc.org/mc/courts/zsupreme/179wn2d/179wn2d0862.htm. 3. http://www.komonews.com/news/local/Justices-People-have-right-to-privacy-intext-messages-247583351.html. 4. http://www.democracynow.org/2016/10/ http://www.de mocracynow.org/2016/10/26/headlines/project_hemisp 26/headlines/project_hemispher her e_at_ts_secret_program_to_spy_on_americans_for_profit. 5. http://www.wired.com/2015/08/know-nsa-atts-spying-pact/. 6. http://espn.go.com http://espn.go.com/nfl/story/_/id/13570716/tom/nfl/story/_/id/13570716/tom-brady-nuev brady-nueva-inglat a-inglaterra erra patriots-wins-appeal-nfl-deflategate. 7. https://www.bost https://www.bostonglobe.com/sports/2015/0 onglobe.com/sports/2015/07/28/tom7/28/tom-brady-destroy brady-destroyed ed hiscellphone-and-texts-along with/ZuIYu0he05XxEeOmHzwTSK/story.html. 8. DES fue descifrado en parte porque solo encriptó los datos una vez. AES utiliza tres capas de cifrado y, por lo tanto, es mucho más fuerte, incluso independiente del número de bits. 9. Diskreet ya no está disponible. 10. https://twitter. https://twitter.com/kevinmitnick/stat com/kevinmitnick/status/346065664592711680. us/346065664592711680. Este enlace proporciona una explicación más técnica del DES de treinta y dos bits utilizado: https://www.cs.auckland.ac.nz/~pgut001/pubs/norton.txt. 11. http://www.the http://www.theatlantic.com/techn atlantic.com/technology/archive/2014/06/facebook ology/archive/2014/06/facebook texting-teens-instagram-snapchat-most-popular-social-network/373043/. 12. http://www.pew http://www.pewinternet.org/2015/04/0 internet.org/2015/04/09/teens-socia 9/teens-social-medi l-media-techno a-technology logy 2015. 13. http://www.forb http://www.forbes.com/sites/andygreenberg/2014/02 es.com/sites/andygreenberg/2014/02/21/whatsapp /21/whatsapp comesunder-new-scrutiny-for-privacy-policy-encryption-gaffs/. 14. https://www.wi https://www.wired.com/2016/10/facebookred.com/2016/10/facebook-completelycompletely-encrypted encrypted messenger-
update-now/. 15. https://communit https://community.skype.com/t5/Securityy.skype.com/t5/Security-Privacy-T Privacy-Trust-and/Skype rust-and/Skype-to -to Skype-llamada-grabación/td-p/2064587. 16. https://www.ef https://www.eff.org/deeplinks/2011/12/effsf.org/deeplinks/2011/12/effs-raises-conce raises-concerns-aboutrns-about-new new aol-instant-messenger-0.
MachineTranslatedbyGoogle
17. http://www.wired.com/2007/05/always_two_ther/. 18. http://venturebeat.com/2016/08/02/hackers-break-in http://venturebeat.com/2016/08/02/hackers-bre ak-into-tele to-telegram gram revelando-15-millones-de-usuarios-númerosde-teléfono/. 19. http://www.csmonitor.com/World/Passcode/2015/0224/ Private-chat app-Telegram-may-not-be-as-secretive-as-advertised. 20. https://otr.cypherpunks.ca/. 21. https://chatsecure.org/. 22. https:// guardianproject.info/apps/chatsecure/. 23. https://crypto.cat/. 24. https:// getconfide.com/.
MachineTranslatedbyGoogle
Capítulo cinco: Ahora me ves, ahora no https://www.techdirt.com/articles/20150606/16191831259/según1259/según-governmentgovernment-clearingclearing1. https://www.techdirt.com/articles/20150606/1619183 your-browser-history-is-felony.shtml. 2. http://www.cbc.ca/news/trending/clearinghttp://www.cbc.ca/news/trending/clearing-your-br your-browser-h owser-history-canistory-can-be-co be-considerednsideredobstruction-of-justice-in-the-us-1.3105222. 3. http://ftpcontent2.worldnow.com/whdh/pdf/Matanovhttp://ftpcontent2.worldnow.com/whdh/pdf/Matanov-Khairullozhon Khairullozhon indictment.pdf.
4. https://www.eff.org/https-everywhere%20. 5. http://www.tekrevue.com/safari-synchttp://www.tekrevue.com/safari-sync-browserbrowser-history/. history/. 6. http://www.theguardian.com/commentisfree/2013/aug/01/government seguimiento-google-búsquedas. 7. https://myaccount.google.com/intro/privacy. 8. http://www.fastcompany.com/3026698/insidehttp://www.fastcompany.com/3026698/inside-duckduckgoduckduckgo-googles googles el competidor más pequeño y feroz.
MachineTranslatedbyGoogle
Capítulo seis: cada clic que haga con el mouse, lo estaré observando 1. https:// timlibert.me/pdf/Libert-2015timlibert.me/pdf/Libert2015-Health_Privacy_ Health_Privacy_on_Web.pd on_Web.pdf. f. 2. Una prueba informal realizada mientras escribía este libro mostró que el El complemento Ghostery en Chrome bloqueó hasta veintiuna solicitudes de socios de la Clínica Mayo y doce solicitudes de socios de WebMD al devolver resultados para "pie de atleta". 3. Para ver más detalladamente detalladamente qué información filtra su navegador, consulte fuera de http://browserspy.dk/. 4. https://noscript.net/. 5.
https://chrome.google.com/webstore/deta https://chrome.goog le.com/webstore/detail/scriptblock/hcdjknjpb il/scriptblock/hcdjknjpbnhdoa nhdoa bbngpmfekaecnpajba? bbngpmfekaecnpajba? https://www.ghostery.com/en/download? m/en/download?src=externalsrc=external-ghostery.com. ghostery.com. hl=en. 6. https://www.ghostery.co 7. Por "entrega de correo" me refiero a equipos de buzones comerciales como el UPS Store, aunque muchos requieren una identificación con foto antes de poder obtener una. http://www.wired.com/2014/10/verizons/10/verizons-permaperma-cookie/. cookie/. 9. http:// 8. http://www.wired.com/2014 www.pcworld.com/article/2848026/att-kills-the-permacookie stop-tracking-customersinternet-usage-for-now.html. http://www.verizonwireless.com/support/uniq less.com/support/unique-i ue-identifierdentifier-headerheader-faqs/. faqs/. 11. http:// 10. http://www.verizonwire www.reputation.com/blog/privacy/how-disable-and-delete-flash cookies; http://www.brighthub.com/ computing/smb security/articles/59530.aspx. security/articles/59530.aspx. 12. http://en.wikipedia.org/wiki/Samy_Kamkar. 13. https://github.com/samyk/evercookie. 14. http://venturebeat.com/2015/07/14/consumerswant-privacy-yet demand-personalization/.
15. http://www.businessinsider.com/facebook-will-not-honor-do-not-track 2014-6.
16. https://chrome.google.com/webstore/detail/facebook desconectar/ejpepffjfmamnambagiibghpglaidiec?hl=en. 17. https://facebook.adblockplus.me/. 18. https://zephoria.com/top-15-va https://zephoria.com/top15-valuableluable-facebookfacebook-statistics/. statistics/. 19. http:// www.latimes.com/business/la-fi-lazarus-20150417-column.html.
MachineTranslatedbyGoogle
20. https://www.propublica.org/article/meethttps://www.propublica.org/article/meet-the-onli the-online-tracking ne-tracking-device -device eso-es-prácticamente-imposible-debloquear#. 21. https://addons.mozilla.org/en-us/firefox/addon/ canvasblocker/. 22 https://chrome.google.com/webstore/detail/canvasfingerprintblock/ipmj ngkmngdcdpmgmiebdmfbkcecdndc? ngkmngdcdpmgmiebdmfbkcec dndc?hl=en-US hl=en-US.. 23. https://trac.torproject.org/ projects/tor/ticket/6253. 24. https://www.technologyreview.com/s/538731/how-adsfollow-you del-teléfono-al-escritorio-a-la-tableta/. 25. https://theintercept.com/2014/10/28/smugglinghttps://theintercept.com/2014/10/28/smuggling-snowdensnowden-secrets/. secrets/.
MachineTranslatedbyGoogle
Capítulo siete: ¡Pague o de lo contrario! 1. http://www.computerworld.com/article/2511814/security0/man-used vecino-s-wi-fi-para-amenazar-vice-presidente-biden.html. 2. http://www.computerworld.com/article/2476444/mobile-security comcast-xfinity-wifi-solo-di-no.html. 3. http://customer.xfinity.com http://customer.xfinity.com/help-and/help-and-support/internet/disable-xfinity support/internet/disable-xfinity wifi-homewifi-home-hotspot/. hotspot/.
4. BitTorrent es un servicio de transmisión de video para películas, algunas de las cuales son proporcionada por fuentes distintas a los titulares de los derechos de autor.
5. http://blog.privatewifi.com/why-six-strikes-could-be-a-nightmare-for-your-internet-privacy/.
6. También existe el conjunto de servicios básicos (BSS), que proporciona los servicios básicos
elemento básico de una LAN inalámbrica 802.11 (red de área local). Cada BSS o ESS (conjunto de servicios extendidos) se identifica mediante un conjunto de servicios
identificador (SSID). http://www.techspot.com/guides/287-default-routerdefault-router-ip-addresses/. ip-addresses/. 7. http://www.techspot.com/guides/2878. http://www.routeripaddress.com/. 9. Es fácil averiguar la dirección MAC de los dispositivos autorizados usando un herramienta de prueba de penetración conocida como Wireshark.
10. https://www.pwnieexpress.com/blog/wpshttps://www.pwnieexpress.com/blog/wps-cracking-withcracking-with-reaver. reaver. 11. http://www.wired.com/2010/10/webcam-spy-settlement/. 12. http://www.telegraph.co.uk/technology/internet security/ 11153381/How-hackers-took-over11153381/How-hackerstook-over-my-comput my-computer.html. er.html. 13. https://www.blackhat.com/docs/us-16/materials/us-16https://www.blackhat.com/docs/us-16/materials/us-16-Seymour-T Seymour-Tully ully Weaponizing-DataScience-For-Social-Engineering-Automated-E2E Spear-Phishing-On-Twitter. pdf.
14. http://www.wired.com/2010/01/operation-aurora/. 15. http://www.nytimes.com/2015/01/04/opinion/sunday/how-my-mom
fue-hackeado.html. 16. http://arstechnica.com/security/2013/10/yourehttp://arstechnica.com/security/2013/10/youre-infected-ifinfected-if-you-wantyou-want-to to see-yoursee-your-data-againdata-againpay-us-300-in-bitcoins/. 17. https://securityledger.com/2015/10/fbishttps://securityledger.com/2015/10/fbis-advice-onadvice-on-cryptolockercryptolocker-just just pagar-el-rescate/.
MachineTranslatedbyGoogle
Capítulo Ocho: Créelo todo, no confíes en nada 1. Es importante tener en cuenta que el Wi-Fi público no está abierto en todas las partes del mundo. Por ejemplo, en Singapur, para usar Wi-Fi público fuera de su hotel o un restaurante McDonald's, deberá registrarse. Los lugareños deben tener un número de teléfono celular de Singapur, y los turistas deben presentar su pasaportes a una autoridad local antes de obtener la aprobación. 2. https://business.f-secure.com/the-dangers-of-public-wifi-and-crazy-things-people-do-touse-it/. 3. http://dnlongen.blogspot.com/2015/05/is-your-home-router-spying-on usted.html. 4. Hay muchas consideraciones que un usuario debe saber cuando elegir un proveedor de VPN. Consulte https:// https://torrentfreak.com/anonymo torrentfreak.com/anonymous-vpn us-vpn serviceprovider-review-2015-150228/3/. 5. Una opción comercial de VPN es TunnelBear, una empresa canadiense de VPN. Afirman: "TunnelBear NO almacena usuarios que originan direcciones IP cuando está conectado a nuestro servicio y, por lo tanto, no puede identificar a los usuarios cuando
direcciones IP proporcionadas de nuestros servidores. Además, no podemos revelar información sobre las aplicaciones, servicios o sitios web de nuestros usuarios consumir mientras está conectado a nuestros Servicios; como TunnelBear NO almacenar esta información.” https://www.tunnelbear.com/privacy-policy/. https://www.tunnelbear.com/privacy-policy/. 6. http://www.howtogeek.com/215730/how-to-connect-to-a-vpn-from-your-iphone-or-ipad/.
7. http://www.howtogeek.com/135036/how-to-connect-to-a-vpn-on android/? PageSpeed=noscript. http://www.cbc.ca/news/politics/csec-used-airp -airport-wi ort-wi-fi-fi-to-tra to-track ck canadiancanadian-travellerstravellers8. http://www.cbc.ca/news/politics/csec-used edward-snowden-documents-1.2517881. 9. http://www.telegraph.co.uk/news/worldnews/northamerica/usa/9673429
/David Petraeus ordenó a la amante Paula Broadwell que deje de enviar correos electrónicos a-Jill Kelley.html.
10. http://www.nytimes.com/2012/11/12/us/ushttp://www.nytimes.com/2012/11/12/us/us-officials-sayofficials-say-petraeuss petraeuss affair-kno affair-known-i wn-innsummer.html. 11. https://www.wired.com/2012/11 https://www.wired.com/2012/11/gmail-locatio /gmail-location-data n-data-petra -petraeus/. eus/.
MachineTranslatedbyGoogle
12. http://www.howtogeek.com/192173/how-and-why-to-change-your-mac address-on-windows-linux-and-mac/?PageSpeed=noscript.
MachineTranslatedbyGoogle
Capítulo nueve: ¿No tienes privacidad? ¡Superalo! 1. http://www.wired.com/2012/12/ff-johnhttp://www.wired.com/2012/12/ff-john-mcafeesmcafees-last-stand/. last-stand/. 2. http://defensetech.org/2015/06/03/us-airhttp://defensetech.org/2015/06/03/us-air-force-tar force-targets-andgets-and-destroysdestroys-isis isis hq-buildingusing-social-media/. 3. http://www.bbc.com/future/story/20150206-biggesthttp://www.bbc.com/future/story/20150206-biggest-myth-aboutmyth-about-phone phone privacidad.
http://www.dailymail.co.uk/news/article-3222298/Is-El-Chapo-hiding Chapo-hiding Costa-Rica-NetCosta-Rica-Net4. http://www.dailymail.co.uk/news/article-3222298/Is-Elcloses-world-s-wanted-drug-lord-hapless-son-forgets cambiar-ubicación-datos-Twitterimagen.html. 5. https://threatpost.com/how-facebook https://threatpost.com/how-facebook-and-and-facial-rec facial-recognition-areognition-are-creatingcreatingminority-report-styleminority-repor t-style-privacyprivacy-meltdown-080511/75514. meltdown-080511/75514. 6. http://www.forbes.com/sites/kashmirhill/2011/08/01/how-face-recognitioncan-be-used-to-get-your-social-security-number/2/. http://searchengineland.com/with-mobile-face-r face-recognition-google ecognition-google cruzacruza-la-líneala-línea7. http://searchengineland.com/with-mobileespeluznante-70978. 8. Robert Vamosi, Cuando los aparatos nos traicionan: El lado oscuro de nuestra Infatuation with New Technologies (Nueva York: Basic Books, 2011). 9. http://www.forbes.com/sites/kashmirhill/2011/08/01/how-face-recognitioncan-be-used-to-get-your-social-security-number/. 10. https://techcrunch.com/2015/07/13/yeshttps://techcrunch.com/2015/07/13/yes-google-photosgoogle-photos-can-s can-still-sync till-sync tus-fotos-después-de-eliminar-la-aplicación/. 11. https://www.facebook.com/legal/terms. 12. http://www.consumerreports.org/cro/news/2014/03/how-to-beat facebook-s-mayor facebook-s -mayor-privacidad-privacidad-riesgo/index.htm. riesgo/index.htm. 13. http://www.forbes.com/sites/amitchowdhry/2015/05/28/facebook securitycheckup/. 14. http://www.consumerreports.org/cro/magazine/2012/06/facebook-yourprivacy/ index.htm.
15. http://www.cnet.com/news/facebook-willhttp://www.cnet.com/news/facebook-will-the-realthe-real-kevin-mitnick kevin-mitnick please-standup/. 16. http://www.eff.org/files/filenode/social_network/training_course.pdf. 17. http://bits.blogs.nytimes.com/2015/03/17/pearson-under-fire-for seguimiento-estudiantes-twitterseguimiento-estudiantes -twitter-posts/. posts/.
MachineTranslatedbyGoogle
http://www.washingtonpost.com ingtonpost.com/blogs/answer /blogs/answer sheet/wp/ 18. http://www.wash 2015/03/14/pearson-monitoring-social-media-for-security brechas-durante-parcc-testing/.
19. http://www.csm http://www.csmonitor.com/Wo onitor.com/World/Passcode/Passcode rld/Passcode/Passcode Voices/2015/0513/ Is-student-privacy-erased-as-classrooms-turn-digital. 20. https://motherboard.vice.com/blog/so-were-sharing-our-social-security-numbers-on-social-medianow. 21. http://pix11.com/2013/03/14/snapchat-sexting-scandal-at-nj-high school-could-result-inchild-porn-charges/. 22. http://www.bbc.co.uk/news/uk-34136388. 23. https://www.ftc.gov/news-events/press-releases/2014/05/snapchat settles-ftc-chargespromises-disappearing-messages-were. 24. http://www.infor http://www.informationweek.com mationweek.com/software/social/5/software/social/5-ways-s ways-snapchat napchat violado-su-privacidad-seguridad/d/d-id/1251175. 25. http://fusion.net/story/192877/teens-face-criminal-charges-for-take guardando-fotos-desnudas-de-ellos-mismos/. 26. http://www.bbc.com/future/story/20150206-biggest-myth-about-phone privacidad. 27. http://fusion.net/story/141446/a-little-known-yelp-setting-tells-business-your-genderage-and-hometown/? utm_source=rss&utm_mediu utm_source=r ss&utm_medium=feed&utm_ m=feed&utm_campaign=/author/kas campaign=/author/kashmir hmir hill/feed/.
28. En el iPhone o iPad, vaya a Configuración>Privacidad>Serv Configuración>Privacidad>Servicios icios de ubicación, donde encontrará una lista de todas sus aplicaciones con reconocimiento de ubicación. por ejemplo,
es posible deshabilitar la geolocalización para la aplicación Facebook Messenger por sí mismo. Desplácese hasta "Facebook Messenger" y asegúrese de que su ubicación los servicios están configurados en "Nunca". En dispositivos Android, abra Facebook aplicación Messenger, haga clic en el icono "Configuración" (con forma de engranaje) en la esquina superior derecha, desplácese hasta "Los nuevos mensajes incluyen su ubicación por predeterminado” predetermina do” y desmárquelo. En los dispositivos Android en general tendrás
para deshabilitar individualmente la geolocalización (si se ofrece como opción); hay no hay una configuración única para todos.
29. https://blog.look https://blog.lookout.com/blog/2016/0 out.com/blog/2016/08/25/trident8/25/trident-pegasus/. pegasus/.
MachineTranslatedbyGoogle
Capítulo Diez: Puedes Correr Pero No Esconderte 1. Puede desactivar el GPS en versiones posteriores de iOS como se describe aquí:
http://smallbusiness.chron.com/disable-gps-tracking-iphone 30007.html. 2. https://gigaom.com/2013/07/08/your-metadata-can-show-snoops-a-whole-lotsolo-mira-los-mios/. 3. http://www.zeit.de/datenschu http://www.zeit.de/datenschutz/malte-sp tz/malte-spitz-da itz-data-rete ta-retention. ntion. https://www.washingtonpost.com/local/publicpost.com/local/public-safety/federalsafety/federal-appeals appeals court-thatcourt-that4. https://www.washington includes-va-md-allows-warrantless-tracking-of-historical-cell-site-records/ 2016/05/ 31/353950d2-2755-11e6-a3c40724e8e24f3f_historia.html. 5. http://fusion.net/story/177721/phone-location-tracking-google-feds/? utm_source=rss&utm_med utm_source =rss&utm_medium=feed&utm_ ium=feed&utm_campaign=/autho campaign=/author/kashmir r/kashmir hill/feed/. 6. http://www.forbes.com/sites/and http://www.forbes.com/sites/andyrobertson/201 yrobertson/2015/05/19/strava5/05/19/strava-flyby/? flyby/? ss=tecnología del futuro.
7. http://fusion.net/story/119745/in-the-future-your-insurance-company ¿saber-cuándo-tienes-sexo/? utm_source=rss&utm_med utm_source =rss&utm_medium=feed&utm_ ium=feed&utm_campaign=/autho campaign=/author/kashmir r/kashmir hill/feed/. 8. http://thenextweb.com/insider/2011/07/04/details-of-fitbit-users-sex-livesremoved-from-search-engine-results/. 9. http://fusion.net/story/119745/en-el-futuro-su-compañía-de-seguros ¿saber-cuándo-tienes-sexo/? utm_source=rss&utm_med utm_source =rss&utm_medium=feed&utm_ ium=feed&utm_campaign=/autho campaign=/author/kashmir r/kashmir hill/feed/. 10. http://www.engadget.com/2015/06/28/fitbit-data-used-by-police/. 11. http://abc27.com/2015/06/19/police-womans-fitness-watch-disproved
informe de violación/.
12. http://www.theguardian http://www.theguardian.com/technology .com/technology/2014/nov/18/court/2014/nov/18/court-accepts accepts datos-fitbit-health-tracker. 13. http://www.smithsonian http://www.smithsonianmag.com/innovatio mag.com/innovation/inventionn/invention-snapshotsnapshot-changedchangedway-we-viewed-world-180952435/?all&no-ist.
MachineTranslatedbyGoogle
14. https://books.google.com/books? id=SlMEAAAAMBAJ&pg=PA158&lpg=PA158&dq=%22La+kodak+ ha+añadido+un+nuevo+terror+al+picnic%22&source=bl&ots=FLtKbY Gv6Y&sig=YzE2BisTYejb1pT3vYhR2QBPAYM&hl=en&sa=X&ei=B huwt7fvbotgialv2S3Cg&ved=0CCAQ6AEwAA#v=onepage&q=%22The%20koda&f=fal se. 15. http://www.smithsonianmag.com/innovation/invention-snapshot-changedway-we-viewed-world-180952435/?no-ist=&page=2. https://www.faa.gov/uas/media aa.gov/uas/media/Part_107_Su /Part_107_Summary.pdf. mmary.pdf. 16. https://www.f 17. https://www.f https://www.faa.gov/uas/wher aa.gov/uas/where_to_fly/b4ufl e_to_fly/b4ufly/. y/. 18 http://www.slate.com/articles/technology/futu http://www.slate.com/article s/technology/future_tense/201 re_tense/2015/06/facial_re 5/06/facial_re cognition_privacy_talks_why_i_walked_out.html. 19. http://www.extremetech.com/mobile/208815-how-facial-recognition will-changeshopping-in-stores. 20. http://www.retail-week.com/innovation/seven-in-ten-uk-shoppers-find facialrecognition-technology-creepy/5077039.article. 21. http://www.ilg http://www.ilga.gov/legislat a.gov/legislation/ilcs/ilcs3.asp ion/ilcs/ilcs3.asp? ? ActID=3004&CapítuloID=57. 22. http://arstechnica.com/business/2015/06/retailers-want-to-be-able-to scanyour-face-without-your-permission/. 23. http://fusion.net/story/154199/facial-recognition-no-rules/? utm_source=rss&utm_med utm_source =rss&utm_medium=feed&utm_ ium=feed&utm_campaign=/auth campaign=/author/kashmir or/kashmir hill/feed/. 24. https://www.youtube.com/watch?v=NEsmw7jpODc. 25. http://motherboard.vice.com/read/glasses-that-confuse-facial los sistemas de reconocimiento están llegando a Japón.
MachineTranslatedbyGoogle
Capítulo once: Oye, KITT, no compartas mi ubicación http://www.wired.com/2015/07/hackers-remotely-killremotely-kill-jeep-highway/. jeep-highway/. 1. http://www.wired.com/2015/07/hackers2. Esto es una tontería. Que algo esté prohibido no significa que no lo estará suceder. Y esto crea un escenario peligroso en el que los autos pirateados pueden todavía afectan al público conductor. Día cero para automóviles, ¿alguien? http://keenlab.tencent.com/en/2016/06/19/Keen-Security-Lab-Lab-of of Tencent-Car3. http://keenlab.tencent.com/en/2016/06/19/Keen-Security Hacking-Research-Remote-Attack-to-Tesla-Cars/. 4. http://www.buzzfeed.com/johanabhuiyan/uberhttp://www.buzzfeed.com/johanabhuiyan/uber-is-investigatingis-investigating-its-topits-top-new-yorknew-yorkexecutive-for-privacy. 5. http://www.theregister.co.uk/2015/06/22/epic_uber_ftc/. 6. http://nypost.com/2014/11/20/uberhttp://nypost.com/2014/11/20/uber-reportedly-trackingreportedly-tracking-riders-sin riders-sin permiso/. 7. https://www.uber.com/legal/usa/privacy. 8. http://fortune.com/2015/06/23/uber-privacy-epic-ftc/. 9. http://www.bbc.com/future/story/20150206http://www.bbc.com/future/story/20150206-biggest-my biggest-myth-aboutth-about-phone phone privacidad.
http://tech.vijay.ca/of-taxis-andtaxis-and-rainbows-f6bc289679a1. rainbows-f6bc289679a1. 10. http://tech.vijay.ca/of11. http://arstechnica.com/tech-policy/2014/06/poorly-anonymized-logs revelar-nyc-cab-driversrevelar-nyccab-drivers-paradero-detallado/. paradero-detallado/. 12. Puede ingresar a una oficina de la autoridad de tránsito y solicitar pagar en efectivo por una tarjeta NFC, pero esto requiere más tiempo y sin duda resultará en una conferencia sobre vincular su banco o tarjeta de crédito a la tarjeta en su lugar.
13 http://www.wsj.com/articles/SB10000872396390443995604578004723 603576296. 14. https://www.aclu.org/blog/free-f https://www.aclu.org/blog/free-future/internal-documentsuture/internal-documents-show-fbi show-fbi was-wres was-wrestlingtlinglicense-plate-scanner-privacy-issues. http://www.wired.com/2015/05/even-fbi-privacyfbi-privacy-concerns-licens concerns-license e plate-readers/. 15. http://www.wired.com/2015/05/even-
16. Cinco de las fuentes fueron la Oficina del Alguacil de la Parroquia de St. Tammany, la la Oficina del Sheriff de la Parroquia de Jefferson y el Departame Departamento nto de Policía de Kenner, en
Luisiana; el Departamento de Policía de Hialeah, en Florida; y el Departamento de Seguridad Pública de la Universidad del Sur de California.
MachineTranslatedbyGoogle
17. http://www.forbes.com/sites/robertvamosi/2015/05/04/donthttp://www.forbes.com/sites/robertvamosi/2015/05/04/dont-sell-thatsell-that-connectedconnectedcar-or-home-just-yet/. 18. https://www.washingtonpost.com/blogs/the switch/wp/2015/06/24/tesla-dice-que-sus-conductores-han-viajado-mil millonesde-millas-y-tesla-sabe-cuántas-millas-ha-conducido/. 19. http://www.dhanjani.com/blog/2014/03/curosryhttp://www.dhanjani.com/blog/2014/03/curosry-evalueevalue-of-theof-the-tesla tesla model-s-wemodel-s-wecant-protect-our-cars-like-we-protect-our workstations. html 20. http://www.teslamotors.com/blog/most-peculiar-test-drive. 21. http://www.forbes.com/sites/kashmirhill/2013/02/19/the-bighttp://www.forbes.com/sites/kashmirhill/2013/02/19/the-big-privacy privacy takeawayfrom-tesla-vs-the-new-york-times/. 22. http://www.wired.com/2015/07/gadget-ha http://www.wired.com/2015/07/gadget-hacks-gm cks-gm-cars-cars-locate-u locate-unlock nlock comienzo/.
23. http://spectrum.ieee.org/cars-th http://spectrum.ieee.org/cars-that-think/transportation/advan at-think/transportation/advanced ced cars/ researchers-prove-connected-cars-can-be-tracked. http://www.wired.com/2015/10/cars-that-talk-totalk-to-eacheach-other-are other-are-mucho -mucho 24. http://www.wired.com/2015/10/cars-thatmás fácil de espiar/. 25. https://grahamcluley.com/2013/07/volkswagen-security-flaws/. https://grahamcluley.com/2015/07/land-rover-c rover-cars-bug ars-bug/. /. 26. https://grahamcluley.com/2015/07/land27. http://www.wired.com/2015/07/hackers-re http://www.wired.com/2015/07/hackers-remotely-killmotely-kill-jeep-high jeep-highway/. way/. 28. http://www.forbes.com/sites/robertvamosi/2015/03/24/asegurando coches-conectados-un-chip-a-la-vez/. 29. http://www.nytimes.com/2016/07/30/business/teslahttp://www.nytimes.com/2016/07/30/business/tesla-faults-teslasfaults-teslas-brakes brakes pero no-piloto-automático-en-accidente-fatal.html.
MachineTranslatedbyGoogle
Capítulo Doce: La Internet de la Vigilancia 1. http://www.amazon.com/review/R3IMEYJFO6YWHD. https://www.blackhat.com/docs/us-14/materials/us-14-Jin-Smart-Nest Smart-Nest Thermostat-A-SmartThermostat-A-Smart2. https://www.blackhat.com/docs/us-14/materials/us-14-JinSpy-In-Your-Home.pdf. http://venturebeat.com/2014/08/10/hello-dave-i-controli-control-your your termostato-googles3. http://venturebeat.com/2014/08/10/hello-davenest-gets-hacked/. 4. http://www.forbes.com/sites/kashmirhill/2014/07/16/nest-hack-privacy herramienta/.
5. http://venturebeat.com/2014/08/10/hello-davehttp://venturebeat.com/2014/08/10/hello-dave-i-controli-control-your your termostato-googlesnest-gets-hacked/. http://www.networkworld.com/article/2909212/security0/schneier-on-really-badreally-bad-iot-securityiot-security6. http://www.networkworld.com/article/2909212/security0/schneier-onit-s-going-to-come-crashing-down.html. 7. http://www.forbes.com/sites/kashmirhill/2013/07/26/smart-homes cortar a tajos/.
8. http://www.dhanjani.com/blog/2013/08/hacking-lightbulbs.html. 9. http://www.wired.com/2009/11/baby-monitor/. 10. http://www.bbc.com/news/technology-31523497. 11. http://mashable.com/2012/05/29/sensory-galaxy-s-iii/. 12. http://www.forbes.com/sites/marcwebertobias/2014/01/26/here-howhttp://www.forbes.com/sites/marcwebertobias/2014/01/26/here-how-easy-iteasy-it-is-foris-for-googlegooglechrome-to-eavesdrop-on-your-pc-microphone/. 13. http://www.theguardian.com/technology/2015/jun/23/google herramienta de espionaje-instalado-ordenadores-sin-permiso. 14. Quizás la forma más fácil es abrir la aplicación Amazon Echo. Ir a tu configuración, luego vaya a Historial>Toque Grabación individual>Eliminar. 15. Inicie sesión en su cuenta en Amazon, luego desde "Configuración de la cuenta", haga clic en en Sus dispositivos>Amazon Echo>Eliminar. 16. http://www.theregister.co.uk/2015/08/24/smart_fridge_security_fubar/. 17. www.shodan.io.
MachineTranslatedbyGoogle
Capítulo Trece: Cosas que tu jefe no quiere que sepas 1. http://www.wsj.com/articles/SB1000142405270230 http://www.wsj.com/articles/SB10001 424052702303672404579 3672404579151440 151440 488919138.
2. http://theweek.com/articles/5642 http://theweek.com/articles/564263/rise-workplace 63/rise-workplace-spying. -spying. 3. https:// olin.wustl.edu/docs/Faculty/Pierce_Cleaning_House.pdf. 4. http://harpers.org/ archive/2015/03/the-spy-who-fired-me/. 5. https://room362.com/post/2016/ snagging-creds-from-locked-machines/. 6. Normalmente, los metadatos del documento están ocultos a la vista. Puede ver los metadatos incluidos con su documento haciendo clic en Archivo> Información, luego viendo las propiedades en el lado derecho de la ventana. 7. Si usa Document Inspector, primero haga una copia de su documento, ya que los cambios realizados no se pueden deshacer. En la copia de su documento original, haga clic en la pestaña "Archivo", luego haga clic en "Información". En "Preparar para compartir", haga clic en "Buscar problemas" y luego haga clic en "Inspeccionar documento". En el cuadro de diálogo Inspector del documento, seleccione las casillas de verificación del contenido que desea inspeccionar. Haz clic en "Inspeccionar". Revise los resultados de la inspección en el cuadro de diálogo Inspector de documento. Haga clic en "Eliminar todo" junto a los resultados de la inspección para los tipos de contenido oculto que desea eliminar de su documento. 8. http://www.infosecurityhttp://www.infosecurity-magazine.com/news/printermagazine.com/news/printer-relatedrelated-security security infracciones-afectan-63-de/. http://www.wired.com/2014/08/gyroscope-list /gyroscope-listening-h ening-hack/. ack/. 10. http:// 9. http://www.wired.com/2014/08 ossmann.blogspot.com/2013/01/funtenna.html. 11. http://cs229.stanford.edu/ proj2013/Chavez-ReconstructingNon IntrusivelyCollectedKeystrokeDataUsingCellph IntrusivelyCollectedK eystrokeDataUsingCellphoneSensors.pd oneSensors.pdf. f. http://www.cc.gatech.edu/~traynor/papers/traynoru/~traynor/papers/traynor-ccs11.pdf. ccs11.pdf. 13. http:// 12. http://www.cc.gatech.ed samy.pl/keysweeper/. 14. http://www.wired.com/2015/10/stingray-government-
spy-tools-can grabar-llamadas-nuevosgrabar-llama das-nuevos-documentos-confirmar/. documentos-confirmar/. http://phys.org/news/2013-07-femtoce -femtocell-hackersll-hackers-isec-smartp isec-smartphone hone content.html. 15. http://phys.org/news/2013-07 16. http://arstechnica.com/informa http://arstechnica.com/information-tech tion-technology/2015/04/thisnology/2015/04/this-machinemachine-
MachineTranslatedbyGoogle
catches-stingrays-pwnie-express-demos-cell-threat-detector/. 17. http://www.guardian.co.uk/world/2013/jul/11/microsoft-nsa collaboration-user-data. 18. http://www.computerworld.com/article/2474090/data-privacy/new snowden-revelation-shows-skype-may-be-privacy-s-biggest enemigo.html. 19 https://community.rapid7.com/community/metasploit/blog/2012/01/23/v ideo-conferencing-and-self-selecting-targets. 20 http://www.polycom.com/global/documents/solutions/industry_solution http://www.polycom.com/global/documents/solutions/industry_so lution s/ government/max_security/uc-deployment-for-maximum-security.pdf. 21 https://community.rapid7.com/community/metasploit/blog/2012/01/23/v ideo-conferencing-and-self-selecting-targets. 22. Por ejemplo, https://www.boxc https://www.boxcryptor.com/en. ryptor.com/en.
MachineTranslatedbyGoogle
Capítulo catorce: Obtener el anonimato es un trabajo duro 1. Que se trate de un registro y arresto en la frontera no es realmente relevante. tribunales estadounidenses estadounidenses
no han resuelto si una persona de interés tiene que renunciar a su contraseñas, hasta ahora no. Sin embargo, un tribunal ha dictaminado que una persona de
el interés puede ser forzado a autenticar su iPhone usando Touch ID (huella dactilar). Para eliminar el riesgo, siempre que pase a través de la aduana en cualquier país, reinicie su iPhone o cualquier otro Apple dispositivo con Touch ID y no ingrese su contraseña. mientras tu no ingrese su código de acceso, Touch ID fallará. 2. http://www.computerweekly.com/Articles/2008/03/13/229840/us el-departamento-de-seguridad-nacional-tiene-lael-departamento-deseguridad-nacional-tiene-la-ciberseguridad-más-grande-deciberseguridad-más-grande-de-la-historia.htm. la-historia.htm. 3. En iOS 8 o versiones más recientes del sistema operativo, puede restablecer todas las relaciones de emparejamiento yendo a Ajustes>General>Restablecer>Re Ajustes>General>Restablecer>Restablecer stablecer Ubicación y privacidad o Restablecer configuración de red. Investigador Jonathan Zdziarski ha publicado una serie de entradas de blog sobre el tema. los Las instrucciones están más allá del alcance de este libro, pero si usted es serio sobre la eliminación de estos, ofrece una manera. Ver http://www.zdziarski.com/blog/?p=2589. 4. http://www.engadget.com/2014/10/31/court-rules-touch-id-is-not protegido-por-la-quinta-enmienda-bu/. 5. http://www.cbc.ca/news/canada/nova-scotia/quebec-resident-alain philippon-to-fight-charge-for-notphilippon-to-fightcharge-for-not-dar-up-phonedar-up-phone-password-at-airport password-at-airport 1.2982236.
6. http://www.ghacks.net/2013/02/07/forensic-tool-to-decrypt-truecrypt bitlocker-y-pgp-contiene-y-discos-lanzados/. 7. https://www.symantec.com/content/en/us/enterprise/white_papers/b pgp_how_wholedisk_encryption_works_WP_21158817.en-us.pdf. 8. http://www.kanguru.com/storage-accessories/kanguru-ss3.shtml.
9. https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html. 10. https://theintercept.com/2015/04/27/encrypting-laptop-like-mean/. 11. http://www.securityweek.com/researcher-demonstrates-simple bitlocker-bypass. 12. https://www.fbi.gov/news/speeches/going-dark-are-technology-privacy-
MachineTranslatedbyGoogle
y-seguridad-pública-en-un-curso-de-colisión. 13. http://www.nytimes.com/library/tech/00/01/cyber/cyberlaw/28law.html. 14
https://partners.nytimes.com/library/tech/00/01/cyber/cyberlaw/28law.html.
15. https://www.wired.com/2015/10/cops-don https://www.wired.com/2015/10/cops-dont-needt-need-encryptionencryption-backdoor backdoor para-hackear-iphones/. 16. http://theinvisiblethings.blog http://theinvisiblethings.blogspot.com/2009/10/evilspot.com/2009/10/evil-maid-goesmaid-goes-after after truecrypt.html. 17. https:// blog.gdatasoftware.com/blog/article/hotel-safes-are blog.gdatasoftware.com/blog/article/hotelsafes-are-they-they-really really
seguro.html. 18. http://www.snopes.com/crime/warnings/hotelkey.asp. 19. http:// www.themarysue.com/hotel-key-myth/. 20. https://shaun.net/posts/whatscontained-in-a-boarding-pass-barcode. 21. Aparentemente, United es una de las pocas aerolíneas que solo da una parte número de milla de viajero frecuente. La mayoría de las otras aerolíneas ponen el número completo en el código de barras.
22. http://www.wired.com/2014/11/darkhotel-malware/. 23. https:// bitlaunder.com/launder-bitcoin.
MachineTranslatedbyGoogle
Capítulo quince: El FBI siempre consigue a su hombre 1. https://www.wired.com/2015/05/silk-road-creator-ross-ulbricht condenado-a-la-prision-de-vida/.
2. http://www.nytimes.com/2015/1 http://www.nytimes.com/2015/12/27/business/dealboo 2/27/business/dealbook/the-unsu k/the-unsung-tax ng-tax agente-que-puso-una-cara-en-la-ruta-de-la-seda.html?_r=0. 3. http://www.wired.com/2015/07/online-anonymity-box-puts-mile-away dirección IP/. 4. https://samy.pl/proxygbit/.
MachineTranslatedbyGoogle
Capítulo Dieciséis: Dominando el Arte de la Invisibilidad 1. Hay más. Aunque el FBI identificó mi complejo de apartamentos, no sabían dónde estaba. Eso cambió cuando salí una noche. Esta Est a historia se puede encontrar en mi libro Ghost in the Wires. 2. Sitios como Weather Underground ponen la longitud y latitud del visitante en la URL. 3. Por ejemplo, https://www.bitrefill.com. 4. https://nakedsecurity.sophos.com/2015/07/30/websites-can-track-ushttps://nakedsecurity.sophos.com/2015/07/30/websites-cantrack-us-by by la-forma-que-escribimosla-formaque-escribimos-aquí-estáaquí-está-cómo-detenerlo/. cómo-detenerlo/.
MachineTranslatedbyGoogle
Gracias por comprar este libro electrónico, publicado por Hachette Digital. Para recibir ofertas especiales, contenido adicional y noticias sobre nuestros libros electrónicos y aplicaciones más recientes, suscríbase a nuestros boletines.
Inscribirse
O visítenos en hachettebookgroup.com/newsletters