Vivimos en un mundo totalmente conectado, donde nuestros datos personales cada vez están más controlados por grandes corporaciones tecnológicas y donde mantener nuestra privacidad como usuarios e individuos es cada vez más complicado.
Se podría pensar que usando una VPN con un navegador convencional, Tor o el sistema operativo TAILS podemos dar esquinazo a quienes se dedican a vigilarnos. Estos entes pueden ir desde Google, pasando por empresas de publicidad e incluso agencias gubernamentales.
Pues bien, ninguna de estas medidas nos garantiza nada. No se ha diseñado ningún sistema seguro que sea capaz de contrarrestar algunos métodos de vigilancia particularmente ingeniosos.
No importa lo mucho que intentemos protegernos. La tecnología avanza a pasos agigantados, con lo que cada vez más nos vemos reducidos a números. Y lo que es peor, números con los que se comercia y que se analizan para conocer desde nuestros hábitos alimenticios, pasando por la música que escuchamos o las películas y series que consumimos.
En este artículo vamos a repasar unas cuantas formas ingeniosas de recolección de datos que se pasan por el arco del triunfo el consentimiento del usuario. Que luego nadie diga que no hemos avisado.
Las copias de seguridad de Android
Cuando un dispositivo Android se conecta a una red WiFi Google guarda la contraseña en texto sin cifrar en sus servidores, que utiliza para subir copias de seguridad desde nuestro dispositivo según un informe publicado por la EFF en 2013.
La peor parte es que cualquier organización gubernamental podría acceder a los servidores de Google (que por cierto forma parte del programa PRISM). Con acceder a sus servidores pueden conocer la clave de cualquier red inalámbrica doméstica y recolectar y modificar cualquier tráfico sin cifrar que pase por ella.
Se podría pensar que con el cifrado WPA2 ya no habría problema, pero la cuestión que vale la pena tener en mente es que sólo afecta a la contraseña y esta se guarda en texto plano. Mientras no permitas que Android guarde copias de seguridad de tu dispositivo en la nube no hay problema.
Esteganografía en los documentos impresos
Seguimos con informes firmados por la Electronic Frontier Foundation. En 2015 la EFF hizo público uno según el cual las impresoras láser a color incluyen «puntos de rastreo» en forma de pequeños puntos amarillos que actúan como una especie de cifrado.
Estos puntos se pueden descifrar para conocer datos como la fecha de la impresión o el número de serie de la impresora, así como cualquier otra información útil que pueda identificar el origen del documento. De esta forma se facilita el localizar su origen a las autoridades mediante informática forense.
Esta técnica recibe el nombre de esteganografía, usada para ocultar datos o mensajes en archivos, documentos o imágenes. Estos puntos de rastreo no son visibles a simple vista, sino que es necesario usar un cuarto oscuro y una luz ultravioleta para verlos.
Stingrays o «esa furgoneta lleva demasiado tiempo aparcada ahí»
Un stingray es una herramienta de espionaje dirigida a teléfonos móviles que permite a cualquier atacante rastrear y guardar localizaciones, interceptar tráfico de Internet y llamadas telefónicas, instalar malware en dichos teléfonos, enviar mensajes falsos y ejecutar ataques man-in-the-middle.
Funcionan haciéndose pasar por el dueño legítimo de un repetidor móvil, para después «engañar» a todos los móviles cercanos para conectarse a su repetidor señuelo. Con estos dispositivos se pueden realizar escuchas telefónicas a millones de personas.
Aparte de usar apicaciones de mensajería con cifrado entre puntos (grupo al que recientemente se sumó WhatsApp) no hay mucho más que se pueda hacer para contrarrestar estas amenazas.
Lectores de matrículas de coches
En Estados Unidos estos dispositivos van incorporados al maletero de los coches de policía. Se trata de dos o tres cámaras apuntadas en un ángulo en el que pueden encuadrar perfectamente las matrículas de cualquier vehículo, aparcado o en movimiento, con el que se encuentren.
Los lectores de matrículas de coches pueden capturar hasta 1.800 en un minuto en vehículos que vayan hasta a 240 kilómetros por hora. Los datos que recogen se guardan en una base de datos, que se usa la policía de forma interna.
Si cualquier agente realiza una búsqueda con un número de placa determinado se encontrará con todas las veces que se ha visto a dicho vehículo, lo que significa que se puede saber a dónde iba, la frecuencia con la que va a un lugar determinado, la hora a la que suele ir e incluso si llevaba a algún pasajero y cuántos.
Chips RFID en carnets de conducir y pasaportes
En Estados Unidos se incorporan estos chips a los documentos citados para verificar fácilmente las credenciales de una persona. La idea es acercarlo a una máquina que leerá la información y la cotejará con una base de datos gubernamental que verificará que la persona es quien dice ser.
En 2009 el investigador de seguridad Chris Paget demostró que la tecnología RFID puede ser una amenaza según se publicó en Hackaday. Con un dispositivo que costó 250 dólares en materiales, consiguió clonar dos pasaportes sin que sus dueños lo supieran en tan sólo 20 minutos.
Los agentes de aduanas de EE.UU. quieren leer tu Facebook
Estados Unidos propuso hace unos meses que las personas que llegasen al país desde el extranjero garantizasen el acceso a sus redes sociales a los agentes de inmigración. El texto recogía lo siguiente:
Recolectar datos de redes sociales mejorará el proceso investigativo actual y dará al Departamento de Seguridad Nacional claridad y visibilidad para detectar posible actividad criminal ofreciendo un set de herramientas que los analistas e investigadores podrán usar para tener una mejor comprensión del caso.
Si por alguna razón te niegas a facilitar esos datos se te puede deportar o negar la entrada al país. Por otra parte, facilitar el acceso a tus redes sociales significa que se podrán leer tus conversaciones privadas. Nadie te garantiza que la monitorización de tu actividad no continúe después.
Rastreo de localización mediante la MAC de tu móvil
Esto también tiene que ver con los aeropuertos. Si tener que garantizar el acceso a tus redes sociales a los agentes de inmigración ya era bastante malo, con esta técnica se puede vigilar a cualquier viajero capturando la MAC de su teléfono móvil.
Para ello es necesario que el usuario se conecte a la red WiFi del aeropuerto, tal y como filtró Edward Snowden cuando saltó el escándalo de PRISM. Una vez se obtenga la MAC, se puede saber en todo momento donde está un usuario cruzando sus conexiones en distintos lugares públicos.
Tu coche también puede filtrar tus datos sensibles
Actualmente el mundo del automovilismo para la calle se mueve hacia un modelo de coches «inteligentes», con Bluetooth, WiFi 4G y prácticamente cualquier invento disponible para conectar el teléfono móvil del conductor al vehículo.
Si tienes uno de estos coches actuales y has utilizado sus tecnologías entonces es probable que tus contactos telefónicos, la dirección de tu casa y la de los últimos sitios a los que hayas ido esté almacenada en él. Si por un casual alguien roba tu coche puede acceder a la lista de tus contactos y tus direcciones.
La Smart TV de tu casa te escucha
En febrero de 2015 se supo que las Smart TV de Samsung escuchaban a los usuarios a través de su app de reconocimiento vocal, desarrollada por terceros. Los datos que se recogían mediante este sistema se guardaban en los servidores del fabricante coreano y que después se enviaban a otras partes interesadas, entre ellas diversas agencias de publicidad.
Conviene aclarar que no se trata de un rumor. Samsung lo dice claramente en su política de privacidad:
Por favor tenga en cuenta que si sus palabras incluyen información personal o sensible, dicha información se encontrará entre los datos capturados y transmitidos a una tercera parte.
¿Esos debates en torno al televisor viendo cualquier cosa? Si es una Samsung Smart TV mejor ni pensarlo. Nunca sabes quién puede estar escuchando, y con la legislación española actual mejor no arriesgarse…
Windows 10, ese sifón de datos personales
Después de que la EFF acusase a Microsoft de violar la privacidad de los usuarios y de la cantidad de preguntas que la empresa de Redmond ha tenido que responder por ello, lo cierto es que Windows 10 ha seguido creciendo. A nadie ha parecido importarle mucho.
Para empezar, si cuando instalas el sistema operativo lo configuras con una cuenta de Outlook todos tus archivos personales y documentos generados se guardan en OneDrive por defecto a no ser que especifiques lo contrario. Según la EFF no respetó la privacidad ni la libertad de elección del usuario en este sentido, ni al hacer que los dispositivos que ejecuten la versión Home se actualicen por sí solos sin preguntarle al usuario si quiere hacerlo o si no.
Por otra parte, Windows 10 almacena todo tipo de información sobre ti desde que lo instalas y mantiene al asistente Cortana en modo always on. Lo mejor que puedes hacer es pdesactivar todas las características que implican la recolección de datos. Para ello puedes usar una herramienta muy útil llamada Fix Windows 10 Privacy.
Google Allo, tus conversaciones al desnudo
What is #Allo? A Google app that records every message you ever send and makes it available to police upon request. https://t.co/EdPRC0G7Py
— Edward Snowden (@Snowden) 21 de septiembre de 2016
Usar Google Allo es el equivalente a salir a dar un paseo sin ropa. Dicho de otra manera, todo el mundo puede verlo todo. Google prometió grandes avances en materia de privacidad con su alternativa personal a WhatsApp, pero finalmente no cumplió con sus usuarios y dijo que sólo se cifrarían los mensajes en modo incógnito.
Para colmo de males las conversaciones se almacenan en los servidores de Google hasta que el usuario las borre. En sus servidores. En texto plano. ¿Nadie más ve el fallo? A esto le sumamos que la Gran G forma parte del programa PRISM y es muy fácil comprender por qué Edward Snowden desaconsejaba de forma tan vehemente el uso de esta app.
Como se puede comprobar mantener la privacidad hoy es un sueño casi imposible. El anonimato en la web hace mucho tiempo que pasó a mejor vida, y a pesar de los denodados esfuerzos de activistas y cypherpunks para intentar mantenerlo quizá ya vaya siendo hora de darnos por vencidos y asumirlo.