Blog de Seguridad de la Información de S2 Grupo
Antes de salir y cerrar la puerta, toca pararse a comprobar que no olvida nada: las llaves en el bolsillo, la maleta preparada con bañador y protector solar incluidos, el coche a punto para comenzar el viaje, el gas cerrado y las luces apagadas. Las ventanas no es necesario que las revise, sabe de sobra que no se deja ninguna abierta.
Por fin ha llegado el verano y con él, las vacaciones.
Éste ha sido un año muy ajetreado, ha tenido muchos temas de los que hablar:
[Read more…]
Comienzo el día leyendo este genial artículo en Ars Technica. Genial, por la cantidad de información, fuentes y detalles que aporta sobre la situación actual de la seguridad en dispositivos IoT y de las iniciativas que se están poniendo en marcha para intentar mejorarla.
El artículo lleva como imagen de acompañamiento la foto de un niño durmiendo plácidamente en su cuna (y su título deja claro que la foto no la han hecho ni sus padres ni cualquier otro familiar con la intención de compartirla con los lectores, cosa que ya no es tan genial). La foto se ha hecho desde la webcam que sus padres han instalado en su dormitorio para ver a su hijo, pero la jugada no les ha salido bien porque ahora hay más gente que puede verle también.
De un tiempo a esta parte, tenemos un nuevo campeón indiscutible dominando en el universo del malware. En un principio, parecía que sería como cualquier otro virus o troyano a los que ya estamos acostumbrados, pero hemos ido viendo como su poder y popularidad ha ido creciendo de manera exponencial con el paso del tiempo. Hablamos del ya famoso ransomware. Fíjense si es famoso que hasta tiene un papel muy relevante en un capítulo de la última temporada de una conocida serie de televisión (y no vamos a decir más).
Todos aquellos que trabajamos dentro el ámbito de la seguridad de la información, ya conocemos a este espécimen, pero por si hay alguien que aún no tiene claro de lo que estoy hablando, explico brevemente al tipo de malware al que me refiero.
Conocemos como ransomware a todo aquel malware que nos bloquea el acceso a (parte o toda) la información almacenada en el dispositivo comprometido, mediante el cifrado de ésta con una clave que desconocemos, y que pide un rescate económico a cambio de recuperar el acceso a dicha información.
A muchos de nosotros nos gustan los deportes de riesgo y qué mejor manera de demostrarlo que subirnos a un coche del que pensamos que tenemos el control pero que en realidad no es así. ¿Que tú quieres acelerar? Pues el coche decide frenar en seco… ¿que tienes frío? Vale, el coche te pone la calefacción a 30 grados y de ahí no baja. ¿No es un escenario fascinante?
Esta situación que a priori puede parecer poco probable e incluso algo peliculera, podría llegar a sucedernos a cualquiera de los que tengamos un modelo de coche relativamente nuevo.
Cada coche que sale al mercado incorpora nuevas funcionalidades y características integradas y controladas desde su ordenador de a bordo: desde la detección de lluvia que hace que se activen los limpias de manera automática hasta el control de aparcamiento asistido. Todas estas facilidades son posibles gracias a la incorporación de nuevas tecnologías y funcionalidades como parte de nuestros coches: NFC, Wifi, conexión 4G, sensores de presión en las ruedas o Bluetooth, entre otras. El único inconveniente de todo esto es que los coches no incorporan las correspondientes medidas de seguridad para evitar que como consecuencia directa también puedan ser “hackeados”.
Leyendo noticias sobre actualidad TIC he encontrado tres artículos que me han llamado la atención y me han hecho pensar sobre el futuro próximo de nuestras redes sociales (y casi de nuestra vida, por extensión). Vamos a comentarlos brevemente.
Todos los que utilizamos las redes sociales de manera habitual, por no decir cada día, somos conscientes de que estamos compartiendo y publicando parte de nuestra información privada. Cada cual puede elegir la cantidad y el tipo de información que publica y hasta cierto punto, quién tiene acceso (a priori) a ésta. Sin embargo, debemos recordar que además de la gente con la que nosotros decidimos compartir nuestra información, también están los sistemas y algoritmos de la propia red social. Que incorporan más inteligencia, asociación de datos y correlación de información de la que podamos pensar e imaginar. Más, mucha más.
En nuestro primer artículo, parece ser que uno de los proyectos en los que está trabajando Facebook para que lo utilicemos como parte de nuestro perfil es un sistema de pago entre particulares que utilicen la red social. Para eso, será necesario asociar nuestra información bancaria (una tarjeta de débito, por ejemplo) a nuestro perfil. Y aquí, la pregunta es: ¿es este servicio necesario o útil? Si quiero prestarle dinero a un amigo o conocido mío, existen muchos métodos alternativos para hacerle llegar dinero sin tener que utilizar mi perfil de Facebook.
Sin necesidad de complicarnos la vida, ahora imaginemos la siguiente situación: una persona que ha decidido utilizar este sistema de pago de Facebook, inicia sesión en un ordenador de uso compartido, como puede ser un cibercafé, una biblioteca o un hotel. Por despiste o desconocimiento, no cierra sesión cuando deja libre el ordenador. ¿Cuáles serían las posibles consecuencias de esta acción? La siguiente persona que use este equipo, no sólo podrá tener acceso a toda su información personal sino que también podrá hacer uso de su dinero a través de esta aplicación. En este posible escenario, se me ocurren una cuantas “bromas pesadas” que podríamos hacerle al usuario despistado.
El siguiente artículo habla sobre la creación de una aplicación por parte de Facebook que nos permitirá recibir asistencia sanitaria o consultar comunidades sobre nuestros problemas de salud (tranquilos, no es el momento de entrar en temas de la LOPD, sobre los que habría mucho que decir). Aunque en un principio todo apunta a que esta aplicación no estará integrada dentro de la red social, al final estamos cediendo nuestros datos a la misma empresa (que por supuestísimo, disociarán los datos de nuestro perfil de nuestros datos de salud de modo que nadie, nunca, de ningún modo, pueda relacionar esa información… ¿nos siguen?). En los últimos tiempos, este tipo de aplicaciones (que no decimos que no tengan una cierta utilidad, bien controladas y en el ámbito correcto) se están popularizando y existen ya productos relacionados con nuestra salud y mejorar nuestros hábitos. La cuestión es: ¿queremos publicar nuestros problemas de salud? ¿Estamos seguros de querer que una red social (una empresa), tenga conocimiento sobre nuestras dolencias o preocupaciones? De nuevo, ¿es necesario?
Por último, otro artículo nos cuenta que a través de un estudio independiente se ha concluido que las personas que publican más en Facebook (y extrapolando, podemos asumir que en cualquier red social en general), son más inestables que las que no lo hacen con tanta frecuencia. Antes de que corran a examinar su Facebook/Twitter/Instagram/Google+/etc. a mirarse el ombligo, no se crean todo lo que lean. También es relevante recordar que hace unos meses se desveló que Facebook llevó a cabo un experimento psicológico con algo más de medio millón de usuarios. Como vemos, nuestra actividad en las redes sociales dice mucho de nosotros (y si piensan que muchos estamos continuamente registrados en Google mientras navegamos, quizá quieran cancelar sus cuentas digitales y emigrar al monte a comer musgo).
A estas alturas, a algunos quizá les parezca de perogrullo, pero nunca viene mal recordar que nuestra información privada es valiosa para las empresas. Que la utilizan, la gestionan, la explotan, la cruzan, la refinan, la analizan, la intercambian y llegado el caso y para el bien de nuestros servicios, la ceden a otras compañías (del grupo, claro). Y si tenemos suerte, la filtran, la pierden y acaba en 4Chan. Todo ello, para realizar estudios de mercado sobre tendencias, para personalizar la publicidad que aparece en nuestro navegador, para acceder a nuestros contactos y cualquier otra cosa que se les ocurra. Cuanto más privada y sensible sea la información que les proporcionamos, más valor tiene para ellos.
Lo más o menos sorprendente de todo es que, aunque ahora nos pueda parecer una barbaridad y nos rasguemos las vestiduras, al final de la película ya verán como acabamos introduciendo nuestros datos de salud en Facebook, nuestros datos financieros en Facebook Messenger y si se da el caso, seremos los primeros en apuntarnos a experimentos o estudios sobre nuestro comportamiento digital. No se apresuren demasiado a tacharse de esa suposición.
Si recapitulamos y hacemos una puesta en común de estos tres artículos, podemos concluir que en un futuro próximo sólo con la información que las redes sociales tendrán sobre nosotros, sabrán nuestros movimientos financieros, nuestros problemas de salud y sin duda alguna nos podrán psicoanalizar. Porque sabrán qué medicación tomamos, qué webs visitamos, qué intereses tenemos, con qué frecuencia y desde dónde publicamos, qué relaciones tenemos y con qué frecuencia nos comunicamos, qué tipo de trabajo tenemos y el dinero que nos permitimos gastarnos al mes. Dejen volar su imaginación. Nos conocerán mejor que nuestras respectivas parejas y también mejor que nosotros mismos. ¿Queremos tener ese nivel de intimidad con un montón de algoritmos que no conocemos en persona?
Aunque bien visto, todo esto que les hemos contado, ¿no es ya una realidad? Es más, probablemente sea peor de lo que piensan. Bienvenidos a Internet.
(N.d.E. Artículo elaborado en colaboración con Manuel Benet).
Hace un tiempo leí este artículo del Washington Post en el que se hablaba sobre el funcionamiento de las Google Glass y las dudas que habían surgido en cuanto a su impacto en la privacidad de sus usuarios y de las personas que les rodean.
Este artículo me hizo plantearme si nuestra sociedad está preparada para utilizar en su día a día un dispositivo de estas características y si es consciente de las consecuencias que puede tener usarlo. No estoy hablando únicamente de las reacciones que las personas puedan tener frente a un usuario de Google Glass sino si nuestras leyes están preparadas para afrontar los posibles escenarios que puedan darse y actuar correctamente.
Durante estos últimos meses, Google ha vendido una cantidad limitada de su prototipo a desarrolladores e ingenieros con el fin de testearlas y empezar a perfilar la que será su versión comercial, y acto seguido, empezaron a producirse situaciones complicadas e incómodas para sus usuarios, como por ejemplo: una persona fue agredida por usarlas en un espacio público, otra fue expulsada de un cine por entrar con ellas puestas.
Y es que uno de los principales problemas de este dispositivo, es que las personas que están alrededor de un usuario de Google Glass no pueden estar seguras al 100% de lo que esta persona está haciendo con ellas. ¿Cómo podemos saber si están grabando nuestra conversación? ¿O publicando una foto o un vídeo que nos acaban de hacer sin nuestro consentimiento? ¿O grabando el pin que acabo de teclear en el cajero de mi banco para sacar dinero? Está claro que todas estas acciones ya pueden llevarse a cabo hoy en día con otros dispositivos, como los smartphones, pero de una forma mucho más obvia y detectable para las personas que son observadas.
El funcionamiento predeterminado de Google Glass hace que cuando el dispositivo se active para realizar una acción, se ilumine la pantalla, y además, el usuario debe decir el comando de voz correspondiente o realizar las acciones necesarias con el touchpad, pero ¿y si el dispositivo ha sido reprogramado para que actúe de otra forma menos detectable? Google ha publicado una serie de APIs que permiten desarrollar apps para Google Glass o Glassware, pero que a su vez y teniendo los conocimientos necesarios, también pueden permitir modificar el comportamiento predeterminado de estas, o lo que es lo mismo, hackearlas. Ya se ha publicado información sobre usos alternativos a los programados oficialmente por Google, como por ejemplo, reprogramar el dispositivo para que permita el reconocimiento facial o la posibilidad de hacer fotos mediante el guiño de un ojo, en lugar de usar el comando de voz o el touchpad. De igual manera, si un dispositivo es hackeado, el atacante puede ejecutar acciones sobre el dispositivo y obtener información en tiempo real sobre el usuario legítimo. Todas estas modificaciones realizadas en unas Google Glass, pasarían desapercibidas para las personas que rodean al usuario de Google Glass y algunas de ellas, incluso para el propio usuario.
Ahora mismo este tipo de hacking se está haciendo con el consentimiento (o por lo menos conocimiento) de Google, ya que están en la fase de testeo, y parte de esta fase consiste en solucionar las vulnerabilidades que se encuentren en el prototipo y mejorar el software, pero no es difícil imaginar las posibilidades que tiene este dispositivo cuando sea comercializado y usado a nivel mundial.
En un futuro, las aplicaciones que este tipo de dispositivos pueden tener en servicios como seguridad vial y ciudadana, ambulancias, extinción de incendios, mejora en la calidad de vida de personas con deficiencias auditivas o visuales, entre otras muchas, pueden llegar a tener un gran impacto en la sociedad en general. Considero que sería necesaria e indispensable una campaña de concienciación y educación ciudadana entorno a lo que ya se conoce como el “Wearable Tech Market” y que la legislación debe actualizarse y evolucionar en consecuencia. Pero hoy por hoy, ¿estamos preparados?
