Etiqueta: privacidad

Probando Swisscows ¿la alternativa europea a Google?

en por Donnie Rocken Ciberseguridad-Privacidad, SoftwareDeja un comentario

Que Google es el buscador más popular del mundo es algo que nadie puede negar, hace años destronó a Yahoo y ninguno de sus competidores ha logrado adelantarlo desde entonces a nivel global, ni siquiera un Bing vitaminado con la pasta y todo el poderío tecnológico de Microsoft, solo algunas alternativas como Baidu en China o Yandex en Rusia pueden derrotarlo puntualmente en sus mercados regionales. Otra cosa que nadie puede negar es que Google basa su negocio en mercadear con los datos de estas búsquedas y aplica de forma agresiva diversas tecnologías para rastrear nuestra actividad en la red, algo que enciende las alarmas de muchas personas preocupadas por su privacidad. Durante un tiempo DuckDuckGo pareció la gran alternativa, pero la filtración de sus acuerdos con Microsoft para no bloquear alguno de sus rastreadores levantó una sombra sobre su publicitada política de privacidad.

Swisscows también nos promete respeto sobre nuestro datos, una mayor privacidad y anonimato a la hora de hacer nuestras búsquedas. La empresa dice con orgullo seguir a rajatabla las leyes de protección de datos suízas, unas de las más restrictivas del mundo, en principio incluso más estrictas que el RGPD de la Unión Europea. Si leemos sus políticas de protección de datos afirman no generar perfiles de usuarios y anonimizar totalmente las búsquedas recogidas cada 7 días. Swisscows no funciona como un motor propio, sino que trabaja como pasarela entre nosotros y el buscador Bing de Microsoft, ofreciéndonos los resultados de dicho buscador optimizados por sus propios índices y filtros semánticos. El buscador por defecto hará búsquedas «seguras«, eliminando por ejemplo los contenidos que haya indexado como pornográficos.

Portada del buscador Swisscows

El buscador se ofrece en varios idiomas, como es lógico incluye los cuatro idiomas oficiales de Suíza, pero también castellano, inglés, holandés, letón, húngaro o ucraniano. Si realizamos una búsqueda nos dejará filtrar los resultados entre webs, imágenes, vídeos y música, además de poder añadir filtros a mayores para cada una de esas secciones como fecha, licencia o tamaño para las imágenes, duración o definición para el vídeo, etc…

Una de las funcionalidades más interesantes es que en la búsqueda web nos da la opción de hacer una vista previa del resultado, que nos abrirá una ventana modal mostrando la portada de la web en cuestión y que, además, nos permitirá otras acciones como realizar una captura de pantalla o listar los rastreadores que usa dicha web.

Prueba listando rastreadores de un resultado en Swisscows.

El buscador de vídeos, por otra parte, nos permitirá ver dichos vídeos ya desde la búsqueda, sin tener que entrar a la web en cuestión y pudiendo así evitar distintas tecnologías de rastreo. Aquí tenemos un «pero» importante: con los resultados de Youtube no funciona, Google no lo permite.

Ejemplo de aviso de privacidad en un vídeo de Youtube incrustado en una búsqueda de Swisscows

En cuanto a la música, no he probado mucho, parece buscar de varias fuentes, de distintas plataformas y centrarse en buscar listas de reproducción. Creo que es una funcionalidad interesante pero que está todavía un poco verde.

Finalmente en la esquina superior derecha veremos publicidad de varios servicios a mayores que nos ofrece Swisscows: un servicio de VPN de pago, un servicio de mensajería instantánea cifrado pensado para uso corporativo y un correo web. Además hay un contador con las búsquedas que has realizado en cada sesión, pues por cada 50 hacen una donación a una ONG para combatir el hambre infantil.

¿Será Swisscows una alternativa a Google funcional que además nos de un extra de privacidad? El tiempo, y el modelo de negocio (se financian a través de publicidad de Bing, pero si no comercian ni usan los datos de las búsquedas los beneficios son menores), lo dirán. De momento parece ofrecer algunas cosas interesantes y no se han dado motivos para desconfiar, esperemos que sigan por el buen camino.

Cómo descargar nuestros datos de Whatsapp

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

En su momento habíamos visto cómo descargar nuestros datos de Facebook, Twitter y Linkedin o como ver todas nuestras búsquedas por voz en Google. Hoy vamos a ver cómo descargar los datos que Whatsapp tiene sobre nosotros.

El primer paso será abrir Whatsapp en nuestro teléfono, ir a Ajustes pulsando el icono de menú (tres puntos que están situados en la parte superior derecha de la pantalla principal de Whatsapp) y allí a Cuenta. Una vez estemos en esa pantalla pulsamos Solicitar info. de mi cuenta.

Una vez estemos en esta pantalla pusamos en Solicitar Informe. Esa pantalla ya nos informará de que el envío tardará un tiempo que oscila entre varias horas y un par de días, además no incluirá las conversaciones o imágenes (eso está en la copia de seguridad) sino los datos que ha acumulado sobre nosotros.

Cuando nuestro informe esté listo recibiremos una notificación de Whatsapp diciendo «El informe ya está disponible» y volviendo a Ajustes->Cuenta->Solicitar Info. De Mi Cuenta podremos ver ahora una opción que es Descargar Informe. Pulsando ahí podremos bajarnos un fichero comprimido en formato zip que incuirá archivos html y json con nuestros datos. Estos ficheros tendremos que abrirlos con otra aplicación, por ejemplo descargándolos en nuestro pc, ya que no podremos verlos dentro de la propia aplicación de Whatsapp.

Operadores de búsqueda en DuckDuckGo

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, Software2 comentarios

Que Google sigue siendo el buscador más utilizado hoy por hoy es algo que no vamos a discutir, como tampoco discutiré que habitualmente es el que nos ofrece los resultados más relevantes para nuestra búsqueda, en gran parte por la cantidad de datos que ha recopilado durante años sobre nuestros hábitos de navegación, ubicación geográfica, etc. Esto no quiere decir que el resto de buscadores no sean útiles o válidos: ya sea por privacidad en algunos casos, porque estemos investigando a una persona u organización, porque Google no nos haya dado un resultado satisfactorio en nuestra búsqueda… muchos veces echamos mano de otros buscadores como Bing, DuckDuckGo, Yandex, Startpage o Baidu.

Si eres una persona habituada a hacer un uso de Google avanzado sabrás que hay ciertos operadores que te permitirán afinar más tu búsqueda. La mayoría de estos operadores funcionan igual en Bing, Yandex, Baidu y, lógicamente, Startpage (ya que este buscador lo que hace es buscar en Google enmascarando al usuario). En DuckDuckGo en cambio la cosa es un poco distinta. Veamos unos ejemplos:

  • Coches motos: si buscamos estos dos términos así, tal cual, nos dará resultados sobre coches y sobre motos.
  • «coches y motos»: en cambio si buscamos así entre comillas, al igual que pasaría en Google nos devuelve resultados que contengan la frase exacta «coches y motos».
  • Coches +motos: con el operador + junto a uno de los términos lo que haremos será dar más peso a ese término en la búsqueda. Eeste ejemplo devolvería más resultados sobre motos que sobre coches.
  • Coches -motos: con el operador junto a uno de los términos lo que haremos será excluir o dar menos peso a ese término en la búsqueda. Este ejemplo principalmente devolverá resultados sobre coches obviando las motos.
  • Alumnos filetype:pdf : en este caso nos devuelve todos los ficheros PDF que encuentre relativos al término de búsqueda (para el ejemplo, Alumnos). Podemos buscar ficheros con extensión PDF, doc, docx, xls, xlsx, ppt, pptx, html
  • Alumnos site:webdelinstituto.com : busca el término Alumnos, pero solo dentro del dominio que le hemos definido.
  • Alumnos -site:webdelinstituto.com : busca el término Alumnos, pero en este caso excluye los que pertenezcan al dominio que le definamos.
  • intitle:Alumnos : busca páginas que tengan el término Alumnos en el título.
  • inurl:Alumnos : busca páginas que tengan el término Alumnos en su URL.
  • !a camiseta: el operador ! nos permite invocar lo que DuckDuckGo llama «bang«, básicamente lo que hace es devolvernos los resultados de un motor de búsqueda externo directamente. En el ejemplo hemos usado !a, en ese caso devolverá los resultados del motor de búsqueda de Amazon para ese término (es decir, camisetas que estén a la venta en amazon). Si por ejemplo buscamos !w Tesla nos devolverá los resultados del motor de búsqueda de Wikipedia para el término Tesla. También podríamos usar !yelp, !ebay o !wa (este último para Wolfram Alpha). Hay como 13.000 términos de búsqueda, que podéis consultar aquí (he solicitado que hubiera un !donnierock… pero no les ha convencido de momento).
  • !safeon o !safeoff: añadiendo esto al final de tu búsqueda puedes habilitar o deshabilitar el modo de búsqueda segura.

Privacidad: ¿Por qué no se deben distribuir vídeos de agresiones?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, ReivindicacionesDeja un comentario

Desde que, como bien dijo Jon Sistiaga en más de una entrevista, «todo dios tiene un móvil» disponemos de muchas más evidencias en vídeo de hechos luctuosos, no solo ya de conflictos bélicos que era lo que él hablaba, sino también de todo tipo de delitos y agresiones más cercanos a nuestro día a día y tristemente habituales. Entre esos vídeos de delitos, como pueden ser robos, hurtos o menudeo de droga, los que más tienden a viralizarse son los que recogen agresiones físicas, normalmente a personas vulnerables como puedan ser personas dependientes, de edad avanzada o menores de edad (generalmente sufriendo abuso o bulling). Vamos a analizar ahora por qué no es bueno difundir este tipo de vídeos.

Generalmente la persona que difunde estos vídeos no lo hacen con mala intención, al contrario, el ánimo de esta gente es el de denunciar una situación abusiva, buscan que a través de la presión social la víctima pueda recibir apoyo y protección contra su agresor, la cuestión es que esa difusión no solo puede no ser la mejor manera de conseguirlo sino que también podríamos estar incurriendo en alguna falta o delito.

Uno de los puntos a tener en cuenta es que aunque creamos estar ayudando a la víctima realmente no tenemos su consentimiento para divulgar su agresión ni conocemos su opinión sobre ello. Las víctimas de estas agresiones en la mayoría de los casos se sienten, además de físicamente heridas, humilladas por su agresor, por lo que difundir el vídeo puede llegar a incrementar ese sentimiento de humillación o indefensión al ponerse al alcance de miles o hasta millones de personas, además de poder perpetuar la situación al dejar un testimonio en vídeo. Tampoco hay que obviar que aunque mucha buena gente se solidarizará con la víctima habrá también personas indeseables que, por desgracia, utilizarán el vídeo para buscar, humillar y acosar más a la víctimas.

Como decía al principio, la difusión descontrolada de una agresión puede ser más dañina para la víctima, peo también recalcaba que incluso podríamos caer en un delito contra la privacidad al hacerlo, pues la imagen de esas personas está protegida por la LOPDGDD. Aquí cito literalmente a la Agencia Española de Protección de Datos:

«Quien difunda ilegítimamente contenidos sensibles de terceros puede incurrir en distintos tipos de responsabilidades:

Responsabilidad en materia de protección de datos: la difusión de datos, especialmente si son sensibles, de una persona física (en contenidos tales como imágenes, audios o vídeos que permitan identificarla), publicados en diferentes servicios de internet sin consentimiento se considera una infracción de la normativa de protección de datos personales. Si los responsables son menores de edad, responderán solidariamente del pago de la multa sus padres o tutores.

Responsabilidad civil: por los daños y perjuicios, materiales y morales, causados. Si los causantes son menores de edad responderán de la indemnización sus padres o tutores.

Responsabilidad penal:  la grabación y difusión de imágenes o vídeos sin consentimiento podrá ser constitutiva de delito, sancionable con penas de hasta 5 años de prisión.»

Además de lo mencionado arriba también habría que destacar que en muchas de estas publicaciones/denuncia se anima a los receptores a intentar identificar a los agresores para que reciban un castigo en represalia. Esto puede llevar a la que la persona que difunde o aporta datos acabe siendo cómplice de una agresión u otra campaña de acoso, esa vez dirigida contra el primer acosador. Aunque uno piense «merecido se lo tendría el agresor» hay que ver más allá, hay que pensar que las cosas pueden salirse de control y acabar derivando en represalias violentas por las que uno podría acabar frente a un juez.

¿Qué hacer en estos casos? Pues si se tienen conocimiento de una agresión recurrir a los tribunales, la fiscalía, las distintas fuerzas policiales o en caso de que sea en un centro escolar, a la dirección del mismo (cierto es que, por desgracia, muchos centros no están a la altura de la situación), aportando las pruebas recibidas. También la AEPD tiene un canal prioritario para solicitar la retirada de este tipos de materiales de las redes. Si alguien quiere usar alguno de estos vídeos como ejemplo de violencia, como material didáctico, yo diría que lo fundamental serían dos cosas: anonimizar a víctimas y agresores para que no puedan ser objeto de identificación y conseguir el consentimiento de la víctima para usarlo, aunque se hayan omitido sus datos, distorsionado su voz y/o emborronado su rostro.

¿Para qué sirve el «modo incógnito» o la «pestaña privada» del navegador?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática4 comentarios

Llevamos un tiempo hablando de ciberseguridad y ya hemos hablado de diversas amenazas a nuestra seguridad, de propaganda y guerra informativa, de herramientas y métodos para verificar información y hasta hemos aclarado dudas sobre el uso de servicios de VPN. Cuando tratamos ese último tema algunas personas me preguntaron si la pestaña incógnito del navegador era similar a una VPN, la respuesta corta es un NO, la larga… es lo que viene a continuación.

Imagen genérica de alguien ocultado su cara en un dispositivo
Photo by Kaique Rocha on Pexels.com

¿En qué consiste el modo incógnito?

Básicamente lo que hace el navegador cuando abrimos una pestaña de incógnito es navegar a través de Internet como si fuésemos un usuario nuevo, de esta forma no habrá cookies ya guardadas, datos de inicio de sesión, formularios web autorrellenados, información histórica de nuestra navegación, etc.

¿Para qué sirve el modo incógnito?

El modo incógnito nos dará básicamente tres interesantes funciones a la hora de navegar:

  • Evita que se almacenen cookies: De esta forma las webs que visitemos no tendrán permanentemente almacenados nuestros datos de inicio de sesión, o la información del dispositivo desde el que entramos. Esto es muy útil porque nos da una cierta protección antiseguimiento, ya que al no almacenar cookies las webs no podrán rastrear nuestra navegación. Ojo, porque esta protección desaparece si por ejemplo iniciamos sesión en nuestra cuenta personal, ya sea la de Google, Facebook, etc.
  • Ocultar el historial de navegación: Si varias personas utilizan el ordenador, por ejemplo un equipo que use toda la familia, el modo incógnito nos permite que el resto de usuarios no vean nuestra historia de búsquedas o qué páginas hemos visitado.. 
  • Usar ordenadores públicos o como invitados: Ya sea porque tengamos que pedir prestado un ordenador a alguien, ya sea porque tenemos que usar un equipo de un lugar público (biblioteca, centro social, coworking), las dos características que citamos arriba permitirán que nuestros datos no queden guardados en ese ordenador

¿Para qué NO sirve el modo incógnito?

El modo incógnito no está pensado como una herramienta para navegación anónima, aunque nos dé una cierta protección antiseguimiento como dijimos antes. Al contrario que con una VPN, cuando navegamos en modo incógnito ni nuestra conexión está cifrada ni nuestra ubicación o dirección IP se enmascaran, por tanto el administrador de la red o nuestro proveedor de internet sí pueden ver nuestro tráfico, que páginas estamos visitando, qué estamos buscando, etc.

¿Vale la pena usar el modo incógnito?

Sabiendo para qué sirve, sí vale la pena. Mientras no iniciemos sesión en nuestras cuentas el modo incógnito nos dará una cierta protección antiseguimiento que, combinada con el uso de una VPN, mejorará nuestro anonimato a la hora de navegar. Eso sí, el modo incógnito por si solo no nos ofrece ningún tipo de invisibilidad en la red, esto hay que tenerlo presente y claro.

Sharenting ¿Qué es y qué riesgos puede entrañar para tus hijos?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

El término sharenting es un neologismo inglés que combina las palabras share (compartir) y parenting (paternidad o crianza). En cualquier caso, el término hace referencia a la tendencia que algunos padres tienen de colgar vídeos y fotos de sus hijos en redes sociales de forma masiva, por lo que en castellano podríamos traducirlo como «sobreexposición de los hijos» (Hay que reconocer a los angloparlantes lo flexibles que son para crear palabros) . Aunque el término haga referencia a padres en los últimos tiempos también he visto a profesores realizar este tipo de prácticas, subir fotos o vídeos de sus alumnos de una forma masiva y descontrolada a las redes, sin pensar en las consecuencias que esto pudiera tener.

Fotografía de alguien usando una tablet
Photo by Pixabay on Pexels.com

¿Es subir cualquier foto de nuestros hijos sharenting? Bueno, como decía Paracelso «la dosis hace el veneno«, el concepto hace referencia a una difusión masiva por lo que no hay una cifra exacta que podamos considerar peligrosa, además puede ser más perniciosa una sola foto que se vuelve viral y se comparte miles de veces que 400 que no obtienen difusión, por tanto para prevenir caer en el sharenting tenemos que controlar no solo el cuánto, sino también el qué y el cómo. Es importante tener conciencia de que lo que publicamos configurará nuestra huella digital y nuestra indentidad digital de cara al futuro, por lo que si compartimos fotos de nuestros hijos estamos afectando a su futura identidad, casi siempre sin su permiso. Según un estudio de 2017 de la consultora británica expecializada en comunicación Ofcom solo un 15% de los padres se preocupaba de qué podrían pensar en el futuro sus hijos sobre lo que han subido a las redes, tengo esperanzas en que este porcentaje haya subido en el último lustro gracias a una mayor alfabetización digital.

También entra aquí en cuestión el derecho a la privacida de los menores: si bien es cierto que la persona responsable del menor puede limitar la exposición del mismo en medios públicos, para proteger así su privacidad, esto no funciona a la inversa. Es decir, puede limitar lo que se publica de un menor porque es el responsable de su tutoría y por tanto de que sus derechos se respenten, pero no puede publicar todo lo que quiera.

¿Qué riesgos pueden entrañar?

El riesgo más habitual suele ser que el menor sienta vergüenza por ver su imagen expuesta sin tener control sobre la misma. En determinados casos eso puede derivar en problemas de preocupación, generar desconfianza hacia las figuras de sus progenitores e incluso llegar a causar cuadros de ansiedad. Esta sobreexposición también puede provocar que el niño sea víctima de bullying, pues algunos de sus compañeros podrían servirse de esos contenidos como pretexto para la burla o la humillación. Además existe el riesgo de que la imagen se viralice a través de redes sociales o sistemas de mensajería y que podrían llevar a que el menor se convierta en un meme o chiste recurrente en internet, agravando esa sensación de indefensión y humillación cuando sea consciente de ello, e incluso pudiendo ser víctima de cyberbulling, gente que se ría de él o le insulte abiertamente en publicaciones relacionadas con esa imagen.

Además del riesgo sobre la salud mental del menor también existen diversos riesgos relacionados con su seguridad:

  • Fraude: Según un estudio del banco Barclays, dentro de un década se multiplicarán los casos de fraude en los que el estafador habrá obtenido los datos de su víctima de fuentes como redes sociales, aprovechando estas publicaciones masivas durante su infancia, ya que de estas fotos se pueden extraer datos como fechas de cumpleaños, dirección, centro de estudios… Conociendo sus intereses, gustos, pasado… podrá más facilmente elaborar la estafa.
  • Robo de identidad: Asociado a lo señalado en el punto anterior, el mismo estudio auguraba también un aumento de los problemas de suplantación y robo de identidad vinculados al material conseguido a través de publicaciones realizadas por padres periódicamente. Realmente el robo de identidad no es un problema exclusiva de la prácticas de sharenting ,sino que es algo a lo que uno se expone al compartir su imagen en las redes, pero en este caso la víctima no tendría control sobre lo que se publicó. Además, el conseguir imágenes de distintas etapas de la vida de la persona suplantada ayudará al estafador a crear un perfil más sólido.
  • Circulación en páginas no deseadas: En una gran cantidad de juicios por tenencia y distribución de pornografía infantil se ha detectado que muchas de esas imágenes se habían conseguido a través de redes sociales. Fotografías o vídeos en los que los progenitores no ven nada inadecuado, pero que para un pederasta resultan material pornográfico.
  • Dar información para personas que quieren acercarse al menor de forma inapropiada: lo pongo de forma muy genérica porque aquí podría englobar varias actitudes peligrosas para el menor. Aunque siendo realistas, las posibilidades de que el menor sea por ejemplo víctima de un secuestro, o víctima de una agresión como venganza hacia sus progenitores, por suerte son bastante bajas en la mayoría de los casos, aunque «Sé dónde estudian tus hijos» sigue sonando como una de las amenazas más terribles que se puedan proferir. Un peligro más plausible es el «grooming«, una forma de acoso a través de redes realizada por una persona adulta hacia un menor con fines sexuales de la que ya hablamos. La sobreexposición del menor puede hacerle blanco de estos acosadores, revelarles datos de forma no intencional (que se pueda sacar la dirección, centro de estudios, etc analizando las imágenes) o hasta darles material para extorsionar al menor (fotos o vídeos que le resulten vergonzosos).

Consejos para prevenir problemas.

  • Cuando el menor tenga edad para ser consciente del posible impacto de las fotos consúltale y pídele permiso antes de publicar, aunque esto no asegure que no habrá futuros problemas sí ayudará a no provocar sensación de desconfianza o desprotección en el menor. No sentirá ansiedad por si se publican imágenes sin su consentimiento y reforzará su confianza si tiene que pedir ayuda en caso de bulling o grooming.
  • Comprueba las políticas de privacidad del servicio donde las estés compartiendo para asegurarte de que no harán un uso inadecuado de las mismas.
  • Comprueba los metadatos de la imagen para no enviar información como la ubicación geográfica. Elimínalos siempre si ves que hay algo que pueda revelar información.
  • Aparte de los metadatos comprueba también que las fotografía no revele la dirección o el centro de estudios del menor por cualquier elemento que pueda verse en ella (un portal, el propio centro, un uniforme…)
  • Nunca subas una foto de un menor sin ropa, aunque te parezca que es una inocente foto jugando en la playa puede que resulte de interés a un pedófilo.
  • Piensa en el recorrido que puede tener lo que subas, evidentemente no es lo mismo enviar por Whatsapp una foto a la abuela del menor que subir un vídeo a Youtube donde lo puede ver todo el mundo. Incluso aunque lo mandes a una persona de una forma no masiva esta podría después resubirla o reenviarla a otra gente, así que si le envías algo a alguien recuérdale siempre que no lo comparta a lo loco ni lo suba a sus redes.
  • Piensa en la repercusión que para el menor puede tener que esa imagen sea pública. Lo que tú puedes estar viendo como una graciosa actitud infantil y un recuerdo entrañable, para un compañero malintencionado de clase puede ser una nueva forma de humillar o insultar al menor.
  • Piensa en si merece la pena compartir esa imagen. No digo que no puedas compartir de vez en cuando una foto de tus hijos, en el contexto adecuado, pero plantéate quién la verá, si es oportuno, qué aporta y qué riesgos implica.

Detectar bots en Twitter con Bot Sentinel o Botometer

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

En artículos pasados sobre desinformación o información tóxica hemos mencionado a los bots. ¿Qué son? Pues se trata de cuentas controladas por un software que publica mensajes ya sea de forma automática, por ejemplo publicar una respuesta tópica seguida de varios hashtags cuando una determinada cuenta use una palabra concreta o retuitear todos los mensajes de un grupo de cuentas emitidos con un hashtag concreto, o semi-automática, por ejemplo que varias cuentas cuelguen el mismo mensaje (o un mensaje similar creado con una plantilla que varía algunas palabras en base a una matriz de sinónimos) con el mismo hashtag a la misma hora.

En los últimos años se ha popularizado su uso con fines negativos, siendo herramientas fundamentales para estrategias de desinformación, propagación de bulos o amplificación de campañas de acoso. A pesar de esto, no hay que suponer que los bots sean algo intrínsicamente perverso, son solo una herramienta que puede usarse de muchas formas: hay un bot por ejemplo que informa de los movimientos sísmicos en el área de San Francisco, otro que nos muestra una foto de un pájaro distinto cada hora u otra que publica obras de dominio público del MET. Los bots pueden ser herramientas útiles para la divulgación de información de servicio público o como un «punto de información» con respuestas programadas para preguntas habituales, esto último muy utilizado por ejemplo en Telegram.

Cuenta de servicio público con informacion sismológica de San Francisco

¿Cómo podemos saber si una cuenta es un bot? Bueno, agunos de esos bots «buenos» que dan informaciones públicas están certificados por Twitter como cuentas automatizadas o, en otros casos, su propia descripción ya lo indican. En todo caso lo que nos suele interesar es detectar qué cuentas son automatizadas pero intentan hacerse pasar por cuentas legítimas, algo que podemos conseguir analizando la periodicidad, repercusión y estilo de sus tweets y revisando sus seguidores y las cuentas que sigue. Este proceso manual puede ser tedioso, por eso es bueno contar con herramientas que nos faciliten el trabajo como es el caso de la que nos ocupa hoy: Bot Sentinel.

Panel de resultados de Bot Sentinel

Este servicio nos permitirá introducir una cuenta para que analice su comportamiento, dándonos como resultado una clasificación en la que describirá su comportamiento, indicando no tanto si se trata de una cuenta automatizada sino si colabora en la amplificación de mensajes de odio o compañas de desinformación.

Para complementar esta utilidad la web nos ofrece también una serie de herramientas avanzadas como un bloqueador masivo, un analizador masivo de nuestros contactos, un bloqueador de tweets con discurso de odio… aunque para usarlas tendremos que darle acceso a su api a nuestra cuenta.

Herramientas avanzadas de Bot Sentinel

Si buscas alternativas puedes probar también con el API desarrollada por la Universidad de Indiana, por su Observatorio de Medios Sociales, llamado Botometer. En este caso siempre requerirá de acceso a tu cuenta, te permite analizar la cuenta que le pases y también a sus últimos seguidores.

Mi resultado en Botometer: no soy un bot.

Aunque el análisis crítico siempre será un buen método, estas herramientas son una forma de ahorrar tiempo a la hora de ver si te siguen o si sigues a bots.

Ciberseguridad: Apps maliciosas en dispositivos móviles

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redes, SoftwareDeja un comentario

Empezaré esta entrada sobre ciberseguridad contando una historia propia, que el cuento y la leyenda han sido siempre buenos instrumentos educativos para advertir de peligros, aunque en este caso la historia es real pero debidamente anonimizada.

Hará menos de un mes un familiar me comenta que el conocido de un amigo le va a pasar un app para ver «todo el fútbol gratis» desde su tablet Android. La simple descripción de la aplicación hace que en mi hombro izquierdo un pequeño duende con un trébol de tres hojas grite «Danger! Danger!» (y no está cantando la canción de Electric Six), luego os explico por qué ya desconfío de entrada. El app debe ser de confianza porque el conocido del amigo es un tío que sabe mucho de estos temas. Como os podéis imaginar el app no está en la tienda oficial de aplicaciones de Android, es un fichero apk que le envían por Whatsapp, fichero que le pido, me descargo y desempaqueto con el Android Studio. Lo primero que hago es echarle un ojo al Android Manifest para ver qué permisos pide: ¿Ver estado de la red? Bueno, esto entra en la lógica ¿Usar datos móviles? Vale, si no estás conectado a una wifi los necesitará para el streaming ¿Ver información de la Wifi? Esto me mosquea, una cosa es ver si hay red y otra ver los detalles. Entonces empiezo ya a ver cosas que no deberían estar ahí: Acceso a los SMS, acceso a los contactos, acceso a las llamadas, acceso a la ubicación, acceso al GPS, acceso al almacenamiento, acceso al Bluetooth, acceso a pagos desde la aplicación, acceso al micrófono… Esos permisos no tienen ningún sentido para la finalidad de la aplicación, de hecho el combo SMS+Pagos me provoca hasta terror y sudores fríos. Recomiendo no instalarla porque el riesgo potencial de dicha aplicación es muy alto.

Imagen de un teléfono móvil
Photo by cottonbro on Pexels.com

¿Por qué me mosqueó la aplicación ya de entrada y antes de haber visto nada? Pensemos un momento de forma crítica y analítica: hacer una aplicación requiere invertir tiempo en diseñarla, programar el código, hacer pruebas, actualizarlo cuando haya problemas de seguridad o cambios en el núcleo de Android… En este caso además se trata de una aplicación que muestra una información que hay que actualizar a diario, todos los días hay que subir los enlaces de los partidos de la jornada, así que estamos ante una aplicación que requiere que alguien invierta muchas horas en mantenerla fucionando. Además, hoy por hoy con la ley en la mano lo que hace dicha aplicación es ilegal, por lo que la persona que mantiene el app se podría ver envuelto en problemas legales con empresas muy grandes y ricas, que tienen todos los recursos legales del mundo para amargarte la vida. Entonces ¿por qué alguien dedicaría tanto tiempo y se arriesgaría a tener problemas con la ley si no va a conseguir un retorno económico? Puede que sea alguien con mucho tiempo y dinero que pretende empezar una guerra contra los gigantes del contenido, pero es más probable que sea alguien que busque conseguir un retorno económico con dicha aplicación.

¿Qué son las apps maliciosas?

El ejemplo que he puesto con la historia que os he contado es una buena definición de un app maliciosa: una aplicación que teóricamente parecía legítima pero que realmente era una trampa para acceder a un montón de permisos dentro de nuestro teléfono. ¿Qué puede conseguir un ciberdelincuente con eso? Pues depende de los permisos que le hayamos dado: infectar nuestro dispositivo para ser parte de una red zombie en un ciberataque, usar nuestro teléfono para minar criptomonedas, robar nuestros datos, suscribirnos a servicios de sms premium o llamar a números de tarificación especial, tomar el control de nuestro dispositivo… Se roban tantos datos a día de hoy que en la deep web los de un solo individuo llegan a venderse por cantidades ridículas. ¿Crees que los datos de un ciudadano medio, incluyendo acceso a sus cuentas de correo, a la web de su seguro médico y al app de su banco, valen miles de euros? No, hoy por hoy hay paquetes de información así vendiéndose por 10 euros en la deep web.

¿Cómo me protejo de estas apps maliciosas?

Bueno, en este caso la única solución es no instalarla. Es una respuesta de perogrullo, pero eso es así. Entonces me diréis «¿no instalamos nada por si acaso?«, pues no… pero sí, me explico: si no lo necesitas no lo instales, esto es una máxima que suelo aplicar, tener aplicaciones por tener solo implica malgastar capacidad de almacenamiento en nuestro dispositivo y aumentar las posibilidades de sufrir un problema de seguridad. Si llegamos a la conclusión de que sí necesitamos esa aplicación entonces el siguiente punto es ¿desde dónde la descargamos? Pues lo mejor es hacerlo desde la tienda oficial de apps de nuestro sistema operativo (Apple, Google, Amazon, la que toque), pero cuidado, a veces alguna aplicación maliciosa logra colarse ahí, así que aunque esté en un sitio legítimo puede ser ilegítima por lo que debes siempre revisar los permisos que te pide la aplicación y pensar «¿esta aplicación necesita esto para lo que a hacer?» Yo entiendo que puede ser confuso en muchos casos, pero hay que hacer el esfuerzo por nuestro propio bien y pensar en qué le estamos permitiendo, por ejemplo ¿una aplicación para enviar dinero a mis amigos necesita acceder a mi lista de contactos? Bueno, eso tiene cierta lógica. ¿Esa misma aplicación necesita acceder a mi GPS? Pues eso en cambio ya no tiene ninguna explicación en principio coherente.

Hay otras medidas de seguridad proactivas que podemos tomar por si nos viéramos afectados por una de estas aplicaciones como tener copias de seguridad de nuestros datos, por si sufriéramos un ataque que las destruyese o secuestrase, o cifrar nuestro dispositivo para evitar que en caso de robo de datos estos fueran legibles. También aplicaciones como el CONAN de INCIBE nos permitirán comprobar la seguridad de nuestro dispositivo ¿Qué pasa si ya nos hemos infectado? Pues lo primero es eliminar la aplicación maliciosa, después ya con el equipo libre de ese malware lo mejor sería cambiar nuestras contraseñas en los distintos servicios que utilizásemos para evitar sustos por si hubieran sido robadas. La OSI tiene una infografía muy chula resumiendo todo esto.

Ciberseguridad: ¿Qué es el Web Spoofing?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

La pasada semana por aquello del Black Friday volvía a compartir en mis redes sociales esta infografía que hizo el INCIBE y distribuyó a través de las redes de la OSI, siguiendo esa línea y con vistas a las compras navideñas vamos a hablar de otra técnica para cometer fraudes y delitos en la red: el web spoofing.

Cibercrimen ¿Qué es el web spoofing?
Photo by Mikhail Nilov on Pexels.com

¿En qué consiste?

Esta técnica para la estafa on-line consiste en crear una web falsa para hacerla pasar por un sitio legítimo y así robar nuestras credenciales de acceso al mismo. El atacante, por ejemplo, podría clonar la estética de la pasarela de pago de nuestro banco para hacerse con los datos de nuestra tarjeta, la página de inicio de AliExpress o Amazon para controlar nuestra cuenta o la página de acceso a Pay Pal. Esta técnica tiene que combinarse con alguna otra de ingeniería social para hacer llegar la web falsa a la víctima (por ejemplo, con el smishing del que ya hemos hablado, con correos fraudulentos, con publicidad-trampa en páginas poco legítimas…)

¿Cómo nos protegemos?

Lo primero es desconfiar de las webs sin https, si no tienen certificados digitales mejor no fiarse de ellas. Que tengan el certificado tampoco es una garantía, nuestro navegador nos permitirá comprobar a nombre de quién se ha expedido dicho certificado así que también es bueno comprobarlo. Es muy importante que revisemos bien la URL de la dirección a la que estamos accediendo para asegurarnos de que no se trata de una falsificación, que realmente es la web legítima.

Ciberseguridad ¿Qué es el shoulder surfing?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

Vamos a seguir hablando un poco de ciberseguridad y vamos con formas de ataque que no requieren de ningún conocimiento técnico, como cuando hace unos días vimos en qué consistía la técnica de la «manguera de goma«. Hoy hablaremos del «shoulder surfing«, empezando con un ejemplo real, algo anecdótico pero que será un buen inicio:

Principios de 2015, al salir del trabajo me estoy tomando una cerveza en la barra del bar donde trabaja una amiga mía y charlamos animadamente, pues no hay más clientes. Me pregunta algunas cosas sobre ciberseguridad porque sabe que soy programador y hace poco ha visto a Chema Alonso en la tele, en una entrevista, y piensa que hay mucho sensacionalismo con la seguridad informática, que se montan «muchas películas» sobre el tema, pero que realmente no es tan fácil realizar un ataque informático. Le pregunto si me invita a la cerveza si logro desbloquear su teléfono, acepta estando segura de que no podré. Me da el teléfono y lo desbloqueo al momento, birra gratis. ¿Cómo he logrado desbloquearlo? Pues haciendo uso de esta técnica del «Shoulder surfing«, que en castellano podríamos traducir como «mirar por encima del hombro«: bloqueaba su teléfono con un código numérico, solo tuve que fijarme en qué números había pulsado, me había quedado cierta duda con el último dígito, pero era fácil deducirlo porque era su año de nacimiento. Conste que ella reclamó diciendo que «eso no es un ataque informático, solo has visto la contraseña«, pero independientemente del método usado yo había logrado acceder a su dispositivo.

Imagen con ejemplo de espionaje
Photo by Noelle Otto on Pexels.com

Aunque pueda sonar como algo mundano, como algo que podríamos llamar cutre, obtener una contraseña por mera observación es bastante simple y más habitual de lo que creemos. Suele encuadrarse dentro de la llamada «ingeniería social«, pero yo hasta pienso que calificarlo de ingeniería en muchos casos es demasiado. Si bien es cierto que en casos de espionaje se ha recurrido a algunas medidas técnicas (cámaras ocultas o prismáticos), lo más habitual suele ser que simplemente el atacante se coloque cerca de su víctima y observe cómo teclea el código para acceder.

¿Cómo nos protegemos de este ataque?

Bueno, como comentamos en la entrada sobre ataques contra contraseñas, las opciones de activar la validación por múltiples factores o de usar un gestor de contraseñas son importantes. Para el desbloqueo de dispositivos móviles se puede contar con el desbloqueo por reconocimiento facial o por huella dactilar. En este caso, además, tendríamos que sumar como medida de seguridad el asegurarnos de que nadie está viendo nuestra pantalla ni nuestras manos al teclear e intentar no hacerlo en lugares públicos y llenos de gente (la barra de un bar, el transporte público, etc.)