Etiqueta: protección de datos

Spyware ¿qué es? ¿cómo nos protegemos?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

Está la prensa española hablando mucho de spyware estos días, primero por el espionaje a políticos catalanes de ideología independentista a través del software Pegasus o de otros programas de la empresa Candiru denunciado por la asociación canadiense Citizen Labs, después porque el propio gobierno central haya denunciado que los teléfonos de la ministra de Defensa y del propio presidente han sido también espiados a través de la conocida aplicación de NSO. Aquí no vamos a analizar el caso, que ya hay mucha gente hablando del tema y mejor informada que yo, sino que nos vamos a hablar de lo básico sobre software espía: definición y cómo minimizar el riesgo.

Imagen de varios equipos informáticos retro
Hardcoding:Redshift Study by . ZAKI . is licensed under CC-BY-NC-ND 4.0

¿Qué es un spyware?

Cuando hablamos de spyware hablamos de una tecnología, un código malicioso que se usa para extraer datos de un sistema de información (ordenador, red de ordenadores, teléfono, tablet…) sin el consentimiento ni conocimiento de sus usuarios. Puede usarse para robar contraseñas de distintas cuentas, credenciales de acceso a servicios en la nube, datos bancarios, correos electrónicos, ficheros almacenados, cookies de navegación… en fin, en general cualquier tipo de información que pase por el equipo infectado. El spyware recopilará información que se descargue o se genere en el dispositivo y la enviará después a un dominio que pertenezca al atacante para que este pueda analizarla. Dado que si analizamos el tráfico de nuestra red podríamos detectar la infección si vemos un tráfico inusual hacia una web extraña, estos dominios suelen estar «camuflados» con nombres similares a los de empresas legítimas o con nombres que sugieran que son páginas inocuas, además es habitual que se reparta el envío de tráfico entre varios dominios para que el volumen de información enviado no sea llamativo.

¿Quién se sirve de este tipo de software? Pues cualquiera que tenga la intención de espiar a alguien, esto abarca desde ciberdelincuentes hasta fuerzas de seguridad, pasando por gobiernos, servicios de inteligencia e incluso medios de comunicación o empresas. Desde el saqueo de cuentas a través de banca móvil a la estrategia geopolítica, pasando por el espionaje industrial, se han detectado este tipo de ataques en muchos y diversos casos. Los objetivos del espionaje pueden ser tanto empresas como gobiernos, instituciones o personas particulares.

¿Es ilegal su uso? Creo que legalmente en España estaría en el mismo supuesto legal que las escuchas telefónicas, podría ser autorizado por un juez en determinados supuestos para una investigación criminal, al menos es lo que interpreto leyendo esta circular de la Fiscalía General del Estado, de 2019 que hace referencia a las modificaciones en la Ley de Enjuiciamiento Criminal de 2015. Es evidente que cuanto menos control público exista sobre un gobierno, cuanta menos separación de poderes exista en un estado, más podrá este abusar de estas aplicaciones.

¿Cómo nos protegemos?

Bueno, si recordáis las entradas sobre apps maliciosas, sobre rogueware o sobre distintos tipos de troyanos (que son tres de las formas en las que nuestro dispositivo puede acabar infectado) hay varios puntos a seguir:

  • Tener nuestro software actualizado. Si vemos artículos técnicos hablando sobre Pegasus una de las cosas que comprobaremos es que se servía de vulnerabilidades de iOS, Android o Whatsapp que fueron parcheadas posteriormente, por lo que es fundamental mantener las actualizaciones al día.
  • Revisar los permisos de las aplicaciones. A veces el spyware puede estar escondido en una aplicación que nos hemos descargado pensando que sirve para otra cosa, es importante comprobar que los permisos que pide la aplicación al instalarse sean coherentes con el uso que se le va a dar. Por ejemplo, si descargamos un app que nos de la predicción del tiempo atmosférico es normal que pida permisos sobre nuestra ubicación (para darnos la predicción del sitio en el que nos econtremos), pero debería alarmanos que nos los pida, por ejemplo, sobre nuestra lista de contactos.
  • Instalar un app que nos ayude a gestionar la seguridad. Yo siempre recomiendo usar la aplicación de seguridad Conan, del CCN.
  • Ojo con las cosas que descargamos, hay que comprobar siempre que vengan de una fuente legítima. Como también se ha visto en el caso Pegasus, se utilizaban ficheros PDF infectados para ejecutar remotamente código en el dispositivo que instalaba el software espía.
  • Analizar nuestro tráfico de red. Esto ya es para usuarios avanzados o profesionales, revisar el tráfico de la red y comprobar con qué dominios se comunican puede ayudarnos a descubrir un software espía oculto en algún equipo.
  • Reiniciar el teléfono regularmente. Aunque parezca una chorrada tiene su sentido. Según investigadores de la empresa de antivirus Kaspersky el reinicio regular del dispositivo dificulta el espionaje ¿Por qué? Pues porque según parece los más sofisticados spywares (ahora sí que hablamos de Pegasus o de otras herramientas millonarias) que son capaces de infectar dispositivos con técnicas «0-click» (es decir, que no requieren de una acción concreta del usuario) no instalan nada en el dispositivo para reducir su rastro, sino que se cargan en la memoria en tiempo de ejecución. Esto implica que si el teléfono se apaga ese código malicioso desaparece y el atacante tendría que volver a infectar el dispositivo para volver a espiarlo.
  • Repensar las políticas BYOD. Hace unos años desde distintas webs dedicadas a economía y negocios se nos decía que los teléfonos corporativos estaban «muertos«, que ahora lo que se llevaba era el bring your own device, es decir, que cada uno se traiga al trabajo su propio dispositivo. Lo que se vendía como una forma de mejorar la comodidad del usuario y su «libertad» (palabra multiuosos para múltiples estafas), y que realmente no era más que una forma de buscar que las empresas ahorrasen en la compra de dispositivos, ha acabado por convertirse en uno de los eslabones más débiles de la ciberseguridad empresarial. Es otra de las cosas que hemos visto en el asunto Pegasus: los teléfonos de cargos públicos se utilizaban como si fuesen personales, instalaban y descargaban más o menos lo que querían y no había unas reglas de seguridad rígidas al respecto de su uso. También hay que decir que en el caso de las últimas versiones del polémico y ahora popular software de NSO no era necesario que el atacado descargase nada, el atacante podía infectar el dispositivo sin que el usuario participase, pero en la mayoría de spywares sí suele infectarse el dispositivo a través de algún malware introducido mediante phishing.

Todos estos consejos nunca nos garantizarán una protección total (puede que nos encontremos con un spyware que explote una vulnerabilidad todavía no solucionada y que incluso permita ataques del tipo «0-click» antes mencionados, o que no sea detectable por el software antivirus por ser todavía muy nuevo), pero sí que nos pueden ayudar a minimizar el riesgo de ser atacados. Siendo realistas, es poco probable que algún servicio secreto o gobierno tenga interés en espiar a un ciudadano medio que no tenga un cargo político, pero sí es cierto que cualquiera puede ser víctima de un ataque que intente robar sus datos bancarios o incluso, en según qué profesiones, datos relativos a su trabajo, como por ejemplo en casos de espionaje industrial, o en el espionaje a periodistas de investigación del que se han reportado múltiples ejemplos. Ante los más modernos spywares, los que se venden como un servicio por el que se cobran millones, es complicado y a veces hasta imposible defenderse (por eso se pagan millones), pero hay muchos otros más baratos y usados por delincuentes de todo tipo contra los que podemos estar más seguros teniendo un poco de cuidado.

Cómo descargar nuestros datos de Whatsapp

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

En su momento habíamos visto cómo descargar nuestros datos de Facebook, Twitter y Linkedin o como ver todas nuestras búsquedas por voz en Google. Hoy vamos a ver cómo descargar los datos que Whatsapp tiene sobre nosotros.

El primer paso será abrir Whatsapp en nuestro teléfono, ir a Ajustes pulsando el icono de menú (tres puntos que están situados en la parte superior derecha de la pantalla principal de Whatsapp) y allí a Cuenta. Una vez estemos en esa pantalla pulsamos Solicitar info. de mi cuenta.

Una vez estemos en esta pantalla pusamos en Solicitar Informe. Esa pantalla ya nos informará de que el envío tardará un tiempo que oscila entre varias horas y un par de días, además no incluirá las conversaciones o imágenes (eso está en la copia de seguridad) sino los datos que ha acumulado sobre nosotros.

Cuando nuestro informe esté listo recibiremos una notificación de Whatsapp diciendo «El informe ya está disponible» y volviendo a Ajustes->Cuenta->Solicitar Info. De Mi Cuenta podremos ver ahora una opción que es Descargar Informe. Pulsando ahí podremos bajarnos un fichero comprimido en formato zip que incuirá archivos html y json con nuestros datos. Estos ficheros tendremos que abrirlos con otra aplicación, por ejemplo descargándolos en nuestro pc, ya que no podremos verlos dentro de la propia aplicación de Whatsapp.

Privacidad: ¿Por qué no se deben distribuir vídeos de agresiones?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, ReivindicacionesDeja un comentario

Desde que, como bien dijo Jon Sistiaga en más de una entrevista, «todo dios tiene un móvil» disponemos de muchas más evidencias en vídeo de hechos luctuosos, no solo ya de conflictos bélicos que era lo que él hablaba, sino también de todo tipo de delitos y agresiones más cercanos a nuestro día a día y tristemente habituales. Entre esos vídeos de delitos, como pueden ser robos, hurtos o menudeo de droga, los que más tienden a viralizarse son los que recogen agresiones físicas, normalmente a personas vulnerables como puedan ser personas dependientes, de edad avanzada o menores de edad (generalmente sufriendo abuso o bulling). Vamos a analizar ahora por qué no es bueno difundir este tipo de vídeos.

Generalmente la persona que difunde estos vídeos no lo hacen con mala intención, al contrario, el ánimo de esta gente es el de denunciar una situación abusiva, buscan que a través de la presión social la víctima pueda recibir apoyo y protección contra su agresor, la cuestión es que esa difusión no solo puede no ser la mejor manera de conseguirlo sino que también podríamos estar incurriendo en alguna falta o delito.

Uno de los puntos a tener en cuenta es que aunque creamos estar ayudando a la víctima realmente no tenemos su consentimiento para divulgar su agresión ni conocemos su opinión sobre ello. Las víctimas de estas agresiones en la mayoría de los casos se sienten, además de físicamente heridas, humilladas por su agresor, por lo que difundir el vídeo puede llegar a incrementar ese sentimiento de humillación o indefensión al ponerse al alcance de miles o hasta millones de personas, además de poder perpetuar la situación al dejar un testimonio en vídeo. Tampoco hay que obviar que aunque mucha buena gente se solidarizará con la víctima habrá también personas indeseables que, por desgracia, utilizarán el vídeo para buscar, humillar y acosar más a la víctimas.

Como decía al principio, la difusión descontrolada de una agresión puede ser más dañina para la víctima, peo también recalcaba que incluso podríamos caer en un delito contra la privacidad al hacerlo, pues la imagen de esas personas está protegida por la LOPDGDD. Aquí cito literalmente a la Agencia Española de Protección de Datos:

«Quien difunda ilegítimamente contenidos sensibles de terceros puede incurrir en distintos tipos de responsabilidades:

Responsabilidad en materia de protección de datos: la difusión de datos, especialmente si son sensibles, de una persona física (en contenidos tales como imágenes, audios o vídeos que permitan identificarla), publicados en diferentes servicios de internet sin consentimiento se considera una infracción de la normativa de protección de datos personales. Si los responsables son menores de edad, responderán solidariamente del pago de la multa sus padres o tutores.

Responsabilidad civil: por los daños y perjuicios, materiales y morales, causados. Si los causantes son menores de edad responderán de la indemnización sus padres o tutores.

Responsabilidad penal:  la grabación y difusión de imágenes o vídeos sin consentimiento podrá ser constitutiva de delito, sancionable con penas de hasta 5 años de prisión.»

Además de lo mencionado arriba también habría que destacar que en muchas de estas publicaciones/denuncia se anima a los receptores a intentar identificar a los agresores para que reciban un castigo en represalia. Esto puede llevar a la que la persona que difunde o aporta datos acabe siendo cómplice de una agresión u otra campaña de acoso, esa vez dirigida contra el primer acosador. Aunque uno piense «merecido se lo tendría el agresor» hay que ver más allá, hay que pensar que las cosas pueden salirse de control y acabar derivando en represalias violentas por las que uno podría acabar frente a un juez.

¿Qué hacer en estos casos? Pues si se tienen conocimiento de una agresión recurrir a los tribunales, la fiscalía, las distintas fuerzas policiales o en caso de que sea en un centro escolar, a la dirección del mismo (cierto es que, por desgracia, muchos centros no están a la altura de la situación), aportando las pruebas recibidas. También la AEPD tiene un canal prioritario para solicitar la retirada de este tipos de materiales de las redes. Si alguien quiere usar alguno de estos vídeos como ejemplo de violencia, como material didáctico, yo diría que lo fundamental serían dos cosas: anonimizar a víctimas y agresores para que no puedan ser objeto de identificación y conseguir el consentimiento de la víctima para usarlo, aunque se hayan omitido sus datos, distorsionado su voz y/o emborronado su rostro.

Ciberseguridad ¿Qué es el shoulder surfing?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

Vamos a seguir hablando un poco de ciberseguridad y vamos con formas de ataque que no requieren de ningún conocimiento técnico, como cuando hace unos días vimos en qué consistía la técnica de la «manguera de goma«. Hoy hablaremos del «shoulder surfing«, empezando con un ejemplo real, algo anecdótico pero que será un buen inicio:

Principios de 2015, al salir del trabajo me estoy tomando una cerveza en la barra del bar donde trabaja una amiga mía y charlamos animadamente, pues no hay más clientes. Me pregunta algunas cosas sobre ciberseguridad porque sabe que soy programador y hace poco ha visto a Chema Alonso en la tele, en una entrevista, y piensa que hay mucho sensacionalismo con la seguridad informática, que se montan «muchas películas» sobre el tema, pero que realmente no es tan fácil realizar un ataque informático. Le pregunto si me invita a la cerveza si logro desbloquear su teléfono, acepta estando segura de que no podré. Me da el teléfono y lo desbloqueo al momento, birra gratis. ¿Cómo he logrado desbloquearlo? Pues haciendo uso de esta técnica del «Shoulder surfing«, que en castellano podríamos traducir como «mirar por encima del hombro«: bloqueaba su teléfono con un código numérico, solo tuve que fijarme en qué números había pulsado, me había quedado cierta duda con el último dígito, pero era fácil deducirlo porque era su año de nacimiento. Conste que ella reclamó diciendo que «eso no es un ataque informático, solo has visto la contraseña«, pero independientemente del método usado yo había logrado acceder a su dispositivo.

Imagen con ejemplo de espionaje
Photo by Noelle Otto on Pexels.com

Aunque pueda sonar como algo mundano, como algo que podríamos llamar cutre, obtener una contraseña por mera observación es bastante simple y más habitual de lo que creemos. Suele encuadrarse dentro de la llamada «ingeniería social«, pero yo hasta pienso que calificarlo de ingeniería en muchos casos es demasiado. Si bien es cierto que en casos de espionaje se ha recurrido a algunas medidas técnicas (cámaras ocultas o prismáticos), lo más habitual suele ser que simplemente el atacante se coloque cerca de su víctima y observe cómo teclea el código para acceder.

¿Cómo nos protegemos de este ataque?

Bueno, como comentamos en la entrada sobre ataques contra contraseñas, las opciones de activar la validación por múltiples factores o de usar un gestor de contraseñas son importantes. Para el desbloqueo de dispositivos móviles se puede contar con el desbloqueo por reconocimiento facial o por huella dactilar. En este caso, además, tendríamos que sumar como medida de seguridad el asegurarnos de que nadie está viendo nuestra pantalla ni nuestras manos al teclear e intentar no hacerlo en lugares públicos y llenos de gente (la barra de un bar, el transporte público, etc.)

Protección de datos: Derecho de acceso ¿en qué consiste?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, ReivindicacionesDeja un comentario

El derecho de acceso viene recogido tanto en la RGPD europea, en su artículo 15, como en la LOPDGDD española. Este derecho nos garantiza el poder obtener información del tratamiento que se realiza sobre nuestros datos personales. En el caso de que se esté realizando dicho tratamiento, podremos obtener la siguiente información:

  • La identidad del responsable del tratamiento.
  • Los fines del tratamiento y las categorías de datos personales que se traten.
  • Una copia de nuestros datos personales.
  • Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales.
  • La verificación de si se han enviado nuestros datos a países fuera del Espacio Económico Europeo y, en caso de que se haya hecho, las garantías que se han aplicado a ese tratamiento.
  • El plazo previsto de conservación de los datos.
  • En que caso de que los datos personales no se hayan obtenido directamente de nosotros, cualquier información disponible sobre su origen.
  • La existencia de decisiones automatizadas, como la elaboración de perfiles e información significativa sobre la lógica aplicada y las posibles consecuencias previstas de ese tratamiento para nosotros.

Además, el responsable del tratamiento deberá informarnos de la posibilidad de interponer una reclamación ante una autoridad de control (en españa al AEPD) y de poder ejercer nuestros derechos de oposición, rectificación, limitación del tratamiento o supresión de dichos datos.

Al igual que comentábamos con el derecho de supresión, el derecho de acceso no es ilimitado y existen una serie de supuestos en los que no podremos ejercerlo, que será cuando los datos sean tratados para los siguientes fines:

  • Seguridad y defensa del Estado.
  • Prevención, detección, investigación o enjuiciamiento de acciones penales.
  • En el ejercicio de las labores de supervisión y control por parte de autoridades públicas.
  • En procedimientos judiciales tanto penales como civiles.
  • En caso de que entren en conflicto con la protección de los derechos de otros.

El responsable del tratamiento deberá responde a nuestra solicitud en el plazo de un mes, tanto si existen datos como si no, aunque el plazo podrá alargarse dos meses dependiendo de la complejidad y la carga de trabajo. El ejercicio de este derecho será gratuito, aunque podrá exigirse un pago por él o rechazarse la solicitud en caso de que se haga un uso repetitivo o abusivo del mismo (imaginad que un grupo de gente para atacar a una empresa mandara una solicitud de acceso a sus datos cada hora). Ojo, porque si ejercemos este derecho más de dos veces en un plazo de seis meses se podrá considerar como repetitivo.

Como siempre, a través del a AEPD tenemos disponible un formulario en PDF para ejercer nuestro derecho.

Protección de datos: Derecho de supresión ¿En qué consiste?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, Reivindicaciones1 comentario

El derecho de supresion viene recogido en el artículo 17 del RGPD y básicamente nos garantiza que podremos solicitar al responsable del tratamiento de nuestros datos personales que los elimine y este tendrá que hacerlo, siempre que se cumplan ciertas circunstancias:

  • Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recopilados, o si el fin del tratamiento ha cambiado.
  • Si el tratamiento se basaba solo en tu consentimiento y lo has retirado.
  • Si previamente has ejercido tu derecho de oposición para solicitar que no se ejecute el tratamiento.
  • Si tus datos se consiguieron de forma ilegal o se trataron de forma ilícita.
  • Si la información se procesa a través de la oferta servicios de la sociedad de la información a un menor de edad.
  • Si deben eliminarse para cumplir con una obligación legal establecida por el derecho de la UE o de algún estado miembro.

Este derecho fue uno de los más comentados cuando se lanzó el reglamento pues se permite aplicarlo de manera específica a los buscadores de internet, una práctica que se conoció como «derecho al olvido«, que permite eliminar nuestros datos de los resultados de las búsquedas de, por ejemplo, Google o DuckDuckGo y que levantó cierta polémica en su momento, pues se considera que este derecho puede entrar en colisión con los derechos a la libertad de información y libertad de expresión.

También hay que puntualizar que este derecho no es ilimitado, la supresión de los datos no será posible cuando estos sean necesarios para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones, además de los derechos a la libertad de información y de expresión mencionados ya en el párrafo sobre buscadores.

Para ejercitar este decho la AEPD nos facilita desde su web un formulario que podemos cubrir para ejercer este derecho.

Protección de datos: Derecho a la portabilidad ¿Qué es?

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, ParanoiasDeja un comentario

Creo que ya comenté por ahí atrás que estaba estudiando algo de protección de datos y que habría alguna entrada sobre eso. Hoy vamos a hablar del derecho a la portabilidad.

¿En qué consiste? Bueno, como ya sabéis el RGPD recogía que tenemos derecho a acceder a los datos que hemos proporcionado a un proveedor de servicios de la información, que esto debemos poder hacerlo de una forma sencilla y que nos los deben proporcionar en un formato estructurado de uso común y lectura mecánica (por lo que he comprobado suelen enviarlos en formatos HTML, XML y alguna vez he visto algún JSON o CSV). Este derecho de acceso es complementado y ampliado por el derecho a la portabilidad, que implica que podamos solicitar al responsable del tratamiento de nuestros datos que estos sean transmitidos a otro proveedor de servicios. ¿Sabes cuándo entras en Spotify usando tu cuenta de Facebook o de Google? A nivel legal se estaría aplicando este derecho, aunque en ese ejemplo se haría de forma transparente para el usuario. De forma más directa podríamos pensar en cuando cambiamos de compañía telefónica y esta tiene que pasar no solo nuestro número sino varios de nuestros datos a nuestro nuevo proveedor.

La idea de este derecho era dar mayor capacidad a los usuarios «para trasladar, copiar o transmitir sus datos de un entorno informático a otro» (citando a la AEPD) buscando de esta forma reforzar la competencia entre servicios y facilitar los cambios de proveedores de servicios, permitiendo reutilizar los datos que ya hemos facilitado previamente a otro proveedor de servicios.

Este derecho puede ejercerse cuando el tratamiento de datos se realice por métodos automatizados, este esté basado en un contrato o en un consentimiento informado y cuando lo solicitemos con respecto a datos que nosotros, como usuarios, hayamos proporcionado a quien los esté tratando y que nos conciernan, incluídos datos derivados de su propia actividad de tratamiento. Por otra parte no hay que olvidar que este derecho no es aplicable a los datos que hayamos proporcionado sobre terceras personas o que hayan sido proporcionados al responsable del tratamiento de datos por terceras personas. El responsable del tratamiento de datos no podría en ningún caso poner trabas o impedimentos legales, técnicos o financieros siempre que la transmisión de los datos de proveedor a proveedor sea posible técnicamente y siempre que el derecho de la Unión Europea lo permita. Además, el responsable del tratamiento deberá garantizar la seguridad en la entrega de los datos. Debemos recordar que la solicitud de portabilidad de nuestros datos no implica su borrado.

Si tienes una empresa que realice tratamientos de datos la AEPD recomienda que desarrolles una interfaz de descarga para estas peticiones de tus usuarios... Y ojito con incumplir esta norma, porque las sanciones pueden llegar a los 20 millones de euros.