Exodus Privacy: Controla quién te rastrea desde las apps de tu móvil Android

Hay un dicho: en internet si algo es gratis tú no eres el cliente sino el producto. Aunque no es así el 100% de las veces sí que es habitual que las empresas que nos proveen un servicio “gratis” realmente se estén lucrando comerciando con nuestros datos, ya sea a un nivel individualizado o usándolos de forma anonimizada en la elaboración de estadísticas y estudios. ¿Podemos saber quién está rastreándonos desde un app que tengamos instalada en nuestro teléfono? Podemos. Hablemos de Exodus Privacy.

Exodus Privacy es una ONG francesa cuyo objetivo es hacer a los usuarios conscientes del rastreo al que pueden ser sometidos a través de las apps de sus teléfonos móviles. Para ello se sirven tanto de canales de comunicación en redes sociales a través de los cuales hacer didáctica como de una herramienta de análisis, una herramienta que nos informa sobre que rastreadores trae incorporada una aplicación.

Captura ejemplo del app de Exodus Privacy

Disponemos de dicha herramienta en dos formatos: app y web. A la versión web podemos acceder a través de este enlace, en ella veremos un cuadro de texto donde podemos buscar apps por el nombre, o incluso pegar la url de un app del Google Play Store si queremos algo muy concreto, para obtener un informe sobre qué permisos solicita y qué rastreadores incorpora. La otra opción pasa por instalar la propia app de Exodus en nuestro teléfono, ya sea a través de la propia Play Store o de F.Droid. En su web además disponemos de otras cosas como un blog corporativo, informes sobre los distintos rastreadores que han detectado o explicaciones de los conceptos sobre los que hablan.

Privacidad: cómo crear alertas de Google sobre nuestros datos de forma efectiva

Hace años que Google lanzó su servicio de alertas, un servicio pensado para que podamos solicitar que nos envíen a nuestro correo un aviso cada vez que se publique algo sobre un tema que nos interese. Esta herramienta se vuelve interesante no tanto para estar informados de nuestras aficiones como para poder saber si se ha publicado algo sobre nosotros, por ejemplo para que un grupo musical pueda saber qué se publica sobre su último disco, para que una empresa de fontanería pueda ver si alguien ha dicho algo sobre su servicio, etc… y también a nivel individual nos permite saber si hay nueva información accesible públicamente relativa a nuestra persona.

Si accedemos al enlace de http://google.es/alerts nos encontraremos un cuadro de búsqueda en el que meter el término sobre el que queremos crear la alerta y podremos un desplegar un cuadro de detalles para acotar más nuestra búsqueda. Podéis verlo en la captura que viene a continuación

Como podéis ver podréis elegir la frecuencia de la notificación (diaria, semanal o al momento), las fuentes en la que revisar (todas, solo blogs, solo noticias, solo webs oficiales), el idioma y la región (todo el mundo o solo un país en concreto), además de poder definir si queréis ver todos los resultados o solo los más destacados. La combinación de estos parámetros bien usados con unos términos de búsqueda adecuados será lo que nos permite usarlo de forma eficiente. Pero ¿qué términos de búsqueda serían los adecuados?

  • Nuestro nombre. Yo recomendaría buscar nombre y apellidos entre comillas (para que busque esa combinación exacta) y hacer dos alarmas, uno para el formato “Nombre Apellido1 Apellido2” y otra para el formato “Apellido1 Apellido2, Nombre” que se usa en muchas comunicaciones oficiales. Por jemplo “María Martínez Martínez” y “Martínez Martínez, María“.
  • El número de nuestro documento de identidad también entre comillas, en el caso de España sería el DNI o el NIE para residentes extranjeros (en otros países pues ya no sé, cada cual tiene su sistema). Creo que para evitar contaminaciones en esta alerta sería mejor acotar la búsqueda a la región de la que es oficial el documento (por ejemplo España si ponemos el DNI).
  • Nuestro número de teléfono, también entre comillas y también tres formatos: sin separación, separando con espacios en bloques de tres en tres dígitios y separando los tres primeros dígitos en un bloque de tres y el resto de dos en dos, por ser los formatos más habituales. Por ejemplo, usando un número que imagino que será ficticio: “900000000”, “900 000 000” y “900 00 00 00”. De nuevo en este caso recomendaría acotar por región.
  • Nuestro correo electrónico.

De esta forma recibiríamos un aviso cuando se publique cualquier cosa en la red en la que aparezca la coincidencia

¿Qué es el “smishing” y cómo protegerse?

Si os digo “Smishing” es posible que penséis que es un sonido onomatopéyico para llamar la atención de un gatete, pero aunque me encanten los felinos hoy de lo que hablamos es de ciberseguridad y cibercrimen. La palabra “smishing” nace al mezclar los términos “sms” y “phishing” y, como te puedes imaginar tras esta explicación, hace referencia a las estafas informáticas que se sirven de mensajes sms para engañar a sus víctimas.

¿Qué puede conseguir el delincuente a través de estos mensajes? Pues desde engañar a la víctima para que llame a un número de tarificación especial pasando por suscribir a su objetivo a servicios de sms premium y llegando a cosas tan graves como robarle las credenciales de acceso a alguna aplicación (como la del banco).

Consejos

  • Antes de abrir un enlace plantéate si tiene sentido que hayas recibido ese mensaje ¿es un notificación de un premio y no recuerdas haber participado en ningún sorteo? ¿Te informan de una oferta de trabajo de la que no sabías nada? ¿Te quieren cobrar una multa de tráfico y tú no tienes coche? ¿te llega una cita médica de un centro del que no eres paciente? Si suena sospechoso lo mejor es no abrir el enlace.
  • Un familiar que hoy por hoy siempre te escribe por Whatsapp o Facebook te manda un sms con un enlace digiéndote a una oferta en uan tienda online o similar… Sospecha y pregúntale siempre qué es lo que te envía antes de abrirlo, por si fuera un envío automatizado tras secuestrar su cuenta o teléfono (esto de hecho es aplicable a toda mensajería, no solo a los sms).
  • Tu banco a veces usará sms para confirmar operaciones, por ejemplo enviado un código para que teclees en la web, pero si el banco te manda un sms con un enlace para hacer algo y tú no estabas realizando ninguna operación en ese momento mejor desconfía, ignora ese enlace y abre el app oficial del banco o la web del mismo por tu propia cuenta, puede que te quieran dirigir a un portal falso para copiar tu usuario y contraseña y acceder a tu cuenta.
  • Si te informan de que te has suscrito a un serivicio premium y que tienes que contestar a ese sms para darte de baja, desconfía también. Contacta con tu compañía telefónica para ver si tienes algo contratado que no debería estar dado de alta o con la supuesta empresa que te envía el sms a través de su teléfono.

Firefox Monitor: herramienta para saber si tus datos han sido expuestos en Internet.

Mozilla sigue con su plan de esgrimirse adalid de la seguridad y la privacidad en internet y nos trae un nuevo producto: Firefox Monitor.

Esta herramienta nos pedirá que introduzcamos una dirección de correo y comprobará en diversas fuentes públicas si esta se ha visto expuesta en alguna filtración de datos de algún servicio a la que esté asociada.

Su funcionamiento es simple, basta con acceder a este enlace a la web de Firefox Monitor, introducir nuestro correo y pulsar en Buscar Filtraciones. Nos llevará a una ventana con los resultados de la búsqueda similar a esta:

Si algún servicio que uses aparece en esa lista ya sabes lo que toca, cambiar la contraseña.

Monitor además incluye un directorio actualizado con todas las filtraciones de las que tienen conocimiento y una sección con consejos de seguridad. Además ofrece un servicio de registro que nos enviará una alerta por correo electrónico si nuestro correo se ve expuesto en una filtración.

Lista Robinson: cómo solicitar que no nos envíen publicidad indeseada.

Es posible, diría que hasta probable, que habitualmente suene tu teléfono y al descolgar te encuentres al otro lado de la línea con algún telecomercial ofreciéndote contratos telefónicos, de energía o productos financieros. Son insistentes, incansables y fraudulentos en muchas ocasiones. Lo que mucha gente desconoce es la existencia de un mecanismo, autorizado por la UE, para denegar el derecho a estas comunicaciones publicitarias.

Se llaman listas Robinson, en referencia al personaje literario Robinson Crusoe, y son varios directorios creados con la finalidad de ayudar a los ciudadanos a librarse del acoso publicitario a través de llamadas telefónicas, SMS, correos electrónicos, por correo postal o fax.

Existen apartados para cada categoría donde se recogen y guardan los datos de aquellas personas que han expresado voluntariamente que quieren dejar de recibir publicidad. El funcionamiento es el de tipo lista negra: toda comunicación hacia los recogidos en la lista queda por defecto bloqueada.

La más difundida en España es la gestionada por la Asociación Española de Economía Digital. Puedes darte de alta a través de su web. Tras un plazo de tres meses toda comunicación comercial no solicitada podrá ser denunciada.

La lista tiene ciertas limitaciones: la propaganda electoral está excluida de estas listas por no considerarse comunicación comercial sino información política de cara a las elecciones.

Tampoco bloquea a las empresas de las que somos clientes y a las que hemos cedido voluntariamente nuestros datos de contacto: La lista Robinson solo es efectiva cuando para la realización de la campaña publicitaria se tratan datos de fuentes accesibles al público o de bases de datos de otras empresas. Para estos casos debemos comunicarnos con la empresa y solicitarlo, aunque desde la web de la lista Robinson podemos gestionarlo.

Solucionando el error 809 en Windows al intentar conectar una VPN con L2TP/IPSec.

Hoy configuraba en el trabajo un compañero una conexión VPN a través del firewall de un cliente nuevo y se encontraba siempre con el mismo código de error: el 809.

En principio todos los datos parecían correctos y en mi equipo (Xubuntu) y el de otro compañero (Mac) funcionaba, así que parecía que era algo relativo a la configuración de Windows. Tras un rato de búsqueda por Google me encontré con lo siguiente: Windows por defecto no puede establecer conexiones seguras con servidores que estén ubicados tras un dispositivo que haga NAT.

Entonces ¿cómo solucionamos esto?. Pues siguiendo estos pasos para cambiar esta configuración en el registro:

  • Abrimos el editor de registro regedit
  • Buscamos la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  • Añadimos un nuevo valor de DWORD de 32 bits que se llame AssumeUDPEncapsulationContextOnSendRule
  • Buscamos también la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
  • Si no existe la clave IPsecThroughNAT la creamos y le ponemos como valor 2, en caso de que exista modificamos su valor a 2.
  • Reiniciamos el equipo.

El valor 2 en estas claves implica que Windows permitirá realizar asociaciones de seguridad tanto si el cliente como el servidor se encuentran tras un dispositivo que haga NAT.

Configurar una contraseña maestra en Firefox para proteger las contraseñas guardadas

El navegador Firefox incluye de serie una interesante herramienta llamada Contraseña Maestra (o Master Password) . Si eres de esos que no quieren memorizar un montón de contraseñas de distintos servicios y las almacena en la memoria del navegador puede resultar muy útil.

Imagina que tienes guardada en la memoria del navegador tus usuarios y contraseñas de Facebook, Twitter, Amazon, Netflix… hasta de la web del banco o de Paypal. Si le dejas a alguien ese ordenador podrá acceder a todas estas cuentas. Para eso sirve esta configuración: proteges con una contraseña única todas esas cuentas, de forma que solo tienes que recordar una.

Para activarlo tienes que pulsar el botón de Menú en Firefox, irte a opciones y ahí, en el menú de la izquierda, ir a Privacidad & Seguridad.

Ahora cargará las configuraciones a la derecha del menú. Ahí buscas la cabecera Usuarios y Contraseñas y marcas Usar una contraseña maestra. Eso abrirá un gestor para añadir tu nueva contraseña.

Tras configurarlo tendrás que cerrar y volver a abrir Firefox para que la configuración haga efecto.

Desde esa misma pantalla podrás también modificar la contraseña cuando lo creas necesario.

Cómo ver que Apps tienen acceso a nuestra cuenta de Facebook

Ya hemos hablado de varios temas de privacidad en este blog, como cuando vimos cómo descargar nuestros datos de varias redes sociales o cuando dimos consejos para proteger nuestra privacidad tanto en facebook como en general. Muchas de las brechas de seguridad en Facebook provienen de apps de terceros con demasiados permisos. ¿Cómo podemos verlas?

Desde la web podemos hacer click en el menú desplegable a la derecha de la cabecera, ir a Configuración y allí, en el menú de la izquierda, buscar Apps y Sitios web. Si te pierdes un poco con la explicación basta con que hagas click en este enlace en un navegador donde tengas tu sesión iniciada.

Desde el app para Androidla cosa es más o menos igual: despliegas el menú, vas a Configuración y allía a Apps y Sitios Web. Una vez dentro de esa pantalla tienes que pulsar en Sesión Iniciada con Facebook. Una vez allí ya verás todas las apps conectadas, en una pantalla como la siguiente.

Apps y Sitios Web

Tanto desde el ordenador como desde la app podrás seleccionar qué apps quieres eliminar para revocarles de esta forma el acceso a tus datos. De esta forma mejorarás un poco más tu privacidad.

¿Qué hacer si alguien distribuye imágenes íntimas nuestras en internet?

No es una entrada técnica, pero por lo que he visto hoy puede ser muy práctica.

Si algún desaprensivo tiene fotos o vídeos vuestros en una situación sexual y los hace públicos, a través de una red social, un sistema de mensajería, un foro o alguna web de vídeos es importante mantener la calma en el primer momento. Ok, tendrás ganas de matar a alguien y el impulso de insultar o amenazar, pero no es lo más práctico. Distribuir esas imágenes es un delito en España y en la mayoría de países de la Unión Europea.

  • Lo primero es recopilar pruebas: recoger los enlaces, descargar todo lo descargable y hacer capturas de pantalla, aunque teniendo en cuenta que no son una prueba definitiva. Es importante preservar estas pruebas ante notario o en el juzgado. Voy a matizar un par de cosas aquí: lo de descargar lo digo para cuando sean fotos nuestras, si son de terceras personas no lo hagas. Es decir, si te encuentras con que algún criminal ha compartido fotos, por ejemplo, de sexo con menores no se te ocurra descargarlas, aunque lo hagas con intención de denunciarlo, porque no eres un investigador y podrías meterte en un problema. En ese caso simplemente copia el enlace y envíalo a las fuerzas de seguridad pertinentes. Otra cosa, si es un caso de mucha gravedad (por ejemplo que implique a menores, o que derive en acoso) lo mejor es que contactes con el colegio de peritos forenses informáticos de tu comunidad.
  • Lo siguiente es hacer una denuncia ante las fuerzas de seguridad pertinentes o en el juzgado de guardia.
  • Con la denuncia presentada y las pruebas recopiladas y registradas es el momento de contactar con el servicio donde se ha publicado para exigir que corten la difusión del mismo. Si hay una denuncia de por medio seguramente se muestren colaborativos rápidamente, sobre todo si es un servicio que tenga una oficina en España, donde están obligados ante una orden judicial.

¿Por qué en este orden? Porque si en un primer momento amenazas, o insultas, le das la opción al delincuente de borrar su rastro. Es posible que esto detenga la difusión, cierto, pero también entorpece la investigación y puede que se vaya de rositas para volver a repetir su delito.

Entiendo que cuesta mantener la sangre fría en un momento de tal gravedad, pero es importante proceder bien para conseguir que el responsable acabe recibiendo una condena en el juzgado.

Cifrar una máquina virtual de Virtual Box

Virtual Box nos permite dar un extra de seguridad a nuestras máquinas virtuales cifrando sus discos duros, recurriendo al algoritmo de cifrado simétrico AES, dándonos a elegir entre claves de 128 bits y de 256 bits.

Para ello seleccionamos en la pantalla principal de Virtual Box la máquina que queremos cifrar y pulsamos el botón de Configuración.

Virtual box

Allí nos vamos a la pestaña Disk Encryption, marcamos el check de Enable Disk Encryption, elegimos en el desplegable el tipo de cifrado y finalmente definimos una contraseña.

Cifrar Unidad

Tras aceptar comenzará el cifrado de los discos de la máquina elegida. Una vez terminado cuando la iniciemos nos pedirá la contraseña para continuar. Si queremos deshacer el cifrado basta con desmarcar el check de Enable Disk Encryption y poner la contraseña cuando nos la pida.