“Te invitamos a venir a ver el 2020 y a descubrir la familia DECSYSTEM-20 en las dos presentaciones de producto que daremos en California”. Aunque no sean recordadas ni fueran bien recibidas por todos sus destinatarios, estas palabras forman parte de los orígenes de internet. Tal día como hoy, en 1978, un agresivo experto en marketing de ordenadores enviaba un correo electrónico con esa frase que sus centenares de receptores no habían pedido recibir.

Según reconoce señala el propio Computer History Museum, ese fue el primer mensaje de spamspam. “No podía llegar a los desarrolladores de ARPANET [la red de ordenadores precursora de internet] por teléfono y el correo postal era lento. Así que decidimos usar el email”, justifica a HojadeRouter.com Gary Thuerk, el poco conocido pionero que envió ese mensaje y el padre de de una nueva forma de publicidad no deseada que hoy inunda, desgraciadamente, tu bandeja de entrada.

Vendiendo ordenadores en ARPANET

Gary Thuerk trabajaba como gerente de marketing  en Digital Equipment Corporation (DEC), una compañía que empezó a poner de moda los miniordenadores en los años 60: lanzó su popular PDP-8 en 1965, años antes de la aparición de Apple o Microsoft. No obstante, ambos gigantes tecnológicos existían ya en aquel 1978 en el que DEC iba a lanzar sus nuevos DECSystem 2020, 2020 T, 2060 y 2060T, ordenadores de grandes dimensiones que no estaban enfocados al hogar. 

“El nuevo DECSYSTEM 2020 de 150.000 dólares [medio millón de euros teniendo en cuenta la subida de los precios] es algo más que el mainframe más barato del mundo. Es también el más fácil de usar”, afirmaba un anuncio menos intrusivo que el mensaje de Thuerk publicado ese año en la revista Computerworld. Según el propio Thuerk, su jefe comentó que desde ARPA, la Agencia de Investigación de Proyectos Avanzados de Defensa estadounidense que había financiado la red de ordenadores ARPANET, llevaban tiempo sin comprarle ordenadores.

Y él comenzó a pensar en cómo convencerlos. Ray Tomlinson había ideado el primerRay Tomlinson sistema de correo electrónico para comunicar a usuarios de diferentes ordenadores unos años antes (en 1971), así que a este gerente de marketing se le ocurrió innovar utilizando el nuevo canal.

Sin pensar en las consecuencias, buscó en un directorio impreso las direcciones de los usuarios. “Subrayé unos 400 nombres en el Directorio de ARPANET de unos 2.600 usuarios Directorio de ARPANET . Mi jefe de producto, Carl Gartley, las escribió [una por una] en el sistema de correo. Y yo escribí la invitación”, detalla Thuerk.

Con fecha del 1 de mayo, aunque lo enviaron finalmente el día 3, mandaron aquel primer spam a 397 usuarios de ARPANETspam. En realidad, el sistema solo le permitía enviarlo a 320 destinatarios, así que el resto de mensajes se perdieron y los tuvieron que volver a enviar después. “El problema real fue que no hicimos una lista de distribución,  así que las direcciones aparecían en la cabecera y en el cuerpo del mensaje”, reconoce. Las reacciones al correo, recogidas hace unos años por Brad Templeton, presidente emérito de la Electronic Frontier Foundation, no se hicieron esperar.

Enfadando a algún padre de internet

“Es una violación flagrante del uso de ARPANET, ya que la red se utilizará solo para las empresas oficiales del Gobierno de Estados Unidos”, afirmó el comandante Raymond Czahor, de la Defense Communications Agency (DCA) a cargo de Arpanet  en aquel momento, después de que el mensaje llegara a sus oídos.  

“Hay muchas compañías en Estados Unidos a las que les gustaría tener acceso a ARPANET. Naturalmente no todas ellas pueden tenerlo”, argumentabaElizabeth Feinler, una pionera de internet que recibió aquel correo. “Por consiguiente, si unos tienen acceso y pueden publicitar sus productos a un mercado seleccionado y otros no pueden, están en una injusta desventaja”, destacaba la por entonces investigadora principal del Network Information Center de SRI, encargado de la administración de ARPANET.

En SRI también trabajaba el investigador Don Nielson, que el año anterior había participado en una prueba pionera para demostrar la utilidad del protocolo TCP en la creación de la Red de redes. Thuerk también le envió el mensaje a su cuenta Nielson@SRI-KL, según él mismo nos confirma. “Recuerdo vagamente el anuncio de DEC”, puntualiza. Sin embargo, Nielson nos cuenta que Bob Kahn, uno de los padres del protocolo del protocolo TCP/IP, “se mostró muy duro con esto”.

“En aquellos días, ARPANET empezaba a transformarse de una modesta red de investigación a un vehículo de comunicaciones considerable”, señala el que fuera líder de la Packet Radio Network, una red digital móvil antecesora de las redes inalámbricas de nuestros smartphones, para explicar por qué aquel mensaje publicitario pudo molestar a algunos de los remitentes.

Richard Stallman, que por entonces trabajaba en el Laboratorio de Inteligencia Artificial del Instituto Tecnológico de Massachusetts (MIT), no recibió ese mensaje, pero tampoco se mostró contrariado por la difusión del primer spam. “¿La DCA desaprobaría un servicio de citas en la red? Espero que no. Pero incluso si lo hiciera, no permitas que eso te impida notificarme por correo si montas uno”, argumentaba el padre del software libre en otro correo. 

A Gary Thuerk le llegaron pocas respuestas de la comunidad de ARPANET a aquel primer mensaje de spam, pero asegura que unos 20 destinatarios de aquel correo acudieron a las demostraciones de los ordenadores de DEC. Sin embargo, supo enseguida que el mensaje no había sentado nada bien al Departamento de Defensa. A los pocos días, un teniente coronel de la Defense Communication Agency llamó a su jefe para regañarle duramente y le hizo prometer que no volverían a hacer algo así. 

“Sabíamos que estábamos rozando el límite, pero técnicamente no vendíamos nada”, se defiende Thuerk. “Estábamos invitando a una demostración del único ordenador comercial que soportaba ARPANET-Internet. Y compraron muchos”, asegura.

De una lata de carne a molestar a los internautas

De un modo u otro, Thuerk no volvió a enviar un mensaje no solicitado indiscriminadamente, aunque, por desgracia, ese no fuera el último mensaje de spam de la historia. Es más, por aquel entonces, ni siquiera él lo apodó como spam, si bien ese término era bastante más antiguo.

SPAM era una marca de carne de cerdo en lata (cuyo origen era spiced ham, jamón con especias) creada por la empresa Hormel Foods en 1937 y que se hizo muy popular durante la II Guerra Mundial. En los años 70, los Monty Python la nombraban repetidamente en un sketch la nombraban repetidamentesketch que se hizo famoso: una camarera chilla el menú, y en todos los platos se repite ese alimento. “¡No me gusta el SPAM!” acaba gritando desesperada la molesta clienta. 

Según la investigación de Brad Templeton, el término comenzó a utilizarse en la década siguiente en los MUD (sistemas que permitían a muchos usuarios conectarse simultáneamente y charlar) para referirse a algunos comportamientos molestos de los usuarios. En los 90, llegó a los foros de Usenet. Por ejemplo, en 1994, un mensaje de spam titulado “Alerta Global para todos: Jesús llegará pronto” llegó a todos los grupos de Usenet. Los usuarios veían el mensaje, enviado por el administrador de la Universidad Andrews, en cada grupo de noticias que leían, y la molesta misiva provocó una oleada de quejas.

A lo largo de esos años, Gary Thuerk continuó su carrera en el mundo del marketing sin que ser el padre del spam le afectara demasiado. Ahora se enorgullece de que hasta el Libro Guinness de los Récords haya reconocido que él envió el “mensaje más antiguo de spam electrónico”haya reconocidospam (nos cuenta que guarda el certificado en su estantería) e incluso es el coautor de un breve libro (The First Spam: the email, not the meat) sobre aquel primer correo basura.

Aunque el padre del spam (o del email marketing, el nombre por el que se decanta) dejara de mandarlos tras cabrear a los usuarios de la red antecesora de internet, asegura que tampoco le molesta demasiado la denostada práctica de llenar nuestro buzón con mensajes publicitarios (o fraudulentos en algunos casos). “No me llega demasiado e-spam. Lo que sí me disgusta son todas las llamadas automáticas e-spam de publicidad en mi teléfono móvil”, puntualiza Thuerk.

Los propios dispositivos han menguado mucho desde que él se dedicara a vender enormes ordenadores en DEC. De hecho, él mismo reconoce que “internet ha cambiado más allá de lo que jamás hubiera imaginado” y le sorprende especialmente que se use para el entretenimiento. “Nosotros los viejos humanoides de la industria tendemos a pensar en usar los ordenadores para el trabajo”, señala este pionero, que continuó su carrera profesional en el mundo del marketing.

Solo intentaba hacer su trabajo cuando mandó aquel primer mensaje publicitario que cabreó a algunos de los usuarios de ARPANET hace hoy 40 años.  Lo que no podía imaginar en ese momento es que ese tipo de misivas virtuales se convertiría en uno de los mayores fastidios para los internautas.

------------------------------------------

Las imágenes son propiedad de Gary Thuerk, Luca Conti  (4) y Wikimedia Commons (2)

Ya sea al cambiar de operadora o al contratar una nueva línea, se repiten las mismas escenas: el técnico instala la fibra óptica y acto seguido conecta un router o, simplemente, recibimos el aparato en casa y somos nosotros mismos los que lo enchufamos a la línea telefónica. En ese mismo instante, acaba de entrar en nuestro hogar un verdadero caballo de Troya.

“Los routers que dan las operadoras son peligrosos”routers, explica a HojadeRouter.com Francisco Molina, uno de los padres de WifiProtection. La app, creada por dos jóvenes recién salidos del Grado en Ingeniería Informática de la Universidad de Almería, escanea las redes wifi en busca de esas vulnerabilidades propias de los routers de las operadoras para, a continuación, guiar al usuario hacia la solución del problema.

“Seguro que si le preguntamos a la gente de nuestro entorno, nos dirán que solo un experto informático podría hackear su wifi, pero la realidad es muy distinta”, advierte Javier Ruiz, el otro cofundador de la app. “Hay incluso herramientas automatizadas que pueden hackear una red en minutoshackear o incluso segundos, y tienen millones de descargas”, se lamenta.

Fue precisamente así como surgió la idea de crear una app con la que cualquiera pueda averiguar si su red wifi corre peligro. “Hay muchísimas apps para hackear redes que son tan fáciles de usar como encontrar una red y seleccionar una opción similar a ‘Conectar’”, detalla Ruiz. Sin embargo, los jóvenes emprendedores detectaron que no había aplicaciones enfocadas a solucionar estos fallos que, por defecto, tiene la gran mayoría de los aparatos que nos conectan a internet.

A día de hoy, el sistema desarrollado por Molina y Ruiz se centra en los dos principales talones de Aquiles de toda red wifi: la peligrosa contraseña por defecto (ampliamente utilizada) y el abanico de vulnerabilidades del protocolo WPS o las descubiertas hace tan solo unos meses en el ya no tan seguro protocolo WPA2. Además, ya han implementado la detección de intrusos, que aparecerá dentro de poco en la app. El objetivo final es que cualquiera, sin necesidad de tener conocimientos informáticos, sea capaz de evitar un ciberataque y de cerrar la puerta en las narices a “ese vecino gorrón que no paga internet”.

“Iremos incluyendo vulnerabilidades más complejas, pero hemos empezado por las más peligrosas”, explica Ruiz. “En el 99 % de los casos, para explotar las vulnerabilidades más complejas primero tienes que estar dentro de la red wifi, con lo cual el paso más importante es impedir que un ciberdelincuente tenga acceso a nuestra red aprovechando los fallos que trae por defecto el router”, comenta.

Un asistente a tu servicio

La app, de momento solo disponible para dispositivos con Androiddispositivos con Android, trabaja a partir de una base de datos en la que Ruiz y Molina van incluyendo las últimas vulnerabilidades encontradas en los routers que facilitan las operadoras. 

Así, desde el móvil es posible escanear la red a la que está conectado y averiguar si está en peligro. “Está orientada a un usuario inexperto, que no tiene conocimiento alguno de seguridad informática”, puntualiza Ruiz.

De hecho, más allá de detectar la vulnerabilidad en cuestión, la principal baza de Wifi Protection es que cuenta con un asistente que guía al usuario paso a paso para que cambie lo necesario en la configuración de su router para evitar que su conexión a internet esté en peligro. “El asistente te ayuda desde cero, incluso a abrir la página de configuración del router, a la que puedes acceder desde el móvil solo haciendo un clic”, cuenta Molina.

Además, el asistente incluye un generador de contraseñas. Algo que a priori no preocupa al grueso de los usuarios es, en realidad, uno de los mayores peligros que destacan los padres de la app. “Las que vienen por defecto con el router se generan con un algoritmo que, una vez es conocido, se convierte en un peligro: es posible generar la clave que te ha dado la operadora”, razona Ruiz.

Eligiendo qué requisitos queremos para la credencial de nuestra red (incluir números, mayúsculas y caracteres especiales, por ejemplo), la app devuelve contraseñas aleatorias tan robustas que, según los padres de la idea, un ciberdelincuente tardaría más de un siglo en conseguir romperlas.

“Solemos evitar decir que es una app para proteger el router porque hay algunos usuarios inexpertos que ni siquiera le dan importancia al aparato. Nosotros hablamos de proteger el wifi, que al final es a lo que más importancia le da la gente”, sentencia Ruiz. 

-------------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de Nicolas Nova, Nick Youngson y Pxhere

Baratos, ligeros, arrancan en unos segundos, se actualizan en otros tantos... Así son los chromebooks, ordenadores portátiles con el sistema operativo de Google Chrome OS. Por sus atractivos precios y sencillo manejo se han convertido en uno de los ordenadores más exitosos del sector educativo en los Estados Unidos (lo que ha obligado a Apple a mover ficha) y también para aquellos, empresas o particulares, a los que no les importa o prefieren trabajar en la nube: apenas tienen memoria interna y todo lo que se crea se almacena en una cuenta de Google Drive.

Pero los chromebooks resultan interesantes por algo más. Los hackers y expertos en seguridad alaban su solidez a la hora de mantenernos a salvohackers mientras navegamos. No en vano, la propia Google invierte gran parte de sus esfuerzos en que sus portátiles conserven esta imagen. En 2016, ofrecieron 100.000 dólares (más de 81.000 euros al cambio actual) a quien fuera capaz de encontrar una vulnerabilidad persistente en el modo invitado de Chrome OS.

Ramón Vicens, CTO de la compañía de análisis de ciberamenazas Blueliv, explica a HojadeRouter.com que la colaboración de la compañía con programadores e investigadores en seguridad “sigue siendo clave para mejorar la seguridad de los productos y en la lucha contra los delitos de ciberamenazas, tanto a nivel empresarial como para el público en general”.

El estadounidense Jake Williams, fundador de la compañía de soluciones empresariales de ciberseguridad Rendition Infosec, ha contado que no solo él usa estos ordenadores, sino su hija en la escuela, algo que le agrada: “Siento que ella está más segura con un chromebook que con un portátil Windows”chromebook. Kenneth White, director del proyecto Open Crypto Audit, también defiende Chrome OS: “Se ha desarrollado durante años con la ciberseguridad como principio central”.

En España, David Sancho, analista sénior de amenazas en Trend Micro Iberia, explica a HojadeRouter.com que su entorno “personal y familiar más cercano” utiliza los chromebooks por el factor seguridad. Él destaca que estén tan limitados para la instalación de programas externos (recordemos, apenas tienen memoria interna), lo que dificulta que se infecten.

Sancho también explica que el depender de la nube, que puede parecer “un factor limitante”, es una bendición a la hora de viajar y evitar ser espiados o infectados: el cifrado de los datos en Drive es muy robusto, por ese interés de Google en la seguridad. También es útil “si lo que tratamos es de evitar perder el trabajo y el hardware en caso de robohardware, extravío o de que el equipo fuera requisado al tratar de pasar alguna frontera”. White, de Open Crypto Audit, lo ejemplifica del siguiente modo: “Si me he dejado 2000 dólares en un bonito Macbook Pro y se pierde, me lo confiscan o me lo roban, me volvería loco”. En cambio, “si fuera mi chromebook de Samsung de 150 o 160 dólares, entonces, en fin, no sería nada del otro mundo”.

Vicens también ve positivo que se centre en la nube por el atractivo del cifrado y el aislamiento de procesos, lo que se conoce como sandboxing: cada pestaña del navegador Chrome funciona de manera autónoma, de forma que si entramos en una página web con contenido malicioso este no afecta, en principio, al resto del equipo. “Proporcionan capas adicionales de seguridad que pueden faltar en otros sistemas operativos”, resume. Si accediéramos a alguna web maliciosa y Chrome no rechazara el ataque, con reiniciar el equipo y no restaurar la ventana del navegador debería ser suficiente.

Por otra parte, el CTO de Blueliv destaca que las actualizaciones continuas son buenas para ese trabajo en la nube: “Significan que Google puede enviar actualizaciones y parches, y generalmente estos funcionan en segundo plano, por lo que su máquina (en teoría) está constantemente protegida contra el malware”. A veces es necesario que estas actualizaciones las haga manualmente el usuario, pero se realizan en pocos segundos, para satisfacción de quien no tiene que aguardar a que la barra llegue al 100 %.

Aplicaciones, extensiones y phishing

phishingEse “en teoría” que apuntaba Vicens es importante. Aunque Chrome OS tenga la ciberseguridad por bandera, hay formas de que un chromebook se infecte o corra peligrochromebook. “Todavía es importante recordar que ningún usuario está 100 % seguro en línea”, advierte, y aunque Google trabaja para que el sistema operativo sea impenetrable, los ciberdelincuentes pueden atacar por otras vías, como el wifi o una memoria USB.

También entrañan riesgos las aplicaciones de la Play Store (se pueden instalar en algunos modelos) o las extensiones de la Chrome Store. En 2016, una falsa calculadora, que pedía permisos para leer y modificar los datos de las webs que visitábamos, fue descargada más de 1.000 veces antes de ser eliminada. Incluso, se han notificado ataques existosos al sandbox. Ante la duda de haber sufrido un ataque, siempre está la opción de volver al modo de fábrica, algo que Google ha hecho muy sencillo para el usuario.

Vicens también recuerda que una campaña de phishingphishing puede tener éxito para robar las contraseñas y otras credenciales de los usuarios, independientemente del ordenador y el sistema operativo que utilice.

A pesar de todas las ventajas que les ven los hackers y expertos en ciberseguridad, los chromebooks conllevan todavía algunas limitaciones para su trabajo, relacionadas con la imposibilidad de instalar ciertos programas. “Hay tareas diarias que los investigadores de seguridad no podemos realizar, porque no es posible instalar el software que necesitamos para ejecutarlas”, explica Sancho.

Que el sistema operativo de Google se vuelva cada vez más popular hará que los desarrolladores se pongan las pilas y vayan cubriendo algunos de esos huecos. Sin embargo, también hará que los ciberdelincuentes destinen a atacar estos ordenadores parte del tiempo que en la actualidad, probablemente, destinan a plataformas más populares como Windows o Mac. Si se vuelven más atractivos, lo hacen para todos.

Will Drewry y Kan Liu, dos de los miembros del equipo original de desarrollo de Chrome OS, han dicho que los tres principios de diseño de los chromebooks eran simplicidad, seguridad y rapidez. Ahora, casi siete años después del lanzamiento comercial del primer portátil con sistema operativo de Google, los hackers y expertos en ciberseguridad reconocen esas virtudes y los recomiendan.

--------------

Las imágenes son propiedad, por orden de aparición, de Adam Dachis, Rachel Wente Chaney, Luis Roca y Pixabay

El miedo a sufrir un ciberataque hace que nos andemos cada vez más con pies de plomo cuando navegamos por la Red. Sin embargo, a la vez que nosotros extremamos precauciones, los ciberdelincuentes también perfeccionan sus técnicas para conseguir engañarnos.

La última institución española que ha advertido de un posible caso de phishing phishing(o suplantación de identidad) ha sido la Agencia Tributaria. Según denuncia en su web, con motivo de la nueva campaña de la declaración de la renta que arranca el próximo 4 de abril, un año más se han detectado varios correos electrónicos y SMS fraudulentos que simulan la identidad e imagen del organismo público.

En ellos se hace referencia a falsos reembolsos de impuestos para los que el usuario, si quiere recibirlos, tendrá que acceder a una web maliciosa y rellenar un formulario con sus datos de cuentas bancarias y tarjetas de crédito. Además, se invita a descargar una supuesta nueva aplicación que, bajo el nombre de TAPE, no es más que un dañino malware. “Según los casos detectados, se encarga de cifrar archivos del equipo y exigir un pago para liberarlos o bien instala un troyano capaz de robar credenciales personales e información sensible”, advierten desde la entidad.

Para no dejarse engañar, la AEAT aconseja desconfiar de cualquier petición de información que no provenga directamente del dominio de su página web o de su sede electrónica. Sin embargo, detectar los fraudes puede resultar complicado en muchos casos dada la destreza de los ciberdelincuentes.

Qué es el phishing: definición y significado

phishingComo ya hemos comentado, el phishing consiste, a grandes rasgos, en suplantar la identidad de una empresa o entidad, por lo que lo primordial para estos atacantes es elegir una marca en la que los usuarios confíen y copiarla lo mejor posible. Grandes empresas, bancos o instituciones públicas son los más suplantados.

El 91% de estos ataques comienzan con un simple correo electrónicocomienzan con un simple correo electrónico. Tu banco solicita tus datos para mantener activa la cuenta o una marca de referencia te pide rellenar una sencilla encuesta: reclamos simples en los que cualquiera pudiera caer. El email puede contener textos originales, imágenes oficiales y enlaces que, en un principio, nos pueden parecer confiables.

Lo mismo ocurre con las webs a las que nos dirigen: el formato y los contenidos son idénticos. Para ello, los atacantes practican la ciberocupación, que consiste en hacerse con dominios de marcas que pertenecen a terceros. En los casos más llamativos, sin embargo, al tratarse de empresas o entidades reconocidas, lo que se buscan son dominios con ligeras variaciones que no levanten sospechas entre los usuarios: desde añadir al nombre de registro el objeto de la actividad (banco, tienda, shop…) hasta referencias geográfica que incluso vayan separadas por guión (-madrid, -es…)

Para copiar la información, estos ciberdelincuentes utilizan fórmulas automatizadas para que nada se les escape. Algunas de las herramientas más usadas son las conocidas como scrapers, muy usados para rastrear e integrar contenidos de páginas de terceros en sus webs copiadas. Además, en estas suplantaciones, es común ver formularios de registro que dicen recompensar de algún modo al usuario o enlaces a noticias o promociones llamativas. Los más avanzados incluso permiten que los internautas se registren y vean un falso perfil para no levantar sospechas. Incluso los hay que facilitan números de teléfono de contacto o invitan a la víctima a que se conecte por Skype para redondear el timo.

Todos estos mecanismos pueden darse a la vez o por separado. Así, puedes encontrar desde sitios totalmente clonados hasta aquellos que solo copian los contenidos y el logotipo o utilizan un nombre diferente.

Ejemplos de phishing

phishingDe la misma manera que las webs maliciosas pueden adoptar formas diversas y combinables para engañar, las tácticas en torno a la suplantación también son variadas. Entra las primeros que surgieron están las estafas de pago adelantado, que consisten en pagar una pequeña cantidad de dinero a cambio de un beneficio que nunca llega. Un clásico que llegó a los correos de spam procedente de las cartas: en el siglo XIX, varios timadores utilizaban la estafa del prisionero español para sacar dinero a extranjeros movidos por la compasión.

Hoy en día, el principal reclamo es ofrecer un buen retorno de la inversión, aunque también se aprovechan de la buena fe de los usuarios. Por ejemplo, invitándoles a abrir una cuenta en un banco (falso) previo ingreso de un depósito o alertándoles de que no han pagado alguna (supuesta) factura.

Otro método son los formularios de registro para vendedores online. Una de estas webs maliciosas puede ofrecerles sus servicios para, por ejemplo, abrir mercado en un nuevo país y llevarles a rellenar un formulario y efectuar un pago atraídos por la oportunidad. Estos mismos formularios pueden servir a los ciberdelincuentes para almacenar datos sobre identidades y luego suplantarlas para seguir haciendo de las suyas.

Otro de los sectores con un alto índice de estafas son las ofertas de trabajo. Así, los usuarios pueden encontrarse con oportunidades laborales de grandes empresas que incluso contactan con ellos a través de un dominio ciberocupado.

Cómo protegerse del phishing

phishingLa mejor forma de evitar ser estafado es no responder jamás a una solicitud de información personal a través del correo electrónico, llamada de teléfono o SMS. Las empresas e instituciones nunca deberían solicitar (y no suelen hacerlo) contraseñas, números de tarjeta de crédito o cualquier información personal por estos medios. Si recibes una petición así, lo más probable es que se trate de un suplantador.

También se recomienda evitar el acceso a cualquier web a través de un enlace, en especial si lo hemos recibido por alguna de las vías antedichas. Mucho mejor introducir la URL directamente en la barra de direcciones del navegador o, al menos, buscar la web en Google y entrar desde su página de resultados.

En la mayoría de los casos, tu mejor aliado es el sentido común. No hay que navegar con miedo, ya que los bancos, plataformas de comercio electrónico y demás páginas que tienen acceso a nuestro dinero tienen certificados de seguridad que garantizan el uso de cifrado. Para evitar disgustos, intenta navegar únicamente por webs seguras cuya dirección empiece por “https://”.

Si ya es demasiado tarde, lo mejor que puedes hacer cuando has sido estafado es recopilar toda la información posible (capturas de pantalla, enlaces, direcciones de correo, mensajes…) y presentar una denuncia. En la web de la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad podrás encontrar información al detalle y actualizada sobre cómo y dónde hacerlo.

------------

Las imágenes son propiedad, según orden de aparición, de Pixabay, Christiaan Colen/Flickr y Pexels.

Un día, Patrick Reames, un escritor estadounidense de libros técnicos, recibió un correo electrónico muy sorprendente. Amazon le mandaba un recibo fiscal para su declaración de la renta, porque había ganado casi 24.000 dólares (más de 19.500 euros) en CreateSpace, el servicio de autopublicación de la tienda online. A Reames le extrañó esto, primero porque él jamás había usado CreateSpace y, segundo, porque sus textos nunca habían alcanzado una cifra similar en la librería virtual, en una cuenta que gestionaba su editorial. Por ello, se puso a investigar. Y lo que encontró no le hizo ninguna gracia.

De acuerdo a la investigación de Reames, alguien había robado su número de la seguridad social y se había puesto a lavar dinero a su costa. El primer paso fue comprobar cómo había podido conseguir tanto dinero en Amazon. Tecleó su nombre y se encontró con una novela, Lower Days Ahead (ya desaparecida de la web), cuyo supuesto autor era él y que se vendía por 555 dólares (más de 451 euros) en varias plataformas nacionales de Amazon.

El contenido nada tenía que ver con sus textos sobre los mercados de materias primas. De hecho, y por lo que parece (ya no está disponible), era texto generado por ordenador en el que las palabras no tenían relación entre sí, según lo que el propio Reames vio en el fragmento gratuito que se puede descargar de cada ejemplar. Ni siquiera había unos capítulos o apartados. Nadie pagaría esa cantidad por ello.

Reames cree que el fraude ha funcionado del siguiente modo: alguien ha estado comprando el libro con una tarjeta robada y haciéndose con el 60 % de los beneficios que Amazon paga a los autores por ejemplar, que se enviarían a una cuenta nueva creada con su número de la seguridad social, también sustraído. Estima así que, si supuestamente había ganado casi 24.000 dólares debía haber comprado unos 70 libros en tres meses. “Doy por sentado que [este libro] fue usado para lavado de dinero, además de fraude o evasión de impuestos usando mi número de la seguridad social”, ha explicado.

El autor cuenta a HojaDeRouter.com que no fue consciente de lo que estaba pasando hasta que recibió el recibo con las ganancias, y asegura que Amazon no le ha ayudado en ningún momento. Cuando contactó con ellos le enviaron una respuesta para decirle que ese dinero “no debería habérseme atribuido”, explica. “Por un lado dicen: 'Sí, parece un fraude', pero por el otro dicen que no pueden hacer nada para ayudarte”.

Más fraude

Tras comprobar lo que había pasado, el escritor decidió indagar más para saber si el suyo era el único caso de posible lavado de dinero a través de Amazon. Investigó entre aquellos títulos subidos a través de Createspace y, según su valoración, podría haber cientos o miles de libros fraudulentos, con páginas llenas de texto generado por ordenador o sin sentido. De nuevo, son obras por las que se pide una gran cantidad de dinero, entre 220 y 320 dólares (178 y 259 euros).

En concreto, Reames se fijó en un tal Vyacheslav Grzhibovskiy, cuya página de autor sigue existiendo en Amazon, pero no así sus libros, cuyas URL no están activas, como Quadrillion per Register, Trillion per Chips o Quadrillion per budget. Su contenido, sin embargo, todavía se puede ver en la caché. “No es difícil imaginar cómo estos libros podrían usarse para lavar dinero usando tarjetas de crédito robadas, facilitando transacciones de materiales ilícitos o financiando actividades ilegales”, dijo Reames.

Marc Nieto, asesor de fraude y medios de pago en la Asociación Española de Economía Digital y CEO de MP Services, que trabaja con comercios electrónicos para evitar el fraude onlineonline, opina que se trata de un caso de esto último. Para él, no es lavado por dos razones: porque utilizan un nombre falso para cobrar, “cuando si fuera lavado de dinero utilizarían el suyo propio”, y porque usan tarjetas de crédito en vez de tarjetas prepago, que serían “perfectas para limpiar, porque tú vas con cash y lo metes todo en la tarjeta”.

En su opinión, Amazon es tan víctima como los dueños de las tarjetas o los números de la seguridad social pues, si los titulares de la cuenta descubren la estafa, el banco pedirá a la compañía todo lo sustraído, la comisión que se queda y el importe que envió a la cuenta del cibercriminal. Tendrán que entregar esa cantidad y, encima, habrán perdido la que ya le habían traspasado al delincuente.

Nieto explica que los ciberdelincuentes “han detectado tarjetas de crédito robadas y [publicar libros caros con texto generado por ordenador] es una forma de sacar dinero”, una estrategia de entrada y salida de efectivo para la que se usa el número de seguridad social “de un pobre hombre”, también robado. Los listados de tarjetas sustraídas se pueden obtener de la internet profunda, donde hay “auténticos supermercados” de este producto, en los que además del número se encuentran en ocasiones datos asociados a sus dueños, como la identificación de la seguridad social. “Al final, quien acaba pagando el pato de esto es Amazon”.

Nieto explica que en cuanto la compañía haya detectado el fraude habrá desactivado las opciones de venta fraudulentas, como las de los libros del tal Vyacheslav Grzhibovskiy. “Amazon, evidentemente, tiene un equipo muy potente de gestión de fraude y lo que está haciendo ahora es bloquear las transacciones relacionadas con estos usuarios, o estará por lo menos investigando”.

Después de que la historia de Reames se hiciera pública, Amazon publicó un comunicado en el que informaban de una dirección de correo electrónico para todas aquellas personas que creyeran haber recibido un formulario erróneo de ingresos. Además, explicaron que la seguridad de las cuentas era una “de nuestras más altas prioridades, y tenemos políticas y medidas de seguridad para ayudar a protegerlas”.

Fraudes en Amazon

“Parece que quieren lavarse las manos con el asunto”, nos resume Reames. No es la primera vez que el gigante del comercio electrónico se enfrenta a casos de fraude. En 2016 supimos de usuarios que aseguraban haber recibido un bloque de arcilla en vez de un iPhone, tras haberlo comprado a terceros a través de la plataforma.

Al parecer, ellos recibían el teléfono, pero luego fotografiaban la arcilla y la subían a los comentarios del modelo adquirido. Ya que Amazon solo sabe que el paquete de un cierto peso ha llegado, daba por buena la crítica y la reseña y devolvía el importe. De este modo, el timador tenía un flamante iPhone y su dinero de vuelta.

Ahora, a Reames le queda comprobar si va a tener algún problema con la Administración estadounidense por estas extrañas ganancias. No lo sabrá hasta después del 15 de abril, el último día para pagar a Hacienda en aquel país. Asegura que no ha vuelto a saber de Amazon desde que le consultó con su caso. “Lo que supongo es que probablemente la policía y las autoridades se pongan en contacto preguntando de qué va esto”.

También, cree que en algún momento la plataforma será “más cauta” con los libros que allí se comparten. Como los usuarios, que deberán ser cuidadosos y comprobar que los libros que compran los ha escrito la persona que los firma y que el texto no es el propio de un robot. Aunque es difícil caer en esa trampa.

----------------------

Las imágenes son propiedad, por orden de aparición, de Kolin Toney, Booktopia, Amazon | Google y Pexels

Las ciberguerras, aunque aún a pequeña escala, han dejado de ser cosa de un futuro distópico donde los robots gobiernan el mundo. Los políticos comienzan a plantearse que, más allá de invertir en armas convencionales, es necesario que los Gobiernos se dejen los cuartos en un arsenal tecnológico que les permita tanto protegerse como responder ante un conflicto digital.

Y si no que se lo digan a los rusos: de Estados Unidos a Australia acusan al Kremlin de estar detrás del ataque NotPetya, que consideran una estrategia para desestabilizar a Ucrania. Según la secretaria de prensa de la Casa Blanca, “es un ciberataque temerario e indiscriminado que tendrá consecuencias internacionales”.

Pero además de plantar cara a esta moderna fórmula de delincuencia, desde Naciones Unidas (ONU) advertían recientemente sobre la necesidad de elaborar un tratado internacional que regule los enfrentamientos digitales, como una suerte de Convenios de Ginebra adaptados a las tecnologías de la comunicación. El problema es que, por mucho que se alcen voces de alarma, “el mundo todavía no ha visto una guerra donde los ciberconflictos hayan tenido un papel importante”, indican tres ingenieros de la Universidad De Montfort (Reino Unido) y Airbus que intentan allanar el camino para cuando llegue ese momento. Por eso, después de definir el concepto de ciberguerra, han ido un paso más allá para traducir otro concepto al lenguaje tecnológico: el de la paz.

Porque, si en el mundo físico son necesarias medidas para restaurar la armonía una vez han terminado las contiendas, ¿no tendría sentido considerar esta misma cuestión en el plano virtual?

Los peligros de no prever las consecuencias

Por tratarse de un concepto aun en pañales, “las guerras cibernéticas todavía no se han sometido a pruebas ni se han regulado”, dicen estos ingenieros, Michael Robinson, Kevin Jones y Helge Janicke. En su trabajo siguieren que esta falta de normativa “presentará amenazas para los civiles”, como la ausencia de regulación sobre el uso minas antipersonas “ha producido un daño indiscriminado y prolongado en conflictos anteriores”.

Otra razón que justifica la necesidad de diseñar medidas para mantener la armonía es que los ciberataques perpetrados durante un conflicto pueden entenderse como una amenaza a la seguridad y la paz internacional, una situación para la que la ONU prevé la ejecución de operaciones pacificadoras.

Más allá de argumentar su ejecución, una cuestión importante para estos expertos en ciberseguridad es describir qué significa exactamente mantener la ciberpaz. Tomando como modelo el concepto que la ONU aplica en el mundo físico, la definición quedaría de la siguiente manera: “La aplicación de cibercompetencias para preservar la paz, aunque frágil, cuando la lucha se ha detenido y para ayudar a implementar los acuerdos conseguidos por los mediadores”.

A esta definición suman tres factores que facilitan la aplicación de las medidas, también recogidos por la ONU, que tienen que ver con su concordancia con el marco normativo actual, su entendimiento por parte de las autoridades que tienen que ponerlas en marcha y su potencial para formar parte de una operación pacificadora más grande.

Además, Robinson, Jones y Janicke hablan de las operaciones de observación, monitorización y comunicación encaminadas a verificar e informar el cumplimiento de las medidas de alto el fuego. Según estas últimas, las partes implicadas en el conflicto deberán detener los ciberataques y dar cuenta de la información que hayan robado y los fallos y vulnerabilidades descubiertos en los sistemas ajenos —que deberán, además, ayudar a resolver— y desmantelar los bots y el malware usados en los ataques.

Los combatientes deberán abandonar sus armas (informáticas) para reintegrarse y realizar actividades y profesiones que aboguen por la paz en internet.

Por otro lado, algunas webs serán declaradas zonas libres de ataques y quedarán bajo la protección de las fuerzas que restablecen la ciberpaz, encargadas de detectar amenazas y rastrear a los delincuentes. La máxima prioridad, sin embargo, será impulsar medidas para mejorar la seguridad; desde las tecnológicas, como bloquear IP sospechosas e instalar programas y dispositivos adecuados, a las educativas, que doten de los conocimientos adecuados a personas para que lleven a cabo todas estas medidas una vez termine la intervención externa.

Los vestigios ocultos de la guerra

Volviendo al símil de las minas antipersona, los autores de esta hoja de ruta de la ciberpaz aseguran que “al igual que un campo puede sembrarse de minas durante un conflicto, un sistema informático puede quedar sembrado de malwaremalware”. Tanto los explosivos como los virus pueden permanecer escondidos hasta que se activan o se detectan y sus efectos perjudiciales continúan después de que el conflicto haya terminado.  

Por esta razón, estos expertos describen una serie de objetivos que se aplican en el caso de las minas, pero adaptados al ámbito de la ciberseguridad, como son la educación, la detección y limpieza de sistemas infectados, el acceso de los afectados a servicios de protección y el desarrollo de planes de acción y respuesta por parte de las autoridades.

Aunque consideran útiles las guías elaboradas por el Instituto de Estándares y Tecnología estadounidense, estos ingenieros hacen especial hincapié en la necesidad de adaptar los conceptos y medidas de la ONU al plano de la ciberseguridad. Concluyen que, aunque restaurar la armonía tras un conflicto digital aún parece algo innecesario en el presente, “será indispensable en el futuro a medida que los ciberconflictos se extiendan cada vez más”. Así, según los autores, se acerca el día en que las “organizaciones como Naciones Unidas reconozcan la necesidad de actuar en el ciberespacio para mantener la paz”.

-----------------------------------------------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de James Lee, Visualhunt y Geert Bevin

En 2016, el Instituto Nacional de Ciberseguridad (INCIBE) reportó 110.293 ciberincidentes, según datos publicados por el Ministerio del Interior. Además, 479 afectaron a infraestructuras críticas, más del triple que el año anterior, y la red de universidades y centros de investigación informó de otros 4.485. Sin embargo, solo 66.586 llegaron a denunciarse ante un cuerpo de seguridad del Estado y aún menos, 20.453, fueron esclarecidos. En 2017, y a espera de los datos de Interior sobre denuncias, INCIBE dio respuesta y soporte técnico a 123.064 incidentes. 

Algo pasa para que solo una pequeña parte de los delitos informáticos que se cometen en España acaben ante un juzgado y, en su caso, con los responsables cumpliendo condena. Las razones son varias y cada actor implicado en el proceso (fiscales, abogados, guardias civiles) apunta a un sitio: la vergüenza que disuade a las empresas cuando se trata de denunciar, la falta de pruebas sólidas cuando se investiga, la falta de recursos y efectivos para ello o la necesidad de convertir el cibercrimen en una prioridad de Estado son algunas de las más repetidas.

“Creo que en España lo que es la lucha contra la cibercriminalidad todavía es una asignatura pendiente, donde el Estado tiene que decidir si se lo toma en serio o no”, explica Juan Antonio Rodríguez Álvarez de Sotomayor, jefe del Departamento de Delitos Telemáticos de la Guardia Civil, a HojaDeRouter.com.

“Todos los países están poniendo su foco de atención en la lucha y en la persecución de las personas que cometen delitos”, también cuando se ocultan entre unos y ceros. Sin embargo, en la Estrategia de Seguridad Nacional que el Gobierno español publicó a finales de 2017 se echa en falta un compromiso parecido. “En ningún momento del documento aparece la ciberdelincuencia como una amenaza que deba ocupar el protagonismo de una estrategia como esa. En ningún lado”, señala. “Pero sí aparece como amenaza la lucha contra el terrorismo y la lucha contra el crimen organizado”. 

“Bien se puede interpretar que dentro de la amenaza de la ciberseguridad [que sí tiene cabida en la estrategia] pudiera estar el cibercrimen”, puntualiza, “pero eso es un grave error, porque no tiene nada que ver. Mezclamos la ciberseguridad con la cibercriminalidad”. Lo compara con la estrategia de seguridad interior de la Unión Europea, que sitúa como prioritarias y de acción inmediata la lucha contra el terrorismo, contra el crimen organizado y contra la ciberdelincuencia. Al más alto nivel.

Aunque el fondo de seguridad interior de la Unión Europea para el periodo entre 2014 y 2020 destina 3.800 millones de euros a programas que, entre otras cosas, se conciban para combatir el cibercrimen, resulta complicado para las fuerzas españolas acceder a estos fondos. Para solicitarlos, los cuerpos policiales han de redactar un proyecto y, por lo tanto, hacer “un esfuerzo” que no pueden permitirse, explica Rodríguez. Es una situación complicada: sin ayudas no hay medios, sin medios no hay ayudas.

Rodríguez también critica que “no hay el tejido suficiente dentro de los cuerpos de policía vinculado con la lucha del cibercrimen para estar a la altura”. En una ponencia que impartió el pasado mes de diciembre, contó que la Unidad de Delitos Telemáticos a la que pertenece cuenta solo con 30 personas, para una ciberdelincuencia que aumenta a un ritmo del 10 % anual (en 2015 hubo 60.154 denuncias).

Ciberdelitos denunciados en España entre 2013 y 2016 (Fuente: Ministerio del Interior)

Infogram

Pero, a pesar de que los delitos crecen en esa proporción, el número todavía difiere mucho de los más de 115.000 incidentes de los que informó el Ministerio del Interior en su último estudio anual sobre cibercriminalidad. En 2016 fueron 66.586 los “hechos conocidos”, tal y como los denomina el informe; es decir, gente que se trasladó a la Policía Nacional, Guardia Civil, Foral de Navarra y alguna Policía Local para denunciar. “Aunque hay delitos de oficio, si nadie lo traslada a la Guardia Civil, ni nosotros ni el Ministerio Fiscal ni el juez pueden iniciar una investigación de algo que no conoce”, explica Rodríguez.

Hay razones para que parte de estos ciberincidentes se queden por el camino de ser juzgados. La mayoría de estos hechos delictivos suelen estar vinculados a particulares, personas individuales que acuden a denunciar. “Lo que son organizaciones y grandes corporaciones no denuncian ninguna, ninguna. Asumen el riesgo, asumen las pérdidas”, señala el responsable de Delitos Telemáticos. Entre las razones para no hacerlo se cuentan la reputación y la imagen de la empresa, “que todavía pesa mucho más que la persecución del ciberdelincuente”. Hay compañías que creen que su buen nombre se puede ver perjudicado si hacen público que han sufrido un ciberataque.

Esta situación genera “una especie de sentimiento, de idea en el subconsciente del ciudadano y sobre todo de las empresas” de que no existen los recursos suficientes para hacer frente a las denuncias. De esta situación se aprovecha el cibercrimen organizado: en su entorno circula la idea de que no hay que preocuparse por obrar de forma ilícita en España, “porque no van a denunciar”.

El fiscal Jorge Bermúdez, especialista en delitos informáticos, también resalta que son muchos los casos que no llegan hasta los juzgados. En los últimos años se ha visto un auge del llamado fraude del CEO, que consiste en suplantar la personalidad de un directivo de una empresa con cierto nivel económico y engañar a alguno de sus empleados con capacidad para firmar transferencias. Haciéndose pasar por el jefe, piden reenviar el dinero a una cuenta “a un banco de Hong Kong o en otra parte del mundo donde la persecución por medios convencionales resulta prácticamente imposible”, explica a HojaDeRouter.com.

“El problema que tenemos es que la ley nos dice que los delitos que no tienen autor conocido, de primeras, la Policía no los presenta a los juzgados para no sobrecargarlos de grupos de pequeña monta en los que no se conoce al autor”. Pero hay algunos muy graves, “de fraudes por cantidades de hasta 100.000 euros, y evidentemente no pueden quedar en un número policial que no se transmita a las estadísticas judiciales”.

Tecnología para implantar

Bermúdez también echa en falta soluciones tecnológicas para investigar, algo en lo que coincide Rodríguez, “dedicadas no a protegernos de los incidentes de ciberseguridad, sino herramientas para manipular y obtener información que sirva para poder atribuir un hecho delictivo a un delincuente”, detalla el guardia civil.

En 2015 se actualizó la Ley de Enjuiciamiento Criminal para incluir esas herramientas con las que perseguir a delincuentes, como agentes encubiertos (que en Estados Unidos sirvieron para llegar hasta la organización y desmantelar Silk Road, el supermercado de la droga en la internet oscura) o software de control remoto: la norma permite el uso, con autorización judicial, de programas informáticos para obtener información del equipo de un sospechoso.

Sin embargo, “los técnicos todavía no saben si se puede llevar a cabo o si puede ser un arma de un único uso”, explica el fiscal. “Es decir, te gastas un dineral en desarrollar un software que hace todo esto y resulta que, cuando llegas a juicio, la defensa va y te pide como contrapericial el código fuente, con lo cual automáticamente pasa a ser público en cuanto termina la fase de juicio oral, y automáticamente todas las compañías de antivirus lo pasan a considerar un malwaremalware”.

Si el presunto ciberdelincuente está en el extranjero, la colaboración con otros cuerpos policiales también se frustra: “Se puede identificar más o menos a una persona allende los mares que pueda resultar la culpable, pero conseguir una cooperación internacional para traer a este tipo ante nuestras autoridades es prácticamente imposible”, cuenta Bermúdez, lo que provoca “una frustración”. Por todo esto, en su opinión, se está dando un auge de la ciberseguridad, de la prevención y la mitigación “y se está un poco dejando de lado la persecución de la ciberdelincuencia”.

¿Qué es delito?

Mientras que guardias civiles y fiscales hablan de los ciberincidentes que se quedan sin solución, un debate paralelo es que algunas denuncias no tienen la suficiente envergadura para comenzar el proceso judicial. El abogado Carlos Sánchez-Almeida, especializado en delitos de internet, cree que ciertos casos se hinchan en las ruedas de prensa policiales aunque las pruebas son “inconsistentes”, sobre todo cuando afecta a hackers. Y recuerda uno en concreto: en 2011, la Policía aseguró haber desmantelado la cúpula de Anonymous en España; ante los medios mostró una de las caretas incautadas a las personas detenidas, para mofa de internet.

El abogado barcelonés, que ha llevado muchas de estas causas, ha comprobado que conforme avanza la investigación y se va analizando la información incautada, “en ocasiones se desinfla por el camino. Hay veces que hay pruebas y hay veces que no”, señala a HojaDeRouter.com.

Sobre la novedad de la Ley de Enjuiciamiento Criminal que abre la puerta al uso de ciertas ciberarmas, Almeida alerta de que “ponen en grave riesgo nuestro derecho a la privacidad”, ya que se podrían utilizar para cualquier delito supuestamente cometido a través de medios informáticos “por leve que sea”.

Estudio sobre la cibercriminalidad en España 2016 (Fuente: Ministerio del Interior)

Infogram

Asignatura pendiente

A la espera de conocer las cifras oficiales de 2017, la persecución del cibercrimen sigue siendo una “asignatura pendiente” en España, pese a que, en palabras de Rodríguez, “tiene el protagonismo suficiente para ponerla a la altura de la lucha contra el terrorismo y contra el crimen organizado”. Por eso pide al Estado que se la tome en serio, asigne recursos y la coloque al mismo nivel que otros delitos.

Mientras tanto, hay razones para tener esperanza: la colaboración entre los cuerpos policiales y las empresas del sector es cada vez más estrecha. “Para luchar contra la ciberdelincuencia, los conocimientos y la tecnología la tienen las empresas de ciberseguridad. Y en España tenemos muy buenos especialistas y grandísimas empresas”, sentencia Rodríguez.

--------------

Las imágenes son propiedad de Guardia Civil y Boris Jódar

“Le llamo de la asesoría jurídica del seguro del coche porque hemos visto en el boletín una multa grave por exceso de velocidad”. Cualquiera se echaría temblar si una persona al otro lado del teléfono pronunciara esas palabras. Nuestra reacción, no obstante, podría hacer mucha gracia a algún amigo o familiar que escuchara cómo nos quedamos planchados cuando el interlocutor nos pregunta por un BMW X6 que ni siquiera tenemos y se acaba burlando de nosotros.

Por eso, son muchos los guasones que han tenido la feliz idea de probar Juasapp, una app española que permite gastar bromas telefónicas de ese estilo. Así, en lugar de telefonear ellos mismos como hacía Bart Simpson, pueden recurrir a una voz pregrabada para informar a su víctima de que, por ejemplo, a su hijo le ha mordido un compañero en el colegio, o quejarse porque hace demasiado ruido al practicar sexo, protestar porque su perro ladra demasiado o preguntarle por sus flatulencias a raíz de un supuesto brote de salmonelosis.

Para añadir otra dosis de gracia al asunto, el bromista al que le llega la grabación del falso diálogo no solo puede escucharla, sino que también tiene la posibilidad de compartirla a través de aplicaciones como WhatsApp para que los demás también puedan divertirse a costa del desdichado inocente.

Disponible en Android y iOS en multitud de idiomas, ha sido descargada por más de 15 millones de personas que ya han realizado 32 millones de bromas previo pago, según los datos de la propia app.

Lógicamente no ha sentado bien a todo el mundo que una voz en off se haya reído de ellos. “¿Quién te ha mandado? ¿Quién te ha dado mi número de teléfono?”, pregunta una de las víctimas en los propios audios de prueba de la ‘app’. Algunas se lo han tomado más en serio y no se han limitado a preguntar a la grabación, tal y como recoge una reciente resolución de la Agencia Española de Protección de Datos (AEDP).

Grabando a los usuarios… sin su consentimiento

El texto detalla el caso de una mujer que, tras salir de un taller de BMW para que revisaran su coche, recibió una llamada de un número desconocido con uno de los populares engaños de la appapp. Tras averiguar que el teléfono estaba vinculado con Juasapp y dirigirse a Miraclia Telecom, la compañía prestadora del servicio, esta le facilitó el número de teléfono del gracioso e incluso le proporcionó las imágenes de perfil de sus cuentas de WhatsApp y Line. La afectada descubrió así que se trataba del empleado del concesionario.

Otra víctima a la que tampoco sentó bien “una broma de mal gusto” realizada desde la app decidió averiguar quién se había echado unas carcajadas a su costa pidiendo información a Miraclia. Al igual que en el caso anterior, manifestaba no haber dado su autorización para el tratamiento de sus datos y desconocer cómo se había obtenido su número.

En ambas situaciones, Miraclia bloqueó las líneas de las afectadas para que no recibieran más llamadas, pero las dos denunciaron los hechos y ahora la broma saldrá cara a los creadores de la aplicación.

La AEPD acaba de imponer a Miraclia una sanción de 6.000 euros por el tratamiento de datos de carácter personal sin consentimiento. Una infracción grave según la Ley Orgánica de Protección de Datos (LOPD), que establece que ese tratamiento requiere el consentimiento “inequívoco” de los afectados en su artículo 6.1.

Una infracción grave según la AEDP

En sus términos y condiciones, Juasapp apunta a que el responsable de “obtener el consentimiento expreso e inequívoco de la persona que ha recibido la broma para la grabación y difusión de la misma” es el usuario de la app,app es decir, el que decide pasar un buen rato pagando el servicio.

Además, Juasapp informó a la agencia de que, al final de la locución, la voz en off indica al inocente que “su teléfono ha sido proporcionado por un amigo o conocido o suyo” o que “sus datos personales forman parte de un fichero de Miraclia” y le informa de que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición contactando con ellos.

A posteriori, cuando el receptor solicita la cancelación de sus datos, se incluye su número en una lista para que no reciba más llamadas y el fichero de audio se elimina automáticamente. Sin embargo, lógicamente, el bromista a esas alturas sí ha podido escuchar la grabación.

Miraclia ha alegado que “no se hace tratamiento de datos personales”, ya que el número de teléfono y la voz de datos “no permiten identificar fácilmente a una persona” y ha defendido que se trataba de “una relación íntima y personal” entre la persona que gastaba la broma y el “abromado” (sic.). La resolución de la agencia desestima esos argumentos y detalla por qué esos datos sí son de carácter personal.

“Dato personal es el teléfono, dato personal era la voz, pero la información que está facilitando el usuario directamente con la grabación también tiene la consideración de dato personal”, explica Daniel López Carballo, abogado experto en privacidad y socio de Ecija. “Una cosa es que la empresa no explota [esa información] y otra cosa es que esa información está siendo tratada y almacenada en sus sistemas”.

A lo largo de la resolución, la AEPD destaca que los datos personales de las denunciantes eran incorporados a un fichero de la entidad sin que fueran “informadas previamente de tal registro, en especial de su finalidad”, señala que Miraclia no ha aportado pruebas que acrediten que contara con ese “consentimiento inequívoco” y puntualiza que no puede “considerarse de recibo la alegación de que contaba con la simple declaración de ese usuario tercero”.

El artículo 44.3. de la LOPD considera infracción grave tratar datos de carácter personal sin recabar el consentimiento, y estas infracciones pueden ser sancionadas con multas que van desde los 40.000 a los 300.000 euros. Sin embargo, teniendo en cuenta el tamaño de la empresa (su capital social de 6.000 euros) o el grado de intencionalidad (las condiciones de uso estipulaban al menos que los usuarios contaban con el consentimiento), la sanción que ha impuesto la AEPD ha sido finalmente de 6.000 euros.

Los interesados tienen un mes desde que se les notifica la resolución para interponer un recurso de reposición o un recurso contencioso administrativo ante la Audiencia Nacional. HojadeRouter.com ha consultado a Miraclia sí tiene intención de hacerlo, pero el equipo de Juasapp se ha limitado a señalar que sus alegaciones están recogidas en la resolución y que el caso debe resolverse en los tribunales.

¿Cuál es la responsabilidad del bromista?

En el caso de la denunciante que proporcionó sus datos al empleado de un taller de coches, cabe preguntarse qué responsabilidad tendría el trabajador que decidió usar el número de un cliente para gastar una broma. “El empleado del concesionario utiliza un dato personal para una finalidad diferente a la que originó su recogida y tratamiento”, explica López Carballo. “En ese sentido, podría haberse incumplido la normativa de protección de datos y políticas de seguridad de la compañía”.

En la resolución se indica que, en respuesta al requerimiento de información, el denunciado reconoció que era usuario de Juasapp, pero negó haber utilizado la app para realizar una llamada a la denunciante y defendió que si los hechos ocurrieron fue “sin su consentimiento”, alegando que el teléfono se encuentra sobre su mesa al alcance de cualquiera.

Por otra parte, Juasapp no solo permite al usuario acceder a esa grabación, sino que además la puede compartir fácilmente a través de WhatsApp, correo electrónico o redes sociales, lo que también podría suponer un problema. “En caso de que dicha grabación sea compartida o divulgada a terceros posteriormente, podría conllevar una vulneración del derecho a la intimidad, propia imagen e incluso, llegado el caso, al honor”, puntualiza el abogado.

De un modo u otro, si Miraclia ha de tener el consentimiento expreso de las víctimas antes de grabar, lo que ahora mismo se podría estar planteando es cómo conseguirlo sin estropear la broma. Habrá que ver si, tras la sanción, la herramienta decide realizar un cambio que permita que sus usuarios se sigan divirtiendo sin infringir las leyes de protección de datos.

---------------------

Las fotografía es propiedad de Pixabay

Una joven tiene una actividad muy intensa en las redes sociales. Es bastante popular y querida en estos entornos. Sin embargo, un día va a una fiesta y se pasa un poco de la raya con el alcohol. Alguien con mala sombra lo graba y sube el vídeo a internet. Su imagen se ve seriamente perjudicada, con todo lo que ello conlleva.

Por otro lado, dos chicos, más o menos de la misma edad que la joven anterior, comparten una amistad tan fuerte que deciden intercambiar sus contraseñas. ¿Será una decisión acertada?

No son historias reales, aunque podemos encontrarnos muchas como estas. En realidad son los argumentos de sendas obras de teatro con las que se busca concienciar a niños y adolescentes sobre los peligros de internet. Estos dos libretos, 'Atrapada en la red' y 'El zapato de cristal', respectivamente, son parte del repertorio de Teatro Tyl Tyl, una compañía madrileña que con sus creaciones invita al público a reflexionar sobre privacidad y seguridad en la Red.

Teatro Tyl Tyl surgió en 1984. “Empezamos con los movimientos de renovación pedagógica que había en los 80 por aquí”, cuenta Daniel Lovecchio, fundador del grupo, a HojaDeRouter.com. Desde el año 1995 cuentan con un espacio físico en Navalcarnero (Madrid), en el que se lleva a cabo todo su trabajo de creación, investigación y enseñanza. Sus trabajos, escénicos y audiovisuales, son para los niños, jóvenes “y la familia en general”. Tienen espectáculos musicales para bebés, versiones de cuentos clásicos como 'Hansel y Gretel' y 'Pulgarcito' y un homenaje a García Lorca con una obra familiar.

‘Atrapada en la Red’ fue la primera de sus obras sobre privacidad y ciberseguridad que se estrenó, allá por 2009. Escrita por Rafael Badie, habla del acoso a través de internet, presentando el caso de una joven que lo sufre: “Eres una friki”, “vete a hacer otra orgía en otra piscina, puta” o “¿sabes lo que queremos? Que te vayas de este colegio y no vuelvas nunca más” son algunas de las frases que se escuchan, con la intención de que el público reaccione ante ellas.

A partir de ahí siguieron trabajando en otros temas, relacionados con las dificultades de crecimiento personal y de los propios niños y adolescentes en las redes. “Nos inspirábamos en casos y en relatos que surgen en nuestra propia escuela, de los jóvenes. Por eso cada obra está dirigida a una franja de edad”. Porque la compañía realiza también una tarea de investigación, de observar los grupos a los que se dirigen y crear productos nuevos para ellos. De la interacción con los alumnos que acuden a su escuela han surgido, precisamente, estas obras.

'El zapato de cristal' está dirigida a niños a partir de 9 años, que empiezan a manejar móviles, tabletas u ordenadores. La obra está centrada en las contraseñas, que son “las llaves de tu propia privacidad, de tu propia identidad digital”, recuerda Lovecchio, autor de la obra junto a Pury Estalayo. De ahí ese título, porque aquellas, como el zapato que la Cenicienta perdía en el cuento, solo le caben a una persona, “que eres tú”. Un argumento parecido tiene 'Ser o no ser en la Red', que habla de la huella digital y de la identidad digital familiar con dos protagonistas que buscan a sus padres en las redes y se encuentran con una información inesperada.

Para más pequeños aún es ‘¡Ojo, contrasta!’: está dirigida a niños que ya tienen 5 años. Desde esa edad, Tyl Tyl ya quiere empezar a concienciarlos sobre algo que en los últimos tiempos ha dado más de un dolor de cabeza a los adultos: “Habla de los bulos y de la no credibilidad de muchas de las noticias que aparecen en redes”, resume Lovecchio, autor de nuevo con Estalayo. Dos pequeños leen un mensaje que asegura que una tragedia se acerca a la Tierra y sin decir nada a sus familiares comienzan a actuar por su cuenta.

Para preadolescentes, de 12 años en adelante, tienen 'Hasta que la vida nos separe'. “Habla de la pérdida de la intimidad en una pareja que se cuenta todo y se intercambia las claves”. Sin embargo, cuando se separan esas dos personas que estaban entregadas la uno a la otra, esas contraseñas se convierten “en un arma arrojadiza” que los perjudica a los dos.

“Son obras que están montadas con mucho rigor escénico, de un modo contemporáneo y muy accesible para quien van dirigidas”, resume Lovecchio. Ya han sido representadas en su centro de Navalcarnero y han pasado por el reciente evento de ciberseguridad Cybercamp y por institutos y colegios españoles. Los comentarios que recibe de profesores y educadores son “muy buenos”, asegura el director. “Ayuda a pensar, a tomar conciencia, a actuar, y es muy didáctico y ejemplificador”.

Y el repertorio de obras va a seguir ampliándose. “Nosotros estamos permanentemente en periodo de investigación, con nuestros grupos y clases, y creando nuevas formas”, sentencia Lovecchio. Centenares de niños y adolescentes ya han podido aprender gracias a las artes escénicas cómo deben comportarse en las redes y a qué peligros se enfrentan cuando están navegando por la Red.

-------------------

Las imágenes son propiedad de Teatro Tyl Tyl (1, 2 y 3)

“Es un poco difícil describir un día normal”, cuenta Eva Galperin a HojaDeRouter.com. La directora de Ciberseguridad de la Electronic Frontier Foundation (EFF),Electronic Frontier Foundation (EFF) una organización que lucha por los derechos digitales de la ciudadanía, puede estar un día en San Francisco investigando sobre su especialidad y al siguiente viajando a Dublín para conversar sobre los mismos temas con defensores de los derechos humanos.

Desde su puesto en la EFF, Galperin ayuda a que todo tipo de activistas trabajen con garantías en redes sociales y demás plataformas digitales. Nacida en Letonia y de ascendencia judía, su familia huyó en los 80 de la Unión Soviética y llegó como refugiada a California. En aquella década, Silicon Valley ya estaba creciendo y sus padres (biotecnóloga ella e informático él) encontraron allí un lugar en el que prosperar.

“Me criaron en una casa con muchos ordenadores”, recuerda Galperin sobre aquella época. Se crió trasteando con el sistema operativo Unix y se pudo maravillar con la World Wide Web siendo una preadolescente, con 12 años, y cuando todavía era algo que muy pocos disfrutaban. Con los antecedentes familiares y viviendo en Silicon Valley, comenzó sus estudios de ingeniería, pero no los iba a terminar. “Estudié algo de Informática entonces [a mediados de los 90], pero lo abandoné para hacer consultoría de seguridad”.

Luego el mercado colapsó: eran los tiempos de la burbuja de las puntocoms y regresó a la facultad para estudiar Ciencias Políticas y Relaciones Internacionales, dos carreras en las que se graduó. A la vez, comenzó a aprender chino. En 2007 y mientras esperaba para entrar en una facultad de Derecho, Galperin comenzó a trabajar en la EFF. Participó en algunas campañas de activismo en la Red, como las protestas contra las leyes estadounidenses SOPA y PIPA o contra la censura en el norte de África y Oriente Medio. Como coordinadora internacional de libertad de expresión, también elaboró informes, por ejemplo, sobre la situación en Siria.

Es uno de los rostros visibles del apoyo de la organización a los ciberactivistas y nunca se detiene. Además, desde comienzos de este año, ocupa la dirección de Ciberseguridad. “Me doy una vuelta por organizaciones y hablo con periodistas y activistas sobre seguridad. Ayudo a desarrollar materiales con los consejos que damos a la gente sobre seguridad y privacidad online”, explica.

Esos materiales que diseña se pueden encontrar en la web de EFF y sirven, entre otras muchas cosas, para aprender a detectar una contraseña débil y elegir una robusta, a protegerse del 'phishing' y el 'malware', a utilizar la verificación en dos pasos o a instalar Signal, la aplicación para hacer llamadas y mandar mensajes cifrados.

Galperin también ha escrito sobre cómo los Gobiernos utilizan herramientas de ciberespionaje para mantener a raya a activistas, abogados e informadores. Estos ataques, describía en uno de sus artículos, emplean “grandes presupuestos y técnicas cada vez más sofisticadas”. Y a la vez, el objetivo de estas campañas no suele tener los conocimientos necesarios para defenderse o no cuenta con profesionales a su alrededor que puedan ayudarle.

Por ejemplo, Galperin ha advertido que el Gobierno sirio podría haber utilizado los servicios de algunos ciberatacantes para enviar 'malware' a los activistas del país con el que espiar sus 'webcams', robar contraseñas o desactivar algunos antivirus. Para difundirlo, se habrían servido de falsos documentos .pdf en los que se hablaba de la formación de un nuevo Gobierno tras la guerra; los enlaces se mandaban a través de mensajes de correo electrónico o Skype o se publicaban en las páginas de Facebook y YouTube que apoyaban a la oposición. Por todo ello, advirtió a activistas, periodistas y fuentes de que usaran siempre el cifrado, se olvidaran de Skype, SMS, telefonía fija o móvil y sospecharan de los enlaces.

Como ha afirmado en más de una ocasión, Galperin está muy interesada en indagar en cómo los poderes estatales se dedican a espiar a activistas, periodistas o abogados. No en vano, muchas investigaciones sobre ciberseguridad se centran en el espionaje entre naciones y no se preocupan por los ciudadanos de a pie que no tienen las mismas armas para combatir esa intrusión.

Recuerda, además, que los activistas se enfrentan a diferentes tipos de riesgos en la Red, no solo a los Estados. “Cuando hablamos con activistas, normalmente asumimos que su adversario es el Gobierno. Esto no es verdad en todos los casos”. Un ejemplo de ello es el acoso digital por parte de “actores no estatales”, los famosos 'haters' o 'trolls'. “Esta es, creo, una de las cosas en la que mucha gente no piensa de verdad cuando hablan sobre privacidad y ciberseguridad para activistas”.

Su cuenta de Twitter también sirve para difundir todo tipo de consejos, para activistas o no activistas. Así, comparte artículos para sextear con seguridad, mientras recuerda a los ingenieros que se pueden negar a programar algo ilegal aunque se lo pidan sus jefes o cuenta que su abuela participó en el Ejército Rojo y combatió a los nazis.

En la actualidad, en paralelo a su labor como activista, Galperin está desarrollando una guía para personas que quieren enseñar privacidad y ciberseguridad. Con ella al frente de la Ciberseguridad de la EFF y siempre alerta en las redes sociales, los Gobiernos menos transigentes tienen mucho que temer.

------------------------------

Las imágenes son propiedad, por orden de aparición, de New America y mike

Cuando navegamos por Facebook y un enlace llama nuestra atención, una de las primeras cuestiones en la que nos fijamos para comprobar su veracidad es su procedencia. Ver que pertenece a una web que conocemos o nos parece fiable nos dará garantías. Aunque, por desgracia, no siempre será cierto. El experto en ciberseguridad Barak Tawily, de 24 años, ha descubierto cómo enlaces de Facebook que parecen fiables pueden ser fraudulentos, lo cual pone en riesgo al usuario y cuestiona la seguridad de la red social, a pesar de los esfuerzos de la compañía por acabar con estas prácticas.

Hace más de un año, Facebook permitía cambiar el título, la descripción o la imagen de una publicación que se compartía en la red social. Esto daba lugar a una proliferación alarmante de contenido fraudulento, lo que llevó al equipo de Mark Zuckerberg a limitar estas ediciones en julio de este mismo año. “A partir de hoy, las páginas que no pertenezcan a editores no podrán reemplazar los metadatos de los enlaces (como el título, la descripción, o la imagen) en la API (término que se refiere en inglés a la interfaz de programación de aplicaciones) o en el editor de páginas”, anunciaba la compañía. Sin embargo, quedaba una excepción para colar 'spam': las páginas de editores.

Algo que también cambiaron recientemente. “A partir del 12 de septiembre, las páginas de los editores solo pueden editar enlaces de dominios de sitios web que hayan autorizado con la herramienta de propiedad de enlaces”, explicaban desde el servicio de ayuda de Facebook para empresas. Aun así, parece que el problema no está solucionado. Y lo más curioso es que se debe a la forma en que la propia compañía ha configurado la inserción de enlaces.

Como cuenta el investigador en su blog, cuando un usuario pega un enlace en su muro o lo envía a través de Facebook Messenger, un 'bot' llamado Facebook External Hit extrae los datos relevantes del código HTML [el lenguaje en el que se diseñan las webs] y genera una vista previa con imagen, título, descripción y dominio de origen.

Tras indagar en su funcionamiento interno, Tawily encontró la clave para engañar a los usuarios. “El 'bot' de Facebook busca etiquetas HTML específicas, algunas son las conocidas como ‘meta’, concretamente con los valores ‘og: url’, ‘og: image’ y ‘og: title’”, explica. Estas metaetiquetas incluyen la información sobre el autor, el título, las palabras clave o la URL que se insertan en el encabezado de una página web y, aunque resultan invisibles para un visitante normal, son de gran utilidad para el posicionamiento en buscadores (el famoso SEO).

Según el análisis de Tawily, Facebook no valida si el enlace mencionado en la metaetiqueta 'og: url' es igual que la URL de la página. Así, es posible abusar de esta característica a través de metaetiquetas elaboradas. “En caso de que alguien suministre a Facebook una URL que lleve a un HTML con los etiquetas modificadas con datos falsos de otro sitio web (por ejemplo, YouTube), los datos de vista previa se verán como una canción de YouTube, pero el enlace real llevará a las víctimas a la URL que contiene el HTML malicioso”, detalla Tawily.

Este error permite a cualquier persona crear una URL personalizada simplemente editando las metaetiquetas de su web antes de publicar el enlace en la red social.

Facebook no lo considera un problema

Cuando Tawily se percató del problema, él mismo contactó con la red social para informarles del error. Sin embargo, se encontró que desde la compañía negaban que esto entrañase un problema de seguridad. “Facebook incluye contenido generado por el usuario, por lo que la capacidad de inyectar contenido en una página, incluso en facebook.com, es una vulnerabilidad de muy bajo riesgo. Consideramos que los errores de suplantación de contenido como este son de bajo riesgo y de bajo impacto”, respondieron los de Zuckerberg.

Además le aseguraron a Tawily que todos los enlaces publicados son validados a través del sistema Link Shim.sistema Link Shim Este se encarga de verificar la URL compartida con una lista negra para evitar la suplantación de identidad y los sitios web maliciosos.

Así, este sistema de seguridad activo desde 2008 no solo no detectará un nuevo dominio que genere enlaces falsificados (pues de primeras no lo tendrá en su lista negra), sino que tampoco se percatará si modifica el código de los metadatos como se demuestra en el siguiente vídeo:

En su blog, Tawily advierte que “hay muchas formas de aprovechar esta vulnerabilidad para realizar varios tipos de ataques, como robar información sensible como credenciales o tarjetas de crédito”. Muestra de ello es lo ocurrido a mediados de octubre en una campaña de suplantación de identidad dirigida a usuarios de Suecia, Finlandia y Alemania.

Según detectó la firma finlandesa de seguridad F-Secure, se llegaron a efectuar casi un total de 200.000 clics. Estos se hacían sobre un enlace que parecía contener un vídeo de YouTube; sin embargo, los usuarios eran dirigidos a un sitio que los clasificaba según el tipo de dispositivo que estuvieran usando. Aquellos con móviles Android e iOS eran redireccionados a una web de 'phising' (una suplantación), mientras otros iban a parar a la web contenidosviral.net con una gran carga de anuncios maliciosos.

Cómo mantenerse salvo de los ciberdelincuentes

Con cada vez prácticas más sofisticadas, algunas veces resulta difícil no caer en estos engaños. Sin embargo, hay algunos trucos para no dejarse engatusar en la Red.

Por ejemplo, algo tan sencillo como desplazarse sobre el enlace antes de hacer clic para ver la dirección URL puede ayudarnos. Si vemos que aparecen palabras inconexas o alguna anomalía en el dominio, será mejor no acceder. También nos pondrá sobre aviso si en el contenido que se nos presenta vemos errores gramaticales, sobre todo si es una web con cierto renombre.

El sentido común también nos resultará útil. Aunque muchas veces la realidad supera la ficción, las publicaciones con titulares excesivamente impactantes pueden ser un cebo para el clic más peligroso.

Si alguno de nuestros amigos es quien comparte un enlace, tampoco hay que fiarse cuando detectamos anomalías. Por ejemplo, si nos lo envía por Facebook Messenger y nuestro amigo no se encuentra activo en el chat, puede que le hayan secuestrado la cuenta. Por eso lo mejor, antes de acceder a cualquier de estos enlaces, es preguntar a nuestro amigo para verificar que ha sido él quien nos lo ha mandado y no hay peligro.

Así que en internet, como en cualquier otro aspecto de la vida, la cautela debe ser la norma para no dejarse engañar y terminar con un buen susto por culpa de los ciberdelincuentes.

--------------------

Las imágenes de este artículo son propiedad, según orden de aparición, de Pixabay, Iphonedigital/Flickr y Marshillonline/Flickr

Expertos españoles de ElevenPaths, la unidad de ciberseguridad del Grupo Telefónica, han desarrollado una herramienta capaz de seguir los pasos de un usuario de Tinder y mostrarlos de forma detallada sobre un mapa. El espía solo tiene que conocer algún detalle sobre su objetivo para buscarlo entre los muchos perfiles de la aplicación de ligue: su edad, su ciudad de residencia, su nombre de pila... Cualquier cosa que le permita identificarlo al realizar una búsqueda en Drone-Tinder, que es como han bautizado este proyecto de investigación cuyo objetivo es advertir a la empresa y a sus usuarios de los riesgos en materia de privacidad que entraña la 'app'.

El peligro es evidente. No solo un posible acosador podría vigilar a su víctima como si de un dron invisible se tratara (tal vez adivinaría dónde vive, dónde trabaja o dónde estudia), sino que además podría hacerse con las fotos que ha escogido para su perfil de Tinder e incluso averiguar cuáles son sus cuentas en otras redes sociales.

Tinder usa el GPS del móvil para averiguar tu localización. Cuando te conectas, la 'app' envía al servidor ese dato para que pueda emparejarte con perfiles que estén a la distancia máxima que hayas seleccionado previamente. Esa misma mecánica es la que los investigadores aprovechan para practicar un espionaje relativamente sencillo: mediante un 'bot' que hace las veces de usuario y se encarga del trabajo pesado, preguntan constantemente al servidor de la 'app' dónde se encuentran los usuarios y cambian la ubicación propia con facilidad.

Precisamente, lo primero que Julio García, el ingeniero de telecomunicaciones que puso en marcha este proyecto, y sus compañeros de ElevenPaths descubrieron es que podían engañar a Tinder para que creyera que estaban en cualquier parte, aunque fuera mentira. Tan pronto le decían que el perfil del 'bot' estaba en Madrid como al minuto siguiente le colaba que se había trasladado a Pekín.

“Eso es el primer fallo de seguridad”, explica García. A su juicio, Tinder debería saber que “una persona no se puede mover tan rápido” y concluir, si así sucede, “que te están atacando de alguna forma, al final extrayendo información de tu servidor”.

Moverse de una punta a otra del mundo permite al 'bot' de Julio comprobar qué personas están usando la 'app' en un lugar determinado y poner la lista a disposición del espía humano para que localice a la persona que le interesa. Tendrá un montón de datos con los que afinar su búsqueda: dónde hizo la última conexión, su nombre de usuario, su edad, los sitios donde trabaja o ha estudiado (que suelen indicarse en el perfil) y hasta sus fotos.

“En el momento en el que tú tienes tu cuenta [de Tinder], todas las fotos son públicas”, explica García. “Las coge de tu Facebook, las descarga y las mete en un servidor, totalmente públicas”. Incluso se podría acceder al perfil de Instagram del objetivo, con aún más imágenes, si lo tuviera vinculado. Y si además su nombre de usuario en esta red social es el mismo que utiliza en otras, la información personal a la que tiene acceso el espía crece.

Ligar con cabeza

García ha mostrado sobre un callejero cómo funciona Drone-Tinder, una herramienta de investigación que no han hecho accesible al público. A través de líneas rectas se van uniendo círculos con una cifra en su interior: son los lugares donde los usuarios se han conectado por última vez y el número de veces que lo han hecho. Las líneas muestran el desplazamiento entre uno y otro punto. Si hay círculos con una cifra muy grande, se puede concluir que ese lugar es la residencia de la víctima, su lugar de trabajo, su centro de estudios o incluso el barrio por donde suele salir de fiesta.

Para mejorar Tinder y evitar que los malintencionados 'bots' puedan hacer de las suyas, el ingeniero sugiere algunas medidas de seguridad, como pedir que se completen 'captchas' (en teoría imposibles de resolver para las máquinas) para seguir viendo perfiles con los que conectar. También, que el servidor comience a sospechar cuando recibe un montón de peticiones o cuando, como ya se ha explicado, vea que el supuesto usuario cambia de ubicación constantemente.

No es la primera vez que la seguridad de Tinder se pone en entredicho. El pasado año, sin ir más lejos, se denunciaron los 'bots' que son capaces de operar como perfiles muy humanos y que, tras un rato de conversación (en la que, eso sí, no son capaces de responder a preguntas complejas), comparten un enlace malicioso, probablemente para perpetrar un ataque de 'phishing'.

“Con cualquier aplicación que juegue con tu posición GPS y que al final se base en un servidor”, que intercambia mensajes con tu móvil, “no te puedes fiar de las peticiones que te están llegando”, concluye García. La mejor recomendación para el usuario es tener desactivado el GPS y la localización cuando no hagan falta y, por supuesto, ligar con cabeza.

---------------------

Las imágenes son propiedad, por orden de aparición, de Pexels, YouTube, Michael Coghlan y Denis Bocquet

Tenemos tantas contraseñas en la memoria que no siempre es fácil recordar la que necesitamos en cada momento. Afortunadamente para los más despistados y olvidadizos, hace tiempo que las grandes tecnológicas han tomado una ruta alternativa a las claves tradicionales: el camino de la biometría.

El último en dar un paso de gigante en esta dirección ha sido Apple, que el martes presentó su nuevo modelo de teléfono, el iPhone X, que saldrá a la venta el 3 noviembre en España. En su apuesta por ahorrar aún más tiempo a los usuarios, ha sustituido en el flamante dispositivo el sistema de identificación por huella dactilar por uno que reconoce a los usuarios por su rostro. En otras palabras, los fans de la manzana mordida que decidan dejarse los cuartos en el móvil deberán olvidarse de TouchID y familiarizarse con FaceID, la herramienta que lee tu cara como si fuera una contraseña.

“Tu iPhone está bloqueado hasta que lo miras y te reconoce. Nada ha sido nunca más simple, natural y cómodo”, destacaba Phil Schiller durante el evento. La idea es que el dueño del teléfono solo tenga que dirigir la vista al dispositivo para que este lo identifique y la pantalla se desbloquee casi al instante. Face ID también será útil para realizar operaciones como descargar aplicaciones y pagar con Apple Pay. Para el vicepresidente de 'marketing' de Apple, “es el futuro de cómo desbloquearemos nuestros ‘smarphones’ y protegeremos la información delicada”. 

Pero por muy bien que lo venda el ejecutivo de Apple, el uso de este tipo de tecnología biométrica en móviles suscita ciertas dudas sobre la seguridad y la privacidad de los datos.

Un molde en 3D de la cara

Los de la manzana mordida han sido los últimos en apuntarse a la tendencia, pero los sistemas de reconocimiento facial ya están presentes en la opción Smart Lock de Android Lollipop y en plataformas como el gigante chino Alibaba. Claro que el hecho de que el sistema operativo de Google te advierta que la función es menos segura que una contraseña alfanumérica y que un experto engañara a la plataforma asiática con un simple vídeo no dice mucho a favor de su seguridad.

La tecnología de Apple, sin embargo, tiene algunas medidas extras de protección. El nuevo iPhone integra un dispositivo de infrarrojos llamado TrueDepth que proyecta una red de 30.000 haces de luz sobre la cara del usuario. La cámara frontal actúa como sensor, capturando las perturbaciones que sufre esa máscara invisible a medida que la persona gira la cabeza para crear un mapa en tres dimensiones de su cara. 

Así, al utilizar esta especie de molde tridimensional como guía, en lugar de una imagen plana, el sistema es más difícil de engañar que los anteriores. Pero no es del todo inmune: si bien no vale una simple foto, cabe la posibilidad de que FaceID se equivoque si lo que tiene delante es la cara de una persona impresa en 3D. Aún es solo una sospecha, pero ya hay algún investigador en seguridad deseoso de ponerla en práctica.

A Schiller no se le olvidó este asunto. Durante la presentación defendió que el sistema de reconocimiento facial es resistente a este tipo de triquiñuelas. Para demostrarlo, enseñó a los asistentes y espectadores la imagen de máscaras faciales muy realistas creadas por expertos en efectos especiales de Hollywood –auténticas obras de arte que han inspirado bromas relacionadas con cierto personaje de Juego de Tronos–. La compañía las había utilizado para poner a prueba la herramienta, aunque no aclaró si alguna de ellas había logrado confundir al sensor.

Según el directivo de Apple, los algoritmos de ‘deep learning’ que analizan los rasgos faciales han sido entrenados con millones de fotografías para que aprendan a distinguir las características de un rostro y obvien pequeños cambios, como unas gafas de sol o barba.

Lo que no sabemos aún no es si tienen en cuenta el color. De ser así, cualquier réplica destinada a engañar al sistema tendría que tener exactamente el mismo tono que la piel que imita. Este tipo de análisis requeriría un procesamiento complejo que, además, debe considerar aquellas variables que influyen en el aspecto de la cara: puedes estar enfermo o bien estar muy moreno o quemado por el sol.

Por otra parte, la forma en que el programa ha sido entrenado puede dar lugar a posibles sesgos raciales o algún otro tipo de discriminación algorítmicasesgos racialesdiscriminación algorítmica.

No puedes esconderte

Más allá de las características técnicas del sistema, el mero hecho de convertir un rostro en la llave que guarda información personal trae consigo algunas implicaciones poco halagüeñas. Por un lado, a diferencia de lo que ocurre con una clave alfanumérica, no podrías cambiar de cara –al menos sin pasar por el quirófano– en caso de que alguien lograra con éxito reproducirla para engañar a tu teléfono. Sería como si te hubiesen robado las llaves de casa o del coche y no pudieras cambiar la cerradura.

Y, para añadir gravedad al asunto, no solo la llevamos con nosotros: las fotos en las que apareces en Facebook e Instagram son suficientes para que alguien (con ciertos conocimientos técnicos, eso sí) pueda crear una reconstrucción en 3D de tu cara, según demostraron el año pasado investigadores de la Universidad de Carolina del Norte.

Por otro lado, el rostro es una parte de cuerpo que, generalmente, está destapada y que sería bastante difícil de esconder de alguien que quisiera desbloquear nuestro teléfono, como un atracador o un policía. Los ciudadanos de Estados Unidos pueden acogerse a la quinta enmienda para evitar verse obligados a desvelar sus contraseñas en un juicio; sin embargo, esta medida de protección legal no es válida si se trata de su rostro. 

Hay que admitir que no es tan fácil alinear la cara de una persona con el móvil a la fuerza. Además, según Schiller, sus ojos deben permanecer abiertos para que el sistema funcione. No obstante, una vez que todo está en su sitio, el proceso tarda menos de un segundo en completarse.

El sistema también puede obstaculizar las investigaciones judiciales en el caso de que sea necesario buscar pistas en el teléfono de la víctima de un asesinato, por ejemplo. Ya ocurría algo similar con el reconocimiento de huellas dactilares: el año pasado, un ingeniero de la Universidad Nacional de Michigan se las vio y se las deseó para ayudar a la policía a acceder al Samsung Galaxy S6 de un fallecido bloqueado con este método biométrico.

Más datos sensibles a filtraciones

Por su parte, el extrabajador de la NSA Edward Snowden, que ha dado su parecer sobre FaceID en Twitter, relega las cuestiones tecnológicas a un segundo plano para destacar posibles problemas de privacidad. Snowden alaba un diseño que parece “sorprendentemente robusto” y la opción de deshabilitar el sistema, pero advierte que también contribuye a normalizar los escáneres faciales, “una tecnología de la que seguro se va a abusar”. 

Prueba de que Apple conoce las limitaciones de la herramienta y la conveniencia de añadir capas de seguridad adicionales es que los usuarios pueden activar y desactivar la función para distintas operaciones y que es necesario introducir una contraseña antes de extraer datos del teléfono. Además, iOS 11 dispone de un “modo SOS” que permite deshabilitar el reconocimiento facial pulsando cinco veces el botón situado en un lado del móvil.

En el caso de que el dueño del teléfono decida tener activado FaceID para el desbloqueo de la pantalla, el sensor de la cámara frontal permanecerá constantemente encendido. Algo que, según el abogado de la Electronic Frontier Foundation Adam Schwartz, se traduce en que también estará recogiendo datos continuamente. Es más, podría ver todo lo que haces, como Amazon Echo puede escuchar lo que dices en casa. 

La información, alerta Schwarthz, puede acabar en manos malintencionadas: desde ciberdelicuentes que consigan burlar la seguridad del teléfono hasta empleados de la empresa, pasando por agencias de espionaje –aunque algunas tienen ya sus propias bibliotecas de datos biométricos de los ciudadanos–. Por eso, “antes de que los usuarios activen la funcionalidad de ‘siempre encendido’, deben recapacitar sobre las consecuencias para su privacidad”, advierte el abogado.

Los de la manzana mordida ya ha aclarado que no almacenará los datos biométricos en la ‘nube’, sino que permanecerán en los teléfonos. No obstante, su valor para empresas como Apple o Google (o Facebook, si su aplicación pudiera acceder al ‘software’) es muy grande: podrían utilizar los sistemas de reconocimiento facial para estudiar, por ejemplo, los gustos de los usuarios a partir de las expresiones que adoptan mientras ven un vídeo, usan una ‘app’ o buscan información en internet.

Entonces, ¿qué es lo mejor? ¿Evitar a toda costa comprar el nuevo iPhone? Para tu bolsillo, seguramente sí. Pero para los que no puedan vivir sin llevarlo en el bolsillo, la única forma de mantener la seguridad del móvil es bloquearlo a la vieja usanza: con una contraseña alfanumérica de toda la vida. Como advierte el desarrollador y docente Quincy Larson, “si valoras la seguridad de tus datos –tu email, cuentas de redes sociales, fotos de familia, la historia de cualquier lugar en el que hayas estado con tu teléfono–, te recomiendo que no uses la identificación biométrica”.

------------------------------------------

Todas las imágenes que aparecen en este artículo son propiedad de Apple

“El adversario no necesita un ejército, solo un ordenador con conexión a internet”. Fueron las palabras de la ministra de Defensa alemana, Ursula von der Leyen, las que mejor resumieron el grave peligro al que se enfrentan los países hoy en día. Las pronunció durante la cita que congregó ayer a todos los ministros de Defensa de la Unión Europea para someterse a un examen informal sobre ciberseguridad.

Celebrado en Tallin, la capital de Estonia que acoge este semestre la presidencia del Consejo Europeo, este encuentro buscaba, además de concienciar a los representantes de los 28 sobre la necesidad de poner el foco en los ciberataques, evaluar sus conocimientos para reaccionar ante posibles incidentes.

Pero en esta reunión, bautizada CYBRID 2017, hubo una ausencia destacada. La ministra española de Defensa, María Dolores de Cospedal, no pudo acudir a causa de la reunión del Consejo de Ministros que se convocó de forma extraordinaria para recurrir ante el Tribunal Constitucional las leyes aprobadas por el Parlament para facilitar la desconexión de Cataluña.

En su representación, estuvo presente el almirante Juan Francisco Martínez Núñez, a cargo de la Secretaría General de Política de Defensa, para participar en la primera prueba de este tipo a la que se han sometido ministros y representantes de la Unión Europea bajo la atenta mirada del secretario general de la OTAN, Jens Stoltenberg.

Martínez Núñez, como el resto de representantes europeos, tuvo que demostrar su capacidad para contener un ciberataque simulado contra una de las bases navales del bloque. Concretamente, se trataba del sabotaje de las comunicaciones de la misión naval de la Unión Europea en el Mediterráneo, acompañado de una campaña de desprestigio en redes sociales destinada a provocar protestas ciudadanas.

Para participar en este ejercicio, a cada ministro o representante se le facilitaba una tableta en la que responder a una serie de preguntas en un máximo de una hora y media. Entre las cuestiones, por ejemplo, se les planteaba si creían conveniente emitir un comunicado oficial o preferían mantener sus acciones en secreto.

Este encuentro, en el que también se pudo ver a la ministra francesa, Florence Parly, junto a sus homólogos de Italia, Reino Unido o Portugal, también sirvió para plantear los desafíos de seguridad en las regiones del Sahel y el Cuerno de África y debatir medidas contra la amenaza de Corea del Norte.

De principio a fin: en busca de una respuesta conjunta

Este tipo de ejercicios destinados a poner a prueba nuestro sistema de defensa ante ciberataques no son nuevos para la Unión Europea. Desde 2010, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) celebra cada dos años el encuentro Cyber Europe, en el que se simulan una serie de incidentes virtuales para determinar la seguridad de nuestras redes, identificar sus errores y ponerles solución.

Porque, más allá de incidentes puntuales que ponen en riesgo la ciberseguridad de empresas y organismos, existe una amenaza a gran escala. La ciberguerra es un concepto mucho más amplio que, en el peor de los casos, puede conducir a un colapso total: el robo masivo de datos o el bloqueo de sistemas sensibles, tanto públicos como privados, son armas que pueden activarse a golpe de clic y hacer que se tambalee la estructura de una nación o de un conjunto de países.

Ante estos riesgos, la Unión Europea pretende implicar a sus miembros en la consecución de un marco conjunto capaz de hacer frente a las nuevas ciberamenazas. Para ello, el bloque pone a disposición de los Estados una serie de organismos y herramientas, como el Centro de Inteligencia y de Situación de la Unión Europea (INTCEN), la Política Común de Seguridad y Defensa (PCSD) o los grupos de trabajo StratCom, que permiten una coordinación y cooperación desde el análisis de la crisis y la evaluación del impacto hasta su resolución.

Sin embargo, aún quedan cuestiones en las que avanzar. CYBRID 2017 no ha abordado temas técnicos con los ministros, algo que está previsto que suceda en próximos eventos, aunque ya lleva tiempo realizándose desde otros ámbitos como la OTAN.

Así son las pruebas de preparación para el frente virtual

Desde 2010, el Centro de Excelencia Cooperativa de Ciberdefensa de la OTAN organiza cada año el encuentro Locked Shields, uno de los ejercicios técnicos más avanzados a nivel internacional. Allí, los equipos de los países de la Alianza se enfrentan al reto de preservar las redes y servicios de un país ficticio que recibe todo tipo de golpes virtuales.

Con una visión más global, la OTAN también celebra otro evento en otoño, la Cyber Coalition. Programado para noviembre, este encuentro está diseñado para ofrecer a sus participantes una comprensión mayor de las capacidades de la OTAN en materia de ciberdefensa e identificar sus áreas de mejora. Para ello, se llevan a cabo ataques imprevistos, como por ejemplo intrusiones en sistemas, que deben ser analizados y solucionados ya sea de forma teórica o práctica.

“El año pasado vimos un incremento del 60 % en los ataques a las redes de la OTAN, y es importante que trabajemos junto a la UE para defender a nuestros aliados y miembros ante diferentes tipos de ataques”, recordaba Stoltenberg en CYBRID 2017.

Independientemente del contexto, estar preparado es clave para combatir las amenazas. En España, el Mando Conjunto de Ciberdefensa es el organismo encargado de velar por la seguridad del ciberespacio. Pero más allá de su labor técnica de proteger nuestros sistemas ante cualquier riesgo, también es necesaria una gestión política eficiente. Dar respuesta y saber cómo hacerlo en este ámbito será fundamental para librar las guerras del futuro.

----------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de Annika Haas (EU2017EE), Raul Mee (EU2017EE) y Amo Mikkor.

Son muy socorridas y ya las puedes adquirir en muchos sitios, incluso a través de internet: las tarjetas regalo de tiendas virtuales (Amazon, Google Play, App Store…) y de establecimientos tanto físicos como online (Fnac, Media Markt, El Corte Inglés…) resultan de lo más socorridas cuando tienes que asistir a un cumpleaños o cualquier otra celebración con un obsequio, pero no tienes ni idea de qué comprar.

Sin embargo, muchas de estas tarjetas —desde su propio diseño a los sistemas para comprobar y canjear su valor— están mal planteadas desde el punto de vista de la seguridad, según ha demostrado tras años de estudiarlas Will Caput, investigador de la firma Evolve Security. Aprovechando sus múltiples vulnerabilidades, cualquier atacante con un mínimo conocimiento técnico (y algo de paciencia) podría utilizarlas para comprar con dinero ajeno tanto a través de la web como en persona.

La clave es que la numeración de estas tarjetas, según ha descubierto el ‘hacker’, suele seguir un cierto patrón. Por ejemplo, en una de doce cifras, los ocho primeros dígitos aumentan de uno en uno y los cuatro últimos son aleatorios. De esta forma, el delincuente que pretende sustraer el valor tan solo tiene que encontrar una tarjeta (o comprarla), ir sumando uno a la primera parte del número y averiguar, en cada caso, el tramo final.

A veces esto último lo puede hacer de forma fácil en la propia web del vendedor, en el apartado donde se comprueba el saldo de la tarjeta regalo. Simplemente tendría que llevar a cabo lo que se conoce como un ataque de fuerza bruta, tan sencillo como utilizar un programa que va probando todas las posibles combinaciones hasta dar con la adecuada. En el ejemplo, la herramienta no tardaría más de diez minutos en averiguar los cuatro dígitos que cambian y confirmar si la tarjeta está activada y cuál es su valor.

Con el botín en su poder, el asaltante ya solo tiene que gastarse el dinero antes que su legítimo dueño, la persona que activó la tarjeta. Lo puede hacer comprando o realizando un pedido a través de internet (si la tienda o el restaurante lo permite) o incluso acudiendo físicamente al establecimiento con una copia de la tarjeta cuya numeración ha comprobado impresa gracias a un dispositivo que se puede comprar por menos de 100 euros en Amazon.

“Básicamente estás robando el dinero de otra gente a través de estas tarjetas”, afirma Caput. “Es una ataque bastante anónimo”. De hecho, se sabe con certeza que los ciberdelincuentes han seguido esquemas muy similares para sustraer tarjetas que después vendían en el mercado negro de la internet oscura, en páginas como la clausurada AlphaBay.

Cientos de negociaciones en la infame web estaban relacionadas con la compraventa de tarjetas regalo robadas, tal y como demostró la compañía de seguridad Flashpoint en un reciente informe. Según sus datos, uno de los comerciantes más activos amasó una pequeña fortuna de al menos 400.000 dólares (más de 335.000 euros) vendiendo tarjetas de más de una docena de establecimientos.

Para prevenirlo, las empresas que tienen en marcha estos programas pueden recurrir a varias medidas de seguridad: implementar un ‘captcha’ robusto en su web que impida realizar ataques de fuerza bruta, no tener las tarjetas a la vista en sus establecimientos físicos, tapar la numeración con una banda gris que haya que rascar... Aunque ninguna descarta de golpe todos los posibles escenarios de fraude, la combinación de varias protecciones complica las cosas a los atacantes y puede conseguir, cuando menos, que el delito les resulte mucho menos lucrativo.

Comunicaciones por satélite, internet, Bluetooth… Es lo habitual, pero los hay que han decidido volver a la clásica radio. El miedo a los ciberataques está haciendo que algunos países desarrollen sistemas de navegación con este tipo de ondas para sus barcos. Hace poco se supo de veinte buques desorientados después de que su GPS los hubiera llevado a un lugar diferente al previsto. Hace unos años se supo también de organismos que estaban interesados en recuperar la máquina de escribir para que nadie pueda robar sus documentos digitales.

Es el caso de Corea del Sur, que al parecer está desarrollando un sistema alternativo de navegación terrestre, denominado eLoran, que cuenta con el apoyo de Brad Parkinson, uno de los padres del GPS. El año pasado, el país asiático dijo que cientos de sus barcos habían regresado a puerto después de una intrusión en sus barcos por parte de ciberatacantes de Corea del Norte, algo que su vecino negó. Ahora, el Ejecutivo quiere probar la nueva tecnología en 2019.

Estados Unidos, Reino Unido y Rusia también han sentido interés por eLoran, una tecnología todavía en pañales o en proceso de actualización, ya que habría que reajustar los dispositivos de radionavegación que ya no se usan y construir una nueva red. eLoran está inspirado en un sistema creado durante la Segunda Guerra Mundialun sistema creado durante la Segunda Guerra Mundial, y los expertos aseguran que es 1,3 millones de veces más fuerte que la señal de un GPS, pero que para que funcione necesita de mucha energía y de una gran antena.

eLoran se populariza justo cuando la industria está alertando de las ciberamenazas a las que se ven expuestas las embarcaciones. No solo se trata de que el GPS pueda guiarlos a otro sitio, sino de que sus sistemas informáticos se puedan ver infectados por algún tipo de 'malware' que permite tomar el control, modificar el rumbo o alterar cualquier otro aspecto de su funcionamiento. 

El retorno de la máquina de escribir

Aunque todavía se siguen usando como elemento 'retro' e incluso reinventadas y adaptadas a la tecnología digital, algunos países ven en las máquinas de escribir un recurso para evitar el robo y difusión de documentos. Ya en 2013, coincidiendo con la publicación de grandes cantidades de documentos por parte de WikiLeaks, se informó de que una agencia responsable de la seguridad en el Kremlin ruso las había comprado para evitar filtraciones. 

Alemania también ha contemplado recuperarlas tras las filtraciones sobre el ciberespionaje de la NSA por parte de Edward Snowden, que llevaron a que se constituyera una comisión para investigar esos sucesos. El temor era tal que hasta un político de la Unión Demócrata Cristiana, el partido de Angela Merkel, aseguró que habían pensado en las máquinas de escribir como alternativa. 

En cualquier caso, tirar de mecanógrafos no es sinónimo de riesgo cero. En tiempos de la Guerra Fría se desarrollaron sistemas con los que 'hackear' máquinas de escribir tradicionales. Por ejemplo, con micrófonos que registraran los golpes a las teclas o con pequeñas cámaras que filmaran a las personas mecanografiando, sin olvidar que esos documentos con letra de imprenta se podrían fotografiar.

Ordenadores sin conexión a internet

Otra aparente opción para escapar del espionaje es emplear dispositivos electrónicos que no se pueden conectar a la Red. En una entrevista, el escritor Arturo Pérez-Reverte revelaba que escribe en un ordenador sin acceso a internet para evitar las ciberamenazas. En el argot tecnológico, el término 'air gap' se utiliza para hacer referencia a un equipo que no está conectado (ni lo ha estado previamente) ni de forma directa (por cable, vía wifi...) ni indirecta a través de la vinculación con otros dispositivos (mediante, por ejemplo, Bluetooth).

Desgraciadamente, hace unos años se comprobó que el 'air gapping' tampoco es todo lo seguro que nos gustaría pensar. Hay una serie de ataques, denominados de canal lateral, que permiten acceder incluso a estas máquinas gracias a la información obtenida de fuentes tan diversas como el sonido de las teclas, el consumo energético del ordenador, el calor que genera, las luces que se encienden en su CPU o sus emisiones electromagnéticas.

A la cocina para evitar ataques

Y no solo es volver a tecnologías analógicas y olvidarse de determinadas conexiones, sino que también podemos optar por objetos de andar por casa para evitar los robos. Se hace para proteger, sin ir más lejos, las llaves inalámbricas de coches como los de Tesla (algunos de cuyos componentes se fabrican en España), cuyas señales se pueden copiar a distancia para abrir los vehículos sin el permiso de su dueño. Los atacantes lo hacen interceptando la frecuencia de radio entre la llave y la antena del coche con un amplificador de señal o dispositivos como el RollJam.

Para ahorrarnos disgustos, incluso cuando la llave está en nuestro bolsillo o a buen recaudo en casa, no hace falta que nos estrujemos la cabeza. Es tan simple como forrar la llave con papel de aluminio cuando no la estemos usando. Si no queremos envolverla y desenvolverla todo el tiempo, también se puede guardar en una caja forrada de este papel.

En casos como este, protegerse de los ciberataques puede convertirse en algo tan rudimentario que cualquiera lo puede hacer en casa, sin necesidad de desempolvar la vieja radio o la Olivetti.

-----------------

Las imágenes son propiedad de Pexels y Eric Wienke

Los proveedores de servicios de internet pueden recabar los historiales de búsquedas de usuarios estadounidenses y venderlos a terceros sin el permiso de sus dueños. Tienen vía libre desde abril, cuando Donald Trump aprobó una resolución ante la creciente presión de estas compañías que pedían esta facilidad para competir con Google. Tranquilizaban a los ciudadanos asegurando que, de todas formas, los datos estarían anonimizados.

En teoría, el proceso de anonimización, que aplican desde bancos hasta plataformas como Netflix para conocer mejor a su base de usuarios, debe garantizar que será imposible poner nombre o rostro a los individuos a quienes pertenece la información. En una época en la que los datos sirven de moneda de cambio e indicador de tendencias para las empresas, este paso, junto con su presentación en ficheros agregados, es fundamental y obligatorio para que puedan ser reutilizados sin vulnerar la privacidad de las personas.

Sin embargo, los hallazgos presentados por una periodista y un científico alemanes durante la última edición de la conferencia sobre seguridad informática DEF CON, celebrada en Las Vegas, demuestran que la premisa no siempre se cumple en la práctica. La comunicadora Svea Eckert y el experto en análisis de datos Andreas Dewes obtuvieron los datos de búsquedas, supuestamente anónimos, de más de tres millones de teutones. Los estudiaron hasta sacar pistas sobre la vida de sus dueños: desde las preferencias pornográficas de un juez a la medicación utilizada por un político.

La base de datos manipulada por Eckert y Dewes contenía 3.000 millones de direcciones web o URL a las que habían accedido los internautas durante un mes en el 2016 y sus correspondientes fechas. Contenía la actividad tanto de usuarios esporádicos (con una veintena de movimientos) como de otros que contaban sus visitas en decenas de miles. Todo recogido por una decena de extensiones que habían instalado en sus navegadores Google Chrome y almacenado en servidores de diferentes empresas.

“Este tipo de datos son recogidos y almacenados durante muchos años”, explica Eckert a HojaDeRouter.com. ¿Qué pasa si son filtrados? ¿Qué pasa si ‘hackean’ la compañía? ¿Qué pasa si alguien malintencionado compra estos datos y los libera?“ La periodista, que ya había aireado parcialmente la investigación el año pasado en el diario político alemán ARD Panorama, expone algunas posibles consecuencias: ”Mucha gente podría ser ridiculizada, chantajeada o podría meterse en problemas“.

Una empresa falsa para engañarlos a todos

Para conseguir la información, los investigadores crearon una empresa de ‘marketing’ digital ficticia, esforzándose por que la farsa pareciese real. Ente otros detalles, abrieron un perfil en LinkedIn de su supuesto director ejecutivo y una página web corporativa a la que incluso añadieron una sección con una trayectoria profesional y clientes falsos.

En el mismo ‘site’, la compañía anunciaba a bombo y platillo que había desarrollado un algoritmo de ‘machine learning’ capaz de mejorar la precisión de la publicidad y los anuncios personalizados en internet. El problema era que necesitaban entrenarlo con una gran cantidad de datos. Así se lo vendían a las casi cien empresas con las que la periodista contactó el año pasado para pedirles los historiales de clics que guardaban a cambio de dinero. “Firmas internacionales, muchas de ellas de publicidad, análisis de datos y revalorización de negocio”, describe Eckert.

Aunque más de una accedió, la mayoría le ofrecían información de usuarios británicos o estadounidenses, mientras que ella quería centrarse en Alemania. Finalmente, solo obtuvo una muestra, pero ni siquiera tuvo que pagar: se la entregó gratuitamente un ‘broker’ de datos deseoso de contribuir al desarrollo del (inexistente) algoritmo. Si bien es cierto que el conjunto estaba anonimizado, no fue demasiado difícil averiguar la identidad de muchos usuarios.

Quién es quién

Dewes echó una mano a la periodista para identificar a los internautas valiéndose de diferentes métodos. Algunos rastros eran especialmente fáciles de seguir, como las de aquellos que habían visitado la página de analíticas de Twitter. Todo el que lo hace deja una URL en su historial donde figura su nombre de usuario en la red social que, supuestamente, solo ve en su navegador.

En otros casos el proceso fue un poco más largo, pero tampoco demasiado. “Andreas demostró que es posible identificar a alguien con solo diez URL a partir de una serie de millones de datos”, dice Eckert. Así, esta decena de direcciones constituiría la “huella digital” de una persona. Asímismo, obtuvieron pistas de los datos de localización de Google Maps y listas descargadas de YouTube

Un fichero de datos anonimizados no es suficiente para saber el nombre y apellidos de un individuo, pero basta para “saber que eres tú”. Tu historial desvela las visitas a las páginas de tu banco, tu lugar de trabajo, tu periódico favorito o tu proveedor de internet. No obstante, si hubieran seguido con sus indagaciones, los investigadores solo hubieran necesitado otra base de datos en la que figuraran nombres completos para combinarla con la de visitas y obtener más información sobre los usuarios.

Otro de los descubrimientos de los alemanes implica a Google Translator. La aplicación del gigante de Mountain View añade cada palabra de una consulta a la URL de la página donde aparece el texto traducido. Así fue como averiguaron algunos detalles sobre un caso de cibercrimen investigado por las autoridades teutonas: sus responsables habían necesitado traducir las peticiones de colaboración para otros países a sus diferentes idiomas.

No es la primera vez que los expertos demuestran que es posible desanonimizar los datos recogidos y almacenados por distintas empresas de internet. En 2008, dos investigadores de la Universidad de Texas analizaron la información de las valoraciones de 500.000 usuarios de Netflix, supuestamente anonimizadas y destinadas a mejorar los algoritmos de recomendación de la plataforma. Usaron los perfiles públicos de IMDb para contrastar la información y revelar la identidad de los clientes del videoclub ‘online’ –de hecho, uno de ellos puso incluso una denuncia a Netflix por vulnerar su privacidad–.

En Europa, este tipo de datos anonimizados y agregados no se consideran datos de carácter personal, por lo que no deben cumplir con los preceptos del nuevo Reglamento General de Protección de Datos, que entrará en vigor definitivamente el año que viene.

Las pocas medidas de prevención efectivas recaen, así, sobre el usuario, que no tiene precisamente fácil controlar los flujos de datos que otros recaban. Por mucho que borres el historial de tu ordenador, este puede permanecer almacenado en los servidores de otras empresas. Eckert aconseja que, al menos, tengamos cuidado con las extensiones que instalamos, que solo nos fiemos si conocemos su modelo de negocio y que leamos bien sus términos y condiciones. Parte de los datos de su investigación fueron recogidos por Web of Trust, un programa para detectar páginas inseguras cuyo modelo de negocio se basaba, al menos en el 2016, en comerciar con información sobre la actividad de sus usuarios. Desde la empresa se defendieron asegurando que tenían su consentimiento y que los datos estaban anonimizados.

La periodista también sugiere la utilización de un ‘plugin antitracking’ de fiar, “porque hay otras formas, aparte de las extensiones, por las que pueden espiarte”. Desgraciadamente, pese a seguir todas las indicaciones , nadie parece estar libre de la cosecha de datos (no tan anónimos) que realiza casi cualquier empresa y servicio de internet.

----------------------------------------

Las imágenes de este artículo son cortesía de Svea Eckert y Andreas Dewes

Cuando Brett Velicovich se unió al ejército estadounidense después del 11-S, en las Fuerzas Armadas del país de las barras y estrellas todavía no había demasiados drones: solo las fuerzas especiales contaban con algunas unidades. “La primera que vez que vi uno cuando era un joven soldado me quedé impresionado, pensando en cómo podría utilizarlos para proteger a los compañeros a mi alrededor”, explica Velicovich a HojaDeRouter.com.

Sin embargo, cuando dejó el ejército diez años después, tras haber sido analista de inteligencia y miembro de la unidad de operaciones especiales Delta Force, la mayor parte de las misiones ya no se realizaban a no ser que hubiera una de estas aeronaves no tripuladas sobrevolando el perímetro para proteger a los militares en tierra.

Especializado en ataques de drones destinados a eliminar a terroristas peligrosos, la historia de sus años en el ejército y de su participación en el asesinato de líderes terroristas de Al-Qaeda se plasmó en un libro llamado ‘Drone Warrior: An Elite Soldier's Inside Account of the Hunt for America's Most Dangerous Enemies’. Escrito por él mismo y por Christopher S. Stewart, un periodista de The Wall Street Journal ganador del Premio Pulitzer, y revisado por el Gobierno estadounidense para eliminar posible información clasificada, los derechos de su biografía ya han sido adquiridos por la Paramount Pictures que se encuentra produciendo una película sobre su vida. El director será Michael Bay, también detrás de las cámaras en títulos como 'Pearl Harbour', 'Armageddon', 'La Isla' o la saga Transformers. “Mi trabajo era cazar a los terroristas más peligrosos del mundo. Si yo te estaba persiguiendo, nunca me verías”, explica este experto operario de drones.

Cuando dejó el Ejército, y tras sufrir, como muchos otros excombatientes, un periodo difícil de adaptación, Velicovich fundó Expert Drones, una compañía que se dedica a la comercialización de vehículos aéreos no tripulados para el público general y que realiza servicios de consultoría. Además, también creó la iniciativa ‘The African Eye Project’ con el objetivo de usar los drones para el bien y, en concreto, con propósitos humanitarios diversos en el este de África.

“La tecnología ha llegado tan lejos en los años más recientes que ya no es solo una herramienta para la guerra, sino que puede usarse para revolver algunos de los conflictos humanitarios más complejos, incluyendo los crímenes contra la fauna, el tráfico de personas o la entrega de material médico a los lugares más inaccesibles”, concreta.

Aún así, Velicovich también mantiene su atención puesta en la evolución del uso de los drones en combate. Y se muestra especialmente preocupado por la falta de inversión gubernamental en los drones de consumo, aquellos que se pueden adquirir en una tienda y que con unas cuantas modificaciones podrían emplearse para matar. “No voy a decir qué modificaciones son necesarias porque no quiero compartir el manual de estrategia con el enemigo”, explica Velicovich. “Pero con acceso al equipo adecuado podría modificar uno fácilmente y usarlo para hacerle daño a alguien”, afirma.

El experto aclara que no lo dice porque lo vaya a hacer, sino porque cree que los Gobiernos, y no solo el estadounidense, necesitan ser conscientes de todas las capacidades de los drones de consumo. “La mayor parte de los países no tienen ni idea de lo que son capaces los drones comerciales porque se han centrado en tecnología militar muy restrictiva como los Predators y los Reapers”, relata.

Sin embargo, este experto no cree que haya que estar asustado de este tipo de tecnología que tan rápidamente ha proliferado (solo en Estados Unidos, en 2016, se vendieron 2,5 millones de unidades de drones, el doble que el año anterior). “No deberíamos estar asustados, porque el futuro de este tipo de drones comerciales es beneficiar a la humanidad. Pero tenemos que ser conscientes de que hay actores ‘malos’ ahí fuera que quizá usen esta tecnología contra nosotros”, explica. “Estoy diciendo básicamente que necesitamos estar preparados con formas para pararlos antes de que algo ocurra”.

Velicovich explica que, por desgracia, ya hay agrupaciones como ISIS que se han dado cuenta de que los vehículos aéreos no tripulados que pueden adquirirse en una gran superficie o en una tienda especializada pueden ser empleados como armas. “Ya los están usando contra tropas en Irak y en Siria”, dice. “Hay más de treinta variantes de drones de consumo modificados por ISIS para atacar distintos objetivos. No son tan capaces como los del gobierno, pero cada día inventan maneras de convertirlos en herramientas más poderosas para usarlos en el campo de batalla”, añade.

Este experto explica que ISIS ha establecido talleres de drones y que en enero creó una unidad en Siria que se dedicaría a entrenar a otros para que aprendieran a modificar estos aparatos para equiparlos con explosivos para destruir objetivos. “La industria del dron está trabajando en soluciones para detectar y derrotar a pequeños drones comerciales y también para controlarlos antes de que puedan hacerle daño a gente inocente”, relata. Sin embargo, en su opinión es necesario mucho más apoyo del Gobierno.

“Los Gobiernos deberían de empezar a invertir mucho más de lo que invierten actualmente en drones de consumo. Y, lo que es más, deberían hacer que los contratistas de defensa del mundo que están construyendo tecnología militar tan restrictiva crearan una división de drones comerciales y que le buscaran un nuevo propósito a la antigua tecnología del Gobierno, que podría reconvertirse en herramientas para negocios”, añade.

A pesar de los peligros de los que él mismo avisa, Velicovich cree que los propios drones que se usan para matar gente acabarán contribuyendo a mejorar el mundo. “Los mismos drones que están siendo utilizados para contraterrorismo pueden emplearse para encontrar a supervivientes en un desastre natural o para ayudar a organizaciones como la ONU a llevar a cabo búsquedas y operaciones de rescate”, concluye.

----------------------------------------------

Las imágenes de este artículo son propiedad de Brett Velicovich, Andrew Turner y The African Eye Project

Trabajan entre sombras, con capuchas que tapan su rostro y probablemente guantes. Escriben mucho en sus ordenadores, una serie de caracteres muy pequeños, como abigarrados, que parecen difíciles de entender para los legos en la materia. A veces pueden llevar una máscara; otras, el gorro de su sudadera impide que cualquier tipo de luz haga siquiera una sombra y veamos sus facciones. Estamos hablando de los 'hackers'. O de cierta representación de los 'hackers'...

Algunos medios de comunicación y parte de la sociedad equiparan a los 'hackers' con piratas informáticos o ciberdelincuentes, cuando este colectivo reclama una definición más positiva y ajustada a la realidad: son los expertos en analizar sistemas informáticos para comprobar si hay fallos en su seguridad. Quizá accedan, por ejemplo, a un cajero automático, pero será tan solo para avisar a la sociedad de los peligros que entrañan sus vulnerabilidades y a la entidad de que debe mejorar la protección.

La oleada de incidentes provocados en todo el mundo por el 'ransomware' WannaCry ha vuelto a mostrar la pluralidad de significados (no todos admisibles) que se asocian a los términos 'hacker', 'hackeo' y demás miembros de la familia de palabras. Lo que se produjo fue una serie de ciberataques, de delitos informáticos. Sin embargo, una vez más, se utilizaron por doquier las palabras 'hacker' y 'hackeo' y se utilizaron imágenes escasamente realistas para ilustrar los artículos.

El diccionario de la RAE recoge un significado que está muy extendido: “pirata informático”. Los profesionales de la seguridad, los auténticos 'hackers', llevan tiempo luchando contra esa connotación, de la que el Instituto Cervantes también ha informado en su página web. La Fundéu, a raíz de la crisis WannaCry, también advirtió sobre el significado de 'hacker' y sugirió a los periodistas que utilizaran la palabra 'cracker' para denominar a aquella persona que accede a sistemas informáticos ajenos “con fines delictivos”. Un término más adecuado pero prácticamente en desuso.

En inglés, 'hack' es, según el Diccionario Oxford, “obtener acceso no autorizado a datos en un sistema y ordenador”, sin especificar si se hace por motivos maliciosos o para comprobar su seguridad.

Por mucho que los profesionales de la ciberseguridad se empeñen en hacer estas aclaraciones, las fotos con sudadera y escenarios oscuros abundan en la Red, disponibles tanto en bancos de imágenes gratuitos como de pago. El británico Pete Linforth, más conocido como HypnoArt, es uno de los fotógrafos que tiran de esos tópicos en sus creaciones. Linforth es artista ‘freelance’ y la mayor parte de su obra se puede ver en el banco de imágenes gratuito Pixabay, “como una manera de ofrecer gratis mi trabajo para el mundo”, cuenta a HojaDeRouter.com.

Para Linforth, un 'hacker' conjuga “algo desconocido, algo oscuro, algo secreto”. Por ello, cuando va a representarlos, termina “tejiendo estos pensamientos clave en las imágenes”. En sus obras es característica la capucha sobre la cabeza que no deja pasar la luz al rostro, a veces en composiciones con unos y ceros de fondo en la parte frontal. También aparecen como 'hackers' personas con gafas oscuras y sombrero, en una versión sofisticada del 'outfit' de la sudadera.

Para crear estas imágenes, Linforth se sirve sobre todo de Photoshop. En cuanto a los modelos, cuenta que recurre a fotos que ya hay en Pixabay o Pexels, otro banco gratuito donde, al introducir el término 'hacker', aparecen imágenes de código y una máscara de Anonymous.

Este veterano diseñador (lleva trabajando con imágenes digitales desde los años 80) cree que estas imágenes son “una gran metáfora” del 'hacking': “Estoy seguro de que en la vida real no todos los 'hackers' llevan capuchas, pero para obtener un mensaje a través de una pieza de trabajo tienes que exagerar y aportar marcadores para indicar a la gente de qué va la imagen”. Y eso a pesar de saber que hay dos sentidos para la palabra 'hacker'. Sin embargo, cuando piensa en la palabra, “es el 'lado oscuro' el que me viene a la mente”, admite.

Son muchos los usuarios que cuelgan en Pixabay imágenes de 'hackers'. Además de las de Linforth están las fotocomposiciones del fotógrafo geralt: la ya famosa capucha con un cartel de CYBERCRIME (cibercrimen); una figura humana de espaldas, también con capucha, con ceros y unos… Este fotógrafo ha explotado el recurso de la sudadera una y otra vez, con mayor o menor simpleza. Contactamos con geralt para entrevistarlo, pero no respondió a nuestros mensajes. Otro de estos usuarios es Khusen Rustamov, más conocido como xusenru, que también ha utilizado el recurso de la figura misteriosa.

Las fotografías de 'hackers' como algo siniestro y oscuro también son un imprescindible de los bancos de imágenes de pago, de los que se espera una mayor calidad. En Shutterstock, por ejemplo, se puede encontrar el trabajo de REDPIXEL_PL. En sus creaciones sobre 'hacking' abundan las manos anónimas y las pantallas de ordenador con un código recargado. Hay sudaderas y máscaras de Anonymous, pero también alguna imagen que podría representar a los 'hackers' éticos, como la de una mujer y un hombre frente a dos pantallas de ordenador en cuya descripción se lee “Desarrollando tecnologías de programación y codificación”.

Detrás de REDPIXEL_PL se encuentra Artur Marciniec, un artista, fotógrafo e ilustrador polaco de 32 años que se dedica a realizar fotografías de 'stock'. Además de en Shutterstock, sus imágenes se pueden encontrar en Fotolia y otras plataformas similares. Comenzó hace ocho años (“alguien me dio la idea”, cuenta a HojaDeRouter.com) y para sus creaciones se sirve de modelos, pasados por Photoshop cuando es necesario.

Para él “los 'hackers' son ilegales” y “algo que es ilegal no puede ser bueno”. Él asocia su actividad al amparo de la noche, en un clima de oscuridad sin nombres ni rostros. “Buscar un 'hacker' es buscar este tipo de foto”, afirma, aunque también reconoce que algunos pueden operar con buenas intenciones. En ese caso, “dejemos que haga sus cosas”.

La dificultad de representar

“Poco a poco lo vamos cambiando”, asegura Pablo San Emeterio, Chief Security Ambassador de ElevenPaths, a HojaDeRouter.com. “Poco a poco la gente va aceptando lo que es ser un 'hacker', lo va entendiendo. Incluso en los propios medios de comunicación empiezo a ver que cambia un poco el chip y el estereotipo”, señala.

Aun así, como muchos colegas de profesión, opina que la representación mayoritaria sigue siendo negativa, poco cercana a la realidad. “No es la imagen típica la de una persona ahí en la oscuridad, tecleando con capucha y que no se le vea, rollo 'Mr. Robot', sino más bien todo lo contrario: vamos con nuestro polo, algunos incluso van bien vestidos, con camisa y corbata”. Además, recuerda que el trabajo diario de un 'hacker' no implica solo estar con el ordenador: “Hay otros muchos que además tienen que lidiar con temas de negocio y explicar a la gente qué es la seguridad”.

Si San Emeterio trabajara para un banco de imágenes, representaría a sus compañeros “más normales”, aunque así podrían confundirse con algún otro profesional de la informática o de la tecnología. “Tienes el aspecto del consultor que va con el traje; tienes el de redes, que le ves más cableando, y a nosotros, que nos ves más metidos buscando la vuelta a los sistemas”, concreta. “Una imagen diferente es complicado. No te sabría decir cuál es el icono que más nos representaría”, resume.

------------------------

Las imágenes son propiedad de Pixabay (1, 2, 3, 4)

Aunque no solemos reparar en ello, por aquello de que se trata de una función intrínseca a los teléfonos desde su invención, las llamadas que se realizan a través de un 'smartphone' recurren a una ‘app’ para ello. Se trata del marcador (o ‘dialer’, en inglés), esa herramienta que aparece en la pantalla principal de cualquier móvil, generalmente con un icono que recuerda a los teléfonos de antaño, y que da acceso al historial de llamadas, la agenda y al propio teclado numérico del terminal.

Al tratarse de una aplicación más, esa maraña de permisos que acompaña a cada una de las herramientas que instalamos en nuestro dispositivo también está presente aquí, convirtiendo un simple programa para hacer llamadas en una potencial caja de los truenos. “El problema de que toda la interfaz de comunicación entre el teléfono y el usuario haya pasado de ser ‘hardware’ a ser puro ‘software’ es que no podemos conocer qué y cómo hace ciertas cosas ese ‘software’ si no es libre (y aun así)”, explica el jurista experto en tecnología David Maeztu.

La situación puede ser más peliaguda si los responsables del sistema operativo móvil deciden sustituir el ‘dialer’ habitual (en Android, el de Google) por una aplicación de terceros con sus propias políticas de privacidad. Y eso fue precisamente lo que advirtió el estudiante de doctorado en Informática Martin Rünz al actualizar su Wileyfox Swift, un móvil de padres británicos que utiliza CyanogenMod como sistema operativo. “Desconfío del nuevo ‘dialer’ porque es una aplicación de terceros de una empresa que aprovecha los datos de los usuarios”, explica el propio Rünz a HojaDeRouter.com. “Es bastante escalofriante leer su política de privacidad, ya que la lista de información recopilada es muy larga”.

La actualización que provocó la desconfianza de Rünz es la misma que han recibido millones de usuarios desde que CyanogenMod anunciara su alianza con TrueCaller, una aplicación creada para que resulte fácil identificar las clásicas y molestas llamadas de ‘spam’ y que, gracias a una comunidad de más de 250 millones de usuarios, aspira a convertirse en una suerte de guía telefónica del siglo XXI.

Para ello, eso sí, se nutre de una ingente cantidad de datos, lo que le ha granjeado cierta mala fama a la plataforma y, de paso, ha convertido en polémica su aparición como ‘dialer’ por defecto en los móviles con CyanogenMod. Y aún hay más: la ‘app’ también ha comenzado a hacer acto de presencia en los terminales de la asiática Huawei y en los Wileyfox después de que la compañía europea abandonara CyanogenMod para echarse a los brazos de Android.

“Guardan tu ubicación, tu dirección IP, tu agenda de contactos y mucho más”, explica Rünz tras haber analizado con detenimiento los términos y condiciones de esa aplicación que ha sustituido, de la noche a la mañana, al marcador habitual de su teléfono móvil. “No tengo ningún motivo para fiarme de lo que haga True Software Scandinavia AB [la compañía sueca responsable de la 'app'] con mis datos”.

No es solo la información del propio usuario de TrueCaller lo que viaja hasta los servidores de la empresa. De hecho, muchos números de teléfono están presentes en su base de datos sin que sus propietarios sean usuarios de la aplicación: basta con que estén en la agenda de alguien que sí utiliza TrueCaller para que su número pase a formar parte de esa enorme guía telefónica que cuenta ya con miles de millones de datos.

La justificación es que los necesitan para que los usuarios de TrueCaller puedan saber de quién es ese número desconocido que les ha hecho una llamada. ¿Es una empresa que quiere venderles algo? ¿Un amigo de la infancia que ha conseguido el número? Sea quien sea, probablemente esté en la guía telefónica de la ‘app’.

Eso, que entraña ventajas evidentes, también tiene un lado más oscuro. “Recopila un montón de información que, por ejemplo, está muy limitada en su uso por la legislación de retención de datos”, explica Maeztu. “Aunque no afecte al contenido de las propias comunicaciones, se puede considerar una injerencia grave en derechos fundamentales”.

“El problema de la ‘app’ no es solo que venga impuesta, sino que no se nos informe de permisos y cesiones de datos con carácter previo a su uso, como sí sucedería en el caso de que lo instaláramos desde el ‘market’”, explica el también jurista experto en tecnología Sergio Carrasco.

Sin registro, ¿hay asalto a la privacidad?

A partir del momento en que vio la nueva ‘app’ en su teléfono, Rünz emprendió su particular cruzada por saber un poco más sobre TrueCaller, pidiendo explicaciones tanto a los responsables de la aplicación como a la británica Wileyfox. “La respuesta del fabricante llegó rápidamente, pero era poco satisfactoria y genérica”, explica este usuario preocupado.

En ese correo, desde Wileyfox le informaron de que, “desafortunadamente, no se puede desintalar TrueCaller, ya que es el marcador predeterminado”. La única solución que le proponían pasaba por utilizar otra aplicación de terceros diferente, una alternativa que, lógicamente, tampoco le satisfacía.

Los responsables de TrueCaller, por su parte, le enviaron un correo algo más tranquilizador, en el que aseguraban que la 'app' “no tiene acceso a ningún tipo de información” a menos que el usuario se registre para utilizar los servicios adicionales, como la citada identificación de llamadas. Si la utilizaba únicamente como marcador, como también le aseguraron desde Wileyfox, no tendría de qué preocuparse.

A pesar de ello, la sombra de sospecha aún planea sobre este ‘dialer’. “Es complicado demostrar, si el código es cerrado, que lo están cumpliendo, salvo por un chivatazo interno o error en la gestión de esa información”, recuerda Maeztu. “La verdadera pregunta es: ¿confiamos en que no guarden información cuando no estamos registrados? Yo no”, sentencia Rünz.

Pero una vez que se sospecha hasta del marcador que viene por defecto en el dispositivo, se abre la veda: “Tampoco podemos saber a ciencia cierta si el ‘dialer’ que viene por defecto habitualmente o las aplicaciones de Google hacen uso o recolectan todas y cada una de las pulsaciones detectadas”, añade Maeztu.

Para acabar con toda incertidumbre, Rünz optó por la compleja opción de ‘rootear’ su Android para eliminar todo rastro de TrueCaller. Su siguiente paso es encontrar una alternativa de código abierto, pero no está resultando fácil. “Se supone que los teléfonos tienen un marcador por defecto”, señala con ironía.

Mientras tanto, hay una solución para cualquier persona que, usuaria o no de TrueCaller, prefiera que sus datos no aparezcan en una guía telefónica a la que millones de personas pueden acceder: es posible pedir, a través de esta página, que tu número sea eliminado esta páginade la lista.

----------------

Las imágenes son propiedad de flattop341 y Luca Viscardi