Como complemento al artículo que publiqué la semana pasada sobre ciberespionaje, mi propuesta en este caso es relacionar algunos de los canales que podrían ser utilizados para acceder a nuestros datos y mensajes a través de Internet. Agradeceré cualquier aportación que ayude a ampliar la lista. El objetivo es que seamos todos conscientes de que la mayor parte de las herramientas que utilizamos para comunicarnos y para almacenar información pueden ser objeto de un acceso no autorizado.
- Interceptación de mensajes de correo electrónico en tránsito
- Software de rastreo y registro de mensajes
- Acceso a mensajes de correo electrónico tras petición al ISP
- Acuerdo con ISP para acceder directamente a los mensajes
- Puerta trasera en sistema operativo
- Puerta trasera en software de cifrado
- Software de cifrado con clave poco robusta por leyes de exportación
- Puerta trasera en firmware de router wifi
- Puerta trasera en firmware de centralita telefónica
- Puerta trasera en software de VoIP
- Puerta trasera en aplicaciones de ofimática y ERP
- Petición a proveedor de cloud computing o red social
- Acuerdo de acceso continuado con proveedor de cloud computing o red social
- Acceso directo al flujo de datos de la infraestructura nacional de fibra óptica
- Acceso a nodos neutros y al tráfico de datos no estructurados que fluye por ellos
- Acceso a repositorios de información con datos estructurados
Adicionalmente cabe mencionar características técnicas actuales, futuras o presuntamente frustradas que pueden facilitar el acceso no autorizado:
- Protocolo IPv6
- Dirección MAC
- Número de serie del procesador
- Registro de redes y routers wifi
- Numero de serie de la aplicación utilizada oculto en el fichero enviado
- Geoetiquetado de contenidos
- Identificador único de usuario
- Publicidad basada en el comportamiento
- Madurez en la gestión de datos no estructurados (Big data)
La primera lista correspondería a los canales directos y la segunda a los indirectos.
La publicidad comportamental, por ejemplo, sería un canal indirecto, ya que los gobiernos no accederían directamente a los datos de los usuarios, sino a través de la captura de datos recopilados y analizados por las redes publicitarias, utilizando las eventuales puertas traseras del software que estas redes pudiesen estar utilizando (sistemas operativos, software de cifrado, software ofimático, servicios cloud, etc.).
Un canal directo de análisis comportamental de la ciudadanía serían las redes sociales, mediante herramientas de big data que Twitter, por ejemplo, ofrece como servicio a los analistas.
Todos estos datos podrían ser útiles para realizar predicciones y analizar tendencias de opinión y de comportamiento de forma masiva. Ello hizo posible que una sola persona acertase con sus predicciones los resultados de las pasadas elecciones presidenciales en EEUU.
En el apartado remedios, pocas novedades hay: bloquear todas las cookies, utilizar firewalls, sistemas de navegación anónima y herramientas de cifrado que no sean norteamericanos, y no tuitear sobre gustos personales, hábitos de consumo, tendencias de voto, ideología y cualquier otro elemento que ayude a la segmentación, ala elaboración de perfiles o a la definición de tendencias, por ejemplo.
REFERENCIAS
Creo que en la lista deberían figurar los puntos neutros de la red, que vienen a ser puntos de intercambio de tráfico entre redes comerciales y redes públicas. Seguramente el mejor lugar para “pinchar”.
Dicho esto, añadir que “pinchando” la red, aunque resulte sencillo hacerlo en un punto neutro, te facilita un montón de tráfico desestructurado, difícil de procesar. Es mucho más rentable atacar los repositorios dónde la información ya está de nuevo estructurada (Un buen hacker no intentará inteceptar un número de tarjeta de crédito en tránsito, atacará la base de datos donde se guardan los números de tarjetas)
Muchas gracias Ángel. Lo incorporo a la lista.
Xavier
Pingback: UNIVERSO LOPD: Boletín-Noticias nº18. 21 a 27 de Junio. | Universo LOPD: tu blog de protección de datos