La Ciberseguridad. Tercera (III) y última parte: El Gobierno nos espía.

Portada Revista Time: Julian Assange (Fundador de WikiLeaks)

La Ciberseguridad:
Primera parte (I). Antecedentes de la Ciberseguridad
Segunda parte (II): El valor económico de los datos y la información


Cuando se menciona la palabra "espías", probablemente lo primero que nos viene a la mente es un espía de ficción al puro estilo de Hollywood: James Bond, Sherlock Holmes, Mata Hari, Nikita, Tom Cruise con su "Misión Imposible", Leonardo DiCaprio en "Infiltrados" o Matt Damon con la "Saga Bourne". Pero esto tiene poco o nada que ver con los servicios de espionaje o inteligencia en el mundo real.

Se denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtención encubierta de datos o información confidencial. Las técnicas comunes del espionaje han sido históricamente la infiltración y la penetración:

La infiltración es la técnica utilizada para introducir unidades propias en las filas del contrario o blanco, para que suministren información de interés inmediato o potencial sobre las actividades, capacidades, planes, proyectos, etc. del contrario.

La penetración es la técnica que consiste en lograr la colaboración consciente o inocente de un miembro de la organización o grupo contrario con el fin de que proporcione datos e información confidencial del grupo al que pertenece.

Cabe destacar, que también existe el denominado espionaje industrial que es la obtención ilícita de información relativa a la investigación, desarrollo y fabricación de prototipos, mediante las cuales las empresas pretenden adelantarse a sus competidores en la puesta en el mercado de un producto novedoso.

En definitiva, el espionaje, tiene como finalidad preservar la seguridad nacional y la defensa de un país, anticipándose a las posibles amenazas tanto internas como externas, lo cual se conoce como servicios de inteligencia (que incluyen la Inteligencia Económica) o la práctica del Contraespionaje (es la actividad de evitar que el enemigo obtenga información secreta, tales como la clasificación y el control cuidadoso de información sensible y crear desinformación).

Ejemplo contraespionaje: Un 'hacker' acusa a EE.UU. de utilizar a Anonymous para su ciberguerra "ilegal".

Se pueden identificar como objetivos del espionaje las siguientes características de un país:
  1. Recursos Naturales (alimentos, energía y materiales).
  2. Sentimiento Popular de la población acerca de las políticas nacionales o internacionales.
  3. Fortalezas Económicas Estratégicas (producción, investigación, manufactura y infraestructura).
  4. Capacidad de la Inteligencia Militar (ofensiva, defensiva, maniobras, naval, aérea, espacial).
  5. Contrainteligencia (cómo la desarrolla cada país).
En la Era de Internet, el espionaje tiene otras dimensiones y un mayor alcance, donde el problema es la invación a la privacidad de los usuarios, no solo de el país que espía, sino de todos los agentes involucrados en robar información privada, es decir, todos nos encontramos en un riesgo de perdida de información, tanto del gobierno, como de delincuentes informáticos o victimas del ciberterrorismo (en el más extremo de los casos hasta el momento).

Así lo han dejado al descubierto ciberactivistas como Manning, Julian Assange, Snowden o Anonymous.

El miedo al ‘caso Snowden’ atenaza a las empresas de correo electrónico seguro: Dos servicios de mensajería cifrados cierran en menos de 24 horas. Lo que nos llevaría a preguntarnos ¿Cómo EE.UU. acaba con las empresas que se niegan a someterse a las escuchas?

Existe el Tribunal de Vigilancia de la Inteligencia Extranjera (FISA, por sus siglas en inglés) que tiene todos los derechos para obligar a cualquier empresa estadounidense a participar en el espionaje generalizado.

Según 'The New Yorker', el tribunal puede utilizar muchos castigos tras la negativa a someterse al espionaje: multas clasificadas para cada día de incumplimiento de la orden, o incluso mandar a los ejecutivos a una cárcel secreta por desacato civil.

Los periodistas están seguros de que la situación actual de secretismo en el FISA "atrapa a las compañías en el dilema del prisionero": Microsoft no sabe si Google se resiste heroicamente a las órdenes de la NSA, respaldadas por el FISA; el jefe de Apple, Tim Cook, no sabe si el fundador de Facebook, Mark Zuckerberg, se enfrenta a la cárcel por luchar por la libertad.

"Ninguna empresa quiere ser la única en reconocer su cooperación bajo el PRISM y otros programas, ni tener una pinta de débil en los asuntos de la privacidad y ponerse frente a una desventaja competitiva. Es por eso que Google y otras compañías están pidiendo mediante el derecho revelar su participación. Y, por supuesto, ninguna quiere ser la primera empresa cerrada por desacato civil", escribe 'The New Yorker'.

Muy pocas empresas estadounidenses han logrado enfrentarse con el Tribunal de Vigilancia de la Inteligencia Extranjera. Por ejemplo, Yahoo resistió a las órdenes de la FISA en 2007 y 2008, confirma Walton. Pero finalmente Yahoo cedió ante la amenaza de ser cerrada por desacato civil. En cada caso, la empresa luchó para informar a los usuarios de lo que estaba ocurriendo, pero le negaron este derecho.

¿A que nos enfrentamos?

Por una parte, ya es un hecho que no nos podemos fiar de las grandes empresas que se negaron en un principio y ahora ya soy colaboradores de la NSA, como Google, Microsoft, Yahoo, entre otros. Por ejemplo, Google: los usuarios de Gmail no deben esperar privacidad. Los clientes de Gmail deben entender que toda su correspondencia puede ser y será ojeada para distintos fines, como publicidad y muchos otros, afirman los abogados de Google.

Cabe destacar, que uno pensará, yo no vivo en Estados Unidos, por tanto, no me afecta la vigilancia de la NSA. INCORRECTO. Los servidores de todas estas empresas, así como sus productos y servicios, se encuentran en Estados Unidos y pasa forzosamente toda información por estos, la cual es escaneada y se almacena aquella que se considera "sospechosa". Pero "sospechosa", no esta definido - por razones de seguridad nacional - así que no sabemos que palabras claves son las que buscan, pero creanme deben de ser unos cuantos cientos de miles de palabras.

Según la NSA, afirma que solo toca el 1,6% del tráfico total de Internet. Otras fuentes afirman que es el 75%.

Como en la película "Minority Report", ya se empiezan a ver Papeleras de Londres extraen datos de los teléfonos de los transeúntes por Wi-Fi:

El proyecto 'Renew' consiste en 200 papeleras con pantallas digitales instaladas en la City de Londres antes de los Juegos Olímpicos de 2012. Sin embargo, hace poco la compañía cambió el experimento y equipó 12 papeleras con instrumentos para monitorear los teléfonos móviles de los transeúntes.

La papelera graba el número único de identificación, conocido como 'dirección MAC', de todos los dispositivos cercanos que tengan activada la conexión Wi-Fi o Bluetooth. Entre otras cosas, esto permite identificar si se trata de la misma persona que pasaba por el mismo lugar en un día, calcular su ruta preferida e incluso la velocidad con la que anda: según detalla Renew, las papeleras remiten la información recogida cada tres minutos. La compañía detalla que usa la combinación de la información que extrae de los teléfonos (en primer lugar, las páginas web que visita el usuario) para venderla a los anunciantes y que estos puedan personalizar la publicidad que hacen en la zona.

Cabe destacar que para los transeúntes la intercepción de sus teléfonos pasa inadvertida: las papeleras Renew no solicitan ningún permiso ni mandan ningún mensaje de aviso a los 'smartphones' espiados.


renewlondon.com

Sobre robos históricos de información de usuarios, esta el que vivió SONY en 2011: Sony admite un robo adicional de datos que afecta a casi dos centenares de usuarios en España:
  • Queda expuesta información personal no bancaria de 24,6 millones de cuentas
  • Hay también 12.700 informaciones sobre tarjetas de crédito de fuera de EEUU
  • Y 10.700 cuentas bancarias de clientes en España, Holanda, Alemania y Austria
  • En España, hay 174 cuentas de clientes comprometidas, 114 con datos de tarjetas

Al final, por ejemplo, en Reino Unido, la compañía tecnológica fue multada con, aproximadamente, $395,000, por el robo de datos personales en abril de 2011.

Un caso más reciente es el robo de millones de dólares de cuentas de varios bancos en EE.UU. accediendo al sistema que administra la transferencia de pagos mediante ataques DDoS de baja intensidad.

Aquí les dejo un informe mensual del tráfico de Internet, tan solo en Estados Unidos: comScore MMX Ranks Top 50 U.S. Web Properties for July 2013. Los 20 primeros "sites" en Estados Unidos, por tráfico:
  1. Yahoo
  2. Google
  3. Microsoft
  4. Facebook
  5. AOL
  6. Amazon
  7. Glam Media
  8. Wikipedia
  9. CBS Interactive
  10. Turner Digital
  11. Apple
  12. Ask Network
  13. eBay
  14. Viacom Digital
  15. Comcast NBCUniversal
  16. About
  17. Demand Media
  18. VEVO
  19. Gannett Sites
  20. Linkedin
Como se puede apreciar, a los que nos preocupa el tema de la privacidad y la seguridad de nuestra información privada, hay tres flancos de los cuales nos tenemos que proteger: 1) El gobierno, 2) Los delincuentes y 3) Las empresas (marketing y publicidad).

Link: Crimen digital: Los delincuentes informáticos más conocidos.

Para ello, "la comunidad" responde con productos y servicios para garantizar nuestra seguridad:
  1. Servicio de correo Megadownload.
  2. Navegador Pirata Bay.
  3. Algunas de las tantas opciones de correo anti-PRISM.
  4. Surespot, WhatsApp encriptado: La aplicación impide las capturas de pantalla.
  5. Esta página ofrece una muy amplia y completa serie de softwares contra la vigilancia de datos de los programas globales gubernamentales PRISM, XKeyscore y Tempora.
  6. Descubre cómo, con la ayuda de VPN, puedes mirar películas que están bloqueadas en tu país, entrar a sitios web a los que no tienes acceso, ocultarte del FBI cuando descargas torrents y más. ¿Qué se puede hacer con una VPN?
  7. Finalmente, un resumen en español con los 10 trucos para burlar el espionaje de la NSA en Internet.


Se espía a todo el mundo

Cartoon: The Economist


La NSA incluye a España entre sus “objetivos” de espionaje junto a Alemania, Francia, Japón, según ‘Der Spiegel’:

La Agencia de Seguridad Nacional estadounidense (NSA) considera “objetivos” de espionaje a aliados como Alemania Francia, Japón, Italia o España, según documentos filtrados por el extrabajador de la NSA Edward Snowden al semanario alemán Der Spiegel.

La información completa será publicada este domingo por la revista alemana, pero ha adelantado un extracto en su página web en el que se explica que la NSA clasifica a los países en función de su interés en función de una escala que va del 1, “máximo interés”, al 5, “mínimo interés”.

Estos documentos confirman que la Unión Europea es uno de los principales objetivos del espionaje estadounidense, con especial atención a la política exterior, el comercio exterior o la estabilidad económica (nivel 3). En esta lista destacan como países prioritarios China, Rusia, Irán, Pakistán, Corea del Norte y Afganistán (nivel 1).

Alemania estaría en una posición intermedia, como Francia o Japón, por delante de otras potencias europeas como Italia o España, según un documento fechado en abril de 2013 en el que se establecen las “prioridades de inteligencia” de Estados Unidos filtrado por Snowden. Por detrás quedarían países como Camboya, Laos, Vaticano, Finlandia, Croacia, Dinamarca o República Checa, clasificados en el nivel 5.

En cuanto a Alemania, el texto señala como de especial importancia la política exterior y la situación económica, particularmente la estabilidad financiera, todos ellos marcados con el nivel 3. Están en nivel 4, de menor importancia, aspectos como nuevas tecnologías, la exportación de armamento o el comercio exterior alemán. En cambio, la NSA menosprecia la capacidad del contraespionaje alemán o la posibilidad de un ciberataque contra Estados Unidos (nivel 5).

Snowden ha filtrado desde principios de junio numerosos documentos de los servicios secretos que han revelado la existencia de un programa global de espionaje de las comunicaciones telefónicas y del tráfico de Internet, lo que ha desatado un debate a nivel global sobre el derecho a la privacidad de los ciudadanos y sobre el comportamiento de Washington con sus supuestos aliados. Estados Unidos defiende en cambio que estos métodos han permitido abortar atentados terroristas también en países aliados.

Recreación de la recopilación de información por parte de Estados Unidos. Amarillo el que menos, Rojo el más vigilado.


Empresas de Alemania adoptan nueva encriptación para evitar a la NSA:

Las empresas Deutsche Telekom y United Internet, que operan cerca de dos tercios de las cuentas de correo electrónico en Alemania, a partir de ahora van a utilizar SSL (en español "capa de conexión segura"), una forma moderna de encriptación que codifica las señales en el momento que pasan a través de los cables, que es el punto en el que la NSA a menudo intercepta la comunicación. Las compañías también emplearán servidores exclusivamente alemanes y cables internos para enviar mensajes entre sí, informa 'Der Spiegel'.

El proyecto ha sido implementado después de las revelaciones hechas por Edward Snowden, que muestran que la NSA intercepta 500 millones de llamadas telefónicas, textos y mensajes de correo electrónico en Alemania cada mes.

Finalmente, todas las preguntas oficiales sobre la ciberseguridad en Internet, aunque se refiere a un servicio en particular (Hushmail), prácticamente aplica así para todos dentro de lo que cabe: How Hushmail Can Protect You: Hushmail can protect you against a variety of security hazards.

Eavesdropping on your Internet connection

When you are using Hushmail, the connection between your computer and the Hushmail server is protected by encryption. That means that if someone is eavesdropping on your Internet connection, they will not be able to read the traffic that you send to the Hushmail website. This is especially important if you are using your computer on a public or office network, or if you are using a wireless connection that is not encrypted.

Government surveillance programs

In some countries, government sponsored projects have been set up to collect massive amounts of data from the Internet, including emails, and store them away for future analysis. This data collection is done without any search warrant, court order, or subpoena. Hushmail uses HTTPS to help protect your email from that kind of broad government surveillance.

Unauthorized content analysis

When a Hushmail user sends email to another Hushmail user, the body and attachments of the email remain encrypted when they are stored on the hard drives of the Hushmail servers. That means that Hushmail won’t scan your email to collect information for advertising or other purposes.

Data theft

Hushmail can help protect your sensitive data from hackers and identity thieves who try to break into servers and steal large amounts of user data that they can mine for useful information. No system in the world is 100% “unhackable” and anyone who tells you otherwise is being disingenuous. However, some systems are harder to hack than others. In most email systems, once a hacker gains access to the server upon which your email is stored, the email can quickly be copied off the server and read. Hushmail encrypted emails are not so easy to capture, because your passphrase is needed for decryption. The hacker would have to gain control over the software of our system, alter it, and remain undetected until the next time you come back, in hopes of stealing your passphrase the next time that you enter it. That would be a much more difficult task than simply getting in, copying data, and leaving.

Email forgery

Spammers often send emails that look like they come from someone else. If you get an email that looks like it comes from an address of someone you know, there is no guarantee that it actually does. When you send email using Hushmail, you can “digitally sign” the email. That digital signature proves that the email actually came from the true owner of the email account.

The Limitations of Hushmail

Hushmail has built-in security features, but it is not a 100% solution for everyone’s security needs. There are some things that Hushmail cannot do.

Hushmail does not put you above the law

We are committed to the privacy of our users, and will absolutely not release user data without an order that is legally enforceable under the laws of British Columbia, Canada, which is the jurisdiction where our servers are located. However, if we do receive such an order, we are required to do everything in our power to comply with the law. Hushmail will not accept an order from any authority or investigative agency that is not enforceable under the laws of British Columbia, Canada. Please read our Privacy Policy for more information.

But I thought the data was always encrypted

When one Hushmail user sends an email to another Hushmail user, the body and attachments of that email are kept on our server in encrypted form, and under normal circumstances, we would have no access to that data. We can’t just pick an arbitrary encrypted email message off the server and read it. An encrypted email message cannot be decrypted without the passphrase, and in the normal course of operations, we do not store passphrases. However, we may be required to store a passphrase for an account identified in a court order enforceable in British Columbia, Canada.

So I should not use Hushmail for illegal activity?

If you expect to engage in activity that might result in there being an order that is enforceable under the laws of British Columbia for us to produce information in respect of your account, Hushmail is not the right choice for you. In accepting our Terms of Service, Hushmail users agree not to use Hushmail for illegal purposes.

What about other encryption solutions like PGP Desktop and GnuPG?

PGP Desktop and GnuPG are not web-based services. They install as software on your computer. Installed software is different from a web-based service in that you don’t rely on the owner of the website to run the software correctly. You take on that responsibility yourself. If used correctly, both PGP Desktop and GnuPG can provide an extremely high level of security. When choosing your security solution, carefully weigh the convenience and ease-of-use of Hushmail against the inherent limitations of a web-based service.

What if my computer has a virus?

If your own computer is not secure, then Hushmail will not be secure. Although all emails sent through Hushmail are virus scanned, Hushmail cannot prevent you from getting a virus from some other source, and once that virus has infected your computer, it could result in your Hushmail account being compromised as well. When using Hushmail, be sure to also use a virus scanner, and keep your virus definitions up to date. Also, don’t access Hushmail on a computer that you do not trust.

Comentarios

Carlos Writer ha dicho que…
Un artículo muy completo y cargado de recursos para minimizar el espionaje y tratar de conservar la poca privacidad que nos queda en internet.

Si el espionaje se utiliza contra enemigos, y los gobiernos espían a sus ciudadanos es porque entonces nos consideran sus enemigos. ¿Por qué debemos soportarlos entonces?

Entradas populares de este blog

¿Qué significan los números en el triángulo de reciclaje de los plásticos?

Metallica versus Megadeth ¿quien es mejor? la estadística nos da la respuesta

Los programas más usados por economistas