Noviembre 12, 2008
¿Redes sociales o monstruos comedatos?
Los servicios de redes sociales tienen un plato predilecto: nuestros datos privados. No hay más que entrar en una para comprobar la avidez con que incita al estriptís de nuestras vidas. Todo lo que digamos y hagamos en ellas será registrado y procesado a mayor gloria de la publicidad personalizada. La Comisión Europea empieza a no verlo claro y lo está investigando.
Nos registramos en MySpace. Ponemos un nombre falso, a pesar de que sus "Condiciones de Uso" no lo permiten, y nos da paso franco. Si fuésemos menores de 13 años y hubiésemos mentido sobre nuestra edad también habríamos entrado. Aunque la red lo prohíbe, no tiene instrumentos para detectarlo. Ni MySpace, ni Facebook, ni Hi5, ni ninguna.
(...)
Does what happens in the Facebook stay in the Facebook? (video)
http://www.albumoftheday.com/facebook/
El reportaje completo en: http://ww2.grn.es/merce/2008/redessociales.html
Octubre 02, 2008
Estado de la privacidad en España 2007
El director de la Agencia de Protección de Datos, Artemi Rallo, explicó el otro día a la Comisión Constitucional del Congreso de los Diputados cómo está el tema de la privacidad. Me ha parecido interesante y copio algunos fragmentos de la nota de prensa:
Seis veces más videovigilancia:
Se ha disparado la instalación de cámaras de vigilancia, especialmente en el sector privado. Según los datos aportados, las entidades con cámaras de vigilancia inscritas en el Registro General de la AEPD han sextuplicado su número (principalmente en los sectores del turismo, hostelería, comercio, sanidad y comunidades de propietarios), pasando de 800 entidades en 2006, a 5.000 en 2007 y con una previsión de finalizar el año 2008 con más de 15.000 las entidades responsables de ficheros de videovigilancia (el 98 % entidades privadas). Asimismo, ha indicado que las inspecciones por videovigilancia han aumentado en 2007 en más del 400%, siendo los motivos más frecuentes de denuncia la falta de información en las comunidades de propietarios o en el lugar de trabajo, y la intrusividad de la orientación de las cámaras en la vía pública. Según las finalidades de los ficheros inscritos a lo largo de 2007, los mayores incrementos se producen en ficheros con fines de videovigilancia que han experimentado un aumento del 618%.
Sobreexposición de datos sensibles por uso incorrecto de eMule:
El mal uso de estos sistemas, en los 18 casos resueltos recientemente por la AEPD, han permitido que estuvieran accesibles en Internet, entre otro tipo de datos, 11.300 historias clínicas de una clínica ginecológica o en torno a 50.000 datos de personas asociadas a cursos de formación de un sindicato. Además ha indicado que todavía están tramitándose 32 procedimientos que afectan, entre otros casos, a miembros de una comunidad religiosa, a solicitantes de servicios de adopción internacional, a enfermos mentales, pacientes de clínica de hemodiálisis, a pacientes de la seguridad social y afiliados a sindicatos y miembros de un partido político.
Tecnológicas y financieras, las más agresivas:
Los sectores de actividad en los que se acumularon el mayor número de investigaciones, mayoritariamente por denuncias de ciudadanos, y continuando con la tendencia de años anteriores, fueron los sectores de telecomunicaciones y financiero que ocuparon los primeros puestos. En cuanto a las sanciones por sectores, en primer lugar se encuentra el sector de las telecomunicaciones con 112 procedimientos resueltos, le siguen los procedimientos sobre entidades financieras (80) y a continuación los resueltos sobre comunicaciones electrónicas comerciales y spam (37).
Octubre 01, 2008
El timo del debomocho
Así lo ha bautizado un amigo:
¿Alguien más ha recibido una carta de una compañía que dice cobrar deudas de Canal Satélite Digital?
Me di de baja hace bastante tiempo, devolví decodificador y todo hace ya bastantes años, y los tipos dicen que les debo una cuota.
En fin, va un burofax a Sogecable exigiendo la documentación de una deuda que no me han reclamado nunca, y denuncia en la Agencia de Protección de Datos por falta grave, que es lo que constituye la cesión indebida de mis datos personales.
(...)
Encima acabo de llamar a Canal Satélite y me han dicho que no pueden darme detalles sobre mi deuda, porque han vendido mis datos de facturación y mi deuda a la citada compañía. Eso si, nunca supe nada, y me di de baja EN DOS MIL DOS.
La cartita (que no incluye el CIF de la compañía que reclama la deuda, además) tiene un párrafo surrealista sobre la ley luxemburguesa, que siendo ciudadano español y estando en España tiene aquí la misma validez que la ley del Principado de Sealand, como poco.
(...)
En la correctísima pero firme conversación con CSD en un primer momento se han negado a facilitarme una dirección postal para el envío de un burofax. He tenido que recordarles que según la legislación vigente en materia de protección de datos, deben facilitármela, y el no hacerlo constituye asimismo una falta. Dicho eso han desembuchado inmediatamente.
Toda la historia en: La vida te da sorpresas
y en breve en: El Debomocho
Anda que no está el colega enfadado, enviando burofaxes a diestro y siniestro, pagando de su bolsillo por supuesto. Es lo que dice: "Tratar con ciertas empresas empieza a ser una conducta de riesgo".
A mí Wanadoo me hizo lo mismo. Llamadas, amenazas, ponerme nerviosa. Hasta que se cansaron... por el momento. Es impresionante la impunidad y prepotencia con la que actúan las empresas, no sólo en casos como este. Prueba a devolver un aparato que no funciona, a ejercer los derechos que te otorga la garantía, a simplemente contactar con ellas si tienes problemas. Y los servicios básicos, luz, gas, teléfono, Internet, es ya de surrealismo: malos servicios sin posibilidad de queja ni de irte a otro sitio porque no lo hay. Ah, y si te quejas, paga tú las llamadas a los 902, los burofaxes, etc.
Aquí hay algo que no funciona.
Septiembre 29, 2008
Policías locales haciendo bases de datos de personas no detenidas
On 14 August 2008, it surfaced that the local police in Sada (A Corunha) has been holding an illegal archive that includes personal data and photographs of people identified during night-time patrols, taken with a Polaroid and with a white wall in the background, as well as the personal details of some minors. There are hand-written notes in the files and what appear to be sub-classifications in the lists, which have been deduced by the fact that the identification cards are marked in three different colours, two of them in different tones of green and the third in orange, raising suspicion that this division may relate to political affiliation (the police have photographs of assemblies and demonstrations), or to whether the identified people have precedents, in terms of incidents involving the police or charges brought against them.
Más información en: http://www.statewatch.org/news/2008/sep/01spain-illegal-database.htm
Julio 22, 2008
Multa de 600 euros de la AGPD por dos vídeos en Youtube
Está interesante el tema: la Agencia de Protección de Datos ha puesto una multa de 600 euros a una persona que colgó en Youtube diversos vídeos donde se veía a gente paseando por una calle. Parece ser que la persona multada grabó los vídeos para demostrar la falta de seguridad en su calle, los colgó en Youtube, enmascarando las caras de las personas que andaban por la misma y eran identificables, pero en dos vídeos no lo hizo.
Tengo curiosidad por saber quién salía en los vídeos y lo denunció... ¿Camellos? ¿La señora Lola que iba a por el pan?
Mayo 14, 2008
La mayoría de las PYME no cumplen la Ley de Protección de Datos
Peluquerías, dentistas, gestorías, hoteles y otras pequeñas y medianas empresas (PYME) guardan datos personales de clientes y empleados con un casi total desconocimiento de cómo gestionarlos y protegerlos. Sólo un 12% cumplen la normativa a rajatabla, según la Agencia de Protección de Datos, aunque cada vez son más.
Febrero 06, 2008
Vídeo "Feliz 1984: Hacia una sociedad vigilada"
Interesante reportaje, tanto por el contenido como por el tratamiento de la imagen, sobre la videovigilancia.
Enero 02, 2008
Cómo ser anónim@s
WEB
Qué saben: Dirección IP, navegador y sistema operativo, últimos sitios visitados.
Cómo evitarlo: Navegar desde un sitio anonimizador como The-Cloack.com, a través de la red Tor o configurar el navegador para que use "proxies" anónimos. Desactivar las "cookies".
BUSCADORES
Qué saben: Dirección IP y, si se ha registrado en algún servicio de este buscador, su nombre y otros datos que haya facilitado. El buscador archiva todas las búsquedas hechas desde la misma dirección IP.
Cómo evitarlo: No registrarse en los buscadores ni en sus servicios asociados o, al menos, no realizar búsquedas desde su identidad en estos servicios. Por ejemplo: no buscar en Google desde su cuenta en Gmail. Bloquear las "cookies" que envía el buscador o borrarlas al acabar la sesión. Cambiar regularmente la dirección IP, reconectando el enrutador. Usar un buscador que no almacene las búsquedas, como Ixquick.com. No incluir información personal en las búsquedas y, si es preciso hacerlo, realizarlas desde un cibercafé. No utilizar el buscador de su ISP, ya que podría relacionar su dirección IP con su identidad real.
CORREO
Qué saben: Programa de correo, ISP y dirección IP. Incluso si usa un correo basado en web, este muestra su dirección IP real en la cabecera.
Cómo evitarlo: usar un anonimizador (Tor, "proxies", "remailers") o un sitio de envío anónimo de correo como AnoneMail.
P2P
Qué saben: Su dirección IP y datos que incluya en el programa.
Cómo evitarlo: Usar "proxies". Bloquear las direcciones desde las que sospechamos que se nos está espiando, de forma que no puedan vernos. Existen listas actualizadas de estas direcciones y programas para bloquearlas, como PeerGuardian. Otra opción es usar un servicio de pago de túneles de redes privadas virtuales, como Relakks.com, que anonimiza nuestra dirección IP sin perder velocidad.
MENSAJERÍA INSTANTÁNEA
Qué saben: Si hay comunicación directa, su dirección IP. También su dirección de correo electrónico y otros datos que haya incluído en el programa, como nombre, edad o foto.
Cómo evitarlo: Usar "proxies", Tor o acceder desde el sitio web del servicio de mensajería, si lo ofrece. En el chat existe también la opción "modo invisible".
BASES DE DATOS
Qué saben: Depende de la base de datos. Puede ser su número de tarjeta de crédito, nombre, dirección, contraseñas, hábitos, etc.
Cómo evitarlo: Actuar con prudencia a la hora de dar sus datos. No rellenar formularios porqué sí, especialmente en sitios no confiables o donde el valor del servicio que ofrecen es mucho menor que el valor de los datos que usted les dará.
Noviembre 14, 2007
El Proyecto Hayneedle
No es nada del otro mundo, privacidad a través de oscuridad, pero lo cuento: hoy me he despertado con la lista Bugtraq muy animada con un tal Project Hayneedle. ¿Qué será esto? Google es tu amigo.
Así he llegado a la explicación: en Alemania acaban de aprobar una ley que se está a punto de poner en solfa también en España y de la que hablé recientemente: Hoy nos jugamos en la cancha grande (y perderemos) nuestra intimidad en la red: Si la cosa prospera, que está más que cantado que prosperará, los ISP deberán guardar los datos de tráfico de nuestras comunicaciones durante un año, por si las fuerzas de la ley o el Centro Nacional de Inteligencia quieren consultarlos, previa autorización judicial y sólo en caso de delitos graves, no civiles .
Bien, pues al alemán Paul Sebastian Ziegler se le ha ocurrido escribir un programita que genera tráfico basurilla, de forma que sea difícil para las "autoridades" dilucidar cuáles son los datos verdaderos, generados realmente por tus idas y venidas, y cuáles no:
So what does this HayNeedle program do?
It queries Google for various random words and picks one of the results at random. It then retrieves that page and looks for further URLs there, picks another random one and retrieves that, and so long. It works with a modifiable timeout and any given number of threads (so as to say, how many "tracks" to brows on at the same time).
Me suena muchísimo que esto ya se había hablado e incluso había programas parecidos, con intenciones parecidas. La primera vez que ví algo así aplicado a los ciberderechos creo que fue aquella campaña para marear a Echelon, ¿recordáis?, cuando la gente en sus mails añadía palabras como "bomba" o "terrorista".
El problema que le veo a esto es que ensucia y congestiona las redes. Además que sólo sirve para los que "entienden". Mi tía jamás se enterará siquiera de la existencia de este programita y mucho menos se lo instalará. Y es que, además, ¿qué le importa que guarden sus datos de tráfico, si ella se considera una buena ciudadana que jamás haría nada malo? Que la miren. ¿Y qué?
Más divertida, para mi y quizás para mi tía, es aquella iniciativa que invita a que saludemos y hagamos el indio ante las cámaras que nos vigilan, allí donde las detectemos. Si es imposible eliminar esta carrera de "voyeurismo" por parte del sistema (cámaras, radares, cíberespionaje...), al menos demostremos que lo sabemos y que nos lo tomamos a coña. ¿Sería posible que en mis datos de tráfico apareciese una leyenda tipo: "Oye tú, tú que me miras, ¿es que quieres servirme de comida?".
¿Quién cantaba esto, ostras, quién?
Octubre 04, 2007
Hoy nos jugamos en la cancha grande (y perderemos) nuestra intimidad en la red
Hoy el Congreso español podría aprobar -si no lo ha aprobado ya- el Proyecto de Ley de Conservación de Datos Relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicación. O, lo que es lo mismo: la polémica Directiva Europea de Retención de Datos, traspasada a la legislación española.
Esto tiene consecuencias para la telefonía, que explica El País: El Congreso pone fin al anonimato de las líneas de prepago. Pero también para la red.
Si la cosa prospera, que está más que cantado que prosperará, los ISP deberán guardar los datos de tráfico de nuestras comunicaciones durante un año, por si las fuerzas de la ley o el Centro Nacional de Inteligencia quieren consultarlos, previa autorización judicial y sólo en caso de delitos graves, no civiles (esto significa que, en principio, no estarán a disposición de las entidades de gestión de derechos de autor para sus cositas).
Los datos, en lo que se refiere a "acceso a Internet, correo electrónico por Internet y telefonía por Internet", son, si no me he equivocado con el copypaste:
1. Identificación de usuario.
2. Número de teléfono asignado a toda comunicación que acceda a la red pública de telefonía.
3. Nombre y dirección del abonado o usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono.
4. Identificación de usuario o número de teléfono del destinatario o destinatarios de una llamada telefónica por Internet.
5. Nombres y direcciones y la identificación de usuario del destinatario de la comunicación.
6. Fecha y hora de la conexión y desconexión del servicio de acceso a Internet, así como la dirección del Protocolo Internet (IP), ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, y la identificación de usuario o del abonado o del usuario registrado.
7. La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet .
8. El servicio de Internet utilizado.
9. El número de teléfono de origen en caso de acceso mediante marcado de números.
10. La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación.
¿Y Gmail también me va a retener el movimiento en mis cuentas o cómo funciona esto?
¿Y qué pasa con esos ISP tan 'seguros' que les roban las bases de datos cada 2 por 3?
...
Si el Congreso aprueba la ley, va para el Senado y, después de su publicación en el BOE, en 6 meses debe ponerse en marcha.
Actualización (05/10/07). Done: El Pleno del Congreso aprueba la ley que acaba con el anonimato en los móviles prepago
Agosto 05, 2007
En EEUU espiarán el correo-e sin autorización judicial
Hoy he hecho una cosa insólita: comprar un diario de papel. Y así me he enterado de que los políticos norteamericanos han dado un importante paso para otorgarse el poder de espiar las comunicaciones por teléfono y correo electrónico de las personas de aquel país sin autorización judicial. Ya lo hacían "de facto", pero ahora van a hacerlo con todas las de la ley:
Así fue. El Senado dio el primer paso la pasada madrugada, aprobando la actualización de la legislación sobre espionaje con 60 votos a favor y 28 en contra, sobre el texto presentado por el republicano Mitch McConnell. En síntesis, lo que se pretende con este cambio legal es que los servicios secretos, como la Agencia de Seguridad Nacional (NSA), puedan interceptar conversaciones telefónicas o mensajería electrónica de nacionales estadounidenses con presuntos terroristas en el extranjero, para evitar un ataque como el 11-S.
La ley, conocida como Foreign Intelligence Surveillance Act (FISA), en su redacción actual, que data de 1978, ya permite al Gobierno controlar las comunicaciones de sospechosos, pero requiere autorización judicial. Con la nueva fórmula eso ya no sería necesario y bastaría con la firma del fiscal general, hoy por hoy el controvertido Alberto Gonzales, actualmente bajo el punto de mira del Congreso por dos motivos: porque él ya autorizó escuchas ilegales para miles de estadounidenses, y por el despido de siete fiscales que no comulgaban con la línea dura de la Administración de Bush.
Lo sorprendente es que me haya enterado por un periódico de papel y no por las decenas de blogs que tengo en el lector RSS. Hace 7 años una noticia como esta habría sido una bomba en la red. Hoy, ni los directamente implicados, los norteamericanos, dicen nada. Están todos hablando de la Black Hat...
He estado un rato dudando de si a lo mejor el quiosquero me había vendido un diario de la semana pasada y se me había pasado esta noticia. Después he dudado de si estaré suscrita a los blogs y medios correctos. Después he pensado que a lo mejor será cierto lo que dicen mis amigos de que la privacidad ya no interesa a nadie.
Junio 22, 2007
Las canciones sin DRM compradas en iTunes incluyen datos del comprador
Poco han durado los elogios a la discográfica EMI y la tienda virtual iTunes, propiedad de la empresa Apple, por vender canciones sin protección anticopia (DRM). A los pocos días, el sitio de noticias "Ars Technica" desvelaba que iTunes incrusta en cada canción metadatos que identifican claramente a su comprador. Los expertos temen que se usen para denunciar o espiar a quienes compartan esta música.
A raíz del acuerdo entre Apple y EMI, la primera gran discográfica que vende sus canciones en Internet sin protección anticopia, los usuarios de la tienda virtual iTunes pueden adquirirlas por 30 céntimos más de lo que cuesta otra con protección. Pero lo que era un gran paso para la integración de la industria discográfica en la red se ha visto oscurecido por un problema de privacidad.
Abril 18, 2007
¿Sabe por dónde andan sus datos personales?
El robo de información privada, sean números de cuenta o historiales sanitarios, es un grave problema de la era digital. La empresa británica Garlik ha creado un servicio para que sus clientes sepan en qué sitios de Internet y ficheros públicos aparecen sus datos. Es la primera vez que una aplicación comercial utiliza técnicas de la llamada "web semántica".
En el mercado negro virtual, la identidad de una persona, incluídos datos bancarios, DNI, dirección, teléfono y contraseñas, cuesta alrededor de 150.000 euros. A menos datos, menos dinero, pero aún así es un buen negocio que ha generado un nuevo tipo de delincuente: el "broker de identidades".
Estos comerciantes de datos los buscan en todo tipo de fuentes digitales, los cruzan y crean la ficha de la persona, que venden al mejor postor. Según un estudio de la empresa Garlik, se lo ponemos fácil: el 12% de usuarios no tienen problemas en dar sus datos bancarios en sitios web y el 70%, su dirección física.
Nunca como ahora había habido tanta información personal al alcance de cualquiera, tan valiosa y tan desprotegida. Los robos de bases de datos en empresas, ayuntamientos u hospitales están a la orden del día, así como la sustracción de contraseñas y números bancarios a usuarios de Internet, para vaciarles la cuenta o comprar con su tarjeta.
Ante esta situación, la joven empresa Garlik propone un inédito servicio, DataPatrol, que busca en Internet y bases de datos financieras, demográficas o de propiedades la información pública sobre el cliente. Hace un seguimiento de esta y le envía un informe mensual, con los cambios y posibles fraudes.
Marzo 27, 2007
Deslocalización de call centers: todo bien atado
Hace un tiempo que voy leyendo sugerencias o directamente denuncias de que las operadoras están cometiendo un delito al trasladar sus servicios de atención al cliente a países latinoamericanos. El delito sería contra los datos personales de sus clientes, porque en estos países no hay una ley de protección de la privacidad equiparable a la europea y española. La última vez que leí sobre este tema, fue en "El Correo Gallego": Datos de clientes de operadoras saltan el Atlántico sin consultar a los titulares, donde decían:
"Una lectora, Iria Barreiro, recordaba a este periódico que la Ley Orgánica de Protección de Datos obliga a notificar a los afectados cuando los datos son utilizados en un país extranjero: debe comunicarse el dónde y el nivel de protección para comprobar si es equiparable al español. Pues bien, en Argentina, Brasil, Chile, Colombia, El Salvador, Guatemala, Marruecos México, Perú, Puerto Rico, Venezuela o Marruecos, lugares a donde huyen compañías y datos en busca de trabajadores cuatro veces más baratos (200 euros al mes frente a 800 en España), "no tienen legislación al respecto: ¿Cómo se castigaría al infractor?"."
Al ver que el tema había saltado a la prensa, decidí investigar, lo que significa llamar a la Agencia de Protección de Datos y preguntar. Allí, una responsable de prensa que parecía saber bastante bien de lo que hablaba me explicó que, efectivamente, "la Directiva Europea de Protección de Datos sólo permite transferencias internacionales de datos a países que proporcionen un nivel adecuado de protección", como Suiza, Argentina, Estados Unidos, Canadá o la Isla de Man.
Pero-pero-pero hay una excepcioncita de nada: se pueden transferir datos a otros países, como Chile o Marruecos, si la Agencia de Protección de Datos emite una autorización. Para tener esta autorización, "las empresas que quieran transferir los datos deben cumplir unos requisitos de seguridad que garanticen que en estos países los datos tendrán el mismo nivel de protección que tienen en España" (mejor no me alargue sobre cómo de bien se protegen los datos aquí, que la liamos).
La responsable de prensa no me comentó nada sobre que se deba avisar a los titulares de que sus datos están en Chile, pero me citó un montón de disposiciones y artículos que reafirmaban la legalidad de todo esto y, para más información, me remitió a la web, donde están todas las leyes referidas al tema. Si alguien quiere bucear en ellas y dilucidar si las pobrecitas empresas deben perder tiempo y papel avisando a sus clientes, lo leeré con gusto.
Si vais a la web de la Agencia de Protección de Datos, hacéis clic en Resoluciones y, allí, pincháis en Autorización Transf. Internac. veréis, ordenadas por años, las autorizaciones de transferencias internacionales de datos de sus clientes que se han otorgado a empresas como Telefónica Móviles, Ono, France Telecom, Vodafone, IBM, Citibank, Walt Disney, etcétera.
A mi abuelo le solía gustar decir una frase que creo que se entiende en todos los idiomas del estado: "Feta la llei, feta la trampa".
Febrero 26, 2007
Defensa trabaja en un sistema que entienda el significado de textos y conversaciones
Que un ordenador localice palabras en un documento es un juego de niños. Pero que entienda el significado de una frase en un correo electrónico o una conversación telefónica es un reto. El Ministerio de Defensa español, junto con Italia y Francia, trabaja en ello desde el proyecto "Infraestructura de Inteligencia Semántica Operacional" (OSEMINTI), que acaba de ponerse en marcha.
Sigue en: http://ww2.grn.es/merce/2007/defensa.html
Actualización 28/02/07
Vía el blog de Xavi Caballé veo que en un sitio llamado Tecnoliberal han escrito un artículo que ofrece Algunas matizaciones a la información publicada por El País y por Internautas.org sobre OSEMINTI. Me parece correcto lo que escriben -excepto las descalificaciones.
Efectivamente OSEMINTI no es un sistema espía per se sino un posible complemento a estos: un "interpretador del significado de un discurso", como podríamos llamarlo, porque lo de "un sistema de información inteligente capaz de construir una representación semántica de la información" no es muy entendible. Y también efectivamente OSEMINTI no tiene por qué usarse necesariamente para procesar información extraída de labores y herramientas de espionaje.
OSEMINTI es un "monstruo come galletas". Puede comer las galletas caseras de mamá (información interna de una misión, proyecto, etc) o las que ha ido a comprar al supermercado (información sacada del exterior con medios de captación como radares, sensores y demás sistemas de espionaje). O sea: ni tan negro como lo pinté en el artículo -cierto- ni tan blanco como lo ven los Tecnoliberales. En todo caso, el riesgo existe y Defensa no lo desmintió cuando les pregunté.