Machine Translated by Google

Machine Translated by Google

Machine Translated by Google
Machine Translated by Google

Derechos de autor

Copyright © 2017 por Kevin Mitnick Prólogo

copyright © 2017 por Mikko Hypponen Diseño de la portada
por Julianna Lee Fotografía del autor por Tolga Katas
Copyright de la portada © 2017 por Hachette Book Group,
Inc.

Hachette Book Group apoya el derecho a la libertad de expresión y el valor de los derechos
de autor. El propósito de los derechos de autor es alentar a los escritores y artistas a producir
obras creativas que enriquezcan nuestra cultura.

El escaneo, carga y distribución de este libro sin permiso es un robo de la propiedad

intelectual del autor. Si desea permiso para usar material del libro (que no sea con fines de
revisión), comuníquese con [email protected]. Gracias por su apoyo a los derechos
de autor.

Little, Brown and Company

Hachette Book Group 1290 Avenue
of the Americas, Nueva York, NY 10104 littlebrown.com
twitter.com/littlebrown facebook.com/littlebrownandcompany

Primera edición del ebook: febrero de 2017

Little, Brown and Company es una división de Hachette Book Group, Inc. El nombre y el
logotipo de Little, Brown son marcas comerciales de Hachette Book Group, Inc.

El editor no es responsable de los sitios web (o su contenido) que no son

Machine Translated by Google

propiedad de la editorial.

La Oficina de oradores de Hachette ofrece una amplia gama de autores para

eventos de oradores. Para obtener más información, visite hachettespeakersbureau.com
o llame al (866) 376-6591.

ISBN 978-0-316-38049-2

E3-20161223-JV-PC
Machine Translated by Google

Contenido

Cubrir
Pagina del titulo

Derechos de autor

Dedicación

Prólogo de Mikko Hypponen

Introducción | hora de desaparecer

Capítulo uno | ¡Su contraseña puede ser descifrada!

Capítulo dos | ¿Quién más está leyendo su correo electrónico?

Capítulo tres | Escuchas telefónicas 101

Capítulo cuatro | Si no cifra, no está equipado Capítulo cinco | Ahora me

ves, ahora no Capítulo seis | Con cada clic que hagas, te estaré

observando Capítulo Siete | ¡Pague o de lo contrario!

Capítulo Ocho | Cree todo, no confíes en nada Capítulo Nueve

| ¿No tienes privacidad? ¡Superalo!

Capítulo Diez | Puedes Correr pero No Esconderte

Capítulo Once | Oye, KITT, no compartas mi ubicación Capítulo Doce

| El Internet de la Vigilancia Capítulo Trece | Cosas que tu jefe no

quiere que sepas Capítulo Catorce | Obtener el anonimato es un trabajo duro

Capítulo Quince | El FBI siempre consigue a su hombre

Machine Translated by Google

Capítulo Dieciséis | Dominando el arte de la invisibilidad

Expresiones de gratitud

Sobre los autores

Libros de Kevin Mitnick

notas
Boletines
Machine Translated by Google

A mi amada madre, Shelly Jaffe, y

a mi abuela Reba
vartaniano
Machine Translated by Google

Prólogo de Mikko Hypponen

Hace un par de meses, me encontré con un viejo amigo al que no había visto
desde la secundaria. Fuimos a tomar una taza de café para ponernos al día sobre
lo que cada uno de nosotros había estado haciendo durante las últimas décadas.
Me habló de su trabajo de distribución y soporte de varios tipos de dispositivos
médicos modernos, y le expliqué cómo he pasado los últimos veinticinco años
trabajando con la seguridad y la privacidad en Internet. Mi amigo soltó una risita
cuando mencioné la privacidad en línea. “Eso suena muy bien y elegante”, dijo,
“pero no estoy realmente preocupado. Después de todo, no soy un criminal y no
estoy haciendo nada malo. No me importa si alguien mira lo que estoy haciendo en línea”.
Al escuchar a mi viejo amigo y su explicación sobre por qué la privacidad no le importa,
me entristecí. Me entristeció porque había escuchado estos argumentos antes, muchas
veces. Los escucho de personas que piensan que no tienen nada que esconder. Los
escucho de personas que piensan que solo los delincuentes necesitan protegerse. Los
escucho de personas que piensan que solo los terroristas usan el cifrado. Los escucho de
personas que piensan que no necesitamos proteger nuestros derechos. Pero necesitamos
proteger nuestros derechos. Y la privacidad no solo afecta nuestros derechos, es un
derecho humano. De hecho, la privacidad está reconocida como un derecho humano
fundamental en la Declaración Universal de los Derechos Humanos de las Naciones Unidas
de 1948.
Si nuestra privacidad necesitaba protección en 1948, seguramente la necesita mucho
más hoy. Después de todo, somos la primera generación en la historia humana que puede
ser monitoreada a un nivel tan preciso. Podemos ser monitoreados digitalmente a lo largo
de nuestras vidas. Casi todas nuestras comunicaciones se pueden ver de una forma u otra.
Incluso llevamos pequeños dispositivos de rastreo con nosotros todo el tiempo, simplemente
Machine Translated by Google

no los llame dispositivos de rastreo, los llamamos teléfonos inteligentes.

El monitoreo en línea puede ver qué libros compramos y qué artículos de noticias leemos,
incluso qué partes de los artículos son más interesantes para nosotros. Puede ver a dónde
viajamos y con quién viajamos. Y el monitoreo en línea sabe si estás enfermo, triste o
cachondo. Gran parte del monitoreo que se realiza hoy en día recopila estos datos para ganar
dinero. Las empresas que ofrecen servicios gratuitos de alguna manera convierten esos
servicios gratuitos en miles de millones de dólares de ingresos, lo que ilustra muy bien lo
valioso que es perfilar a los usuarios de Internet a gran escala. Sin embargo, también existe un
monitoreo más específico: el tipo de monitoreo realizado por agencias gubernamentales,
nacionales o extranjeras.
La comunicación digital ha hecho posible que los gobiernos realicen una vigilancia masiva.
Pero también nos ha permitido protegernos mejor. Podemos protegernos con herramientas
como el cifrado, almacenando nuestros datos de manera segura y siguiendo los principios
básicos de seguridad de las operaciones (OPSEC).
Solo necesitamos una guía sobre cómo hacerlo bien.
Bueno, la guía que necesita está aquí en sus manos. Estoy muy feliz de que Kevin se haya
tomado el tiempo de escribir sus conocimientos sobre el arte de la invisibilidad.
Después de todo, él sabe un par de cosas sobre permanecer invisible. Este es un gran recurso.
Léalo y utilice el conocimiento a su favor. Protégete y protege tus derechos.

De vuelta en la cafetería, después de que terminé el café con mi viejo amigo, nos
separamos. Le deseé lo mejor, pero a veces todavía pienso en sus palabras: “No me importa
si alguien mira lo que estoy haciendo en línea”. Es posible que no tengas nada que ocultar,
amigo mío. Pero tienes todo para proteger.

Mikko Hypponen es el director de investigación de F-Secure. Es la única persona viva que ha

hablado en las conferencias DEF CON y TED.
Machine Translated by Google

INTRODUCCIÓN

hora de desaparecer

Casi dos años después de que Edward Joseph Snowden, un

contratista de Booz Allen Hamilton, reveló por primera vez su alijo de material
secreto tomado de la Agencia de Seguridad Nacional (NSA), el comediante de HBO
John Oliver fue a Times Square en la ciudad de Nueva York para encuestar a
personas al azar para un segmento de su programa sobre privacidad y vigilancia. .
Sus preguntas eran claras. ¿Quién es Edward Snowden? ¿Qué hizo? 1
En los clips de la entrevista que emitió Oliver, nadie parecía saberlo. Incluso
cuando las personas dijeron que recordaban el nombre, no podían decir exactamente
qué había hecho Snowden (o por qué). Después de convertirse en contratista de la
NSA, Edward Snowden copió miles de documentos secretos y clasificados que
luego entregó a los periodistas para que pudieran hacerlos públicos en todo el
mundo. Oliver podría haber terminado el segmento de su programa sobre la
vigilancia con una nota deprimente (después de años de cobertura mediática, a
nadie en Estados Unidos parecía importarle realmente el espionaje doméstico por
parte del gobierno), pero el comediante eligió otra táctica. Voló a Rusia, donde
2 entrevista personal.
Snowden ahora vive en el exilio, para una
La primera pregunta que Oliver le hizo a Snowden en Moscú fue: ¿Qué
esperabas lograr? Snowden respondió que quería mostrarle al mundo lo que estaba
haciendo la NSA: recopilar datos de casi todo el mundo. Cuando Oliver le mostró
las entrevistas de Times Square, en las que una persona tras otra afirmaba no
saber quién era Snowden, su respuesta fue:
Machine Translated by Google

"Bueno, no se puede tener a todos bien informados".

¿Por qué no estamos más informados en lo que respecta a los problemas de privacidad
que han planteado Snowden y otros? ¿Por qué parece que no nos importa que una agencia
gubernamental esté interviniendo nuestras llamadas telefónicas, nuestros correos electrónicos
e incluso nuestros mensajes de texto? Probablemente porque la NSA, en general, no afecta
directamente la vida de la mayoría de nosotros, al menos no de manera tangible, como una
intrusión que podemos sentir.
Pero como Oliver también descubrió en Times Square ese día, los estadounidenses se
preocupan por la privacidad cuando llega a casa. Además de hacer preguntas sobre Snowden,
hizo preguntas generales sobre privacidad. Por ejemplo, cuando preguntó cómo se sentían
acerca de un programa gubernamental secreto (pero inventado) que registra imágenes de
personas desnudas cada vez que se envían por Internet, la respuesta entre los neoyorquinos
también fue universal, excepto que esta vez todos se opusieron. , enfáticamente. Una persona
incluso admitió haber enviado recientemente una foto así.

Todos los entrevistados en el segmento de Times Square estuvieron de acuerdo en que

las personas en los Estados Unidos deberían poder compartir cualquier cosa, incluso una foto
de un pene, de forma privada a través de Internet. Que era el punto básico de Snowden.
Resulta que el falso programa del gobierno que graba fotos de desnudos es menos
descabellado de lo que imaginas. Como le explicó Snowden a Oliver en su entrevista, debido
a que compañías como Google tienen servidores ubicados físicamente en todo el mundo,
incluso un mensaje simple (quizás con desnudez) entre un esposo y una esposa dentro de la
misma ciudad de EE. UU. podría rebotar primero en un servidor extranjero. Dado que esos
datos salen de los Estados Unidos, aunque sea por un nanosegundo, la NSA podría, gracias
a la Ley Patriota, recopilar y archivar ese texto o correo electrónico (incluida la foto indecente)
porque técnicamente ingresó a los Estados Unidos desde una fuente extranjera en el momento
en que fue capturada. El punto de Snowden: los estadounidenses promedio están siendo
atrapados en una redada posterior al 11 de septiembre que inicialmente fue diseñada para
detener a los terroristas extranjeros, pero que ahora espía a prácticamente todos.

Pensarías, dadas las constantes noticias sobre violaciones de datos y campañas de vigilancia
por parte del gobierno, que estaríamos mucho más indignados. Uno pensaría que dada la
rapidez con que sucedió esto, en solo unos pocos años, estaríamos tambaleándonos por la
conmoción y marchando en el
Machine Translated by Google

calles En realidad, lo contrario es cierto. Muchos de nosotros, incluso muchos lectores de este libro, ahora
aceptamos al menos hasta cierto punto el hecho de que todo lo que hacemos (todas nuestras llamadas
telefónicas, nuestros mensajes de texto, nuestros correos electrónicos, nuestras redes sociales) puede ser
visto por otros.

Y eso es decepcionante.
Tal vez no hayas quebrantado ninguna ley. Vives lo que crees que es una vida promedio y
tranquila, y sientes que pasas desapercibido entre la multitud de otros en línea hoy. Confía en mí:
incluso tú no eres invisible. Al menos no todavía.

Disfruto de la magia, y algunos podrían argumentar que la prestidigitación es necesaria para

piratear computadoras. Un truco de magia popular es hacer que un objeto sea invisible.
El secreto, sin embargo, es que el objeto no desaparece físicamente ni se vuelve invisible. El
objeto siempre queda en un segundo plano, detrás de una cortina, en una manga, en un bolsillo,
lo podamos ver o no.
Lo mismo ocurre con la gran cantidad de datos personales sobre todos y cada uno de
nosotros que actualmente se recopilan y almacenan, a menudo sin que nos demos cuenta. La
mayoría de nosotros simplemente no sabemos lo fácil que es para otros ver estos detalles sobre
nosotros o incluso dónde buscar. Y debido a que no vemos esta información, podemos creer que
somos invisibles para nuestros ex, nuestros padres, nuestras escuelas, nuestros jefes e incluso
nuestros gobiernos.
El problema es que si sabe dónde buscar, toda esa información está disponible para casi
cualquier persona.
Cada vez que hablo ante grandes multitudes, sin importar el tamaño de la sala, generalmente
tengo una persona que me cuestiona este hecho. Después de uno de esos eventos, un reportero
muy escéptico me desafió.
Recuerdo que estábamos sentados en una mesa privada en el bar de un hotel en una gran
ciudad de EE. UU. cuando la reportera dijo que nunca había sido víctima de una violación de datos.
Dada su juventud, dijo que tenía relativamente pocos activos a su nombre, por lo tanto, pocos
registros. Nunca puso detalles personales en ninguna de sus historias ni en sus redes sociales
personales; lo mantuvo profesional. Ella se consideraba invisible. Así que le pedí permiso para
encontrar su número de Seguro Social y cualquier otra información personal en línea. A
regañadientes ella accedió.
Con ella sentada cerca, inicié sesión en un sitio, uno que está reservado para investigadores
privados. Califico como este último a través de mi trabajo investigando incidentes de piratería a
nivel mundial. Ya sabía su nombre, así que le pregunté dónde estaba.
Machine Translated by Google

vivió. Esto también lo podría haber encontrado en Internet, en otro sitio, si ella no me lo hubiera
dicho.

En un par de minutos supe su número de Seguro Social, su ciudad de nacimiento e incluso el

apellido de soltera de su madre. También sabía todos los lugares a los que había llamado hogar y
todos los números de teléfono que había usado. Mirando la pantalla, con una mirada de sorpresa en
su rostro, confirmó que toda la información era más o menos cierta.

El sitio que utilicé está restringido a empresas o individuos examinados. Cobra una tarifa baja
por mes más costos adicionales por cualquier búsqueda de información y, de vez en cuando, me
auditará para averiguar si tengo un propósito legítimo para realizar una búsqueda en particular.

Pero se puede encontrar información similar sobre cualquier persona por una pequeña tarifa de
búsqueda. Y es perfectamente legal.
¿Alguna vez llenó un formulario en línea, envió información a una escuela u organización que
pone su información en línea, o publicó un caso legal en Internet? Si es así, ha ofrecido información
personal a un tercero que puede hacer con la información lo que le plazca. Lo más probable es que
algunos, si no todos, de esos datos estén ahora en línea y disponibles para las empresas que se
dedican a recopilar toda la información personal de Internet. El Centro de Información de Derechos
de Privacidad enumera más de 130 empresas que recopilan información personal (ya sea precisa o
no) sobre usted.3 Y luego están los datos que usted no ofrece voluntariamente en línea pero que,
sin embargo, las corporaciones y los gobiernos recopilan: información sobre quién enviamos correos
electrónicos, mensajes de texto y llamamos; lo que buscamos en línea; lo que compramos, ya sea
en una tienda física o en línea; y por dónde viajamos, a pie o en coche. El volumen de datos
recopilados sobre todos y cada uno de nosotros crece exponencialmente cada día.

Usted puede pensar que no necesita preocuparse por esto. Confía en mí: lo haces. Espero que
al final de este libro esté bien informado y lo suficientemente preparado para hacer algo al respecto.

El hecho es que vivimos con una ilusión de privacidad, y probablemente llevamos décadas viviendo
así.
En cierto punto, es posible que nos sintamos incómodos con la forma en que
Machine Translated by Google

Cuánto acceso tienen nuestro gobierno, nuestros empleadores, nuestros jefes, nuestros
maestros y nuestros padres a nuestra vida personal. Pero dado que ese acceso se ha
ganado gradualmente, dado que hemos abrazado cada pequeña conveniencia digital sin
resistir su impacto en nuestra privacidad, se vuelve cada vez más difícil retroceder el reloj.
Además, ¿quién de nosotros quiere renunciar a nuestros juguetes?
El peligro de vivir en un estado de vigilancia digital no es tanto que se recopilen los
datos (poco podemos hacer al respecto) sino qué se hace con los datos una vez
recopilados.
Imagínese lo que un fiscal demasiado entusiasta podría hacer con el gran dossier de
puntos de datos sin procesar disponibles sobre usted, quizás desde hace varios años.
Los datos de hoy, a veces recopilados fuera de contexto, vivirán para siempre. Incluso el
juez de la Corte Suprema de los EE. UU., Stephen Breyer, está de acuerdo en que es
“difícil para alguien saber, de antemano, cuándo un conjunto particular de declaraciones
podría parecer más tarde (para un fiscal) ser relevante para una investigación de este
tipo”. 4 En otras palabras, una foto tuya borracha que alguien publicó en Facebook podría
ser la menor de tus preocupaciones.
Puede pensar que no tiene nada que ocultar, pero ¿está seguro?
En un artículo de opinión bien argumentado en Wired, la respetada investigadora de
seguridad Moxie Marlinspike señala que algo tan simple como estar en posesión de una
langosta pequeña es en realidad un delito federal en los Estados Unidos.5 “No importa si
la compraste. en una tienda de comestibles, si alguien más te lo dio, si está vivo o muerto,
si lo encontraste después de que muriera por causas naturales, o incluso si lo mataste
mientras actuabas en defensa propia. Puedes ir a la cárcel por culpa de una langosta.”6
El punto aquí es que hay muchas leyes menores que no se aplican y que podrías estar
violando sin saberlo. Excepto que ahora hay un rastro de datos para probarlo con solo
unos toques de distancia, disponible para cualquier persona que lo desee.

La privacidad es compleja. No es una propuesta única para todos. Todos tenemos

diferentes razones para compartir información sobre nosotros mismos libremente con
extraños y mantener en privado otras partes de nuestras vidas. Tal vez simplemente no
quieras que tu pareja lea tus cosas personales. Tal vez no quiera que su empleador sepa
sobre su vida privada. O tal vez realmente temes que una agencia gubernamental te esté
espiando.
Estos son escenarios muy diferentes, por lo que no se ofrece ninguna recomendación.
Machine Translated by Google

aquí va a caber a todos. Debido a que tenemos actitudes complicadas y, por lo tanto, muy
diferentes hacia la privacidad, lo guiaré a través de lo que es importante, lo que está
sucediendo hoy con la recopilación subrepticia de datos, y le dejaré decidir qué funciona
para su propia vida.
En todo caso, este libro lo hará consciente de las formas de ser privado dentro del
mundo digital y le ofrecerá soluciones que puede o no elegir adoptar. Dado que la privacidad
es una elección personal, los grados de invisibilidad también variarán según el individuo.

En este libro, demostraré que todos y cada uno de nosotros estamos siendo observados,
en casa y en el mundo, mientras camina por la calle, se sienta en un café o conduce por la
carretera. Su computadora, su teléfono, su automóvil, el sistema de alarma de su hogar,
incluso su refrigerador, son puntos potenciales de acceso a su vida privada.

La buena noticia es que, además de asustarte, también te voy a mostrar qué hacer con
la falta de privacidad, una situación que se ha convertido en la
norma.
En este libro, aprenderá cómo:

cifre y envíe un correo electrónico

seguro proteja sus datos con una buena administración de
contraseñas oculte su verdadera dirección IP de los lugares
que visita oculte su computadora para que no sea rastreada
defienda su anonimato y mucho más

Ahora, prepárate para dominar el arte de la invisibilidad.

Machine Translated by Google

CAPÍTULO UNO

¡Su contraseña puede ser descifrada!

Jennifer Lawrence estaba teniendo un Día del Trabajo difícil

fin de semana. La ganadora del Premio de la Academia fue una de varias celebridades
que se despertaron una mañana en 2014 y descubrieron que sus fotos más privadas,
muchas de las cuales las mostraban desnudas, estaban siendo salpicadas en Internet.

Tómese un momento para escanear mentalmente todas las imágenes que están
actualmente almacenadas en su computadora, teléfono y correo electrónico. Claro,
muchos de ellos son perfectamente benignos. Estarías bien con todo el mundo viendo
las puestas de sol, las lindas instantáneas familiares, tal vez incluso la selfie bromista del
día del cabello malo. Pero, ¿te sentirías cómodo compartiendo todos y cada uno de
ellos? ¿Cómo te sentirías si de repente todos aparecieran en línea? Tal vez no todas
nuestras fotos personales sean obscenas, pero siguen siendo registros de momentos
privados. Deberíamos poder decidir si, cuándo y cómo compartirlos, pero con los
servicios en la nube, la elección puede no ser siempre nuestra.
La historia de Jennifer Lawrence dominó el lento ciclo de noticias del fin de semana
del Día del Trabajo en 2014. Fue parte de un evento llamado theFappening, una gran
filtración de fotografías desnudas y casi desnudas de Rihanna, Kate Upton, Kaley Cuoco,
Adrianne Curry y casi trescientas personas más. celebridades, la mayoría de ellas
mujeres, cuyas imágenes de teléfonos celulares de alguna manera habían sido accedidas
y compartidas de forma remota. Si bien algunas personas estaban, como era de esperar,
interesadas en ver estas fotos, para muchos el incidente fue un recordatorio inquietante de que
Machine Translated by Google

les podría haber pasado lo mismo.

Entonces, ¿cómo alguien tuvo acceso a esas imágenes privadas de Jennifer Lawrence y
otros?
Dado que todas las celebridades usaban iPhones, las primeras especulaciones se centraron
en una violación masiva de datos que afectó al servicio iCloud de Apple, una opción de
almacenamiento en la nube para los usuarios de iPhone. A medida que su dispositivo físico se
queda sin memoria, sus fotos, archivos nuevos, música y juegos se almacenan en un servidor de
Apple, generalmente por una pequeña tarifa mensual. Google ofrece un servicio similar para Android.
Apple, que casi nunca comenta en los medios sobre temas de seguridad, negó cualquier
culpa por su parte. La compañía emitió un comunicado en el que calificó el incidente como un
"ataque muy específico a nombres de usuario, contraseñas y preguntas de seguridad" y agregó
que "ninguno de los casos que hemos investigado ha sido el resultado de una violación en
cualquiera de los sistemas de Apple, incluidos iCloud o Find my iPhone". .”1 Las fotos comenzaron
a aparecer en un foro de piratas informáticos muy conocido por publicar fotos comprometidas.2
Dentro de ese foro puede encontrar debates activos sobre las herramientas forenses digitales
utilizadas para obtener de forma subrepticia tales fotos. Los investigadores, los investigadores y
las fuerzas del orden usan estas herramientas para acceder a los datos de los dispositivos o de
la nube, generalmente después de un delito.

Y, por supuesto, las herramientas también tienen otros usos.

Una de las herramientas discutidas abiertamente en el foro, Elcomsoft Phone Password
Breaker, o EPPB, está destinada a permitir que las agencias gubernamentales y de aplicación de
la ley accedan a las cuentas de iCloud y se vende públicamente. Es solo una de las muchas
herramientas que existen, pero parece ser la más popular en el foro. EPPB requiere que los
usuarios tengan primero la información de nombre de usuario y contraseña de iCloud del objetivo.
Sin embargo, para las personas que usan este foro, obtener nombres de usuario y contraseñas
de iCloud no es un problema. Dio la casualidad de que durante ese fin de semana festivo de
2014, alguien publicó en un popular repositorio de códigos en línea (Github) una herramienta
llamada iBrute, un mecanismo de pirateo de contraseñas diseñado específicamente para adquirir
credenciales de iCloud de casi cualquier persona.

Usando iBrute y EPPB juntos, alguien podría hacerse pasar por una víctima y descargar una
copia de seguridad completa de los datos del iPhone almacenados en la nube de esa víctima en
otro dispositivo. Esta capacidad es útil cuando actualiza su teléfono, por ejemplo. También es
valioso para un atacante, que luego puede ver todo.
Machine Translated by Google

que hayas hecho alguna vez en tu dispositivo móvil. Esto arroja mucha más información
que simplemente iniciar sesión en la cuenta de iCloud de la víctima.
Jonathan Zdziarski, consultor forense e investigador de seguridad, le dijo a Wired que
su examen de las fotos filtradas de Kate Upton, por ejemplo, coincidía con el uso de iBrute
y EPPB. Tener acceso a una copia de seguridad restaurada del iPhone le da al atacante
mucha información personal que luego podría ser útil para el chantaje.3

En octubre de 2016, Ryan Collins, un hombre de treinta y seis años de Lancaster,

Pensilvania, fue sentenciado a dieciocho meses de prisión por “acceso no autorizado a una
computadora protegida para obtener información” relacionada con el hackeo. Fue acusado
de acceso ilegal a más de cien cuentas de correo electrónico de Apple y Google.4

Para proteger su iCloud y otras cuentas en línea, debe establecer una contraseña segura.
Eso es obvio. Sin embargo, en mi experiencia como probador de penetración (pen tester),
alguien a quien se le paga para piratear redes informáticas y encontrar vulnerabilidades,
descubro que muchas personas, incluso los ejecutivos de grandes corporaciones, son vagas
cuando se trata de contraseñas. Considere que el CEO de Sony Entertainment, Michael
Lynton, usó "sonyml3" como contraseña de su cuenta de dominio. No es de extrañar que
sus correos electrónicos fueran pirateados y difundidos por Internet, ya que los atacantes
tenían acceso administrativo a casi todo dentro de la empresa.

Más allá de tus contraseñas relacionadas con el trabajo, están aquellas contraseñas
que protegen tus cuentas más personales. Elegir una contraseña difícil de adivinar no evitará
que las herramientas de piratería como oclHashcat (una herramienta para descifrar
contraseñas que aprovecha las unidades de procesamiento de gráficos, o GPU, para el
descifrado de alta velocidad) posiblemente descifren su contraseña, pero hará que el
proceso lo suficientemente lento como para alentar a un atacante a pasar a un objetivo más fácil.
Es posible suponer que algunas de las contraseñas expuestas durante el hackeo de
Ashley Madison en julio de 2015 ciertamente se utilizan en otros lugares, incluso en cuentas
bancarias e incluso en computadoras de trabajo. De las listas de 11 millones de contraseñas
de Ashley Madison publicadas en línea, las más comunes fueron "123456", "12345",
"contraseña", "DEFAULT", "123456789", "qwerty", "12345678", "abc123" y " 1234567.”5 Si
ve una de sus propias contraseñas aquí, es probable que sea vulnerable a una violación de
datos, ya que estos términos comunes son
Machine Translated by Google

incluido en la mayoría de los kits de herramientas para descifrar contraseñas disponibles en

línea. Siempre puede consultar el sitio www.haveibeenpwned.com para ver si su cuenta se ha
visto comprometida en el pasado.
En el siglo XXI, podemos hacerlo mejor. Y digo mucho mejor, con configuraciones de letras
y números mucho más largas y complejas.
Eso puede sonar difícil, pero le mostraré una forma automática y manual de hacerlo.

El enfoque más sencillo es renunciar a la creación de sus propias contraseñas y

simplemente automatizar el proceso. Hay varios administradores de contraseñas digitales por
ahí. No solo almacenan sus contraseñas dentro de una bóveda cerrada y permiten el acceso
con un solo clic cuando las necesita, sino que también generan contraseñas únicas, nuevas y
realmente seguras para cada sitio cuando las necesita.
Tenga en cuenta, sin embargo, dos problemas con este enfoque. Una es que los
administradores de contraseñas usan una contraseña maestra para acceder. Si alguien infecta
su computadora con malware que roba la base de datos de contraseñas y su contraseña
maestra a través del registro de teclas, cuando el malware registra cada pulsación de tecla que
hace, se acabó el juego. Esa persona tendrá entonces acceso a todas sus contraseñas.
Durante mis compromisos de prueba de penetración, a veces reemplazo el administrador de
contraseñas con una versión modificada que nos transmite la contraseña maestra (cuando el
administrador de contraseñas es de código abierto). Esto se hace después de que obtengamos
acceso de administrador a la red del cliente. Luego buscamos todas las contraseñas
privilegiadas. En otras palabras, utilizaremos gestores de contraseñas como puerta trasera
para conseguir las llaves del reino.

El otro problema es bastante obvio: si pierde la contraseña maestra, perderá todas sus
contraseñas. En última instancia, esto está bien, ya que siempre puede realizar un
restablecimiento de contraseña en cada sitio, pero eso sería una gran molestia si tiene muchas
cuentas.
A pesar de estos defectos, los siguientes consejos deberían ser más que adecuados para
mantener sus contraseñas seguras.
En primer lugar, las frases de contraseña seguras, no las contraseñas, deben ser largas,
al menos de veinte a veinticinco caracteres. Los caracteres aleatorios (ek5iogh#skf&skd)
funcionan mejor. Desafortunadamente, la mente humana tiene problemas para recordar
secuencias aleatorias. Así que usa un administrador de contraseñas. Usar un administrador de
contraseñas es mucho mejor que elegir uno propio. Prefiero administradores de contraseñas
de código abierto como Password Safe y KeePass que solo almacenan datos localmente en su
Machine Translated by Google

computadora.
Otra regla importante para tener buenas contraseñas es nunca usar la misma
contraseña para dos cuentas diferentes. Eso es difícil. Hoy tenemos contraseñas en
casi todo. Así que haga que un administrador de contraseñas genere y almacene
contraseñas seguras y únicas para usted.
Incluso si tiene una contraseña segura, aún se puede usar la tecnología para
derrotarlo. Existen programas para adivinar contraseñas como John the Ripper, un
programa gratuito de código abierto que cualquiera puede descargar y que funciona
dentro de los parámetros de configuración establecidos 6por
Porelejemplo,
usuario. un
especifique
usuario podría
cuántos caracteres intentar, si usar símbolos especiales, si incluir conjuntos de idiomas
extranjeros, etc. John the Ripper y otros piratas informáticos de contraseñas pueden
permutar las letras de la contraseña utilizando conjuntos de reglas que son
extremadamente efectivos para descifrar contraseñas. Esto simplemente significa que
prueba todas las combinaciones posibles de números, letras y símbolos dentro de los
parámetros hasta que logra descifrar su contraseña. Afortunadamente, la mayoría de
nosotros no nos enfrentamos a estados-nación con tiempo y recursos virtualmente
ilimitados. Lo más probable es que nos enfrentemos a un cónyuge, un pariente o alguien
a quien realmente cabreamos y que, cuando se enfrenta a una contraseña de veinticinco
caracteres, no tendrá el tiempo ni los recursos para descifrarla con éxito.
Supongamos que desea crear sus contraseñas a la antigua y que ha elegido
algunas contraseñas realmente seguras. ¿Adivina qué? Está bien escribirlos.
Simplemente no escriba "Bank of America: 4the 1sttimein4ever*".
Eso sería demasiado obvio. En su lugar, reemplace el nombre de su banco (por ejemplo)
con algo críptico, como "Cookie Jar" (porque algunas personas alguna vez escondieron
su dinero en botes de galletas) y sígalo con "4the1st".
Note que no completé la frase. No es necesario. Conoces el resto de la frase. Pero
alguien más podría no hacerlo.
Cualquiera que encuentre esta lista impresa de contraseñas incompletas debería
estar suficientemente confundido, al menos al principio. Interesante historia: estaba en
casa de un amigo, un empleado de Microsoft muy conocido, y durante la cena
estábamos discutiendo la seguridad de las contraseñas con su esposa e hijo. En un
momento, la esposa de mi amigo se levantó y fue al refrigerador. Había escrito todas
sus contraseñas en una sola hoja de papel y la había pegado a la puerta del
electrodoméstico con un imán. Mi amigo simplemente negó con la cabeza y yo sonreí
ampliamente. Escribir contraseñas puede no ser una solución perfecta,
Machine Translated by Google

pero tampoco lo es olvidar esa contraseña segura que pocas veces se usa.

Algunos sitios web, como el sitio web de su banco, bloquean a los usuarios después de varios
intentos fallidos de contraseña, generalmente tres. Muchos sitios, sin embargo, todavía no hacen
esto. Pero incluso si un sitio bloquea a una persona después de tres intentos fallidos, no es así como
los malos usan John the Ripper o oclHashcat. (Dicho sea de paso, oclHashcat distribuye el proceso
de piratería en múltiples GPU y es mucho más poderoso que John the Ripper). Además, los piratas
informáticos en realidad no prueban todas las contraseñas posibles en un sitio en vivo.

Digamos que ha habido una violación de datos, y dentro del volcado de datos están incluidos
los nombres de usuario y las contraseñas. Pero las contraseñas recuperadas de la violación de
datos son meras tonterías.
¿Cómo ayuda eso a alguien a entrar en su cuenta?
Cada vez que ingresa una contraseña, ya sea para desbloquear su computadora portátil o un
servicio en línea, esa contraseña se pasa a través de un algoritmo unidireccional conocido como
función hash. No es lo mismo que el cifrado. El cifrado es bidireccional: puede cifrar y descifrar
siempre que tenga una clave. Un hash es una huella digital que representa una cadena particular de
caracteres. En teoría, los algoritmos unidireccionales no se pueden revertir, o al menos no fácilmente.

Lo que se almacena en la base de datos de contraseñas de su PC tradicional, su dispositivo

móvil o su cuenta en la nube no es MaryHadALittleLamb123$ sino su valor hash, que es una
secuencia de números y letras. La secuencia es un token que representa su contraseña.7 Son los
hashes de contraseña, no las contraseñas en sí mismas, las que se almacenan en la memoria
protegida de nuestras computadoras y se pueden obtener a partir de un compromiso de sistemas
específicos o filtrados en filtraciones de datos. Una vez que un atacante ha obtenido estos hashes
de contraseña, el hacker puede usar una variedad de herramientas disponibles públicamente, como
John the Ripper u oclHashcat, para descifrar los hashes y obtener la contraseña real, ya sea a través
de la fuerza bruta (probando todas las combinaciones alfanuméricas posibles) o probando cada
palabra en una lista de palabras, como un diccionario. Las opciones disponibles en John the Ripper
y oclHashcat permiten al atacante modificar las palabras probadas contra numerosos conjuntos de
reglas, por ejemplo, el conjunto de reglas llamado leetspeak, un sistema para reemplazar letras con
números, como en "k3v1n m17n1ck". Esta regla cambiará todas las contraseñas a varias
permutaciones de leetspeak. Usando estos métodos para descifrar
Machine Translated by Google

contraseñas es mucho más eficaz que la simple fuerza bruta. Las contraseñas más simples y
comunes se descifran fácilmente primero, luego las contraseñas más complejas se descifran
con el tiempo. El tiempo que tarda depende de varios factores. Usando una herramienta para
descifrar contraseñas junto con su nombre de usuario violado y su contraseña codificada, los
piratas informáticos pueden acceder a una o más de sus cuentas probando esa contraseña en
sitios adicionales conectados a su dirección de correo electrónico u otro identificador.

En general, cuantos más caracteres tenga su contraseña, más tardarán los programas de
adivinación de contraseñas, como John the Ripper, en ejecutar todas las variaciones posibles.
A medida que los procesadores de las computadoras se vuelven más rápidos, el tiempo que se
tarda en calcular todas las contraseñas posibles de seis caracteres e incluso de ocho caracteres
también se vuelve mucho más corto. Por eso recomiendo usar contraseñas de veinticinco
caracteres o más.
Después de crear contraseñas seguras, y muchas de ellas, nunca las revele. Eso parece
dolorosamente obvio, pero las encuestas en Londres y otras ciudades importantes muestran
que las personas intercambian sus contraseñas a cambio de algo tan trivial como un bolígrafo
o un trozo de chocolate.8 Un amigo mío una vez compartió su contraseña de Netflix con una
novia. Tenía sentido en ese momento. Estaba la gratificación inmediata de dejarla elegir
una película para que la vieran juntos. Pero atrapadas en la sección de películas recomendadas
de Netflix estaban todas sus películas "porque viste...", incluidas películas que había visto con
novias anteriores. The Sisterhood of the Travelling Pants, por ejemplo, no es una película que
él mismo hubiera pedido, y su novia lo sabía.

Por supuesto, todo el mundo tiene ex. Incluso podrías sospechar si saliste con alguien que
no lo hizo. Pero ninguna novia quiere enfrentarse a la evidencia de quienes la han precedido.

Si protege con contraseña sus servicios en línea, también debe proteger con contraseña sus
dispositivos individuales. La mayoría de nosotros tenemos computadoras portátiles y muchos
de nosotros todavía tenemos computadoras de escritorio. Puede que estés solo en casa ahora,
pero ¿qué pasa con los invitados a la cena que vienen más tarde? ¿Por qué arriesgarse a que
uno de ellos pueda acceder a sus archivos, fotos y juegos simplemente sentándose en su
escritorio y moviendo el mouse? Otra historia de advertencia de Netflix: en los días en que
Netflix enviaba principalmente DVD, conocí a una pareja a la que le hicieron una broma. durante una fiesta
Machine Translated by Google

en su casa, habían dejado su navegador abierto en su cuenta de Netflix.

Posteriormente, la pareja descubrió que se habían agregado a su cola todo tipo de
películas obscenas de la lista B y C, pero solo después de haber recibido más de una de
estas películas por correo.
Es aún más importante protegerse con contraseñas en la oficina.
Piense en todas esas veces que lo llaman de su escritorio a una reunión improvisada.
Alguien podría pasar por su escritorio y ver la hoja de cálculo del presupuesto del próximo
trimestre. O todos los correos electrónicos que se encuentran en su bandeja de entrada.
O peor aún, a menos que tenga un protector de pantalla protegido por contraseña que se
activa después de unos segundos de inactividad, cada vez que esté lejos de su escritorio
durante un período prolongado, fuera a almorzar o en una reunión larga, alguien podría
sentarse y escribir. un correo electrónico y enviarlo como usted. O incluso modificar el
presupuesto del próximo trimestre.
Existen nuevos métodos creativos para evitar esto, como el software de bloqueo de
pantalla que usa Bluetooth para verificar si está cerca de su computadora. En otras
palabras, si vas al baño y tu teléfono móvil sale del rango de Bluetooth de la computadora,
la pantalla se bloquea inmediatamente. También hay versiones que usan un dispositivo
Bluetooth como una pulsera o un reloj inteligente y harán lo mismo.

Crear contraseñas para proteger cuentas y servicios en línea es una cosa, pero no lo
ayudará si alguien obtiene posesión física de su dispositivo, especialmente si dejó abiertas
esas cuentas en línea. Entonces, si protege con contraseña solo un conjunto de
dispositivos, deberían ser sus dispositivos móviles, porque estos son los más vulnerables
a perderse o ser robados. Sin embargo, Consumer Reports encontró que el 34 por ciento
de los estadounidenses no protegen sus dispositivos móviles con ninguna medida de
seguridad, como bloquear la pantalla con un PIN simple de cuatro dígitos.9 En 2014, un
oficial de policía de Martinez, California, confesó haber robado fotos del teléfono celular de
un sospechoso de DUI, una clara violación de la Cuarta Enmienda, que es parte de la
Declaración de Derechos de la Constitución.10 Específicamente, la Cuarta Enmienda
prohíbe registros e incautaciones irrazonables sin una orden emitida por un juez y
respaldada por Causa: por ejemplo, los agentes del orden tienen que indicar por qué
quieren acceder a su teléfono.
Machine Translated by Google

Si aún no ha protegido con contraseña su dispositivo móvil, tome una

momento ahora y hacerlo. En serio.
Hay tres formas comunes de bloquear su teléfono, ya sea Android, iOS o cualquier otra
cosa. El más familiar es un código de acceso: una secuencia de números que ingresa en un
orden específico para desbloquear su teléfono. No te conformes con la cantidad de dígitos
que recomienda el teléfono. Vaya a su configuración y configure manualmente el código de
acceso para que sea más fuerte: siete dígitos si lo desea (como un número de teléfono
antiguo de su infancia).
Ciertamente use más de cuatro.
Algunos dispositivos móviles le permiten elegir un código de acceso basado en texto,
como los ejemplos que creamos aquí. Nuevamente, elija al menos siete caracteres.
Los dispositivos móviles modernos muestran las teclas de números y letras en la misma
pantalla, lo que facilita el cambio entre ellas.
Otra opción de bloqueo es visual. Desde 2008, los teléfonos Android han sido equipados
con algo llamado patrones de bloqueo de Android (ALP). Nueve puntos aparecen en la
pantalla y los conecta en el orden que desee; esa secuencia de conexión se convierte en su
código de acceso. Puede pensar que esto es ingenioso y que la gran variedad de
combinaciones posibles hace que su secuencia sea irrompible. Pero en la conferencia
Passwords-Con en 2015, los investigadores informaron que, siendo la naturaleza humana
lo que es, los participantes en un estudio aprovecharon solo algunos patrones posibles de
las 140,704 combinaciones posibles en ALP.
11 ¿Y cuáles eran esos patrones predecibles?

A menudo, la primera letra del nombre del usuario. El estudio también encontró que las
personas tendían a usar los puntos en el medio y no en las cuatro esquinas remotas.
Considere eso la próxima vez que configure un ALP.
Finalmente está la cerradura biométrica. Apple, Samsung y otros fabricantes populares
actualmente permiten a los clientes la opción de usar un escáner de huellas dactilares para
desbloquear sus teléfonos. Tenga en cuenta que estos no son infalibles. Después del
lanzamiento de Touch ID, los investigadores, que tal vez esperaban que Apple hubiera
mejorado la generación actual de escáneres de huellas dactilares que ya estaban en el
mercado, se sorprendieron al descubrir que varios métodos antiguos para vencer a los
escáneres de huellas dactilares todavía funcionan en el iPhone. Estos incluyen capturar una
huella dactilar de una superficie limpia usando talco para bebés y cinta adhesiva transparente.

Otros teléfonos utilizan la cámara integrada para el reconocimiento facial del propietario.
Machine Translated by Google

Esto también se puede vencer mostrando una fotografía de alta resolución del propietario frente
a la cámara.
En general, la biometría por sí misma es vulnerable a los ataques. Idealmente, la biometría
debería usarse solo como un factor de autenticación. Deslice la punta del dedo o sonría para la
cámara, luego ingrese un PIN o contraseña. Eso debería mantener su dispositivo móvil seguro.

¿Qué sucede si creó una contraseña segura pero no la anotó? Los restablecimientos de
contraseña son una bendición cuando absolutamente no puede acceder a una cuenta que se
usa con poca frecuencia. Pero también pueden ser una fruta madura para los posibles atacantes.
Utilizando las pistas que dejamos en forma de perfiles de redes sociales en Internet, los piratas
informáticos pueden obtener acceso a nuestro correo electrónico y otros servicios simplemente
restableciendo nuestras contraseñas.
Un ataque que ha aparecido en la prensa consiste en obtener los últimos cuatro dígitos del
número de tarjeta de crédito del objetivo y luego usarlos como prueba de identidad al llamar a un
proveedor de servicios para cambiar la dirección de correo electrónico autorizada. De esa
manera, el atacante puede restablecer la contraseña por su cuenta sin que el propietario legítimo
lo sepa.
En 2008, un estudiante de la Universidad de Tennessee, David Kernell, decidió ver si podía
acceder a la cuenta personal de correo electrónico de Yahoo de la entonces candidata a la
vicepresidencia Sarah Palin.12 Kernell podría haber adivinado varias contraseñas, pero el acceso
a la cuenta podría haber sido bloqueado después de algunos intentos fallidos. En su lugar, usó
la función de restablecimiento de contraseña, un proceso que luego describió como "fácil". las
cuentas de correo electrónico de sus amigos habían sido incautadas. Estas apropiaciones de
correo electrónico a menudo ocurren porque las contraseñas que protegen las cuentas no
son seguras. O alguien aprendió la contraseña, a través de una violación de datos, o el atacante
usó la función de restablecimiento de contraseña.

Al configurar por primera vez una cuenta, como una cuenta de correo electrónico o incluso
una cuenta bancaria, es posible que le hayan preguntado lo que generalmente se denominan
preguntas de seguridad. Por lo general, hay tres de ellos. A menudo hay menús desplegables
que enumeran preguntas sugeridas, para que pueda elegir cuáles desea responder. Por lo
general, son realmente obvios.
Machine Translated by Google

¿Donde naciste? ¿Dónde fuiste a la escuela secundaria? ¿O la universidad?

Y el viejo favorito, el apellido de soltera de su madre, que aparentemente ha estado
en uso como pregunta de seguridad desde al menos 1882.14 Como discutiré más
adelante, las empresas pueden escanear Internet y recopilar información personal
que hace que responder estas preguntas básicas de seguridad sea una tarea fácil.
pedazo de pastel Una persona puede pasar unos minutos en Internet y tener muchas
posibilidades de poder responder a todas las preguntas de seguridad de un individuo
determinado.
Solo recientemente estas preguntas de seguridad han mejorado un poco. Por
ejemplo, "¿Cuál es el estado donde nació su cuñado?" es bastante distinto, aunque
responder correctamente a estas "buenas" preguntas puede conllevar sus propios
riesgos, a los que llegaré en un minuto. Pero muchas de las llamadas preguntas de
seguridad siguen siendo demasiado fáciles, como "¿Cuál es la ciudad natal de tu padre?"
En general, al configurar estas preguntas de seguridad, intente evitar las
sugerencias más obvias disponibles en el menú desplegable. Incluso si el sitio incluye
solo preguntas de seguridad básicas, sea creativo. Nadie dice que tienes que dar
respuestas directas. Puedes ser inteligente al respecto. Por ejemplo, en lo que
respecta a su servicio de transmisión de video, tal vez tutti-frutti sea su nuevo color
favorito. ¿Quién lo adivinaría? es un color no? Lo que proporciona como respuesta
se convierte en la respuesta "correcta" a esa pregunta de seguridad.

Siempre que proporcione respuestas creativas, asegúrese de anotar tanto la

pregunta como la respuesta y guárdelas en un lugar seguro (o simplemente use un
administrador de contraseñas para almacenar sus preguntas y respuestas). Puede
haber una ocasión posterior en la que necesite hablar con el soporte técnico, y un
representante podría hacerle una de las preguntas de seguridad. Tenga una carpeta
a mano o mantenga una tarjeta en su billetera (o memorice y use constantemente el
mismo conjunto de respuestas) para recordar que "En un hospital" es la respuesta
correcta a la pregunta "¿Dónde nació?" Esta simple ofuscación frustraría a alguien
que más tarde investigó en Internet sobre usted e intentó una respuesta más
razonable, como "Columbus, Ohio".
Existen riesgos de privacidad adicionales al responder preguntas de seguridad
muy específicas con honestidad: está brindando más información personal de la que
ya existe. Por ejemplo, la respuesta honesta a "¿En qué estado nació su cuñado?"
luego puede ser vendido por el sitio que dio esa respuesta
Machine Translated by Google

y tal vez combinado con otra información o utilizado para completar la información que falta.
Por ejemplo, de la respuesta del cuñado se puede inferir que usted está o estuvo casado y
que su pareja, o su ex, tiene un hermano que es hombre o está casado con un hombre
nacido en el estado que proporcionó. Esa es una gran cantidad de información adicional de
una respuesta simple. Por otro lado, si no tiene un cuñado, continúe y responda la pregunta
de manera creativa, tal vez respondiendo "Puerto Rico". Eso debería confundir a cualquiera
que intente crear un perfil sobre ti. Cuantas más pistas falsas proporcione, más invisible se
volverá en línea.

Cuando responda estas preguntas relativamente poco comunes, siempre considere

cuán valioso es el sitio para usted. Por ejemplo, puede confiar en que su banco tenga esta
información personal adicional, pero no su servicio de transmisión de video. Considere
también cuál podría ser la política de privacidad del sitio: busque lenguaje que diga o
sugiera que podría vender la información que recopila a terceros.

El restablecimiento de la contraseña de la cuenta de correo electrónico de Yahoo de

Sarah Palin requería su fecha de nacimiento, código postal y la respuesta a la pregunta de
seguridad "¿Dónde conoció a su esposo?" La fecha de nacimiento y el código postal de
Palin se podían encontrar fácilmente en línea (en ese momento, Palin era gobernadora de
Alaska). La pregunta de seguridad requirió un poco más de trabajo, pero la respuesta
también fue accesible para Kernell. Palin concedió muchas entrevistas en las que afirmó
repetidamente que su esposo era su novio en la escuela secundaria. Resultó que esa era
la respuesta correcta a su pregunta de seguridad: "Escuela secundaria".
Al adivinar la respuesta a la pregunta de seguridad de Palin, Kernell pudo restablecer
su contraseña de Yahoo Mail a una que él controlaba. Esto le permitió ver todos sus correos
electrónicos personales de Yahoo. Se publicó una captura de pantalla de su bandeja de
entrada en un sitio web de piratas informáticos. A Palin se le bloqueó el acceso a su correo
electrónico hasta que restableció la contraseña.15 Lo que hizo Kernell fue ilegal, una
violación de la Ley de Abuso y Fraude Informático. Específicamente, fue declarado
culpable de dos cargos: obstrucción anticipada de la justicia por destrucción de registros,
un delito grave, y obtener acceso no autorizado a una computadora, un delito menor. Fue
sentenciado en 2010 a un año y un día de prisión más tres años de libertad supervisada.16
Si su cuenta de correo electrónico ha sido usurpada, como sucedió con la de Palin, primero
tendrá que
Machine Translated by Google

necesita cambiar su contraseña usando (sí, lo adivinó) la opción de restablecimiento de

contraseña. Haga de esta nueva contraseña una contraseña más segura, como sugerí
anteriormente. En segundo lugar, marque la casilla Enviado para ver exactamente lo que
se envió a su nombre. Es posible que vea un mensaje de spam que se envió a varias
partes, incluso a toda su lista de contactos. Ahora sabe por qué sus amigos le han estado
enviando spam durante todos estos años: alguien pirateó su correo electrónico.
cuentas
También verifique si alguien se ha agregado a sí mismo a su cuenta.
Anteriormente hablamos sobre el reenvío de correo con respecto a varias cuentas de
correo electrónico. Bueno, un atacante que obtenga acceso a su servicio de correo
electrónico también podría reenviar todo su correo electrónico a su cuenta. Todavía vería
su correo electrónico normalmente, pero el atacante también lo vería. Si alguien se ha
agregado a su cuenta, elimine esta dirección de correo electrónico de reenvío de inmediato.

Las contraseñas y los PIN son parte de la solución de seguridad, pero acabamos de ver
que se pueden adivinar. Incluso mejores que las contraseñas complejas son los métodos
de autenticación de dos factores. De hecho, en respuesta a que Jennifer Lawrence y
otras celebridades publicaron sus fotos de desnudos en Internet, Apple instituyó la
autenticación de dos factores, o 2FA, para sus servicios de iCloud.
¿Qué es 2FA?
Cuando intente autenticar a un usuario, sitios o aplicaciones, busque al menos dos
de tres cosas. Por lo general, se trata de algo que tienes, algo que sabes y algo que eres.
Algo que tenga puede ser una tarjeta de crédito o débito con banda magnética o con chip
incorporado. Algo que sabes es a menudo un PIN o una respuesta a una pregunta de
seguridad. Y algo que eres abarca la biometría: escaneo de huellas dactilares,
reconocimiento facial, reconocimiento de voz, etc. Cuantos más de estos tenga, más
seguro podrá estar de que el usuario es quien dice ser.

Si esto suena como nueva tecnología, no lo es. Durante más de cuarenta años, la
mayoría de nosotros hemos estado realizando 2FA sin darnos cuenta.
Cada vez que usa un cajero automático, realiza 2FA. ¿Cómo es eso posible?
Tienes una tarjeta emitida por un banco (eso es algo que tienes) y un PIN (eso es algo
que sabes). Cuando los junta, el cajero automático no tripulado en la calle sabe que
desea acceder a la cuenta identificada en la tarjeta. En algunos países, existen medios
adicionales de autenticación en
Machine Translated by Google

Cajeros automáticos, como reconocimiento facial y huella de palma. Esto se llama

autenticación multifactor (MFA).
Algo similar es posible en línea. Muchas instituciones financieras y de atención
médica, así como cuentas comerciales de correo electrónico y redes sociales, le permiten
elegir 2FA. En este caso, el algo que sabes es tu contraseña y el algo que tienes es tu
teléfono celular. Usar el teléfono para acceder a estos sitios se considera "fuera de
banda" porque el teléfono no está conectado a la computadora que está usando. Pero si
tiene habilitado 2FA, un atacante no debería poder acceder a sus cuentas protegidas por
2FA sin tener su dispositivo móvil a mano.

Digamos que usas Gmail. Para habilitar 2FA, se le pedirá que ingrese su número
de teléfono celular en el sitio de Gmail. Para verificar su identidad, Google enviará un
código SMS de seis dígitos a su teléfono. Al ingresar posteriormente ese código en el
sitio de Gmail, acaba de verificar que esta computadora y ese número de teléfono celular
están conectados.
Después de eso, si alguien intenta cambiar la contraseña de su cuenta desde una
computadora o dispositivo nuevo, se enviará un mensaje de texto a su teléfono.
Solo cuando se ingrese el código de verificación correcto en el sitio web, se guardará
cualquier cambio en su cuenta.
Sin embargo, hay una arruga en eso. Según los investigadores de Symantec, si
envía un SMS para confirmar su identidad, alguien que sepa su número de teléfono
celular puede hacer un poco de ingeniería social y robar su código de restablecimiento
de contraseña protegido por 2FA si no está prestando mucha atención. .17 Digamos que
quiero controlar su cuenta de correo electrónico y no sé su contraseña. Sé su número
de teléfono celular porque es fácil de encontrar a través de Google. Puedo ir a la
página de restablecimiento de su servicio de correo electrónico y solicitar un
restablecimiento de contraseña, lo que, debido a que habilitó la autenticación de dos
factores, dará como resultado que se envíe un código SMS a su teléfono. ¿Hasta aquí
todo bien, no? Aférrate.

Un ataque reciente a un teléfono usado por el activista político DeRay Mckesson

mostró cómo los malhechores podían engañar a su operador móvil para que hiciera un
intercambio de SIM.18 En otras palabras, el atacante podría secuestrar su servicio
celular y luego recibir sus mensajes SMS, por ejemplo, el código de SMS de Google
para restablecer la cuenta de Gmail de Mckesson que estaba protegida con dos factores
Machine Translated by Google

autenticación. Esto es mucho más probable que engañar a alguien para que lea su
mensaje SMS con una nueva contraseña. Aunque eso todavía es posible, e implica
ingeniería social.
Debido a que no veré el código de verificación enviado por su proveedor de correo
electrónico a su teléfono, tendré que fingir ser otra persona para obtenerlo. Solo unos
segundos antes de recibir el SMS real de, digamos, Google, yo, como atacante, puedo
enviar un SMS único, uno que dice: “Google ha detectado actividad inusual en su cuenta.
Responda con el código enviado a su dispositivo móvil para detener la actividad no
autorizada”.
Verá que sí, de hecho, acaba de recibir un mensaje de texto SMS de Google que
contiene un código de verificación legítimo, por lo que podría, si no tiene cuidado,
simplemente responderme en un mensaje e incluir el código. Entonces tendría menos
de sesenta segundos para ingresar el código de verificación. Ahora tengo lo que necesito
para ingresar en la página de restablecimiento de contraseña y, después de cambiar su
contraseña, tomar el control de su cuenta de correo electrónico. O cualquier otra cuenta.
Dado que los códigos SMS no están encriptados y se pueden obtener de la manera
que acabo de describir, un método 2FA aún más seguro es descargar la aplicación
Google Authenticator de Google Play o la tienda de aplicaciones de iTunes para usar
con un iPhone. Esta aplicación generará un código de acceso único en la propia
aplicación cada vez que desee visitar un sitio que requiere 2FA, por lo que no hay que
enviar SMS. Este código de seis dígitos generado por la aplicación se sincroniza con el
mecanismo de autenticación del sitio que se utiliza para otorgar acceso al sitio. Sin
embargo, Google Authenticator almacena su semilla de contraseña de un solo uso en el
llavero de Apple con una configuración para "Solo este dispositivo". Eso significa que si
hace una copia de seguridad de su iPhone y lo restaura a un dispositivo diferente porque
está actualizando o reemplazando un teléfono perdido, sus códigos de Google
Authenticator no se transferirán y es una gran molestia restablecerlos. Siempre es una
buena idea imprimir los códigos de emergencia en caso de que termine cambiando de
dispositivo físico. Otras aplicaciones como 1Password le permiten hacer una copia de
seguridad y restaurar sus semillas de contraseñas de un solo uso para que no tenga este problema.
Una vez que haya registrado un dispositivo, mientras continúe iniciando sesión en
el sitio desde ese dispositivo, se le solicitará un nuevo código de acceso a menos que
marque específicamente la casilla (si está disponible) para confiar en la computadora
durante treinta días, incluso si lleva su computadora portátil o teléfono a otro lugar. Sin
embargo, si usa otro dispositivo, por ejemplo, toma prestada la computadora de su
cónyuge, entonces se le pedirá una autenticación adicional. No hace falta decir que si eres
Machine Translated by Google

usando 2FA, siempre tenga su teléfono celular a mano.

Teniendo en cuenta todas estas precauciones, es posible que se pregunte qué consejo doy a
las personas que realizan cualquier tipo de transacción financiera en línea.
Por alrededor de $100 al año, puede obtener protección antivirus y firewall para hasta tres
computadoras bajo su control. El problema es que cuando navega por la Web, puede cargar
en su navegador un anuncio publicitario que contiene malware. O tal vez abre su correo
electrónico y uno de los correos electrónicos contiene malware. De una forma u otra, su
computadora se infectará si entra regularmente en Internet, y es posible que su producto
antivirus no detecte todo lo que hay.

Por lo tanto, le recomiendo que gaste alrededor de $ 200 para obtener un Chromebook.
Me gustan los iPad, pero son caros. El Chromebook es lo más parecido a una tableta fácil de
usar que un iPad, y cuesta mucho menos.
Mi punto es que necesita tener un dispositivo secundario que use exclusivamente para
cosas financieras, tal vez incluso para cosas médicas también. No se pueden instalar
aplicaciones a menos que primero se registre con una cuenta de Gmail; esto lo limitará a abrir
el navegador para navegar por Internet.
Luego, si aún no lo ha hecho, active 2FA en el sitio para que reconozca el Chromebook.
Una vez que haya completado su negocio bancario o de atención médica, guarde el
Chromebook hasta la próxima vez que tenga que hacer el balance de su chequera o programar
una cita con el médico.
Esto parece una molestia. Está. Reemplaza la comodidad de la banca en cualquier
momento con la banca casi en cualquier momento. Pero el resultado es que es mucho menos
probable que alguien juegue con su información bancaria y crediticia. Si usa el Chromebook
solo para las dos o tres aplicaciones que instala, y si marca los sitios web bancarios o de
atención médica y no visita otros, es muy poco probable que tenga un troyano o alguna otra
forma de malware residiendo en su máquina.

Así que hemos establecido que necesita crear contraseñas seguras y no compartirlas. Debe
activar 2FA siempre que sea posible. En los próximos capítulos, veremos cómo las
interacciones cotidianas comunes pueden dejar huellas digitales en todas partes y qué puede
hacer para proteger su privacidad.
Machine Translated by Google

CAPITULO DOS

¿Quién más está leyendo su correo electrónico?

Si eres como yo, una de las primeras cosas que haces por la mañana es
consultar su correo electrónico. Y, si eres como yo, también te preguntas quién más ha leído tu
correo electrónico. Eso no es una preocupación paranoica. Si utiliza un servicio de correo
electrónico basado en la web, como Gmail o Outlook 365, la respuesta es algo obvia y aterradora.

Incluso si elimina un correo electrónico en el momento en que lo lee en su computadora o

teléfono móvil, eso no necesariamente borra el contenido. Todavía hay una copia en alguna parte.
El correo web está basado en la nube, por lo que para poder acceder a él desde cualquier
dispositivo, en cualquier lugar y en cualquier momento, debe haber copias redundantes. Si utiliza
Gmail, por ejemplo, una copia de cada correo electrónico enviado y recibido a través de su cuenta
de Gmail se conserva en varios servidores de Google en todo el mundo. Esto también es cierto si
utiliza sistemas de correo electrónico proporcionados por Yahoo, Apple, AT&T, Comcast, Microsoft
o incluso su lugar de trabajo. Cualquier correo electrónico que envíe también puede ser
inspeccionado, en cualquier momento, por la empresa de alojamiento. Supuestamente esto es
para filtrar el malware, pero la realidad es que terceros pueden y acceden a nuestros correos
electrónicos por otras razones más siniestras y egoístas.

En principio, la mayoría de nosotros nunca representaríamos a nadie excepto al destinatario

previsto que lee nuestro correo. Existen leyes que protegen el correo impreso entregado a través
del Servicio Postal de EE. UU. y leyes que protegen el contenido almacenado, como correo electrónico.
Machine Translated by Google

correo. Sin embargo, en la práctica, generalmente sabemos y probablemente aceptamos que

existe una cierta compensación involucrada en la facilidad de comunicación que ofrece el
correo electrónico. Sabemos que Yahoo (entre otros) ofrece un servicio de correo web gratuito,
y sabemos que Yahoo obtiene la mayor parte de su dinero de la publicidad. Tal vez no nos
hayamos dado cuenta exactamente de cómo podrían estar conectados los dos y cómo eso
podría afectar nuestra privacidad.
Un día, Stuart Diamond, residente del norte de California, lo hizo. Se dio cuenta de que los
anuncios que veía en la esquina superior derecha de su cliente de Yahoo Mail no eran
aleatorios; se basaban en el contenido de los correos electrónicos que había estado enviando
y recibiendo. Por ejemplo, si menciono en un correo electrónico un próximo viaje de conferencias
a Dubái, los anuncios que podría ver en mi cuenta de correo electrónico sugerirían aerolíneas,
hoteles y cosas para hacer en los Emiratos Árabes Unidos.

Esta práctica generalmente se explica cuidadosamente en los términos de servicio que la

mayoría de nosotros acordamos pero que probablemente nunca leímos. Nadie quiere ver
anuncios que no tengan nada que ver con nuestros intereses individuales, ¿verdad? Y mientras
el correo electrónico viaje entre los titulares de cuentas de Yahoo, parece razonable que la
empresa pueda escanear el contenido de esos correos electrónicos para enviarnos anuncios y
tal vez bloquear malware y spam, que es correo electrónico no deseado. .

Sin embargo, Diamond, junto con David Sutton, también del norte de California, comenzaron
a notar que el contenido de los correos electrónicos enviados y recibidos de direcciones fuera
de Yahoo también influía en la selección de anuncios que se les presentaba. Eso sugería que
la empresa estaba interceptando y leyendo todos sus correos electrónicos, no solo los que se
enviaban hacia y desde sus propios servidores.
Con base en los patrones que observaron, los dos presentaron una demanda colectiva en
2012 contra Yahoo en nombre de sus 275 millones de titulares de cuentas, citando
preocupaciones sobre lo que es esencialmente equivalente a las escuchas telefónicas ilegales
por parte de la empresa.
¿Eso acabó con el escaneo? No.
En una demanda colectiva, hay un período de descubrimiento y respuesta de ambas
partes. En este caso esa fase inicial duró casi tres años. En junio de 2015, un juez de San
José, California, dictaminó que los hombres tenían motivos suficientes para que procediera su
demanda colectiva y que las personas que enviaron o recibieron Yahoo Mail desde el 2 de
octubre de 2011, cuando los hombres presentaron su solicitud inicial , podría unirse a la
demanda bajo la Ley de Comunicaciones Almacenadas.
Machine Translated by Google

Además, una clase de titulares de cuentas que no son de Yahoo Mail y que viven en California
también pueden demandar en virtud de la Ley de invasión de la privacidad de ese estado. Ese caso
sigue pendiente.
Al defenderse de otra demanda por escaneo de correo electrónico, presentada a principios de
2014, Google publicó accidentalmente información sobre su proceso de escaneo de correo electrónico
en una audiencia en la corte, luego intentó rápidamente y no logró que esa información fuera
redactada o eliminada. El caso involucró la pregunta de qué fue exactamente escaneado o leído por

Google. Según los demandantes en el caso, que incluían varias grandes empresas de medios,
incluidos los propietarios de USA Today, Google se dio cuenta en algún momento de que al escanear
solo el contenido de la bandeja de entrada, se estaba perdiendo una gran cantidad de contenido
potencialmente útil. Esta demanda alegaba que Google pasó de escanear solo el correo electrónico
archivado, que reside en el servidor de Google, a escanear todos los Gmail que aún estaban en
tránsito, ya sea que se enviaran desde un iPhone o una computadora portátil mientras el usuario
estaba sentado en Starbucks.

A veces, las empresas incluso han intentado escanear en secreto los correos electrónicos para
sus propios fines. Un caso bien conocido de esto sucedió en Microsoft, que sufrió una gran reacción
violenta cuando reveló que había escaneado la bandeja de entrada de un usuario de Hotmail del que
se sospechaba que había pirateado una copia del software de la empresa. Como resultado de esta
divulgación, Microsoft ha dicho que permitirá que las fuerzas del orden se encarguen de tales
investigaciones en el futuro.
Estas prácticas no se limitan a su correo electrónico privado. Si envía correo electrónico a través
de su red de trabajo, es posible que el departamento de TI de su empresa también esté escaneando
y archivando sus comunicaciones. Depende del personal de TI o de sus gerentes dejar pasar
cualquier correo electrónico marcado a través de sus servidores y redes o involucrar a las fuerzas del
orden. Esto incluye correos electrónicos que contienen secretos comerciales o material cuestionable,

como pornografía. También incluye escanear el correo electrónico en busca de malware. Si su

personal de TI escanea y archiva sus correos electrónicos, deben recordarle cada vez que inicie
sesión cuál es su política, aunque la mayoría de las empresas no lo hacen.

Si bien la mayoría de nosotros podemos tolerar que nuestros correos electrónicos sean
escaneados en busca de malware, y quizás algunos de nosotros toleramos el escaneo con fines
publicitarios, la idea de que terceros lean nuestra correspondencia y actúen sobre contenidos
específicos que se encuentran en correos electrónicos específicos es francamente perturbadora. (Excepto, por supues
cuando se trata de pornografía infantil. 1)
Machine Translated by Google

Por lo tanto, cada vez que escriba un correo electrónico, sin importar cuán insignificante sea, e
incluso si lo elimina de su bandeja de entrada, recuerde que existe una excelente posibilidad de que
una copia de esas palabras e imágenes se escanee y perdure, tal vez no para siempre. pero por un
buen rato. (Algunas empresas pueden tener políticas de retención cortas, pero es seguro asumir que
la mayoría de las empresas conservan el correo electrónico durante mucho tiempo).

Ahora que sabe que el gobierno y las corporaciones están leyendo su correo
correos electrónicos, lo menos que puede hacer es dificultarles mucho más que lo hagan.

La mayoría de los servicios de correo electrónico basados en la Web utilizan cifrado cuando el correo
electrónico está en tránsito. Sin embargo, cuando algunos servicios transmiten correo entre agentes
de transferencia de correo (MTA), es posible que no utilicen cifrado, por lo que su mensaje está
abierto. Por ejemplo, dentro del lugar de trabajo, un jefe puede tener acceso al sistema de correo
electrónico de la empresa. Para volverse invisible, deberá cifrar sus mensajes, es decir, bloquearlos
para que solo los destinatarios puedan desbloquearlos y leerlos. ¿Qué es el cifrado? es un código

Un ejemplo de cifrado muy simple, un cifrado César, por ejemplo, sustituye cada letra por otra
que se encuentra a un cierto número de posiciones en el alfabeto. Si ese número es 2, por ejemplo,
usando un cifrado César, a se convierte en c, c se convierte en e, z se convierte en b, y así
sucesivamente. Con este esquema de cifrado compensado por dos, "Kevin Mitnick" se convierte en
"Mgxkp Okvpkem".2
La mayoría de los sistemas de cifrado que se utilizan hoy en día son, por supuesto, mucho más
fuertes que cualquier cifrado César básico. Por lo tanto, deberían ser mucho más difíciles de romper.
Una cosa que es cierta acerca de todas las formas de encriptación es que requieren una clave, que
se usa como contraseña para bloquear y abrir el mensaje encriptado.
El cifrado simétrico significa que se utiliza la misma clave para bloquear y desbloquear el mensaje
cifrado. Sin embargo, las claves simétricas son difíciles de compartir cuando dos partes se
desconocen o están físicamente separadas, como lo están en Internet.

La mayoría de los cifrados de correo electrónico utilizan lo que se denomina cifrado asimétrico.
Eso significa que genero dos claves: una clave privada que permanece en mi dispositivo, que nunca
comparto, y una clave pública que publico libremente en Internet. Las dos claves son diferentes pero
matemáticamente relacionadas.
Por ejemplo: Bob quiere enviar a Alice un correo electrónico seguro. Encuentra la clave pública
de Alice en Internet o la obtiene directamente de Alice, y cuando
Machine Translated by Google

enviarle un mensaje cifra el mensaje con su clave. Este mensaje permanecerá encriptado hasta que
Alice, y solo Alice, use una frase de contraseña para desbloquear su clave privada y desbloquear el
mensaje encriptado.
Entonces, ¿cómo funcionaría el cifrado del contenido de su correo electrónico?
El método más popular de cifrado de correo electrónico es PGP, que significa "Privacidad
bastante buena". No es gratis. Es un producto de Symantec Corporation. Pero su creador, Phil
Zimmermann, también creó una versión de código abierto, OpenPGP, que es gratuita. Y una tercera
opción, GPG (GNU Privacy Guard), creada por Werner Koch, también es gratuita. La buena noticia
es que los tres son interoperativos. Eso significa que no importa qué versión de PGP use, las
funciones básicas son las mismas.

Cuando Edward Snowden decidió por primera vez divulgar los datos confidenciales que había

copiado de la NSA, necesitó la ayuda de personas con ideas afines repartidas por todo el mundo.
Paradójicamente, necesitaba salirse de la red mientras seguía activo en Internet. Necesitaba
volverse invisible.
Incluso si no tiene secretos de estado para compartir, es posible que le interese mantener la
privacidad de sus correos electrónicos. La experiencia de Snowden y la de otros ilustran que no es
fácil hacer eso, pero es posible, con la debida diligencia.
Snowden usó su cuenta personal a través de una empresa llamada Lavabit para comunicarse
con otros. Pero el correo electrónico no es punto a punto, lo que significa que un solo correo
electrónico puede llegar a varios servidores en todo el mundo antes de llegar a la bandeja de
entrada del destinatario. Snowden sabía que todo lo que escribiera podría ser leído por cualquiera
que interceptara el correo electrónico en cualquier lugar a lo largo de su viaje.
Así que tuvo que realizar una maniobra complicada para establecer un medio de comunicación
verdaderamente seguro, anónimo y completamente encriptado con la cineasta y defensora de la
privacidad Laura Poitras, quien recientemente había terminado un documental sobre la vida de los
denunciantes. Snowden quería establecer un intercambio encriptado con Poitras, excepto que solo
unas pocas personas conocían su clave pública. No hizo muy pública su clave pública.

Para encontrar su clave pública, Snowden tuvo que comunicarse con un tercero, Micah Lee de
Electronic Frontier Foundation, un grupo que apoya la privacidad en línea. La clave pública de Lee
estaba disponible en línea y, según el relato publicado en Intercept, una publicación en línea, él
tenía la clave pública de Poitras, pero primero necesitaba verificar si ella le permitiría compartirla.
Machine Translated by Google

Ella lo haría.3
En este punto, ni Lee ni Poitras tenían idea de quién quería su clave pública; sólo sabían
que alguien lo hizo. Snowden había usado una cuenta diferente, no su cuenta de correo
electrónico personal, para comunicarse. Pero si no usa PGP con frecuencia, puede olvidarse
de incluir su clave PGP en correos electrónicos importantes de vez en cuando, y eso es lo
que le sucedió a Snowden. Se había olvidado de incluir su propia clave pública para que Lee
pudiera responder.
Sin una forma segura de contactar a esta persona misteriosa, a Lee no le quedó más
remedio que enviar un correo electrónico de texto sin formato y sin cifrar a Snowden
pidiéndole su clave pública, que él proporcionó.
Una vez más, Lee, un tercero de confianza, tuvo que entrar en la situación. Puedo decirle
por experiencia personal que es muy importante verificar la identidad de la persona con la
que está teniendo una conversación segura, preferiblemente a través de un amigo en común,
y asegurarse de que se está comunicando con ese amigo y no con otra persona disfrazada.

Sé lo importante que es esto porque he sido el farsante antes, en una situación en la que
funcionó a mi favor que la otra parte no cuestionara mi identidad real o la clave pública que
envié. Una vez quise comunicarme con Neill Clift, un estudiante graduado en química
orgánica de la Universidad de Leeds, en Inglaterra, quien era muy hábil para encontrar
vulnerabilidades de seguridad en el sistema operativo VMS de Digital Equipment Corporation.
Quería que Clift me enviara todos los agujeros de seguridad que había informado a DEC.
Para eso necesitaba que pensara que en realidad trabajaba para DEC.

Empecé haciéndome pasar por alguien llamado Dave Hutchins y enviándole a Clift un
mensaje falsificado de él. Previamente había llamado a Clift haciéndome pasar por Derrell
Piper de ingeniería de VMS, así que (haciéndome pasar por Hutchins) escribí en mi correo
electrónico que Piper quería intercambiar correos electrónicos con Clift sobre un proyecto. Al
revisar el sistema de correo electrónico de DEC, ya sabía que Clift y la verdadera Piper se
habían enviado correos electrónicos anteriormente, por lo que esta nueva solicitud no sonaría
tan extraña. Luego envié un correo electrónico falsificando la verdadera dirección de correo
electrónico de Piper.
Para convencer aún más a Clift de que todo iba bien, incluso le sugerí que usara el
cifrado PGP para que alguien como Kevin Mitnick no pudiera leer los correos electrónicos.
Pronto Clift y “Piper” estaban intercambiando claves públicas y encriptando comunicaciones
—comunicaciones que yo, como Piper,
Machine Translated by Google

podría leer. El error de Clift fue no cuestionar la identidad del propio Piper. De manera
similar, cuando recibe una llamada telefónica no solicitada de su banco solicitando su
número de Seguro Social o información de cuenta, siempre debe colgar y llamar al banco
usted mismo; nunca se sabe quién está al otro lado de la llamada telefónica o del correo
electrónico. .
Dada la importancia de los secretos que estaban a punto de compartir, Snowden y
Poitras no pudieron usar sus direcciones de correo electrónico habituales. ¿Por que no?
Sus cuentas personales de correo electrónico contenían asociaciones únicas, como
intereses específicos, listas de contactos, que podían identificar a cada uno de ellos. En
cambio, Snowden y Poitras decidieron crear nuevas direcciones de correo electrónico.
El único problema era, ¿cómo sabrían las nuevas direcciones de correo electrónico de
cada uno? En otras palabras, si ambas partes fueran totalmente anónimas, ¿cómo sabrían
quién es quién y en quién pueden confiar? ¿Cómo podía Snowden, por ejemplo, descartar
la posibilidad de que la NSA u otra persona no se hiciera pasar por la nueva cuenta de
correo electrónico de Poitras? Las claves públicas son largas, por lo que no puede
simplemente levantar un teléfono seguro y leer los caracteres a la otra persona. Necesita
un intercambio de correo electrónico seguro.
Al reclutar a Micah Lee una vez más, tanto Snowden como Poitras podrían afianzar su
confianza en alguien al configurar sus cuentas de correo electrónico nuevas y anónimas.
Poitras primero compartió su nueva clave pública con Lee. Pero las claves de encriptación
PGP en sí mismas son bastante largas (no del tamaño de pi, pero son largas) y, de nuevo,
¿qué pasaría si alguien también estuviera mirando su cuenta de correo electrónico?
Entonces, Lee no usó la clave real, sino una abreviatura de cuarenta caracteres (o una
huella digital) de la clave pública de Poitras. Esto lo publicó en un sitio público: Twitter.

A veces para volverse invisible hay que usar lo visible.

Ahora Snowden podía ver de forma anónima el tuit de Lee y comparar la clave
abreviada con el mensaje que recibió. Si los dos no coincidían, Snowden sabría que no
debía confiar en el correo electrónico. El mensaje podría haber sido comprometido. O
podría estar hablando con la NSA.
En este caso, los dos coincidían.
Ahora que se eliminaron varias órdenes de quiénes eran en línea y dónde estaban en
el mundo, Snowden y Poitras estaban casi listos para comenzar su comunicación segura
por correo electrónico anónimo. Snowden finalmente envió a Poitras un correo electrónico
encriptado identificándose solo como "Citizenfour". Esta firma se convirtió en el título de su
documental ganador del Premio de la Academia.
Machine Translated by Google

sobre su campaña de derechos de privacidad.

Eso podría parecer el final: ahora podrían comunicarse de forma segura.
a través de correo electrónico encriptado, pero no fue así. Era sólo el principio.

A raíz de los ataques terroristas de 2015 en París, varios gobiernos discutieron sobre la construcción
de puertas traseras u otras formas para que los funcionarios del gobierno descifraran mensajes de
correo electrónico, de texto y telefónicos cifrados, aparentemente de terroristas extranjeros. Esto, por
supuesto, anularía el propósito del cifrado. Pero los gobiernos en realidad no necesitan ver el contenido
cifrado de su correo electrónico para saber con quién se está comunicando y con qué frecuencia,
como veremos.

Como mencioné antes, el propósito del cifrado es codificar su mensaje para que solo alguien con
la clave correcta pueda decodificarlo más tarde. Tanto la fuerza de la operación matemática como la
longitud de la clave de cifrado determinan qué tan fácil es para alguien sin clave descifrar su código.

Los algoritmos de cifrado que se utilizan hoy en día son públicos. Usted quiere eso.4 Tenga miedo
de los algoritmos de encriptación que son propietarios y no públicos. Los algoritmos públicos han sido
examinados por debilidad, lo que significa que las personas han estado tratando deliberadamente de
descifrarlos. Cada vez que uno de los algoritmos públicos se vuelve débil o se rompe, se retira y en su
lugar se utilizan algoritmos más nuevos y más fuertes. Los algoritmos más antiguos todavía existen,
pero se desaconseja enfáticamente su uso.

Las claves están (más o menos) bajo tu control, por lo que, como puedes suponer, su gestión es
muy importante. Si genera una clave de cifrado, usted, y nadie más, tendrá la clave almacenada en
su dispositivo. Si permite que una empresa realice el cifrado, por ejemplo, en la nube, esa empresa
también podría quedarse con la clave después de compartirla con usted. La preocupación real es que
esta empresa también puede verse obligada por orden judicial a compartir la clave con la policía o una
agencia gubernamental, con o sin orden judicial.

Deberá leer la política de privacidad de cada servicio que utilice para el cifrado y comprender quién es
el propietario de las claves.
Cuando cifre un mensaje (un correo electrónico, un mensaje de texto o una llamada telefónica),
use el cifrado de extremo a extremo. Eso significa que su mensaje permanece ilegible hasta que llega
a su destinatario. Con el cifrado de extremo a extremo, solo usted y su destinatario tienen las claves
para decodificar el mensaje. No la
Machine Translated by Google

el operador de telecomunicaciones, el propietario del sitio web o el desarrollador de la aplicación:

las partes a las que las fuerzas del orden público o el gobierno solicitarán que entreguen información
sobre usted. ¿Cómo sabe si el servicio de cifrado que está utilizando es un cifrado de extremo a
extremo? Realice una búsqueda en Google de "llamada de voz de cifrado de extremo a extremo".
Si la aplicación o el servicio no utiliza el cifrado de extremo a extremo, elija otro.

Si todo esto suena complicado, es porque lo es. Pero existen complementos de PGP para los
navegadores de Internet Chrome y Firefox que facilitan el cifrado. Uno es Mailvelope, que maneja
perfectamente las claves de encriptación públicas y privadas de PGP. Simplemente escriba una
frase de contraseña, que se utilizará para generar las claves pública y privada. Luego, cada vez que
escriba un correo electrónico basado en la Web, seleccione un destinatario y, si el destinatario tiene
una clave pública disponible, tendrá la opción de enviarle un mensaje encriptado.5

Incluso si encripta sus mensajes de correo electrónico con PGP, casi cualquier persona puede leer
una parte pequeña pero rica en información de su mensaje.
Al defenderse de las revelaciones de Snowden, el gobierno de los EE. UU. afirmó repetidamente
que no captura el contenido real de nuestros correos electrónicos, que en este caso sería ilegible
con el cifrado PGP. En cambio, el gobierno dijo que recopila solo los metadatos del correo electrónico.

¿Qué son los metadatos de correo electrónico? Es la información en los campos Para y De, así
como las direcciones IP de los distintos servidores que manejan el correo electrónico desde el

origen hasta el destinatario. También incluye la línea de asunto, que a veces puede ser muy
reveladora en cuanto al contenido cifrado del mensaje.
Los metadatos, un legado de los primeros días de Internet, todavía se incluyen en todos los correos
electrónicos enviados y recibidos, pero los lectores de correo electrónico modernos ocultan esta
6
información para que no se muestre.
PGP, independientemente del "sabor" que utilice, no cifra los metadatos: los campos Para y De,
la línea de asunto y la información de la marca de tiempo.
Esto permanece en texto sin formato, ya sea que sea visible para usted o no. Los terceros aún
podrán ver los metadatos de su mensaje encriptado; sabrán que en tal o cual fecha enviaste un
correo electrónico a alguien, que dos días después enviaste otro correo electrónico a esa misma
persona, y así sucesivamente.
Eso puede sonar bien, ya que los terceros en realidad no están leyendo el contenido, y
probablemente no le importe la mecánica de cómo esos
Machine Translated by Google

viajaron los correos electrónicos (las diversas direcciones de servidor y las marcas de
tiempo), pero le sorprendería cuánto se puede aprender solo de la ruta del correo electrónico
y la frecuencia de los correos electrónicos.
En los años 90, antes de huir del FBI, realicé lo que llamé un análisis de metadatos en
varios registros telefónicos. Comencé este proceso pirateando PacTel Cellular, un proveedor
de telefonía celular en Los Ángeles, para obtener los registros detallados de llamadas (CDR)
de cualquier persona que llamara a un informante que el FBI estaba usando para obtener
información sobre mis actividades.
Los CDR son muy parecidos a los metadatos de los que estoy hablando aquí; muestran
la hora en que se realizó una llamada telefónica, el número marcado, la duración de la
llamada y la cantidad de veces que se llamó a un número en particular, toda información
muy útil.
Al buscar entre las llamadas que se estaban realizando a través de PacTel Cellular al
teléfono fijo del informante, pude obtener una lista de los números de teléfono celular de las
personas que lo llamaron. Tras el análisis de los registros de facturación de las personas
que llamaron, pude identificar a esas personas como miembros del escuadrón de delitos de
cuello blanco del FBI, que operan desde la oficina de Los Ángeles. Efectivamente, algunos
de los números que marcó cada individuo eran internos de la oficina del FBI en Los Ángeles,
la oficina del fiscal federal y otras oficinas gubernamentales. Algunas de esas llamadas
fueron bastante largas. Y bastante frecuente.

Cada vez que trasladaban al informante a una nueva casa de seguridad, pude obtener
el número de teléfono fijo de la casa de seguridad porque los agentes lo llamaban después
de intentar comunicarse con el informante en su buscapersonas. Una vez que tuve el número
de teléfono fijo del informante, también pude obtener la dirección física a través de la
ingeniería social, es decir, haciéndome pasar por alguien de Pacific Bell, la empresa que
brindaba el servicio en la casa de seguridad.
La ingeniería social es una técnica de piratería que utiliza la manipulación, el engaño y
la influencia para lograr que un objetivo humano cumpla con una solicitud.
A menudo, se engaña a las personas para que proporcionen información confidencial. En
este caso, conocía los números internos de la compañía telefónica y pretendí ser un técnico
de campo que hablaba la terminología y la jerga correctas, lo cual fue fundamental para
obtener información confidencial.
Entonces, si bien registrar los metadatos en un correo electrónico no es lo mismo que
capturar el contenido real, es intrusivo desde la perspectiva de la privacidad.
Machine Translated by Google

Si observa los metadatos de cualquier correo electrónico reciente, verá las direcciones IP de los
servidores que pasaron su correo electrónico por todo el mundo antes de que llegara a su destino.
Cada servidor, como cada persona que accede a Internet, tiene una dirección IP única, un valor
numérico que se calcula utilizando el país donde se encuentra y quién es su proveedor de Internet.
Se reservan bloques de direcciones IP para varios países, y cada proveedor tiene su propio
subbloque, que se subdivide por tipo de servicio: acceso telefónico, cable o móvil. Si compró una
dirección IP estática, se asociará con su cuenta de suscriptor y su dirección particular; de lo contrario,
su dirección IP externa se generará a partir de un conjunto de direcciones asignadas a su proveedor
de servicios de Internet. Por ejemplo, un remitente (alguien que le envía un correo electrónico) puede
tener la dirección IP 27.126.148.104, que se encuentra en Victoria, Australia.

O podría ser 175.45.176.0, que es una de las direcciones IP de Corea del Norte.
Si es lo último, entonces su cuenta de correo electrónico podría estar marcada para revisión del
gobierno. Alguien en el gobierno de los EE. UU. podría querer saber por qué te estás comunicando
con alguien de Corea del Norte, incluso si la línea de asunto dice "Feliz cumpleaños".

Por sí mismo, es posible que todavía no piense que la dirección del servidor es muy interesante.
Pero la frecuencia de contacto puede decirte mucho. Además, si identifica cada elemento (el
remitente y el receptor y sus ubicaciones), puede comenzar a inferir lo que realmente está
sucediendo. Por ejemplo, los metadatos asociados con las llamadas telefónicas (la duración, la hora
del día en que se realizan, etc.) pueden brindar mucha información sobre la salud mental de una
persona. Una llamada a las 10:00 p. m. a una línea directa de violencia doméstica que dure diez
minutos o una llamada a medianoche desde el puente de Brooklyn a una línea directa de prevención
del suicidio que dure veinte minutos puede ser muy reveladora. Una aplicación desarrollada en
Dartmouth College combina patrones de estrés, depresión y soledad en los datos de los usuarios.
Esta actividad del usuario también se ha correlacionado con las calificaciones de los estudiantes.7
¿ Aún no ve el peligro de que se expongan los metadatos de su correo electrónico? Un programa
creado en el MIT llamado Immersion mapeará visualmente las relaciones entre los remitentes y
los destinatarios de todo el correo electrónico que haya almacenado en su cuenta de correo
electrónico simplemente usando los metadatos. La herramienta es una forma de cuantificar
visualmente quién es más importante para usted. El programa incluso incluye una escala de tiempo
móvil, para que puedas ver cómo las personas que conoces suben y bajan en
Machine Translated by Google

importancia para usted con el tiempo. Si bien puede pensar que comprende sus
relaciones, verlas representadas gráficamente puede ser una experiencia aleccionadora.
Es posible que no se dé cuenta de la frecuencia con la que envía correos electrónicos
a alguien que realmente no conoce o lo poco que envía correos electrónicos a alguien
que conoce muy bien. Con la herramienta Inmersión, puede elegir si desea cargar los
datos y también puede eliminar la información una vez que se haya graficado.8 Según
Snowden, la NSA y otras agencias recopilan nuestros metadatos de correo
electrónico, mensajes de texto y teléfono. . Pero el gobierno no puede recopilar
metadatos de todos, ¿o sí? Técnicamente, no. Sin embargo, ha habido un fuerte
aumento en la cobranza “legal” desde 2001.
Autorizado bajo la Ley de Vigilancia de Inteligencia Extranjera de EE. UU. de 1978
(FISA), el Tribunal de Vigilancia de Inteligencia Extranjera de EE. UU. (conocido como
FISC o Tribunal FISA) supervisa todas las solicitudes de órdenes de vigilancia contra
personas extranjeras dentro de los Estados Unidos. Superficialmente, parece razonable
que una orden judicial se interponga entre la policía y un individuo. La realidad es algo
diferente. Solo en 2012, se presentaron 1856 solicitudes y se aprobaron 1856, lo que
sugiere que el proceso actual es en gran medida una operación de aprobación de
sello de goma para el gobierno de los EE. UU . sobre todos sus datos sobre usted, es
decir, si aún no lo han hecho.

Para volverse verdaderamente invisible en el mundo digital, necesitará hacer algo más
que cifrar sus mensajes. Necesitaras:

Elimina tu verdadera dirección IP: Este es tu punto de conexión a Internet, tu

huella dactilar. Puede mostrar dónde se encuentra (hasta su dirección física)
y qué proveedor utiliza.
Oculte su hardware y software: cuando se conecta a un sitio web en línea, el
sitio puede recopilar una instantánea del hardware y el software que está
utilizando. Hay trucos que se pueden usar para averiguar si tiene instalado un
software en particular, como Adobe Flash.
El software del navegador le dice a un sitio web qué sistema operativo está
usando, qué versión de ese sistema operativo tiene y, a veces, qué otro
software está ejecutando en su escritorio en
Machine Translated by Google

el tiempo.
Defiende tu anonimato: la atribución en línea es difícil. Probar que estabas en el
teclado cuando ocurrió un evento es difícil. Sin embargo, si camina frente a una
cámara antes de conectarse en línea en Starbucks, o si acaba de comprar un
café con leche en Starbucks con su tarjeta de crédito, estas acciones pueden
vincularse a su presencia en línea unos momentos después.

Como hemos aprendido, cada vez que te conectas a Internet, hay una dirección IP
asociada con esa conexión.10 Esto es problemático si estás tratando de ser invisible en
línea: puedes cambiar tu nombre (o no darlo en absoluto) , pero su dirección IP seguirá
revelando dónde se encuentra en el mundo, qué proveedor utiliza y la identidad de la
persona que paga por el servicio de Internet (que puede o no ser usted). Toda esta
información se incluye en los metadatos del correo electrónico y luego se puede usar
para identificarlo de manera única. Cualquier comunicación, ya sea por correo electrónico
o no, se puede usar para identificarlo según la dirección del Protocolo interno (IP) que
se asigna al enrutador que está usando mientras está en su casa, en el trabajo o en
casa de un amigo.
Por supuesto, las direcciones IP en los correos electrónicos pueden ser falsificadas.
Alguien podría usar una dirección proxy (no su dirección IP real sino la de otra persona)
para que un correo electrónico parezca originarse en otra ubicación. Un proxy es como
un traductor de un idioma extranjero: usted habla con el traductor y el traductor habla
con el hablante del idioma extranjero, solo que el mensaje sigue siendo exactamente el
mismo. El punto aquí es que alguien podría usar un proxy de China o incluso de
Alemania para evadir la detección en un correo electrónico que realmente proviene de
Corea del Norte.
En lugar de alojar su propio proxy, puede utilizar un servicio conocido como
reenviador anónimo, que enmascarará la dirección IP de su correo electrónico. Un
remitente anónimo simplemente cambia la dirección de correo electrónico del remitente
antes de enviar el mensaje a su destinatario. El destinatario puede responder a través
del remailer. Esa es la versión más simple.
También hay variaciones. Algunos reenviadores de correo tipo I y tipo II no le
permiten responder a los correos electrónicos; son simplemente correspondencia
unidireccional. Los reenviadores de correo Tipo III, o Mixminion, ofrecen un conjunto
completo de servicios: respuesta, reenvío y encriptación. Deberá averiguar qué servicio
proporciona su reenviador si elige este método de correspondencia anónima.
Machine Translated by Google

Una forma de enmascarar su dirección IP es usar el enrutador cebolla (Tor), que

es lo que hicieron Snowden y Poitras.
Desarrollado por el Laboratorio de Investigación Naval de EE. UU. en 2004 como una
forma para que el personal militar realice búsquedas sin exponer sus ubicaciones físicas,
el programa de código abierto Tor se ha ampliado desde entonces. Tor está diseñado para
ser utilizado por personas que viven en regímenes severos como una forma de evitar la
censura de los medios y servicios populares y para evitar que alguien rastree los términos
de búsqueda que utilizan. Tor sigue siendo gratuito y puede ser utilizado por cualquier
persona, en cualquier lugar, incluso usted.
¿Cómo funciona Tor? Da un vuelco al modelo habitual para acceder a un sitio web.
Por lo general, cuando se conecta a Internet, abre un navegador de Internet y escribe
el nombre del sitio que desea visitar. Se envía una solicitud a ese sitio y, milisegundos
después, una respuesta regresa a su navegador con la página del sitio web. El sitio web
sabe, según la dirección IP, quién es el proveedor de servicios y, a veces, incluso en qué
parte del mundo se encuentra, según dónde se encuentra el proveedor de servicios o la
latencia de los saltos desde su dispositivo hasta el sitio. Por ejemplo, si su dispositivo dice
que está en los Estados Unidos, pero el tiempo y la cantidad de saltos que toma su
solicitud para llegar a su destino sugieren que está en otro lugar del mundo, algunos sitios,
en particular los sitios de juegos, lo detectarán como posible fraude.

Cuando usa Tor, la línea directa entre usted y su sitio web de destino se oscurece con
nodos adicionales, y cada diez segundos, la cadena de nodos que lo conectan con
cualquier sitio que esté viendo cambia sin interrumpirlo. Los diversos nodos que lo
conectan a un sitio son como capas dentro de una cebolla. En otras palabras, si alguien
retrocediera desde el sitio web de destino e intentara encontrarlo, no podría hacerlo porque
la ruta cambiaría constantemente. A menos que su punto de entrada y su punto de salida
se asocien de alguna manera, su conexión se considera anónima.

Cuando usa Tor, su solicitud para abrir una página, por ejemplo, mitnicksecurity.com,
no se envía directamente a ese servidor, sino primero a otro nodo Tor. Y para complicar
aún más las cosas, ese nodo luego pasa la solicitud a otro nodo, que finalmente se conecta
a mitnicksecurity.com. Así que hay un nodo de entrada, un nodo en el medio y un nodo de
salida. Si tuviera que mirar quién estaba visitando el sitio de mi empresa, solo vería la
dirección IP y la información del nodo de salida, el último en el
Machine Translated by Google

cadena, y no la primera, su nodo de entrada. Puede configurar Tor para que use nodos de
salida en un país en particular, como España, o incluso un nodo de salida específico, tal vez
en Honolulu.
Para usar Tor, necesitará el navegador Firefox modificado del sitio Tor (torproject.org).
Busque siempre navegadores Tor legítimos para su sistema operativo en el sitio web del
proyecto Tor. No utilice un sitio de terceros. Para los sistemas operativos Android, Orbot es una
aplicación Tor legítima y gratuita de Google Play que cifra su tráfico y oculta su dirección IP.11
En los dispositivos iOS (iPad, iPhone), instale Onion Browser, una aplicación legítima de la
tienda de aplicaciones de iTunes.

Podrías estar pensando, ¿por qué alguien simplemente no construye un servidor de correo
electrónico dentro de Tor? Alguien lo hizo. Tor Mail era un servicio alojado en un sitio al que
solo podían acceder los navegadores Tor. Sin embargo, el FBI se apoderó de ese servidor en
un caso no relacionado y, por lo tanto, obtuvo acceso a todo el correo electrónico cifrado
almacenado en Tor Mail. Este es un cuento con moraleja que muestra que incluso cuando
piensa que su información es segura, infalible, probablemente no lo sea.12
Aunque Tor usa una red especial, aún puede acceder a Internet desde ella, pero las
páginas son mucho más lentas para cargar. Sin embargo, además de permitirle navegar por
Internet con capacidad de búsqueda, Tor le brinda acceso a un mundo de sitios que
normalmente no se pueden buscar: lo que se conoce como la Dark Web.
Estos son sitios que no se resuelven en nombres comunes como Google.com y en su lugar
terminan con la extensión .onion. Algunos de estos sitios ocultos ofrecen, venden o brindan
artículos y servicios que pueden ser ilegales. Algunos de ellos son sitios legítimos mantenidos
por personas en partes oprimidas del mundo.
Cabe señalar, sin embargo, que existen varias debilidades con Tor:

No tiene control sobre los nodos de salida, que pueden estar bajo el control del gobierno
o de las fuerzas del orden13

Todavía puede ser perfilado y posiblemente identificado14

tor es muy lento

Dicho esto, si aún decide usar Tor, no debe ejecutarlo en el mismo dispositivo físico que
usa para navegar. En otras palabras, tenga una computadora portátil para navegar por la Web
y un dispositivo separado para Tor (por ejemplo, un
Machine Translated by Google

miniordenador Raspberry Pi con software Tor). La idea aquí es que si alguien puede poner en
peligro su computadora portátil, no podrá despegar su capa de transporte Tor, ya que se ejecuta en
una caja física separada.15

En el caso de Snowden y Poitras, como dije, simplemente conectarse entre sí a través de correo
electrónico encriptado no fue suficiente. Después de que Poitras creara una nueva clave pública
para su cuenta de correo electrónico anónima, podría haberla enviado a la dirección de correo
electrónico anterior de Snowden, pero si alguien estuviera vigilando esa cuenta, su nueva identidad
quedaría expuesta. Una regla muy básica es que debe mantener sus cuentas anónimas
completamente separadas de cualquier cosa que pueda relacionarse con su verdadera identidad.

Para ser invisible, deberá comenzar con una pizarra limpia para cada nuevo contacto seguro
que realice. Las cuentas de correo electrónico heredadas pueden estar conectadas de varias
maneras con otras partes de su vida: amigos, pasatiempos, trabajo. Para comunicarse en secreto,
deberá crear nuevas cuentas de correo electrónico utilizando Tor para que la dirección IP que
configura la cuenta no se asocie con su identidad real de ninguna manera.

La creación de direcciones de correo electrónico anónimas es desafiante pero posible.

Hay servicios privados de correo electrónico que puede utilizar. Dado que dejará un rastro si
paga por esos servicios, en realidad es mejor que use un servicio web gratuito. Una molestia menor:
Gmail, Microsoft, Yahoo y otros requieren que proporcione un número de teléfono para verificar su
identidad. Obviamente, no puede usar su número de teléfono celular real, ya que puede estar
conectado a su nombre y dirección reales. Es posible que pueda configurar un número de teléfono
de Skype si admite la autenticación por voz en lugar de la autenticación por SMS; sin embargo, aún
necesitará una cuenta de correo electrónico existente y una tarjeta de regalo prepaga para configurar
un número de Skype. 16 Si cree que usar un teléfono celular prepago en sí mismo protegerá su
anonimato, está equivocado. Si alguna vez usó un teléfono prepago para hacer llamadas asociadas
con su verdadera identidad, descubrir quién es es un juego de niños.

En su lugar, querrás usar un teléfono desechable. Algunas personas piensan que los teléfonos
desechables son dispositivos utilizados solo por terroristas, proxenetas y traficantes de drogas, pero
hay muchos usos perfectamente legítimos para ellos. Por ejemplo, una reportera de negocios,
después de que investigadores privados contratados por Hewlett-Packard revisaran su basura, que
estaba ansiosa por descubrir quién
Machine Translated by Google

podría estar filtrando información crítica de la junta directiva, cambiando a teléfonos

desechables para que los investigadores privados tuvieran más dificultades para identificar
sus llamadas. Después de esa experiencia, solo habló con su fuente en ese teléfono
desechable.17 De manera similar, una mujer que está evitando a un ex abusivo podría
obtener un poco de tranquilidad al usar un teléfono que no requiere un contrato o, para
el caso, un Google o una cuenta de Apple. Un teléfono desechable generalmente tiene
pocas o muy limitadas capacidades de Internet. Los teléfonos básicos brindan principalmente
servicios de voz, texto y correo electrónico, y eso es todo lo que algunas personas necesitan.
Sin embargo, también debe obtener datos porque puede conectar este teléfono desechable
a su computadora portátil y usarlo para navegar por Internet. (Aquí le digo cómo cambiar la
dirección de control de acceso a los medios, MAC, en su computadora portátil para que
cada vez que se conecte con un teléfono desechable parezca ser un dispositivo nuevo).

Sin embargo, comprar un teléfono desechable de forma anónima será complicado.

Las acciones realizadas en el mundo real se pueden utilizar para identificarlo en el mundo
virtual. Claro, podría entrar a Walmart y pagar en efectivo por un teléfono desechable y cien
minutos de tiempo aire. ¿Quién lo sabría? Bueno, mucha gente lo haría.

Primero, ¿cómo llegué a Walmart? ¿Tomé un auto de Uber? ¿Tomé un taxi? Todos
estos registros pueden ser citados.
Podría conducir mi propio automóvil, pero las fuerzas del orden utilizan la tecnología de
reconocimiento automático de matrículas (ALPR, por sus siglas en inglés) en los grandes
estacionamientos públicos para buscar vehículos perdidos o robados, así como personas
con órdenes de arresto pendientes. Los registros ALPR pueden ser citados.
Incluso si caminara a Walmart, una vez que ingresara a la tienda, mi rostro sería visible
en varias cámaras de seguridad dentro de la tienda, y ese video puede ser citado.

Bien, digamos que envío a alguien más a la tienda, alguien que no conozco, tal vez una
persona sin hogar que contraté en el acto. Esa persona entra y compra el teléfono y varias
tarjetas de recarga de datos con efectivo. Ese sería el enfoque más seguro. Tal vez haga
arreglos para encontrarse con esta persona más tarde fuera de la tienda. Esto ayudaría a
distanciarse físicamente de la transacción de venta real. En este caso, el eslabón más débil
aún podría ser la persona que envió, ¿qué tan confiable es? Si le paga más que el valor del
teléfono, probablemente estará feliz de entregar el teléfono como prometió.
Machine Translated by Google

La activación del teléfono prepago requiere llamar al departamento de servicio al cliente del
operador móvil o activarlo en el sitio web del proveedor. Para evitar ser registrado para "garantía
de calidad", es más seguro activarlo a través de la Web. El uso de Tor en una red inalámbrica
abierta después de haber cambiado su dirección MAC debería ser la protección mínima.

Debe inventar toda la información de suscriptor que ingrese en el sitio web.

Para su dirección, simplemente busque en Google la dirección de un hotel importante y utilícela.
Inventa una fecha de nacimiento y un PIN que recordarás en caso de que necesites comunicarte
con el servicio de atención al cliente en el futuro.
Hay servicios de correo electrónico que no requieren verificación, y si no necesita preocuparse
por las autoridades, los números de Skype funcionan bien para el registro de cuentas de Google
y cosas similares, pero por el bien de la ilustración, digamos que después de usar Tor para
aleatorizar su dirección IP, y después de crear una cuenta de Gmail que no tiene nada que ver
con su número de teléfono real, Google envía a su teléfono un código de verificación o una
llamada de voz. Ahora tiene una cuenta de Gmail que es prácticamente imposible de rastrear.

Así que tenemos una dirección de correo electrónico anónima establecida usando servicios
familiares y comunes. Podemos producir correos electrónicos razonablemente seguros cuya
dirección IP, gracias a Tor, es anónima (aunque no tiene control sobre los nodos de salida) y
cuyo contenido, gracias a PGP, no puede ser leído excepto por el destinatario.

Tenga en cuenta que para mantener esta cuenta en el anonimato, solo puede acceder a la
cuenta desde Tor para que su dirección IP nunca se asocie con ella. Además, nunca debe realizar
búsquedas en Internet mientras esté conectado a esa cuenta anónima de Gmail; es posible que,
sin darse cuenta, busque algo relacionado con su verdadera identidad. Incluso la búsqueda de
información meteorológica podría revelar su ubicación.18

Como puede ver, volverse invisible y mantenerse invisible requiere una tremenda disciplina
y una diligencia perpetua. Pero vale la pena para ser invisible.

Los puntos más importantes son: primero, tenga en cuenta todas las formas en que alguien
puede identificarlo, incluso si toma algunas, pero no todas, las precauciones que he descrito. Y si
toma todas estas precauciones, sepa que debe realizar la debida diligencia cada vez que use sus
cuentas anónimas. Sin excepciones.
Machine Translated by Google

También vale la pena reiterar que el cifrado de extremo a extremo (mantener

su mensaje ilegible y seguro hasta que llegue al destinatario en lugar de
simplemente cifrarlo) es muy importante. El cifrado de extremo a extremo se
puede utilizar para otros fines, como llamadas telefónicas cifradas y mensajería
instantánea, que analizaremos en los próximos dos capítulos.
Machine Translated by Google

CAPÍTULO TRES

escuchas telefónicas 101

Pasas innumerables horas en tu teléfono celular todos los días,

chatear, enviar mensajes de texto, navegar por Internet. Pero, ¿realmente sabes cómo
funciona tu teléfono celular?
El servicio celular, que usamos en nuestros dispositivos móviles, es inalámbrico y se
basa en torres celulares o estaciones base. Para mantener la conectividad, los teléfonos
celulares envían continuamente balizas diminutas a la torre o torres físicamente más cercanas
a ellos. La respuesta de la señal a esas balizas de las torres se traduce en la cantidad de
"barras" que tiene: sin barras, sin señal.
Para proteger un poco la identidad del usuario, estas balizas de su teléfono celular utilizan
lo que se conoce como identidad de suscriptor móvil internacional, o IMSI, un número único
asignado a su tarjeta SIM. Esto fue originalmente de la época en que las redes celulares
necesitaban saber cuándo estabas en sus torres y cuándo estabas en roaming (usando las
torres celulares de otros operadores).
La primera parte del código IMSI identifica de forma exclusiva al operador de red móvil y la
parte restante identifica su teléfono móvil ante ese operador de red.

Las fuerzas del orden han creado dispositivos que pretenden ser estaciones base
celulares. Estos están diseñados para interceptar mensajes de voz y de texto. En los Estados
Unidos, las fuerzas del orden y las agencias de inteligencia también usan otros dispositivos
para capturar IMSI (ver aquí). El IMSI se captura instantáneamente, en menos de un segundo
y sin previo aviso. Por lo general, los receptores IMSI se utilizan en
Machine Translated by Google

grandes mítines, lo que permite que las fuerzas del orden identifiquen más tarde quién estaba
presente, particularmente si esas personas estaban llamando activamente a otros para que se
unieran.
Dispositivos como estos también pueden ser utilizados por servicios y aplicaciones de
transporte para crear informes de tráfico. Aquí el número de cuenta real, o IMSI, no importa,
solo qué tan rápido se mueve su teléfono celular de una torre a otra o de una región geográfica
a otra. La cantidad de tiempo que tarda un teléfono celular en ir y venir de cada torre determina
el estado del tráfico: rojo, amarillo o verde.1

Su dispositivo móvil se conecta a una serie de torres celulares cada vez que está
encendido. La torre más cercana maneja su llamada, mensaje de texto o sesión de Internet. A
medida que se mueve, su teléfono hace ping a la torre más cercana y, si es necesario, su
llamada se mueve de una torre a otra, manteniendo la consistencia. Las otras torres cercanas
están todas en modo de espera, de modo que si se mueve del punto A al punto B y otra torre
entra en el rango para obtener una mejor señal, entonces la transferencia es fluida y no
debería experimentar una llamada interrumpida.

Baste decir que su dispositivo móvil emite una secuencia única que se registra en varias
torres celulares individuales. Por lo tanto, cualquier persona que mire los registros de una torre
específica verá la identidad de suscriptor móvil temporal (TMSI) de todas las personas en el
área general en un momento dado, ya sea que hayan realizado llamadas o no. Las fuerzas
del orden pueden solicitar y solicitan esta información a los operadores de telefonía celular,
incluidas las identidades de las cuentas de back-end de titulares específicos.

Por lo general, si observa solo el registro de una torre celular, los datos solo pueden
mostrar que alguien estaba de paso y que su dispositivo se comunicó con una torre celular
específica como reserva. Si se realizó una llamada o si se intercambiaron datos, también
habría un registro de esa llamada y su duración.
Sin embargo, los datos de varios registros de torres de telefonía móvil se pueden utilizar
para identificar geográficamente a un usuario. La mayoría de los dispositivos móviles hacen
ping a tres o más torres a la vez. Usando registros de esas torres de telefonía celular, alguien
puede triangular, en función de la fuerza relativa de cada ping, una ubicación bastante exacta
del usuario del teléfono. Entonces, el teléfono que llevas todos los días es esencialmente un
dispositivo de rastreo.
¿Cómo puedes evitar ser rastreado?
Machine Translated by Google

Para firmar un contrato con un proveedor de telefonía celular se requiere un nombre, una
dirección y un número de Seguro Social. Además, hay una verificación de crédito para asegurarse
de que pueda pagar su factura mensual. No puedes evitar esto si vas con un transportista
comercial.
Un teléfono desechable parece una opción razonable. Un teléfono celular prepago, quizás
uno que reemplaza con frecuencia (digamos, semanalmente o incluso mensualmente), evita
dejar mucho rastro. Su TMSI aparecerá en los registros de la torre celular y luego desaparecerá.
Si compró el teléfono discretamente, no se podrá rastrear hasta una cuenta de suscriptor. Los
servicios celulares prepago siguen siendo cuentas de abonado, por lo que el IMSI siempre estará
asignado a una cuenta. Por lo tanto, el anonimato de una persona depende de cómo adquirió el
dispositivo quemador.
En aras de la discusión, supongamos que se ha desconectado con éxito de la compra de un
teléfono desechable. Seguiste los pasos descritos aquí y utilizaste a una persona ajena a ti para
comprar el teléfono en efectivo. ¿Es imposible rastrear el uso de ese teléfono desechable? La
respuesta corta es no.

Una advertencia: una tarde de 2007, un contenedor de 500 millones de dólares cargado con la
droga éxtasis desapareció de un puerto de Melbourne, Australia. El dueño del contenedor, Pat
Barbaro, un conocido traficante de drogas, metió la mano en el bolsillo, sacó uno de sus doce
teléfonos celulares y marcó el número de un reportero local, Nick McKenzie, quien solo conocería
a la persona que llamó por el nombre de Stan. .Barbaro luego usaría sus otros teléfonos
desechables para enviar mensajes de texto a McKenzie, intentando obtener información anónima
del reportero de investigación sobre el contenedor perdido. Como veremos, esto no funcionó.

Los teléfonos desechables, a pesar de lo que mucha gente pueda pensar, no son
verdaderamente anónimos. De acuerdo con la Ley de Asistencia en las Comunicaciones para el
Cumplimiento de la Ley (CALEA) de EE. UU., se informan todos los IMSI conectados con
teléfonos desechables, al igual que los suscriptores que tienen contrato con los principales
operadores. En otras palabras, un oficial de la ley puede detectar un teléfono desechable desde
un archivo de registro tan fácilmente como puede detectar un teléfono de contrato registrado. Si
bien la IMSI no identificará quién es el propietario del teléfono, los patrones de uso podrían hacerlo.
En Australia, donde CALEA no existe, las fuerzas del orden aún pudieron controlar los
muchos teléfonos de Barbaro utilizando métodos bastante tradicionales.
Machine Translated by Google

métodos. Por ejemplo, es posible que hayan notado una llamada realizada con su
teléfono personal y luego, unos segundos más tarde, hayan visto en los archivos de
registro otra llamada o mensaje de texto de uno de sus teléfonos desechables en el
mismo sitio celular. Con el tiempo, el hecho de que estos IMSI aparecieran juntos en
los mismos sitios celulares podría sugerir que pertenecían a un solo individuo.
El problema de que Barbaro tuviera muchos teléfonos celulares a su disposición
era que no importaba qué teléfono usara, personal o prepago, siempre que
permaneciera en el mismo lugar, la señal llegaría a la misma torre celular. Las
llamadas telefónicas desechables siempre aparecían junto a sus llamadas telefónicas
registradas. El teléfono registrado, que figura a su nombre con un operador, fue
completamente rastreable y ayudó a las fuerzas del orden público a identificarlo.
Estableció un caso sólido en su contra, particularmente porque este patrón se repitió
en otros lugares. Esto ayudó a las autoridades australianas a condenar a Barbaro por
orquestar uno de los envíos de éxtasis más grandes de la historia de Australia.
McKenzie concluyó: "Desde que el teléfono vibró ese día en mi bolsillo y 'Stan'
entró brevemente en mi vida, he sido especialmente consciente de cómo las
comunicaciones de una persona dejan un rastro, sin importar cuán cuidadosas
sean" . , por supuesto, solo tiene un teléfono desechable. Esto significaría que
necesitaría comprar minutos adicionales de forma anónima usando tarjetas
prepagas o Bitcoin de vez en cuando, lo que puede hacer usando un Wi-Fi abierto de
forma segura después de cambiar su dirección de control de acceso a medios (MAC)
en su tarjeta inalámbrica (vea aquí ), y estar fuera de cualquier vista de cámara. O
podría, como se sugirió en el capítulo anterior, contratar a un extraño para que pague
en efectivo en la tienda para comprar el teléfono prepago y varias tarjetas de recarga.3
Esto agrega costos y tal vez inconvenientes, pero tendría un teléfono anónimo.

Aunque pueda parecer nueva, la tecnología celular tiene más de cuarenta años y, al
igual que los sistemas telefónicos de alambre de cobre, contiene tecnologías
heredadas que pueden comprometer su privacidad.
Cada generación de tecnología de telefonía celular ha ofrecido nuevas funciones,
en su mayoría destinadas a mover más datos de manera más eficiente. Los teléfonos
de primera generación, o 1G, tenían la tecnología telefónica disponible en la década
de 1980. Estas primeras redes y teléfonos 1G eran analógicos y usaban una variedad
de estándares móviles ahora descontinuados. En 1991, la segunda generación (2G)
Machine Translated by Google

Se introdujo la red digital. Esta red 2G ofrecía dos estándares: sistema global para
comunicaciones móviles (GSM) y acceso múltiple por división de código (CDMA). También
introdujo el servicio de mensajes cortos (SMS), datos de servicios complementarios no
estructurados (USSD) y otros protocolos de comunicación simples que todavía se usan en la
actualidad. Actualmente estamos en medio de 4G/LTE y en camino hacia 5G.

Independientemente de la generación de tecnología que utilice un operador determinado

(2G, 3G, 4G o 4G/LTE), existe un protocolo de señal internacional subyacente conocido como
sistema de señalización. El protocolo del sistema de señalización (actualmente en la versión 7),
entre otras cosas, mantiene las llamadas móviles conectadas cuando conduce por una autopista
y cambia de torre celular a torre celular. También se puede utilizar para vigilancia. El sistema de
señalización 7 (SS7) hace básicamente todo lo necesario para enrutar una llamada, como:

Configuración de una nueva conexión para una llamada

Rompiendo esa conexión cuando termina la llamada

Facturar a la persona adecuada que realiza la llamada
Administrar funciones adicionales, como el desvío de llamadas, la visualización del
número y el nombre de la persona que llama, las llamadas tripartitas y otras redes inteligentes
(IN) servicios
Llamadas gratuitas (800 y 888) y de pago (900)
Servicios inalámbricos, incluida la identificación del suscriptor, el operador y el roaming
móvil

Tobias Engel, fundador de Sternraute, y Karsten Nohl, científico en jefe de Security Research
Labs, explicaron en el Chaos Communication Congress, una conferencia anual sobre piratas
informáticos que se lleva a cabo en Berlín, Alemania, que no solo podían ubicar a las personas
que llaman a teléfonos celulares en cualquier parte del mundo. mundo, también podían escuchar
sus conversaciones telefónicas. Y si no podían escuchar en tiempo real, podían grabar las
llamadas y los mensajes de texto cifrados para descifrarlos más tarde.

En seguridad, usted está tan seguro como el eslabón más débil. Lo que Engel y Nohl
descubrieron fue que, si bien los países desarrollados de América del Norte y Europa han
invertido miles de millones en la creación de redes 3G relativamente seguras y privadas,
Machine Translated by Google

y las redes 4G, aún deben usar el sistema de señalización 7 (SS7) como protocolo
subyacente.
SS7 maneja el proceso de funciones de establecimiento de llamadas, facturación,
enrutamiento e intercambio de información. Lo que significa que si puede acceder a SS7,
puede manipular la llamada. SS7 permite que un atacante use un pequeño operador en,
digamos, Nigeria para acceder a llamadas realizadas en Europa o Estados Unidos. “Es
como asegurar la puerta principal de la casa, pero la puerta trasera está abierta de par en
par”, dijo Engel.
Los dos investigadores probaron un método en el que un atacante usa la función de
reenvío de llamadas de un teléfono y SS7 para reenviar las llamadas salientes de un
objetivo a sí mismo antes de realizar una conferencia (llamada tripartita) en su destinatario previsto.
Una vez que el atacante se ha establecido, puede escuchar todas las llamadas realizadas
por la persona objetivo desde cualquier lugar del mundo.
Otra estrategia sería que el atacante instalara antenas de radio para recolectar todas
las llamadas y mensajes de texto dentro de un área determinada. Para cualquier llamada
3G cifrada, el atacante podría pedirle a SS7 que le proporcione la clave de descifrado
adecuada.
“Todo está automatizado, con solo presionar un botón”, dijo Nohl. “Me parecería una
capacidad de espionaje perfecta, para registrar y descifrar prácticamente cualquier red…
Cualquier red que hayamos probado, funciona” .4 Luego enumeró casi todos los principales
operadores en América del Norte y Europa, alrededor de veinte en total.

Nohl y Engel también descubrieron que podían localizar a cualquier usuario de teléfono
celular usando una función SS7 llamada consulta de interrogación en cualquier momento.
Es decir, podrían hacerlo hasta que la función se cerrara a principios de 2015. Sin embargo,
dado que todos los operadores deben rastrear a sus usuarios para brindar el servicio, SS7
brinda otras funciones que aún permiten cierta vigilancia remota. Cabe señalar que las
fallas específicas identificadas por Nohl y Engel han sido mitigadas en su mayoría por los
operadores desde que su investigación se hizo pública.
Podría pensar que el cifrado por sí solo ayudaría a mantener privadas las llamadas
telefónicas. A partir de 2G, las llamadas telefónicas basadas en GSM se cifraron.
Sin embargo, los métodos iniciales utilizados para encriptar llamadas en 2G eran débiles y
finalmente fallaron. Desafortunadamente, el costo de actualizar las redes celulares a 3G
resultó prohibitivo para muchos operadores, por lo que se mantuvo en uso un 2G debilitado
hasta alrededor de 2010 más o menos.
Machine Translated by Google

En el verano de 2010, un equipo de investigadores dirigido por Nohl dividió entre ellos
todas las claves de encriptación posibles utilizadas por las redes 2G GSM y procesó los
números para producir lo que se llama una tabla arcoíris, una lista de claves o contraseñas
precalculadas. Publicaron la tabla para mostrar a los operadores de todo el mundo cuán
inseguro es el cifrado 2G usando GSM. Cada paquete, o unidad de datos entre el origen y
el destino, de voz, texto o datos enviados a través de 2G GSM podría descifrarse en solo
unos minutos utilizando la tabla de claves publicada.5 Este fue un ejemplo extremo, pero el
equipo lo consideró necesario; cuando Nohl y otros habían presentado previamente sus
hallazgos a los transportistas, sus advertencias cayeron en saco roto. Al demostrar cómo
podían descifrar el cifrado 2G GSM, más o menos obligaron a los operadores a realizar el
cambio.

Es importante tener en cuenta que 2G todavía existe en la actualidad, y los operadores

están considerando vender acceso a sus antiguas redes 2G para usar en dispositivos de
Internet de las cosas (dispositivos que no sean computadoras que se conectan a Internet,
como su televisor y refrigerador), que solo necesitan transmisión de datos ocasional. Si esto
sucede, tendremos que asegurarnos de que los propios dispositivos tengan cifrado de
extremo a extremo porque sabemos que 2G no proporcionará un cifrado lo suficientemente
fuerte por sí solo.

Por supuesto, las escuchas clandestinas existían antes de que los dispositivos móviles
realmente despegaran. Para Anita Busch, la pesadilla comenzó la mañana del 20 de junio
de 2002, cuando se despertó con la llamada urgente de un vecino a su puerta. Alguien
había hecho un agujero de bala en el parabrisas de su auto mientras estaba en el camino
de entrada. No solo eso, alguien también le había dejado a Busch una rosa, un pez muerto
y una nota de una sola palabra, "Alto", en el capó del automóvil.6 Más tarde se enteraría de
que sus teléfonos habían sido intervenidos, y no por la policía.
El hecho de que la escena con un agujero de bala y un pez muerto recordara una mala
película de gánsteres de Hollywood tenía algo de sentido. Busch, un reportero experimentado,
estaba en ese momento solo unas pocas semanas en una tarea independiente que narraba
la creciente influencia del crimen organizado en Hollywood para Los Angeles Times. Estaba
investigando a Steven Seagal y su ex socio comercial, Julius R. Nasso, quienes habían sido
acusados de conspirar con la mafia de Nueva York para extorsionar a Seagal.7

Lo que siguió a encontrar la nota en su auto fue una serie de llamadas

Machine Translated by Google

mensajes Aparentemente, la persona que llamó quería compartir información sobre Seagal. Mucho
más tarde, Busch se enteró de que la persona que llamó había sido contratada por Anthony Pellicano,
un ex investigador privado de alto perfil de Los Ángeles que, en el momento en que el auto de Busch
fue manipulado, ya era sospechoso por el FBI de escuchas telefónicas ilegales, soborno, robo de
identidad y obstrucción del tráfico. justicia.
El teléfono con cable de cobre de Busch había sido intervenido por Pellicano, quien sabía por
escuchar sus llamadas que estaba escribiendo una historia en el periódico sobre sus clientes. La
cabeza de pez en su auto fue un intento de advertirla.
Por lo general, las escuchas telefónicas solo se asocian con llamadas telefónicas, pero las leyes
de escuchas telefónicas en los Estados Unidos también pueden cubrir las escuchas ilegales en el
correo electrónico y los mensajes instantáneos. Por el momento me centraré en el uso tradicional de
las escuchas telefónicas, en líneas fijas de hilo de cobre.
Los teléfonos fijos son los teléfonos cableados en su hogar o negocio, y las escuchas telefónicas
implican literalmente tocar el cable vivo. En el pasado, las compañías telefónicas tenían bancos
físicos de conmutadores en los que realizaban una versión de escuchas telefónicas. Lo que eso
significa es que la compañía telefónica tenía dispositivos especiales que los técnicos del marco
conectaron al número de teléfono objetivo en el mainframe de la oficina central. Hay un equipo de
escuchas telefónicas adicional que se conecta a este dispositivo y se usa para monitorear el objetivo.
Hoy, esa forma de espionaje está retirada: las compañías telefónicas están obligadas a implementar
los requisitos técnicos exigidos por CALEA.

Aunque un número creciente de personas en la actualidad se ha pasado a los teléfonos móviles,

muchos aún conservan sus líneas fijas por su confiabilidad de hilo de cobre.
Otros usan lo que se llama tecnología de Voz sobre Protocolo de Internet (VoIP), que es telefonía a
través de Internet y generalmente se incluye en el hogar o la oficina con su servicio de cable o
Internet. Ya sea un conmutador físico en la compañía telefónica o un conmutador digital, las fuerzas
del orden tienen la capacidad de espiar las llamadas.

La CALEA de 1994 requiere que los fabricantes y operadores de telecomunicaciones modifiquen

sus equipos con el fin de permitir que las fuerzas del orden público intervengan la línea. Entonces,
bajo CALEA, cualquier llamada de línea fija en los Estados Unidos está teóricamente sujeta a
intercepción. Y bajo CALEA, todo acceso policial requiere una orden judicial del Título III. Dicho esto,
sigue siendo ilegal que un ciudadano común realice una intervención telefónica, que es lo que hizo
Anthony Pellicano para monitorear de forma encubierta a Anita Busch y otros. Su lista de víctimas de
espionaje incluye a celebridades de Hollywood como
Machine Translated by Google

Sylvester Stallone, David Carradine y Kevin Nealon, entre otros.

Su lista de víctimas de escuchas telefónicas también incluye a mi amiga Erin Finn, porque su
exnovio estaba obsesionado con ella y quería rastrear cada uno de sus movimientos. Debido a que
su línea telefónica había sido intervenida, yo también fui monitoreado cuando la llamé. La parte
más genial de la saga es que AT&T me pagó miles de dólares como parte de un acuerdo de
demanda colectiva debido a que Pellicano intervino mis llamadas a Finn. Lo cual es algo irónico,
porque en otra ocasión yo era quien hacía tapping. El propósito de Pellicano al pinchar a la gente
era quizás más malicioso que el mío; estaba tratando de intimidar a los testigos para que no
testificaran o testificaran de cierta manera.

A mediados de la década de 1990, los técnicos tuvieron que instalar una intervención telefónica.
Así que Pellicano, o alguien de su gente, tuvo que contratar a alguien que trabajaba en PacBell
para pinchar las líneas telefónicas de Busch y Finn. Los técnicos pudieron configurar extensiones
de los teléfonos objetivo en la oficina de Pellicano, en Beverly Hills. En este caso no se hicieron
escuchas en la caja de empalmes, ni en la terminal al costado de la casa o complejo de
departamentos, aunque eso también es posible.8
Como recordará de haber leído mi libro anterior Ghost in the Wires, una vez manejé desde el
departamento de mi padre en Calabasas hasta Long Beach para establecer una intervención física
en una línea telefónica utilizada por Kent, un amigo de mi difunto hermano. Hubo muchas preguntas
en torno a la muerte de mi hermano, por una sobredosis de drogas, y yo creía que él tenía algo que
ver con esa muerte, aunque más tarde me enteré de que no estaba involucrado. En el espacio de
servicios públicos dentro del complejo de apartamentos donde vivía Kent, utilicé la ingeniería social
para fingir ser un técnico de línea que llamaba a una unidad particular dentro de GTE (Telefonía
General y Electrónica) para encontrar dónde estaban ubicados el cable y el par asignados al
teléfono de Kent. Resultó que los cables telefónicos de Kent pasaban por un edificio de apartamentos
completamente separado. Y así, en un segundo espacio utilitario, finalmente pude conectar mi
grabadora de cinta de microcassette activada por voz a su línea telefónica en la caja terminal (el
lugar donde los técnicos de la compañía telefónica conectan las líneas a cada apartamento).

Después de eso, cada vez que Kent hacía una llamada, podía grabar ambos lados de la
conversación sin que él supiera que lo estaba haciendo, aunque debo señalar que aunque las
grabaciones eran en tiempo real, yo no las escuchaba.
Todos los días durante los siguientes diez días tuve que hacer el viaje de sesenta minutos hasta el
apartamento de Kent, después de escuchar las cintas recuperadas en busca de cualquier mención.
Machine Translated by Google

de mi hermano Desafortunadamente, nunca salió nada de eso. Años más tarde supe que mi
tío probablemente había sido el responsable de la muerte de mi hermano.

Dado lo fácil que fue para Pellicano y para mí acceder a conversaciones telefónicas privadas,
es posible que se pregunte cómo puede volverse invisible con un teléfono fijo con cable de
cobre que aparentemente está abierto a la vigilancia. No se puede, sin comprar equipo
especial. Para los verdaderamente paranoicos, existen teléfonos fijos que encriptarán todas
sus conversaciones de voz a través de cables de cobre.9 Estos teléfonos resuelven el
problema de la interceptación de llamadas telefónicas privadas, pero solo si ambos extremos
de la llamada usan encriptación; de lo contrario, pueden ser fáciles de monitorear. podemos
hacer para evitar ser10espiados.
Para el resto de nosotros, existen algunas opciones telefónicas básicas

El movimiento hacia la telefonía digital ha hecho que la vigilancia sea más fácil, no más
difícil. Hoy en día, si es necesario un toque en una línea de teléfono digital, se puede hacer de
forma remota. La computadora de conmutación simplemente crea una segunda corriente
paralela de datos; no se requiere equipo de monitoreo adicional. Esto también hace que sea
mucho más difícil determinar si una línea determinada ha sido interceptada. Y en la mayoría
de los casos, estos grifos solo se descubren por accidente.
Poco después de que Grecia fuera sede de los Juegos Olímpicos de verano de 2004, los
ingenieros de Vodafone-Panafon eliminaron un software malicioso que se había descubierto
que se ejecutaba en la red celular de la empresa durante más de un año. En la práctica, las
fuerzas del orden interceptan todos los datos de voz y texto enviados a través de cualquier red
celular a través de un sistema de control remoto llamado RES (subsistema de equipo de
control remoto), el equivalente digital de una intervención telefónica analógica.
Cuando un sujeto bajo vigilancia hace una llamada móvil, el RES crea un segundo flujo de
datos que alimenta directamente a un oficial de la ley.
El software malicioso descubierto en Grecia aprovechó el RES de Vodafone, lo que
significa que alguien que no era un oficial legítimo de la ley estaba escuchando las
conversaciones realizadas a través de su red celular; en este caso, el interventor estaba
interesado en funcionarios del gobierno. Durante los Juegos Olímpicos, algunos países, como
Estados Unidos y Rusia, proporcionaron sus propios sistemas de comunicaciones privados
para conversaciones a nivel estatal. Otros jefes de estado y ejecutivos de empresas de todo
el mundo utilizaron el sistema comprometido de Vodafone.

Una investigación mostró que las comunicaciones del primer ministro griego
Machine Translated by Google

El ministro y su esposa, así como los del alcalde de Atenas, el comisionado griego de la Unión
Europea y los ministerios de defensa nacional, relaciones exteriores, marina mercante y
justicia, habían sido monitoreados durante los Juegos Olímpicos. Otros teléfonos interceptados
pertenecían a miembros de organizaciones de derechos civiles, grupos antiglobalización, el
partido gobernante Nueva Democracia, el estado mayor general de la Marina Helénica, así
como activistas por la paz y un empleado greco-estadounidense en la embajada de Estados
Unidos en Atenas.11 El espionaje podría haber continuó más tiempo si Vodafone no hubiera
llamado al proveedor de hardware para su sistema RES, Ericsson, mientras investigaba
una queja separada: que sus mensajes de texto estaban sufriendo fallas en la entrega a una
tasa superior a la normal. Después de diagnosticar el problema, Ericsson notificó a Vodafone
que había encontrado un software malicioso.

Desafortunadamente, más de una década después, todavía no sabemos quién hizo esto.
O por qué. O incluso cuán común podría ser esta actividad. Para empeorar las cosas,
aparentemente Vodafone manejó mal la investigación.12 Por un lado, faltaban los archivos
de registro clave que cubrían el evento. Y en lugar de dejar que el programa malicioso se
ejecute después del descubrimiento, una práctica común en las investigaciones de delitos
informáticos, Vodafone lo eliminó abruptamente de su sistema, lo que puede haber alertado a
los perpetradores y les permitió cubrir sus huellas.

El caso de Vodafone es un inquietante recordatorio de lo vulnerables que son nuestros

teléfonos móviles a las intercepciones. Pero hay formas en que aún puede ser invisible con
un teléfono digital.

Además de los teléfonos celulares y los teléfonos fijos antiguos, una tercera opción de
telefonía, como mencioné anteriormente, es el Protocolo de Voz sobre Internet (VoIP). VoIP
es excelente para cualquier dispositivo inalámbrico que carezca de un medio nativo para
realizar una llamada telefónica, por ejemplo, un iPod Touch de Apple; es más como navegar
por Internet que hacer una llamada telefónica clásica. Los teléfonos fijos requieren alambre
de cobre. Los teléfonos móviles utilizan torres de telefonía móvil. VoIP es simplemente
transmitir su voz a través de Internet, ya sea utilizando servicios de Internet inalámbricos o
por cable. VoIP también funciona en dispositivos móviles, como computadoras portátiles y
tabletas, tengan o no servicio celular.
Para ahorrar dinero, muchos hogares y oficinas se han cambiado a los sistemas de VoIP
que ofrecen los nuevos proveedores de servicios y los sistemas de cable existentes.
Machine Translated by Google

compañías. VoIP usa el mismo cable coaxial que trae transmisión de video e Internet
de alta velocidad a su hogar.
La buena noticia es que los sistemas telefónicos VoIP sí usan encriptación;
específicamente, algo llamado descripciones de seguridad del protocolo de descripción
de sesión, o SDES. La mala noticia es que SDES por sí solo no es muy
seguro.

Parte del problema con SDES es que la clave de cifrado no se comparte mediante
SSL/TLS (un protocolo criptográfico de red), que es seguro. Sin embargo, si el
proveedor no utiliza SSL/TLS, la clave se envía sin cifrar. En lugar de cifrado asimétrico,
utiliza cifrado simétrico, lo que significa que la clave generada por el remitente debe
pasarse de alguna manera al destinatario para que la llamada se descifre.

Digamos que Bob quiere llamar a Alice, que está en China. El teléfono VoIP
encriptado con SDES de Bob genera una nueva clave para esa llamada. De alguna
manera, Bob tiene que darle esa nueva clave a Alice para que su equipo de VoIP
pueda descifrar su llamada telefónica y puedan tener una conversación. La solución
que ofrece SDES es enviar la clave al operador de Bob, que luego se la pasa al
operador de Alice, que luego la comparte con ella.
¿Ves el defecto? ¿Recuerda lo que dije sobre el cifrado de extremo a extremo en
el capítulo anterior? La conversación permanece segura hasta que el destinatario la
abre en el otro extremo. Pero SDES comparte la clave de Bob con el operador de Bob
y, si el operador de Alice es diferente, la llamada se codifica desde el operador de Alice
a Alice. Si la brecha es significativa es discutible.
Algo así también ocurre con Skype y Google Voice. Se generan nuevas claves cada
vez que se inicializa una llamada, pero esas claves luego se entregan a Microsoft y
Google. Tanto por querer tener una conversación privada.

Afortunadamente, existen formas de cifrar VoIP móvil de extremo a extremo.

Signal, una aplicación de Open Whisper Systems, es un sistema de VoIP gratuito
y de código abierto para teléfonos móviles que proporciona un verdadero cifrado de
extremo a extremo tanto para iPhone como para Android.13 La principal ventaja de
usar Signal es que la administración de claves se maneja solo entre las partes que
llaman, no a través de terceros. Eso significa que, como en SDES, se generan nuevas
claves con cada llamada; sin embargo, las únicas copias de las claves se almacenan
en los dispositivos de los usuarios. Desde CALEA
Machine Translated by Google

permite el acceso a cualquier registro de una llamada específica, las fuerzas del orden público
en este caso solo verían el tráfico cifrado a través de la línea del operador de telefonía móvil,
lo que sería ininteligible. Y Open Whisper Systems, la organización sin fines de lucro que
fabrica Signal, no tiene las llaves, por lo que una orden judicial sería inútil. Las claves existen
solo en los dispositivos en cualquiera de los extremos de la llamada. Y una vez que finaliza la
llamada, esas claves de sesión se destruyen.
Actualmente, CALEA no se extiende a los usuarios finales ni a sus dispositivos.
Podría pensar que tener encriptación en su teléfono celular agotará su batería. Lo hace,
pero no por mucho. Signal utiliza notificaciones automáticas, al igual que las aplicaciones
WhatsApp y Telegram. Por lo tanto, solo ve una llamada cuando está entrando, lo que reduce
el uso de la batería mientras escucha nuevas llamadas. Las aplicaciones de Android e iOS
también usan códecs de audio y algoritmos de búfer nativos de la red móvil, por lo que
nuevamente el cifrado no consume mucha energía mientras realiza una llamada.

Además de usar el cifrado de extremo a extremo, Signal también usa Perfect Forward
Secrecy (PFS). ¿Qué es PFS? Es un sistema que usa una clave de encriptación ligeramente
diferente para cada llamada, de modo que incluso si alguien logra obtener su llamada telefónica
encriptada y la clave que se usó para encriptarla, sus otras llamadas permanecerán seguras.
Todas las claves de PFS se basan en una sola clave original, pero lo importante es que si
alguien compromete una clave, no significa que su adversario potencial tenga acceso a sus
comunicaciones posteriores.
Machine Translated by Google

CAPÍTULO CUATRO

Si no cifra, no está equipado

Si alguien recogiera su teléfono celular desbloqueado

ahora, esa persona podría obtener acceso a su correo electrónico, su cuenta de Facebook
y tal vez incluso su cuenta de Amazon. En nuestros dispositivos móviles, ya no iniciamos
sesión individualmente en los servicios, como lo hacemos en nuestras computadoras
portátiles y de escritorio; tenemos aplicaciones móviles y, una vez que iniciamos sesión,
permanecen abiertas. Además de tus fotos y tu música, hay otras características únicas
en tu teléfono celular, como mensajes de texto SMS. Estos también quedan expuestos si
alguien obtiene acceso físico a su dispositivo móvil desbloqueado.
Considere esto: en 2009, Daniel Lee de Longview, Washington, fue arrestado bajo
sospecha de vender drogas.1 Mientras estaba bajo custodia, la policía revisó su teléfono
celular sin contraseña e inmediatamente descubrió varios mensajes de texto relacionados
con las drogas. Uno de esos hilos era de un individuo llamado Z-Jon.

Decía: "Tengo ciento treinta por los ciento sesenta que te debo anoche". Según el
testimonio de la corte, la policía de Longview no solo leyó los mensajes de Z-Jon a Lee,
sino que también respondieron activamente, organizando su propio negocio de drogas.
Haciéndose pasar por Lee, la policía envió a Z-Jon un mensaje de texto en respuesta,
preguntándole si “necesitaba más”. Z-Jon respondió: “Sí, eso sería genial”. Cuando Z-Jon
(cuyo verdadero nombre es Jonathan Roden) se presentó a esa reunión, la policía de
Longview lo arrestó por intento de posesión de heroína.
Machine Translated by Google

La policía también notó otro hilo de mensajes de texto en el teléfono de Lee.

y arrestó a Shawn Daniel Hinton en circunstancias similares.2
Ambos hombres apelaron, y en 2014, con la ayuda de la Unión Estadounidense de
Libertades Civiles, la Corte Suprema del Estado de Washington anuló las condenas de
Roden y Hinton por un tribunal inferior, afirmando que la policía había violado la expectativa
de privacidad de los acusados.
Los jueces del estado de Washington dijeron que si Lee hubiera visto primero los
mensajes de Roden y Hinton o hubiera dado instrucciones a los agentes de policía para
que respondieran diciendo “Daniel no está aquí”, eso habría cambiado los fundamentos en
ambos casos. “Los mensajes de texto pueden abarcar los mismos temas íntimos que las
llamadas telefónicas, las cartas selladas y otras formas tradicionales de comunicación que
históricamente han estado fuertemente protegidas por la ley de Washington”, escribió el
juez Steven González en el caso de Hinton.3
Los jueces dictaminaron que la expectativa de privacidad debe extenderse desde la era
del papel-carta hasta la era digital. En los Estados Unidos, las fuerzas del orden público no
pueden abrir una carta sellada físicamente sin el permiso del destinatario. La expectativa
de privacidad es una prueba legal. Se utiliza para determinar si se aplican las protecciones
de privacidad de la Cuarta Enmienda de la Constitución de los Estados Unidos. Queda por
ver cómo los tribunales deciden los casos futuros y si incluyen esta prueba legal.

La tecnología de texto, también conocida como servicio de mensajes cortos o SMS, existe
desde 1992. Los teléfonos celulares, incluso los teléfonos con funciones (es decir, que no
son teléfonos inteligentes), permiten enviar mensajes de texto breves. Los mensajes de
texto no son necesariamente punto a punto: en otras palabras, los mensajes no viajan
literalmente de un teléfono a otro. Al igual que un correo electrónico, el mensaje que escribe
en su teléfono se envía sin cifrar, en claro, a un centro de servicio de mensajes cortos
(SMSC), parte de la red móvil diseñada para almacenar, reenviar y entregar el SMS, a
veces horas luego.
Los mensajes de texto móviles nativos, los que se inician desde su teléfono y no desde
una aplicación, pasan a través de un SMSC en el operador, donde pueden almacenarse o
no. Los transportistas afirman que conservan los mensajes de texto solo unos días. Una
vez transcurrido ese tiempo, los operadores insisten en que sus mensajes de texto se
almacenen solo en los teléfonos que los envían y reciben, y la cantidad de mensajes
almacenados varía según el modelo de teléfono. A pesar de estas afirmaciones, creo que todos los móviles
Machine Translated by Google

los operadores en los Estados Unidos conservan los mensajes de texto

independientemente de lo que le digan al público.4 Existe cierta duda en torno a
esta afirmación de los operadores. Los documentos expuestos por Edward
Snowden sugieren una estrecha relación entre la NSA y al menos uno de los
operadores, AT&T. Según Wired, a partir de 2002, poco después del 11 de
septiembre, la NSA se acercó a AT&T y les pidió que comenzaran a construir
habitaciones secretas en algunas de las instalaciones del operador. Uno se ubicaría
en Bridgeton, Missouri, y otro en Folsom Street en el centro de San Francisco.
Eventualmente, se agregaron otras ciudades, incluidas Seattle, San José, Los
Ángeles y San Diego. El propósito de estas salas secretas era canalizar todo el
tráfico de Internet, correo electrónico y teléfono a través de un filtro especial que
buscaría palabras clave. No está claro si se incluyeron mensajes de texto, aunque
parece razonable pensar que sí. Tampoco está claro si esta práctica todavía existe
en AT&T o en cualquier otro operador posterior a Snowden.5 Una pista sugiere que
esta práctica no continúa.

En el juego de campeonato de la AFC de 2015, previo al Super Bowl XLIX, los

New England Patriots encendieron la controversia con su victoria sobre los
Indianapolis Colts, 45–7. En el centro de la controversia estaba si el equipo de
Nueva Inglaterra había subinflado a sabiendas sus balones de fútbol. La Liga
Nacional de Fútbol tiene reglas estrictas sobre el inflado adecuado de sus balones
de fútbol, y después de ese partido de playoffs se determinó que los balones
aportados por el equipo de Nueva Inglaterra no cumplían con los criterios. El centro
de la investigación fueron los mensajes de texto enviados por el mariscal de campo
estrella de los Patriots, Tom Brady.
Brady negó públicamente su participación. Mostrar a los investigadores los
mensajes de texto que envió y recibió antes y durante el juego quizás lo hubiera
confirmado. Desafortunadamente, el día que se reunió con los investigadores clave,
Brady cambió abruptamente de teléfono celular y desechó el que había usado entre
noviembre de 2014 y aproximadamente el 6 de marzo de 2015, por un teléfono
nuevo. Brady luego le dijo al comité que había destruido su teléfono original y todos
los datos que contenía, incluidos sus mensajes de texto almacenados. Como
resultado, Brady recibió una suspensión de cuatro juegos por parte de la NFL, que
luego fue levantada por orden judicial. 6
“Durante los cuatro meses que el teléfono celular estuvo en uso, Brady tuvo
Machine Translated by Google

intercambió casi 10,000 mensajes de texto, ninguno de los cuales ahora se puede recuperar desde
ese dispositivo”, dijo la liga. “Después de la audiencia de apelación, los representantes del Sr.
Brady proporcionaron una carta de su proveedor de telefonía celular que confirma que los mensajes
de texto enviados o recibidos por el teléfono celular destruido ya no se pueden recuperar”. 7
Entonces, si Tom Brady tuviera una nota de su proveedor diciendo que todos sus mensajes de
texto fueron destruidos, y los mismos operadores dicen que no los retienen, la única forma de
prolongar la vida de un texto es hacer una copia de seguridad de su dispositivo móvil en la nube.
Si utiliza un servicio de su proveedor, o incluso de Google o Apple, esas empresas pueden tener
acceso a sus mensajes de texto. Aparentemente, Tom Brady no tuvo tiempo de hacer una copia
de seguridad del contenido de su antiguo teléfono en la nube antes de su actualización de
emergencia.

El Congreso no ha abordado el tema de la retención de datos en general y de los teléfonos

móviles en particular. De hecho, el Congreso ha debatido en los últimos años si exigir a todos los
operadores de telefonía móvil que archiven los mensajes de texto durante un máximo de dos años.
Australia decidió hacer esto en 2015, por lo que queda por ver si esto funciona allí.

Entonces, ¿cómo puedes mantener la privacidad de tus mensajes de texto? En primer lugar, no
utilice el servicio de mensajería de texto nativo que pasa por su proveedor de servicios inalámbricos.
En su lugar, utilice una aplicación de terceros. ¿Pero cual?
Para enmascarar nuestras identidades en línea, para disfrutar de Internet de forma anónima,
necesitaremos confiar en algunos programas y servicios de software. Esa confianza es difícil de

verificar. En general, las organizaciones de código abierto y sin fines de lucro proporcionan quizás
el software y los servicios más seguros porque hay literalmente miles de ojos que examinan el
código y marcan cualquier cosa que parezca sospechosa o vulnerable. Cuando utiliza software
propietario, tiene que creer más o menos en la palabra del proveedor.

Las revisiones de software, por su naturaleza, solo pueden decirle mucho, por ejemplo, cómo
funciona una función de interfaz en particular. Los revisores pasan unos días con el software y
escriben sus impresiones. En realidad, no usan el software, ni pueden informar sobre lo que
sucede a largo plazo. Solo registran sus impresiones iniciales.

Además, los revisores no le dicen si puede confiar en el software.

No examinan los aspectos de seguridad y privacidad del producto. Y solo
Machine Translated by Google

el hecho de que un producto provenga de una marca conocida no significa que sea
seguro. De hecho, debemos tener cuidado con las marcas populares porque pueden
atraernos a una falsa sensación de seguridad. No debe tomar la palabra del proveedor.

En la década de 1990, cuando necesitaba encriptar mi computadora portátil con

Windows 95, elegí un producto de Norton llamado Norton Diskreet, que ahora está
descontinuado. Peter Norton es un genio. Su primera utilidad informática automatizó el
proceso de recuperación de un archivo. Continuó creando muchas utilidades de sistema
excelentes en la década de 1980, en un momento en que pocas personas podían entender
un símbolo del sistema. Pero luego vendió la compañía a Symantec y alguien más
comenzó a escribir el software en su nombre.
Cuando adquirí Diskreet, un producto que ya no está disponible, el cifrado DES de 56
bits (DES significa "estándar de cifrado de datos") era un gran problema. Era el cifrado
más fuerte que podías esperar. Para brindarle un poco de contexto, hoy usamos el cifrado
AES de 256 bits (AES significa "estándar de cifrado avanzado"). Cada bit agregado de
cifrado agrega exponencialmente más claves de cifrado y, por lo tanto, más seguridad. El
cifrado DES de 56 bits se consideró seguro de última generación hasta que se descifró
en 1998.8
De todos modos, quería ver si el programa Diskreet era lo suficientemente robusto
como para ocultar mis datos. También quería desafiar al FBI si alguna vez confiscaban
mi computadora. Después de comprar el programa, pirateé Symantec y localicé el código
fuente del programa.9 Después de analizar lo que hacía y cómo lo hacía, descubrí que
Diskreet solo usaba treinta bits de la clave de 56 bits; el resto solo se rellenaba con ceros.
.10 Eso es incluso menos seguro que los cuarenta bits que se permitía exportar fuera de
los Estados Unidos.
Lo que eso significaba en términos prácticos era que alguien (la NSA, las fuerzas del
orden público o un enemigo con una computadora muy rápida) podía descifrar el producto
Diskreet mucho más fácilmente de lo que se anunciaba, ya que en realidad no usaba
encriptación de 56 bits. Sin embargo, la empresa comercializaba el producto con cifrado
de 56 bits. Decidí usar otra cosa en su lugar.
¿Cómo sabría esto el público? No lo harían.

Aunque las redes sociales como Facebook, Snapchat e Instagram ocupan los primeros
lugares en lo que respecta a la popularidad entre los adolescentes, los mensajes de texto
dominan en general, según los datos proporcionados por Niche.com.11 Un estudio reciente
Machine Translated by Google

encontró que el 87 por ciento de los adolescentes envían mensajes de texto todos los días, en
comparación con el 61 por ciento que dice que usa Facebook, la siguiente opción más popular. Las
niñas envían, en promedio, alrededor de 3952 mensajes de texto por mes y los niños envían más cerca de
2.815 mensajes de texto al mes, según el estudio. 12

La buena noticia es que hoy en día todas las aplicaciones de mensajería populares ofrecen
algún tipo de cifrado al enviar y recibir mensajes de texto, es decir, protegen lo que se denomina
"datos en movimiento". La mala noticia es que no todo el cifrado que se utiliza es sólido. En 2014, el
investigador Paul Jauregui de la empresa de seguridad Praetorian descubrió que era posible eludir
el cifrado utilizado por WhatsApp y participar en un ataque Man-in-the-middle (MitM), en el que el
atacante intercepta mensajes entre la víctima y su destinatario y puede ver todos los mensajes.
“Este es el tipo de cosas que le encantaría a la NSA”, observó Jauregui.13 Al momento de escribir
este artículo, el cifrado utilizado en WhatsApp se ha actualizado y utiliza cifrado de extremo a
extremo en dispositivos iOS y Android. Y la empresa matriz de WhatsApp, Facebook, agregó
encriptación a sus 900 millones de usuarios de Messenger, aunque es opcional, lo que significa que
debe configurar "Conversaciones secretas" para que funcione.14

La peor noticia es lo que sucede con los datos archivados o "datos en reposo". La mayoría de
las aplicaciones de texto móviles no cifran los datos archivados, ya sea en su dispositivo o en un
sistema de terceros. Las aplicaciones como AIM, BlackBerry Messenger y Skype almacenan sus
mensajes sin cifrarlos.
Eso significa que el proveedor de servicios puede leer el contenido (si está almacenado en la nube)
y usarlo para publicidad. También significa que si las fuerzas del orden, o los piratas informáticos
criminales, obtuvieran acceso al dispositivo físico, también podrían leer esos mensajes.

Otro problema es la retención de datos, que mencionamos anteriormente: ¿cuánto tiempo

permanecen en reposo los datos en reposo? Si aplicaciones como AIM y Skype archivan sus
mensajes sin encriptar, ¿cuánto tiempo los guardan? Microsoft, propietaria de Skype, ha dicho que
"Skype usa el escaneo automático dentro de los mensajes instantáneos y SMS para (a) identificar
sospechas de spam y/o (b) identificar URL que se han marcado previamente como spam, fraude o
enlaces de phishing". Hasta ahora, esto suena como la actividad de análisis antimalware que las
empresas realizan en nuestros correos electrónicos. Sin embargo, la política de privacidad continúa
diciendo: “Skype retendrá su información durante el tiempo que sea necesario para:
Machine Translated by Google

(1) cumplir cualquiera de los Propósitos (como se define en el artículo 2 de esta Política de Privacidad)
o (2) cumplir con la legislación aplicable, las solicitudes reglamentarias y las órdenes pertinentes de los
tribunales competentes.”15
Eso no suena tan bien. ¿Cuánto tiempo es “tanto como sea necesario”?
AOL Instant Messenger (AIM) puede haber sido el primer servicio de mensajería instantánea que
cualquiera de nosotros usó. Ha existido por mucho tiempo. Diseñado para PC de escritorio o tradicionales,
AIM originalmente tomó la forma de una pequeña ventana emergente que aparecía en la esquina inferior
derecha del escritorio. Hoy también está disponible como una aplicación móvil. Pero en términos de
privacidad, AIM levanta algunas banderas rojas. Primero, AIM mantiene un archivo de todos los mensajes
enviados a través de su servicio. Y, como Skype, también escanea el contenido de esos mensajes. Una
tercera preocupación es que AOL mantiene registros de los mensajes en la nube en caso de que alguna
vez desee acceder a un historial de chat desde cualquier terminal o dispositivo diferente al que tuvo su
última sesión.16 Dado que sus datos de chat de AOL no están encriptados y está disponible desde
cualquier terminal porque vive en la nube, es fácil para las fuerzas del orden público y los piratas
informáticos obtener una copia. Por ejemplo, mi cuenta de AOL fue pirateada por un niño guionista
cuyo identificador en línea es Virus; su nombre real es Michael Nieves . acceso a su sistema interno de
base de datos de clientes, llamado Merlin, que le permitió cambiar mi dirección de correo electrónico a
una asociada con una cuenta separada bajo su control. Una vez que lo hizo, pudo restablecer mi
contraseña y obtener acceso a todos mis mensajes anteriores.

En 2007, Nieves fue acusada de cuatro delitos graves y un delito menor por, según la denuncia, piratear
“redes y bases de datos informáticas internas de AOL, incluidos los registros de facturación de clientes,
direcciones e información de tarjetas de crédito”.

Como ha dicho la Electronic Frontier Foundation, "ningún registro es un buen registro".

AOL tiene registros.

Las aplicaciones de texto no nativas pueden decir que tienen encriptación, pero es posible que no sea
una encriptación buena o fuerte. ¿Qué debes buscar? Una aplicación de texto que proporciona cifrado
de extremo a extremo, lo que significa que ningún tercero tiene acceso a las claves. Las claves deben
existir solo en cada dispositivo. Tenga en cuenta, también, que si alguno de los dispositivos está
comprometido con malware, entonces se recomienda usar cualquier tipo de encriptación.
Machine Translated by Google

sin valor.
Hay tres "sabores" básicos de aplicaciones de texto:

Aquellos que no proporcionan ningún tipo de cifrado, lo que significa que cualquiera
puede leer sus mensajes de texto.
Aquellos que brindan encriptación, pero no de extremo a extremo, lo que significa que la
comunicación puede ser interceptada por terceros, como el proveedor del servicio, que
tiene conocimiento de las claves de encriptación.
Aquellos que proporcionan cifrado de extremo a extremo, lo que significa que la
comunicación no puede ser leída por terceros porque las claves se almacenan en los
dispositivos individuales.

Desafortunadamente, las aplicaciones de mensajería de texto más populares, como AIM,

no son muy privadas. Incluso Whisper and Secret puede no ser totalmente privado.
Millones de personas usan Whisper y se comercializan a sí mismos como anónimos, pero los
investigadores han hecho agujeros en estas afirmaciones. Whisper rastrea a sus usuarios,
mientras que a veces se revelan las identidades de los usuarios secretos.
Telegram es otra aplicación de mensajería que ofrece cifrado y se considera una alternativa
popular a WhatsApp. Se ejecuta en dispositivos Android, iOS y Windows. Sin embargo, los
investigadores descubrieron que un adversario puede comprometer los servidores de Telegram
y obtener acceso a datos críticos.18 Y los investigadores descubrieron que es fácil recuperar
mensajes cifrados de Telegram, incluso después de que se hayan eliminado del dispositivo.19

Entonces, ahora que hemos eliminado algunas opciones populares, ¿qué queda?
Mucho. Cuando esté en la tienda de aplicaciones o en Google Play, busque aplicaciones
que usen algo llamado mensajería extraoficial u OTR. Es un protocolo de cifrado de extremo a
extremo de estándar más alto que se utiliza para mensajes de texto y se puede encontrar en
varios productos.20
Su aplicación de mensajes de texto ideal también debe incluir Perfect Forward Secrecy
(PFS). Recuerde que esto emplea una clave de sesión generada aleatoriamente que está
diseñada para ser resistente en el futuro. Eso significa que si una clave está comprometida, no
se puede usar para leer sus futuros mensajes de texto.
Hay varias aplicaciones que usan OTR y PFS.
ChatSecure es una aplicación de mensajería de texto segura que funciona tanto en Android
Machine Translated by Google

y iPhones.21 También proporciona algo llamado fijación de certificados. Eso significa que incluye un
certificado de prueba de identidad, que se almacena en el dispositivo. En cada contacto con los
servidores de ChatSecure, el certificado dentro de la aplicación en su dispositivo se compara con el
certificado en la nave nodriza. Si el certificado almacenado no coincide, la sesión no continúa.

Otro buen detalle es que ChatSecure también encripta los registros de conversación almacenados
en el dispositivo: los datos en reposo.22 Quizás la mejor opción de código abierto es Signal de Open

Whisper Systems, que funciona tanto en iOS como en Android (ver aquí).

Otra aplicación de mensajería de texto a considerar es Cryptocat. Está disponible para iPhone
y la mayoría de los principales navegadores en su PC tradicional. Sin embargo, no está disponible
para Android.23

Y, en el momento de escribir este artículo, el proyecto Tor, que mantiene el navegador Tor (ver
aquí), acaba de lanzar Tor Messenger. Al igual que el navegador Tor, la aplicación anonimiza su
dirección IP, lo que significa que los mensajes son difíciles de rastrear (sin embargo, tenga en cuenta
que, al igual que con el navegador Tor, los nodos de salida no están bajo su control de forma
predeterminada; consulte aquí). Los mensajes instantáneos se cifran mediante el cifrado de extremo
a extremo. Al igual que Tor, la aplicación es un poco difícil para el usuario que la usa por primera
vez, pero eventualmente debería funcionar para proporcionar mensajes de texto verdaderamente
privados.24 También hay aplicaciones comerciales que brindan encriptación de extremo a extremo.
La única advertencia es que su software es propietario y, sin una revisión independiente, no se
puede confirmar su seguridad e integridad. Silent Phone ofrece mensajes de texto cifrados de
extremo a extremo. Sin embargo, registra algunos datos, pero solo para mejorar sus servicios. Las
claves de cifrado se almacenan en el dispositivo.

Tener las claves en el dispositivo significa que el gobierno o las fuerzas del orden no pueden obligar
a Silent Circle, su fabricante, a liberar las claves de cifrado para ninguno de sus suscriptores.

He discutido el cifrado de datos en movimiento y datos en reposo, así como el uso de cifrado de
extremo a extremo, PFS y OTR para hacerlo. ¿Qué pasa con los servicios que no están basados en
aplicaciones, como el correo web? ¿Qué pasa con las contraseñas?
Machine Translated by Google

CAPÍTULO CINCO

Ahora me ves, ahora no

En abril de 2013, Khairullozhon Matanov, un veinteañero

un ex taxista de dos años de Quincy, Massachusetts, fue a cenar con un par de amigos,
un par de hermanos, de hecho. Entre otros temas, los tres hombres hablaron sobre los
eventos ocurridos ese mismo día cerca de la línea de meta del maratón de Boston,
donde alguien había colocado ollas arroceras llenas de clavos, pólvora y un cronómetro.
Las explosiones resultantes se cobraron tres vidas y dejaron más de doscientas
personas heridas. Los hermanos en la mesa de Matanov, Tamerlan y Dzhokhar
Tsarnaev, serían identificados más tarde como los principales sospechosos.

Aunque Matanov dijo más tarde que no tenía conocimiento previo del atentado,
supuestamente salió temprano de una reunión posterior al atentado con agentes de la
ley y eliminó rápidamente el historial del navegador de su computadora personal. Ese
simple acto, borrar el historial del navegador de su computadora portátil, resultó en
cargos en su contra.1
Borrar el historial del navegador también fue uno de los cargos contra David
Kernell, el estudiante universitario que hackeó la cuenta de correo electrónico de Sarah Palin.
Lo escalofriante es que cuando Kernell limpió su navegador, ejecutó un desfragmentador
de disco y eliminó las fotos de Palin que había descargado, aún no estaba bajo
investigación. El mensaje aquí es que en los Estados Unidos no se le permite borrar
nada de lo que hace en su computadora. Los fiscales quieren ver el historial completo
de su navegador.
Machine Translated by Google

Los cargos formulados contra Matanov y Kernell se derivan de una ley de casi
quince años de antigüedad: la Ley de Reforma de la Contabilidad de Empresas
Públicas y Protección del Inversor (como se la conoce en el Senado), o la Ley de
Responsabilidad y Responsabilidad Corporativa y de Auditoría (como se la conoce
en la Cámara), más comúnmente llamada Ley Sarbanes-Oxley de 2002. La ley fue
el resultado directo de la mala gestión corporativa en Enron, una compañía de gas
natural que más tarde se descubrió que mentía y engañaba a los inversores y al
gobierno de EE. UU. Los investigadores del caso Enron descubrieron que se habían
eliminado muchos datos al comienzo de la investigación, lo que impedía que los
fiscales vieran exactamente lo que había sucedido dentro de la empresa. Como
resultado, el Senador Paul Sarbanes (D-MD) y el Representante Michael G. Oxley
(R OH) patrocinaron una legislación que impuso una serie de requisitos destinados
a preservar los datos. Una era que los historiales de los navegadores debían conservarse.
De acuerdo con la acusación del gran jurado, Matanov eliminó selectivamente
su historial del navegador Google Chrome, dejando atrás la actividad de ciertos
días durante la semana del 15 de abril de 2013.2 Oficialmente, fue acusado de dos
cargos: “(1) destruir, alterar y falsificar registros, documentos y objetos tangibles en
una investigación federal, y (2) hacer una declaración materialmente falsa, ficticia y
fraudulenta en una investigación federal que involucre terrorismo internacional y
doméstico”3. Fue sentenciado a treinta meses de prisión.

Hasta la fecha, la disposición de historial de navegación de Sarbanes-Oxley rara

vez se ha invocado, ya sea contra empresas o individuos. Y sí, el caso de Matanov
es una anomalía, un caso de seguridad nacional de alto perfil. Sin embargo, a raíz
de esto, los fiscales, conscientes de su potencial, comenzaron a invocarlo con más
frecuencia.

Si no puede evitar que alguien controle su correo electrónico, llamadas telefónicas

y mensajes instantáneos, y si no puede eliminar legalmente el historial de su
navegador, ¿qué puede hacer? Tal vez pueda evitar recopilar esa historia en primer
lugar.
Navegadores como Firefox de Mozilla, Chrome de Google, Safari de Apple e
Internet Explorer y Edge de Microsoft ofrecen una forma alternativa integrada de
buscar de forma anónima en cualquier dispositivo que prefiera, ya sea que use una
PC tradicional o un dispositivo móvil. En cada caso, el propio navegador
Machine Translated by Google

abra una nueva ventana y no registre lo que buscó o adónde fue en Internet durante
esa sesión abierta. Cierre la ventana del navegador privado y todos los rastros de los
sitios que visitó desaparecerán de su PC o dispositivo. Lo que intercambia por privacidad
es que, a menos que marque un sitio mientras usa la navegación privada, no puede
volver a él; no hay historial, al menos no en su máquina.

Por mucho que te sientas invencible usando una ventana privada en Firefox o el
modo de incógnito en Chrome, tu solicitud de acceso privado a un sitio web, como tus
correos electrónicos, aún tiene que viajar a través de tu ISP: tu proveedor de servicios
de Internet, la compañía a la que pagas. para Internet o servicio celular, y su proveedor
puede interceptar cualquier información que se envíe sin estar encriptada.
Si accede a un sitio web que usa encriptación, entonces el ISP puede obtener los
metadatos: que visitó tal o cual sitio en tal o cual fecha y hora.

Cuando un navegador de Internet, ya sea en una PC tradicional o en un dispositivo

móvil, se conecta a un sitio web, primero determina si hay cifrado y, si lo hay, de qué
tipo. El protocolo para las comunicaciones Web se conoce como http. El protocolo se
especifica antes de la dirección, lo que significa que una URL típica podría verse así:
http://www.mitnicksecurity.com. Incluso el “www” es superfluo en algunos casos.

Cuando te conectas a un sitio mediante encriptación, el protocolo cambia

ligeramente. En lugar de "http", verá "https". Así que ahora es https://
www.mitnicksecurity.com. Esta conexión https es más segura. Por un lado, es punto a
punto, aunque solo si se conecta directamente al sitio en sí. También hay muchas redes
de entrega de contenido (CDN) que almacenan en caché páginas para que sus clientes
las entreguen más rápido, sin importar en qué parte del mundo se encuentre y, por lo
tanto, se interponen entre usted y el sitio web deseado.
Tenga en cuenta, también, que si ha iniciado sesión en sus cuentas de Google,
Yahoo o Microsoft, estas cuentas pueden registrar el tráfico web en su PC o dispositivo
móvil, tal vez creando su perfil de comportamiento en línea para que las empresas
puedan orientar mejor los anuncios. verás. Una forma de evitar esto es siempre
desconectarse de las cuentas de Google, Yahoo y Microsoft cuando termine de usarlas.
Puede volver a iniciar sesión en ellos la próxima vez que lo necesite.
Además, hay navegadores predeterminados integrados en sus dispositivos móviles.
Estos no son buenos navegadores. Son una mierda, porque son mini versiones de los
navegadores de escritorio y portátiles y carecen de algo de seguridad y
Machine Translated by Google

Protecciones de privacidad que tienen las versiones más robustas. Por ejemplo, los
iPhone se envían con Safari, pero también puede considerar ir a la tienda Apple en
línea y descargar la versión móvil de Chrome o Firefox, navegadores que fueron
diseñados para el entorno móvil. Las versiones más nuevas de Android se envían
con Chrome como predeterminado. Todos los navegadores móviles admiten al
menos la navegación privada.
Y si usas un Kindle Fire, ni Firefox ni Chrome son opciones de descarga a
través de Amazon. En su lugar, debe usar algunos trucos manuales para instalar
Firefox o Chrome de Mozilla a través del navegador Silk de Amazon. Para instalar
Firefox en el Kindle Fire, abra el navegador Silk y vaya al sitio FTP de Mozilla.
Seleccione "Ir", luego seleccione el archivo que termina con la extensión .apk.

La navegación privada no crea archivos temporales y, por lo tanto, mantiene su

historial de navegación fuera de su computadora portátil o dispositivo móvil. ¿Podría
un tercero seguir viendo su interacción con un sitio web determinado? Sí, a menos
que esa interacción se cifre primero. Para lograr esto, Electronic Frontier Foundation
ha creado un complemento de navegador llamado HTTPS Everywhere.4 Este es
un complemento para los navegadores Firefox y Chrome en su PC tradicional y
para el navegador Firefox en su dispositivo Android. No hay una versión de iOS en
el momento de escribir este artículo. Pero HTTPS Everywhere puede otorgar una
clara ventaja: considere que en los primeros segundos de conexión, el navegador
y el sitio negocian qué tipo de seguridad usar. Desea un secreto directo perfecto,
del que hablé en el capítulo anterior. No todos los sitios usan PFS. Y no todas las
negociaciones terminan con PFS, incluso si se ofrece. HTTPS Everywhere puede
forzar el uso de https siempre que sea posible, incluso si PFS no está en uso.
Aquí hay un criterio más para una conexión segura: cada sitio web debe tener
un certificado, una garantía de terceros de que cuando se conecta, digamos, al sitio
web de Bank of America, realmente es el sitio de Bank of America y no algo
fraudulento. Los navegadores modernos trabajan con estos terceros, conocidos
como autoridades de certificación, para mantener listas actualizadas. Siempre que
se conecte a un sitio que no tenga las credenciales adecuadas, su navegador
debería emitir una advertencia preguntándole si confía lo suficiente en el sitio para
continuar. Depende de ti hacer una excepción. En general, a menos que conozca
el sitio, no haga excepciones.
Machine Translated by Google

Además, no existe un solo tipo de certificado en Internet; hay niveles de certificados. El

certificado más común, uno que ve todo el tiempo, identifica únicamente que el nombre de
dominio pertenece a alguien que solicitó el certificado, utilizando la verificación de correo
electrónico. Podría ser cualquiera, pero eso no importa: el sitio tiene un certificado que
reconoce su navegador. Lo mismo ocurre con el segundo tipo de certificado, un certificado de
organización. Esto significa que el sitio comparte su certificado con otros sitios relacionados
con el mismo dominio; en otras palabras, todos los subdominios en mitnicksecurity.com
compartirían el mismo certificado.

Sin embargo, el nivel más estricto de verificación de certificados es lo que se denomina

un certificado de verificación extendida. En todos los navegadores, una parte de la URL se
vuelve verde (normalmente es gris, como el resto de la URL) cuando se emite un certificado
de verificación extendida. Al hacer clic en la dirección, https://www.mitnicksecurity.com, se
deben revelar detalles adicionales sobre el certificado y su propietario, generalmente la ciudad
y el estado del servidor que proporciona el sitio web. Esta confirmación del mundo físico indica
que la empresa que posee la URL es legítima y ha sido confirmada por una autoridad de
certificación de terceros de confianza.

Es posible que espere que el navegador de su dispositivo móvil rastree su ubicación, pero se
sorprenderá de que el navegador de su PC tradicional haga lo mismo. Lo hace. ¿Cómo?

¿Recuerda cuando le expliqué que los metadatos del correo electrónico contienen la
dirección IP de todos los servidores que manejan los correos electrónicos en su camino hacia
usted? Bueno, una vez más, la dirección IP que proviene de su navegador puede identificar
qué ISP está utilizando y reducir las posibles áreas geográficas donde podría estar ubicado.

La primera vez que accede a un sitio que solicita específicamente sus datos de ubicación
(como un sitio meteorológico), su navegador debe preguntarle si desea compartir su ubicación
con el sitio. La ventaja de compartir es que el sitio puede personalizar su listado para usted.
Por ejemplo, es posible que vea anuncios en washingtonpost.com para empresas en la ciudad
donde vive en lugar de en el área de DC.

¿No está seguro de haber respondido esa pregunta del navegador en el pasado? Luego
pruebe la página de prueba en http://benwerd.com/lab/geo.php. Esta es una de tantas pruebas
Machine Translated by Google

sitios que le dirán si su navegador está informando su ubicación. Si lo es y desea ser

invisible, deshabilite la función. Afortunadamente, puede desactivar el seguimiento de la
ubicación del navegador. En Firefox, escriba "acerca de: config" en la barra de direcciones
URL. Desplácese hacia abajo hasta "geo" y cambie la configuración a "deshabilitar".
Guarde sus cambios. En Chrome, vaya a Opciones>Under the Hood>Configuración de
contenido>Ubicación. Hay una opción "No permitir que ningún sitio rastree mi ubicación
física" que deshabilitará la geolocalización en Chrome. Otros navegadores tienen
opciones de configuración similares.
También es posible que desee falsificar su ubicación, aunque solo sea por diversión.
Si desea enviar coordenadas falsas, digamos, la Casa Blanca, en Firefox, puede instalar
un complemento de navegador llamado Geolocator. En Google Chrome, verifique la
configuración integrada del complemento llamada "emular coordenadas de geolocalización".
Mientras esté en Chrome, presione Ctrl+Shift+I en Windows o Cmd+Option+I en Mac
para abrir las herramientas para desarrolladores de Chrome. Se abrirá la ventana de la
consola y puede hacer clic en los tres puntos verticales en la parte superior derecha de
la consola y luego seleccionar más herramientas>sensores. Se abrirá una pestaña de
sensor. Esto le permite definir la latitud y longitud exactas que desea compartir. Puede
usar la ubicación de un punto de referencia famoso o puede elegir un sitio en medio de
uno de los océanos. De cualquier manera, el sitio web no sabrá dónde estás realmente.
Puede ocultar no solo su ubicación física sino también su dirección IP mientras está
en línea. Anteriormente mencioné Tor, que aleatoriza la dirección IP que ve el sitio web
que está visitando. Pero no todos los sitios aceptan tráfico Tor. Hasta hace poco,
Facebook no lo hacía. Para aquellos sitios que no aceptan conexiones Tor, puedes usar
un proxy.
Un proxy abierto es un servidor que se encuentra entre usted e Internet. En el
capítulo 2 expliqué que un representante es como un traductor de un idioma extranjero:
le habla al traductor y el traductor le habla al hablante del idioma extranjero, pero el
mensaje sigue siendo exactamente el mismo. Usé el término para describir la forma en
que alguien en un país hostil podría intentar enviarte un correo electrónico fingiendo ser
de una empresa amiga.
También puede usar un proxy que le permita acceder a sitios web restringidos
geográficamente, por ejemplo, si vive en un país que limita el acceso a la búsqueda de
Google. O tal vez necesite ocultar su identidad para descargar contenido ilegal o con
derechos de autor a través de BitTorrent.
Sin embargo, los proxies no son a prueba de balas. Cuando utilice un proxy, recuerde
que cada navegador debe configurarse manualmente para apuntar al proxy
Machine Translated by Google

Servicio. E incluso los mejores sitios de proxy admiten que los trucos inteligentes de
Flash o JavaScript aún pueden detectar su dirección IP subyacente, la dirección IP que
usa para conectarse al proxy en primer lugar. Puede limitar la eficacia de estos trucos
bloqueando o restringiendo el uso de Flash y JavaScript en su navegador. Pero la mejor
manera de evitar que la inyección de JavaScript lo controle a través de su navegador es
usar el complemento HTTPS Everywhere (consulte aquí).

Hay muchos servicios de proxy comerciales. Pero asegúrese de leer la política de

privacidad de cualquier servicio al que se suscriba. Preste atención a la forma en que
maneja el cifrado de datos en movimiento y si cumple con las solicitudes de información
de las fuerzas del orden y del gobierno.
También hay algunos proxies gratuitos, pero debe lidiar con un flujo de publicidad
inútil a cambio del uso del servicio. Mi consejo es tener cuidado con los proxies gratuitos.
En su presentación en DEF CON 20, mi amigo y experto en seguridad Chema Alonso
montó un proxy como experimento: quería atraer a los malos al proxy, por lo que anunció
la dirección IP en xroxy.com. Después de unos días, más de cinco mil personas estaban
usando su proxy “anónimo” gratuito. Desafortunadamente, la mayoría de ellos lo usaban
para realizar estafas.

Sin embargo, la otra cara de la moneda es que Alonso podría usar fácilmente el
proxy gratuito para introducir malware en el navegador del malo y monitorear sus actividades.
Lo hizo usando lo que se llama un gancho BeEF, un marco de explotación del navegador.
También usó un acuerdo de licencia de usuario final (EULA) que las personas tenían que
aceptar para permitirle hacerlo. Así fue como pudo leer los correos electrónicos que se
enviaban a través del proxy y determinar que estaba manejando tráfico relacionado con
actividades delictivas. La moraleja aquí es que cuando algo es gratis, obtienes lo que
pagas.
Si usa un proxy con el protocolo https, una agencia gubernamental o de aplicación
de la ley solo vería la dirección IP del proxy, no las actividades en los sitios web que
visita; esa información estaría encriptada. Como mencioné, el tráfico de Internet http
normal no está encriptado; por lo tanto, también debe usar HTTPS en todas partes (sí,
esta es mi respuesta a la mayoría de los problemas de invisibilidad del navegador).

Por conveniencia, las personas a menudo sincronizan su navegador

Machine Translated by Google

ajustes entre diferentes dispositivos. Por ejemplo, cuando inicia sesión en el navegador
Chrome o en una Chromebook, sus marcadores, pestañas, historial y otras preferencias del
navegador se sincronizan a través de su cuenta de Google. Esta configuración se carga
automáticamente cada vez que usa Chrome, ya sea en PC tradicionales o dispositivos móviles.
Para elegir qué información debe sincronizarse con su cuenta, vaya a la página de configuración
en su navegador Chrome.
El panel de control de Google le brinda control total si alguna vez desea eliminar la información
sincronizada de su cuenta. Asegúrese de que la información confidencial no se sincronice
automáticamente. Firefox de Mozilla también tiene una opción de sincronización.
La desventaja es que todo lo que un atacante debe hacer es atraerlo para que inicie sesión
en su cuenta de Google en un navegador Chrome o Firefox, luego todo su historial de
búsqueda se cargará en su dispositivo. Imagina a tu amigo usando tu computadora y eligiendo
iniciar sesión en el navegador. El historial, los marcadores, etc. de su amigo ahora se
sincronizarán. Eso significa que el historial de navegación de su amigo, entre otra información,
ahora se puede ver en su computadora. Además, si inicia sesión en una cuenta de navegador
sincronizada usando una terminal pública y olvida cerrar sesión, todos los marcadores e
historial de su navegador estarán disponibles para el próximo usuario. Si ha iniciado sesión en
Google Chrome, incluso su calendario de Google, YouTube y otros aspectos de su cuenta de
Google quedan expuestos. Si debe usar una terminal pública, esté atento a cerrar sesión antes
de irse.

Otro inconveniente de la sincronización es que todos los dispositivos interconectados

mostrarán el mismo contenido. Si vives solo, puede estar bien. Pero si comparte una cuenta
de iCloud, pueden pasar cosas malas. Los padres que permiten que sus hijos usen el iPad
familiar, por ejemplo, podrían exponerlos involuntariamente a contenido para adultos.5 En una
tienda Apple en Denver, Colorado, Elliot Rodríguez, un ejecutivo de cuentas local, registró su
nueva tableta con su cuenta iCloud existente.

Al instante, todas sus fotos, textos y descargas de música y videos estuvieron disponibles para
él en la nueva tableta. Esta conveniencia le ahorró tiempo; no tuvo que copiar y guardar
manualmente todo ese material en varios dispositivos.
Y le permitió acceder a los elementos sin importar qué dispositivo eligió para
usar.
En algún momento posterior, Elliot pensó que era una buena idea darle su tableta de
tecnología más antigua a su hija de ocho años. El hecho de que ella fuera
Machine Translated by Google

conectado a sus dispositivos fue una ventaja a corto plazo. De vez en cuando, en su
tableta, Elliot notaba una nueva aplicación que su hija había descargado en su tableta.
A veces incluso compartían fotos familiares. Luego, Elliot hizo un viaje a la ciudad de
Nueva York, donde viajaba con frecuencia por negocios.
Sin pensarlo, Elliot sacó su iPhone y capturó varios momentos con su amante en
Nueva York, algunos de ellos bastante... íntimos. Las imágenes de su iPhone se
sincronizaron automáticamente con el iPad de su hija en Colorado. Y, por supuesto, su
hija le preguntó a su madre sobre la mujer que estaba con papá. No hace falta decir que
Elliot tenía algunas explicaciones serias que hacer cuando llegó a casa.

Y luego está el problema del regalo de cumpleaños. Si comparte dispositivos o

cuentas sincronizadas, sus visitas a los sitios pueden alertar a los destinatarios de los
obsequios sobre lo que recibirán en sus cumpleaños. O, peor aún, lo que podrían haber
obtenido. Otra razón más por la que compartir una PC o tableta familiar puede presentar
un problema de privacidad.
Una forma de evitar esto es configurar diferentes usuarios, un paso relativamente
fácil en Windows. Conserve los privilegios de administrador para que pueda agregar
software al sistema y configurar miembros adicionales de la familia o del hogar con sus
propias cuentas. Todos los usuarios iniciarán sesión con sus propias contraseñas y
tendrán acceso solo a su propio contenido y a sus propios marcadores e historiales del
navegador.
Apple permite divisiones similares dentro de sus sistemas operativos OSX.
Sin embargo, no mucha gente recuerda segmentar su espacio de iCloud. Y a veces,
aparentemente sin culpa nuestra, la tecnología simplemente nos traiciona.

Después de años de salir con varias mujeres, Dylan Monroe, un productor de

televisión de Los Ángeles, finalmente encontró a "la indicada" y decidió establecerse. Su
prometida se mudó y, como parte de su nueva vida juntos, inocentemente conectó a su
futura esposa a su cuenta de iCloud.
Cuando desea formar una familia, tiene sentido conectar a todos a una cuenta. Si lo
hace, le permite compartir todos sus videos, textos y música con sus seres queridos.
Excepto que está en tiempo presente. ¿Qué pasa con tu pasado almacenado digitalmente?

A veces, tener un servicio de copia de seguridad automática en la nube como iCloud

significa que acumulamos fotos, textos y música de muchos años, algunos de los cuales
tendemos a olvidar, al igual que olvidamos el contenido de las cajas viejas en el
Machine Translated by Google

ático.
Las fotos son lo más cercano que tenemos a los recuerdos. Y sí, los cónyuges se han
encontrado con cajas de zapatos con cartas y fotografías antiguas durante generaciones.
Pero un medio digital que te permite tomar literalmente miles de fotos de alta definición sin
demasiado esfuerzo crea nuevos problemas. De repente, los viejos recuerdos de Dylan,
algunos de ellos muy privados, volvieron para atormentarlo en forma de fotos que ahora
estaban en el iPhone y el iPad de su prometida.

Había muebles que había que sacar de la casa porque otras mujeres habían realizado
actos íntimos en ese sofá, mesa o cama. Había restaurantes a los que su prometida se
negaba a ir porque había visto fotos de otras mujeres allí con él, en esa mesa junto a la
ventana o en ese reservado de la esquina.

Dylan complació a su prometida con amor, incluso cuando ella le pidió que hiciera el
último sacrificio: vender su casa una vez que los dos estuvieran casados. Todo porque
había conectado su iPhone al de ella.

La nube crea otro problema interesante. Incluso si elimina el historial de su navegador en

su computadora de escritorio, computadora portátil o dispositivo móvil, una copia de su
historial de búsqueda permanece en la nube. Almacenado en los servidores de la empresa
del motor de búsqueda, su historial es un poco más difícil de eliminar y más difícil de no
haber almacenado en primer lugar. Este es solo un ejemplo de cómo la recopilación
subrepticia de datos sin el contexto adecuado puede malinterpretarse fácilmente en una
fecha y hora posteriores. Es fácil ver cómo un conjunto inocente de búsquedas puede salir mal.
Una mañana a fines del verano de 2013, apenas unas semanas después del atentado
con bomba en la maratón de Boston, el esposo de Michele Catalano vio dos SUV negros
detenerse frente a su casa en Long Island. Cuando salió a saludar a los oficiales, estos le
pidieron que confirmara su identidad y solicitaron su permiso para registrar la casa. No
teniendo nada que ocultar, aunque sin saber por qué estaban allí, les permitió entrar.
Después de una revisión superficial de las habitaciones, los agentes federales se pusieron
manos a la obra.
“¿Alguien en este hogar ha buscado información sobre ollas a presión?”

“¿Alguien en este hogar ha buscado información sobre mochilas?”

Aparentemente, las búsquedas en línea de la familia a través de Google habían desencadenado una
Machine Translated by Google

investigación preventiva por parte del Departamento de Seguridad Nacional. Sin

conocer la naturaleza exacta de la investigación de la familia Catalano, uno podría
imaginar que en las semanas posteriores al bombardeo del maratón de Boston,
ciertas búsquedas en línea, cuando se combinaron, sugirieron el potencial de
terrorismo y, por lo tanto, se señalaron. En dos horas, la casa Catalano fue absuelta
de cualquier posible irregularidad. Más tarde, Michele escribió sobre la experiencia
para Medium, aunque solo sea como una advertencia de que lo que buscas hoy
6
podría volver a atormentarte mañana.
En su artículo, Catalano señaló que los investigadores debieron descartar sus
búsquedas de "¿Qué diablos hago con la quinoa?" y "¿Ya se suspendió A Rod?"
Ella dijo que su consulta sobre la olla a presión no era más que hacer quinua. ¿Y la
consulta de la mochila? Su marido quería una mochila.

Al menos una empresa de motores de búsqueda, Google, ha creado varias

herramientas de privacidad que le permiten especificar qué información se siente
cómodo guardando.7 Por ejemplo, puede desactivar el seguimiento personalizado
de anuncios para que, si busca en la Patagonia (la región de América del Sur ) no
empiezas a ver anuncios de viajes a Sudamérica. También puede desactivar su
historial de búsqueda por completo. O no pudo iniciar sesión en Gmail, YouTube o
cualquiera de sus cuentas de Google mientras busca en línea.
Incluso si no ha iniciado sesión en sus cuentas de Microsoft, Yahoo o Google,
su dirección IP aún está vinculada a cada solicitud del motor de búsqueda. Una
forma de evitar esta coincidencia uno a uno es usar el proxy de Google startpage.com
o el motor de búsqueda DuckDuckGo en su lugar.
DuckDuckGo ya es una opción predeterminada en Firefox y Safari.
A diferencia de Google, Yahoo y Microsoft, DuckDuckGo no prevé cuentas de
usuario y la empresa dice que su dirección IP no se registra de manera
predeterminada. La compañía también mantiene su propio relé de salida de Tor, lo
que significa que puede buscar DuckDuckGo mientras usa Tor sin mucho retraso en
el rendimiento.8 Debido a que DuckDuckGo no rastrea su uso, sus resultados de
búsqueda no serán filtrados por sus búsquedas anteriores. La mayoría de las
personas no se dan cuenta, pero los resultados que ve en Google, Yahoo y Bing
están filtrados por todo lo que buscó en esos sitios en el pasado. Por ejemplo, si el
motor de búsqueda ve que está buscando sitios relacionados con temas de salud,
comenzará a
Machine Translated by Google

filtre los resultados de búsqueda y coloque los resultados relacionados con problemas de salud en
la parte superior. ¿Por qué? Porque muy pocos de nosotros nos molestamos en avanzar a la
segunda página de un resultado de búsqueda. Hay un chiste en Internet que dice que si quieres
saber cuál es el mejor lugar para enterrar un cadáver, prueba aquí de los resultados de búsqueda.
A algunas personas les puede gustar la conveniencia de no tener que desplazarse a través de
resultados aparentemente no relacionados, pero al mismo tiempo es condescendiente que un
motor de búsqueda decida lo que puede o no interesarle. Según la mayoría de las medidas, eso
es censura. DuckDuckGo devuelve resultados de búsqueda relevantes, pero filtrados por tema, no
por su historial anterior.
En el próximo capítulo, hablaré sobre las formas específicas en que los sitios web le dificultan
ser invisible para ellos y lo que puede hacer para navegar en la Web de forma anónima.
Machine Translated by Google

CAPÍTULO SEIS

Cada clic de ratón que hagas, estaré

Viéndote

Ten mucho cuidado con lo que buscas en Internet. No son solo los motores de
búsqueda los que rastrean sus hábitos en línea; cada sitio web que visita
también lo hace. Y uno pensaría que algunos de ellos sabrían mejor que exponer
asuntos privados a otros. Por ejemplo, un informe de 2015 encontró que "el 70
por ciento de las URL de los sitios de salud contienen información que expone
condiciones, tratamientos y enfermedades específicas". 1 En otras palabras, si
estoy en WebMD y busco "pie de atleta", las palabras sin cifrar el pie de
atleta aparecerá dentro de la URL visible en la barra de direcciones de mi
navegador. Esto significa que cualquier persona (mi navegador, mi ISP, mi
operador de telefonía celular) puede ver que estoy buscando información sobre
el pie de atleta. Tener habilitado HTTPS Everywhere en su navegador cifraría el
contenido del sitio que está visitando, suponiendo que el sitio admita https, pero
no cifra la URL. Como señala incluso Electronic Frontier Foundation, https nunca
fue diseñado para ocultar la identidad de los sitios que visita.
Además, el estudio encontró que el 91 por ciento de los sitios relacionados
con la salud realizan solicitudes a terceros. Estas llamadas están incrustadas
en las propias páginas y solicitan imágenes diminutas (que pueden o no ser
visibles en la página del navegador), lo que informa a estos otros sitios de
terceros que está visitando una página en particular. Haga una búsqueda de
"pie de atleta" y hasta veinte entidades diferentes, desde compañías farmacéuticas hasta
Machine Translated by Google

Facebook, Pinterest, Twitter y Google son contactados tan pronto como los resultados
de la búsqueda se cargan en su navegador. Ahora, todas esas partes saben que ha
estado buscando información sobre el pie de atleta.2 Estas terceras partes utilizan esta
información para orientarle con publicidad en línea. Además, si inició sesión en el
sitio de atención médica, es posible que puedan obtener su dirección de correo
electrónico. Afortunadamente puedo ayudarte a evitar que estas entidades aprendan
más sobre ti.
En los sitios de atención médica analizados en el estudio de 2015, los diez
principales terceros fueron Google, comScore, Facebook, AppNexus, AddThis, Twitter,
Quantcast, Amazon, Adobe y Yahoo. Algunos, como comScore, AppNexus y Quantcast,
miden el tráfico web, al igual que Google. De los terceros mencionados anteriormente,
Google, Facebook, Twitter, Amazon, Adobe y Yahoo están espiando su actividad por
motivos comerciales, por lo que pueden, por ejemplo, cargar anuncios de remedios
para el pie de atleta en futuras búsquedas.
También se mencionaron en el estudio los terceros Experian y Axiom, que son
simplemente almacenes de datos: recopilan la mayor cantidad de datos posible sobre
una persona. Y luego lo venden. ¿Recuerdas las preguntas de seguridad y las
respuestas creativas que sugerí que usaras? A menudo, empresas como Experian y
Axiom recopilan, proporcionan y utilizan esas preguntas de seguridad para crear
perfiles en línea. Estos perfiles son valiosos para los especialistas en marketing que
desean orientar sus productos a ciertos grupos demográficos.
¿Cómo funciona?
Ya sea que ingrese la URL manualmente o use un motor de búsqueda, cada sitio
en Internet tiene un nombre de host y una dirección IP numérica (algunos sitios existen
solo como direcciones numéricas). Pero casi nunca ves la dirección numérica. Su
navegador lo oculta y utiliza un servicio de nombre de dominio (DNS) para traducir el
nombre de host de un sitio, por ejemplo, Google, a una dirección específica, en el caso
de Google, https://74.125.224.72/.
DNS es como una guía telefónica global, cruzando el nombre de host con la
dirección numérica del servidor del sitio que acaba de solicitar. Escriba "Google.com"
en su navegador y el DNS se comunica con su servidor en https://74.125.224.72. Luego
verá la familiar pantalla blanca con el Doodle de Google del día sobre un campo de
búsqueda en blanco. En teoría, así es como funcionan todos los navegadores web. En
la práctica hay más.
Después de que el sitio haya sido identificado a través de su dirección numérica, se
Machine Translated by Google

enviar información a su navegador web para que pueda comenzar a "construir" la

página web que ve. Cuando la página vuelve a su navegador, ve los elementos
que esperaría: la información que desea recuperar, las imágenes relacionadas y
las formas de navegar a otras partes del sitio. Pero a menudo hay elementos que
se devuelven a su navegador que llaman a otros sitios web para obtener imágenes
o secuencias de comandos adicionales. Algunos, si no todos, de estos scripts
tienen fines de seguimiento y, en la mayoría de los casos, simplemente no los necesita.

Casi todas las tecnologías digitales producen metadatos y, como sin duda ya
habrá adivinado, los navegadores no son diferentes. Su navegador puede revelar
información sobre la configuración de su computadora si el sitio que está visitando
lo consulta. Por ejemplo, qué versión de qué navegador y sistema operativo está
usando, qué complementos tiene para ese navegador y qué otros programas está
ejecutando en su computadora (como los productos de Adobe) mientras busca.
Incluso puede revelar detalles del hardware de su computadora, como la resolución
de la pantalla y la capacidad de la memoria integrada.

Después de leer hasta aquí, podría pensar que ha dado grandes pasos para
volverse invisible en línea. Y tu tienes. Pero hay más trabajo por hacer.

Tómese un momento y navegue hasta Panopticlick.com. Este es un sitio

creado por Electronic Frontier Foundation que determinará qué tan común o única
es la configuración de su navegador en comparación con otros, en función de lo
que se ejecuta en el sistema operativo de su PC o dispositivo móvil y los
complementos que pueda haber instalado. En otras palabras, ¿tiene algún
complemento que pueda usarse para limitar o proteger la información que
Panopticlick puede obtener solo de su navegador?
Si los números en el lado izquierdo, los resultados de Panopticlick, son altos,
digamos, un número de seis dígitos, entonces usted es algo único, porque la
configuración de su navegador se encuentra en menos de una en cien mil
computadoras. Felicidades. Sin embargo, si sus números son bajos, digamos,
menos de tres dígitos, entonces la configuración de su navegador es bastante
común. Eres solo uno entre unos pocos cientos. Y eso significa que si voy a
dirigirme a usted, con anuncios o malware, no tengo que esforzarme mucho,
porque tiene una configuración de navegador común.3
Machine Translated by Google

Puede pensar que tener una configuración común puede ayudarlo a volverse invisible: es
parte de la multitud; te mezclas. Pero desde una perspectiva técnica, esto te abre a actividades
maliciosas. Un hacker criminal no quiere gastar mucho esfuerzo. Si una casa tiene una puerta
abierta y la casa de al lado tiene una puerta cerrada, ¿cuál crees que robaría un ladrón? Si
un hacker criminal sabe que tiene una configuración común, quizás también carezca de
ciertas protecciones que podrían mejorar su seguridad.

Entiendo que acabo de pasar de hablar de vendedores que intentan rastrear lo que ve en
línea a piratas informáticos criminales que pueden o no usar su información personal para
robar su identidad. Estos son muy diferentes.
Los especialistas en marketing recopilan información para crear anuncios que mantengan la
rentabilidad de los sitios web. Sin publicidad, algunos sitios simplemente no podrían continuar.
Sin embargo, los especialistas en marketing, los piratas informáticos criminales y, para el
caso, los gobiernos están tratando de obtener información que es posible que usted no desee
brindar, por lo que, por el bien de la discusión, a menudo se los agrupa en discusiones sobre
la invasión de la privacidad.
Una forma de ser común pero también a salvo de las escuchas en línea es usar una
máquina virtual (VM; ver aquí), un sistema operativo como Mac OSX que se ejecuta como
invitado en la parte superior de su sistema operativo Windows. Puede instalar VMware en su
escritorio y usarlo para ejecutar otro sistema operativo.
Cuando haya terminado, simplemente apáguelo. El sistema operativo y todo lo que hiciste
dentro de él desaparecerá. Sin embargo, los archivos que guarde permanecerán donde los
guardó.
Otra cosa a tener en cuenta es que tanto los vendedores como los piratas informáticos
aprenden algo sobre los visitantes de un sitio web a través de lo que se conoce como archivo
de imagen de un píxel o web bug. Como una ventana emergente de navegador en blanco,
esta es una imagen de 1 × 1 píxel colocada en algún lugar de una página web que, aunque
invisible, llama al sitio de terceros que la colocó allí.
El servidor backend registra la dirección IP que intentó representar esa imagen. Una imagen
de un píxel colocada en un sitio de atención médica podría decirle a una compañía
farmacéutica que estoy interesado en los remedios para el pie de atleta.
El estudio de 2015 que mencioné al comienzo de este capítulo encontró que casi la mitad
de las solicitudes de terceros simplemente abren ventanas emergentes que no contienen
contenido alguno. Estas ventanas "en blanco" generan solicitudes http silenciosas a hosts de
terceros que se utilizan solo con fines de seguimiento. Puede evitarlos indicando a su
navegador que no permita ventanas emergentes (y esto
Machine Translated by Google

también eliminará esos molestos anuncios).

Casi un tercio de las solicitudes de terceros restantes, según el estudio, consistían
en pequeñas líneas de código, archivos JavaScript, que generalmente solo ejecutan
animaciones en una página web. Un sitio web puede identificar la computadora que
accede al sitio, principalmente al leer la dirección IP que solicita el archivo JavaScript.

Incluso sin una imagen de un píxel o una ventana emergente en blanco, los sitios
que visita pueden rastrear su navegación web. Por ejemplo, Amazon podría saber
que el último sitio que visitó fue un sitio de atención médica, por lo que le hará
recomendaciones de productos para el cuidado de la salud en su propio sitio.
La forma en que Amazon podría hacer esto es ver el último sitio que visitó en la
solicitud de su navegador.
Amazon logra esto mediante el uso de referencias de terceros: texto en la
solicitud de una página web que le dice a la nueva página dónde se originó la solicitud.
Por ejemplo, si estoy leyendo un artículo en Wired y contiene un enlace, cuando
hago clic en ese enlace, el nuevo sitio sabrá que anteriormente estaba en una página
dentro de Wired.com. Puede ver cómo este seguimiento de terceros puede afectar
su privacidad.
Para evitar esto, siempre puede ir primero a Google.com, de modo que el sitio
que desea visitar no sepa dónde estuvo anteriormente. No creo que las referencias
de terceros sean un gran problema, excepto cuando intenta enmascarar su identidad.
Este es un ejemplo más de un equilibrio entre conveniencia (simplemente ir al
siguiente sitio web) e invisibilidad (siempre comenzando desde Google.com).

Firefox de Mozilla ofrece una de las mejores defensas contra el seguimiento de

terceros a través de un complemento llamado NoScript.4 Este complemento bloquea
de manera efectiva casi todo lo que se considera dañino para su computadora y
navegador, a saber, Flash y JavaScript. Agregar complementos de seguridad
cambiará la apariencia de su sesión de navegación, aunque puede elegir y habilitar
funciones específicas o confiar permanentemente en algunos sitios.
Un resultado de habilitar NoScript es que la página que visite no tendrá anuncios
y, ciertamente, no tendrá referencias de terceros. Como resultado del bloqueo, la
página web se ve un poco más aburrida que la versión sin NoScript habilitado.
Sin embargo, si desea ver ese video codificado en Flash en la esquina superior
izquierda de la página, puede permitir específicamente que ese elemento
Machine Translated by Google

renderizar mientras continúa bloqueando todo lo demás. O, si cree que puede confiar en el
sitio, puede permitir que todos los elementos de esa página se carguen de forma temporal o
permanente, algo que tal vez desee hacer en un sitio bancario, por ejemplo.

Por su parte, Chrome cuenta con ScriptBlock,5 que permite bloquear defensivamente el
uso de scripts en una página Web. Esto es útil para los niños que pueden navegar a un sitio
que permite anuncios emergentes de entretenimiento para adultos.
El bloqueo de elementos potencialmente dañinos (y ciertamente que comprometen la
privacidad) en estas páginas evitará que su computadora sea invadida por malware que
genera anuncios. Por ejemplo, es posible que haya notado que aparecen anuncios en su
página de inicio de Google. De hecho, no debería tener anuncios intermitentes en su página
de inicio de Google. Si los ve, es posible que su computadora y su navegador se hayan visto
comprometidos (quizás hace algún tiempo) y, como resultado, está viendo anuncios de
terceros que pueden contener caballos de Troya, registradores de teclas, que registran cada
pulsación de tecla que realiza y otro malware. —si hace clic en ellos. Incluso si los anuncios
no contienen malware, los ingresos de los anunciantes provienen de la cantidad de clics que
reciben. Cuantas más personas engañen para que hagan clic, más dinero ganarán.

Tan buenos como son, NoScript y ScriptBlock no bloquean todo.

Para una protección completa contra las amenazas del navegador, es posible que desee
instalar Adblock Plus. El único problema es que Adblock registra todo: esta es otra empresa
que rastrea tu historial de navegación, a pesar de que uses la navegación privada. Sin
embargo, en este caso, lo bueno (bloquear anuncios potencialmente peligrosos) supera lo
malo: saben dónde ha estado en línea.
Otro complemento útil es Ghostery, disponible tanto para Chrome como para Firefox.
Ghostery identifica todos los rastreadores de tráfico web (como DoubleClick y Google
AdSense) que los sitios usan para seguir su actividad.
Al igual que NoScript, Ghostery le brinda control granular sobre qué rastreadores desea
permitir en cada página. El sitio dice: “El bloqueo de los rastreadores evitará que se ejecuten
en su navegador, lo que puede ayudar a controlar cómo se rastrean sus datos de
comportamiento. Tenga en cuenta que algunos rastreadores son potencialmente útiles, como
los widgets de fuentes de redes sociales o los juegos basados en navegador.
El bloqueo puede tener un efecto no deseado en los sitios que visita”. Lo que significa que
algunos sitios ya no funcionarán con Ghostery instalado. Afortunadamente, puede desactivarlo
en cada sitio.6
Machine Translated by Google

Además de utilizar complementos para impedir que los sitios lo identifiquen, es posible que
desee confundir aún más a los piratas informáticos potenciales mediante el uso de una
variedad de direcciones de correo electrónico diseñadas para propósitos individuales. Por
ejemplo, en el capítulo 2 analicé formas de crear cuentas de correo electrónico anónimas
para comunicarse sin ser detectado. Del mismo modo, para la navegación sencilla del día a
día, también es una buena idea crear varias cuentas de correo electrónico, no para ocultar
sino para hacer que usted sea menos interesante para terceros en Internet. Tener múltiples
perfiles de personalidad en línea diluye el impacto de privacidad de tener solo una dirección
identificable. Hace que sea más difícil para cualquiera crear un perfil en línea de usted.

Digamos que quieres comprar algo en línea. Es posible que desee crear una dirección
de correo electrónico que utilice exclusivamente para comprar. También es posible que
desee que todo lo que compre con esta dirección de correo electrónico se envíe a su buzón
de correo en lugar de a su domicilio.7 Además, es posible que desee utilizar una tarjeta de
regalo para su compra, tal vez una que recargue de vez en cuando. .

De esta manera, la empresa que vende sus productos solo tendrá su dirección de correo
electrónico no principal, su dirección del mundo real no principal y su tarjeta de regalo más o
menos desechable. Si alguna vez hay una violación de datos en esa empresa, al menos los
atacantes no tendrán su dirección de correo electrónico real, dirección real o número de
tarjeta de crédito. Este tipo de desconexión de un evento de compra en línea es una buena
práctica de privacidad.
También es posible que desee crear otra dirección de correo electrónico no principal
para las redes sociales. Esta dirección podría convertirse en su dirección de correo
electrónico "pública", que extraños y simples conocidos pueden usar para ponerse en contacto con usted.
La ventaja de esto es que, una vez más, la gente no aprenderá mucho sobre ti. Al menos no
directamente. Puede protegerse aún más dando a cada dirección no principal un nombre
único, ya sea una variación de su nombre real o un nombre completamente distinto.

Tenga cuidado si opta por la primera opción. Es posible que no desee incluir un segundo
nombre o, si siempre usa su segundo nombre, es posible que no desee incluir su primer
nombre. Incluso algo inocente como [email protected] acaba de avisarnos de que tiene
un segundo nombre y que comienza con Q. Este es un ejemplo de dar información personal
cuando no es necesario. Recuerda que estás tratando de mezclarte con el
Machine Translated by Google

fondo, no llamar la atención sobre ti mismo.

Si usa una palabra o frase no relacionada con su nombre, hágala lo menos reveladora
posible. Si su dirección de correo electrónico es [email protected], es posible que no
sepamos su nombre, pero sí conocemos uno de sus pasatiempos. Es mejor elegir algo
genérico, como [email protected].
Por supuesto, también querrá tener una dirección de correo electrónico personal. Solo
debe compartir este con amigos cercanos y familiares. Y las prácticas más seguras a
menudo vienen con buenas bonificaciones: encontrará que no usar su dirección de correo
electrónico personal para comprar en línea evitará que reciba una tonelada de spam.

Los teléfonos celulares no son inmunes al rastreo corporativo. En el verano de 2015, un

investigador con ojo de águila descubrió que AT&T y Verizon agregaban un código adicional
a cada solicitud de página web realizada a través de un navegador móvil.
Esta no es la IMSI (identidad de suscriptor móvil internacional) de la que hablé en el
capítulo 3 (ver aquí); más bien, es un código de identificación único que se envía con cada
solicitud de página web. El código, conocido como encabezado de identificador único o
UIDH, es un número de serie temporal que los anunciantes pueden usar para identificarlo
en la Web. El investigador descubrió lo que estaba pasando porque configuró su teléfono
móvil para registrar todo el tráfico web (algo que no mucha gente hace). Luego se dio
cuenta de los datos adicionales agregados a los clientes de Verizon y, más tarde, a los
clientes de AT&T.8 El problema con este código adicional es que a los clientes no se les
informó al respecto. Por ejemplo, aquellos que descargaron la aplicación móvil Firefox
y usaron complementos para aumentar su privacidad, si usaron AT&T o Verizon, fueron
rastreados por los códigos UIDH.

Gracias a estos códigos UIDH, Verizon y AT&T podrían tomar el tráfico asociado con
sus solicitudes web y usarlo para crear un perfil de su presencia en línea móvil para
publicidad futura o simplemente vender los datos sin procesar a otros.

AT&T ha suspendido la operación, por ahora. 9 Verizon lo ha convertido en

otra opción más para que el usuario final configure.10 Nota: al no darse de baja, le da
permiso a Verizon para continuar.

Incluso si desactiva JavaScript, un sitio web aún puede pasar un archivo de texto con datos
Machine Translated by Google

llamado una cookie http de vuelta a su navegador. Esta cookie podría almacenarse durante
mucho tiempo. El término cookie es la abreviatura de cookie mágica, un fragmento de texto
que se envía desde un sitio web y se almacena en el navegador del usuario para realizar un
seguimiento de cosas, como artículos en un carrito de compras, o incluso para autenticar a un
usuario. Las cookies fueron utilizadas por primera vez en la Web por Netscape y originalmente
estaban destinadas a ayudar a crear carritos de compras virtuales y funciones de comercio electrónico.
Las cookies generalmente se almacenan en el navegador de una PC tradicional y tienen fechas
de vencimiento, aunque estas fechas podrían ser décadas en el futuro.
¿Son peligrosas las cookies? No, al menos no por sí mismos. Sin embargo, las cookies
proporcionarían a terceros información sobre su cuenta y sus preferencias específicas, como
sus ciudades favoritas en un sitio meteorológico o sus preferencias de línea aérea en un sitio
de viajes. La próxima vez que su navegador se conecte a ese sitio, si ya existe una cookie, el
sitio lo recordará y tal vez diga "Hola, amigo". Y si es un sitio de comercio electrónico, también
puede recordar sus últimas compras.

Las cookies en realidad no almacenan esta información en su PC tradicional o dispositivo

móvil. Al igual que los teléfonos móviles que utilizan IMSI como proxy, la cookie contiene un
proxy para los datos que residen en el back-end del sitio. Cuando su navegador carga una
página web con una cookie adjunta, se extraen datos adicionales del sitio que son específicos
para usted.
Las cookies no solo almacenan sus preferencias de sitio personales, sino que también
proporcionan datos de seguimiento valiosos para el sitio del que proceden. Por ejemplo, si
usted es un posible cliente de una empresa y ha ingresado previamente su dirección de correo
electrónico u otra información para acceder a un libro blanco, es probable que haya una cookie
en su navegador para el sitio de esa empresa que coincida, en la parte posterior final,
información sobre usted en un sistema de gestión de registros de clientes (CRM), por ejemplo,
Salesforce o HubSpot. Ahora cada vez que acceda al sitio de esa empresa, será identificado a
través de la cookie en su navegador, y esa visita quedará registrada dentro del CRM.

Las cookies están segmentadas, lo que significa que el sitio web A no necesariamente
puede ver el contenido de una cookie para el sitio web B. Ha habido excepciones, pero
generalmente la información es separada y razonablemente segura. Sin embargo, desde una
perspectiva de privacidad, las cookies no lo hacen muy invisible.
Solo se puede acceder a las cookies de un mismo dominio, un conjunto de recursos
asignados a un grupo específico de personas. Las agencias de publicidad evitan esto cargando
una cookie que puede rastrear su actividad en varios sitios que forman parte de
Machine Translated by Google

sus redes más grandes. Sin embargo, en general, las cookies no pueden acceder a
las cookies de otro sitio. Los navegadores modernos proporcionan una forma para que
el usuario controle las cookies. Por ejemplo, si navega por la Web usando funciones
de incógnito o navegación privada, no conservará un registro histórico dentro del
navegador de su visita a un sitio determinado, ni adquirirá una nueva cookie para esa
sesión. Sin embargo, si tenía una cookie de una visita anterior, aún se aplicará en
modo privado. Si está utilizando la función de navegación normal, por otro lado, es
posible que de vez en cuando desee eliminar manualmente algunas o todas las
cookies que adquirió a lo largo de los años.
Debo señalar que puede no ser aconsejable eliminar todas las cookies.
La eliminación selectiva de las cookies asociadas con visitas únicas a sitios que no le
interesan ayudará a eliminar sus rastros de Internet.
Los sitios que vuelvas a visitar no podrán verte, por ejemplo. Pero para algunos sitios,
como un sitio meteorológico, puede ser tedioso seguir escribiendo su código postal
cada vez que visita cuando una simple cookie puede ser suficiente.
La eliminación de cookies se puede lograr mediante el uso de un complemento o
ingresando a la sección de configuración o preferencias de su navegador, donde
generalmente hay una opción para eliminar una o más (incluso todas) de las cookies.
Es posible que desee determinar el destino de sus cookies caso por caso.
Algunos anunciantes usan cookies para rastrear cuánto tiempo pasa en los sitios
donde colocaron sus anuncios. Algunos incluso registran sus visitas a sitios anteriores,
lo que se conoce como el sitio de referencia. Debe eliminar estas cookies
inmediatamente. Reconocerá algunos de ellos porque sus nombres no contendrán los
nombres de los sitios que visitó. Por ejemplo, en lugar de "CNN", una cookie de
referencia se identificará como "Ad321". También puede considerar usar una
herramienta de software de limpieza de cookies, como la que se encuentra en
piriform.com/ccleaner, para ayudar a administrar sus cookies fácilmente.
Sin embargo, hay algunas cookies que son inmunes a cualquier decisión que tome
en el lado del navegador. Estas se llaman súper cookies porque existen en su
computadora, fuera de su navegador. Las súper cookies acceden a las preferencias
de un sitio y a los datos de seguimiento, independientemente del navegador que utilice
(Chrome hoy, Firefox mañana). Y debe eliminar las súper cookies de su navegador;
de lo contrario, su PC tradicional intentará volver a crear cookies http desde la memoria
la próxima vez que su navegador acceda al sitio.

Hay dos súper cookies específicas que viven fuera de su navegador que
Machine Translated by Google

puede eliminar: Flash, de Adobe, y Silverlight, de Microsoft.

Ninguna de estas súper cookies caduca. Y, por lo general, es seguro eliminarlas.11
Luego está la cookie más resistente de todas. Samy Kamkar, una vez famoso por
crear el gusano de Myspace de rápida propagación llamado Samy, ha creado
algo que él llama Evercookie, que es simplemente una cookie muy, muy persistente .
en todo el sistema operativo Windows. Siempre que uno de los sitios de
almacenamiento permanezca intacto, Evercookie intentará restaurar la cookie en
cualquier otro lugar.13 Por lo tanto, simplemente eliminar una Evercookie del caché
de almacenamiento de cookies del navegador no es suficiente. Al igual que el juego
de niños golpea un topo, Evercookies seguirá apareciendo. Deberá eliminarlos por
completo de su máquina para poder ganar.

Si considera cuántas cookies puede tener ya en su navegador, y si lo multiplica

por la cantidad de áreas de almacenamiento potenciales en su máquina, puede ver
que tendrá una larga tarde y noche.

No son solo los sitios web y los operadores de telefonía móvil los que desean realizar un seguimiento de
sus actividades en línea. Facebook se ha vuelto omnipresente, una plataforma que va más allá de las
redes sociales. Puede iniciar sesión en Facebook y luego usar ese mismo inicio de sesión de Facebook
para iniciar sesión en varias otras aplicaciones.
¿Qué tan popular es esta práctica? Al menos un informe de marketing encuentra
que el 88 por ciento de los consumidores estadounidenses han iniciado sesión en
un sitio web o una aplicación móvil utilizando una identidad digital existente de una
red social como Facebook, Twitter y Google Plus.14 Esta conveniencia tiene ventajas
y desventajas: conocido como OAuth, un protocolo de autenticación que permite
que un sitio confíe en usted incluso si no ingresa una contraseña. Por un lado, es un
atajo: puede acceder rápidamente a nuevos sitios utilizando su contraseña de redes
sociales existente. Por otro lado, esto permite que el sitio de redes sociales obtenga
información sobre usted para sus perfiles de marketing. En lugar de solo conocer su
visita a un solo sitio, conoce todos los sitios, todas las marcas para las que utiliza su
información de inicio de sesión.
Cuando usamos OAuth, estamos renunciando a mucha privacidad por el bien de
Machine Translated by Google

conveniencia.
Facebook es quizás la más "pegajosa" de todas las plataformas de redes sociales.
Cerrar sesión en Facebook puede desautorizar a su navegador para que no acceda a
Facebook y sus aplicaciones web. Además, Facebook agrega rastreadores para
monitorear la actividad del usuario que funcionan incluso después de que haya cerrado
la sesión, solicitando información como su ubicación geográfica, qué sitios visita, en qué
hace clic dentro de los sitios individuales y su nombre de usuario de Facebook. Los
grupos de privacidad han expresado su preocupación por la intención de Facebook de
comenzar a rastrear información de algunos de los sitios web y aplicaciones que visitan
sus usuarios para mostrar anuncios más personalizados.
El punto es que Facebook, como Google, quiere datos sobre ti. Puede que no salga
directamente y pregunte, pero encontrará maneras de conseguirlo. Si vincula su cuenta
de Facebook a otros servicios, la plataforma tendrá información sobre usted y ese otro
servicio o aplicación. Tal vez use Facebook para acceder a su cuenta bancaria; si lo
hace, sabe qué institución financiera usa.
Usar solo una autenticación significa que si alguien ingresa a su cuenta de Facebook,
esa persona tendrá acceso a todos los demás sitios web vinculados a esa cuenta, incluso
a su cuenta bancaria. En el negocio de la seguridad, tener lo que llamamos un único
punto de falla nunca es una buena idea. Aunque lleva unos segundos más, vale la pena
iniciar sesión en Facebook solo cuando lo necesites e iniciar sesión en cada aplicación
que uses por separado.
Además, Facebook ha optado deliberadamente por no cumplir con la señal de “no
rastrear” enviada por Internet Explorer con el argumento de que “no existe un consenso
de la industria” detrás de ella.15 Los rastreadores de Facebook vienen en las formas
clásicas: cookies, JavaScript, one- imágenes de píxeles e iframes. Esto permite a los
anunciantes específicos escanear y acceder a cookies y rastreadores de navegadores
específicos para ofrecer productos, servicios y anuncios, tanto dentro como fuera de Facebook.
Afortunadamente, existen extensiones de navegador que bloquean los servicios de
Facebook en sitios de terceros, por ejemplo, Facebook Disconnect para Chrome16 y
Facebook Privacy List para Adblock Plus (que funciona tanto con Firefox como con
Chrome).17 En última instancia, el objetivo de todas estas herramientas complementarias
es darle control sobre lo que comparte con Facebook y cualquier otra red social en lugar
de obligarlo a pasar a un segundo plano y permitir que el servicio que está utilizando
gobierne estas cosas por usted.
Dado lo que Facebook sabe sobre sus 1.650 millones de suscriptores, la
Machine Translated by Google

la compañía ha sido bastante benévola, hasta ahora. 18 Tiene una tonelada de datos, pero,
al igual que Google, ha optado por no actuar sobre todos ellos. Pero eso no significa que no
lo hará.

Más evidentes que las cookies, e igualmente parasitarias, son las barras de herramientas. La
barra de herramientas adicional que ve en la parte superior de su navegador de PC tradicional
puede tener la etiqueta YAHOO , MCAFEE o ASK. O puede llevar el nombre de cualquier
número de otras empresas. Lo más probable es que no recuerde cómo llegó allí la barra de
herramientas. Ni nunca lo usas. Ni sabes cómo quitarlo.

Las barras de herramientas como esta desvían su atención de la barra de herramientas

que viene con su navegador. La barra de herramientas nativa le permite elegir qué motor de
búsqueda usar como predeterminado. El parásito lo llevará a su propio sitio de búsqueda y
los resultados pueden estar llenos de contenido patrocinado. Esto le sucedió a Gary More, un
residente de West Hollywood, que se encontró con la barra de herramientas de Ask.com y no
tenía una forma clara de eliminarla. “Es como un mal huésped”, dijo More. “No se va”. 19 Si
tiene una segunda o tercera barra de herramientas, puede deberse a que descargó un
software nuevo o tuvo que actualizar el software existente. Por ejemplo, si tiene Java
instalado en su computadora, Oracle, el creador de Java, incluirá automáticamente una barra
de herramientas a menos que usted le indique específicamente que no lo haga. Cuando
estaba haciendo clic en las pantallas de descarga o actualización, probablemente no notó la
pequeña casilla de verificación que, de forma predeterminada, indicaba su consentimiento
para la instalación de una barra de herramientas. No hay nada ilegal en esto; usted dio su
consentimiento, incluso si eso significa que no optó por que no se instalara automáticamente.
Pero esa barra de herramientas le permite a otra compañía rastrear sus hábitos en la Web y
quizás también cambiar su motor de búsqueda predeterminado a su propio servicio.

La mejor manera de eliminar una barra de herramientas es desinstalarla de la misma

forma que desinstalaría cualquier programa en su PC tradicional. Pero algunas de las barras
de herramientas más persistentes y parásitas pueden requerir que descargue una herramienta
de eliminación y, a menudo, el proceso de desinstalación puede dejar suficiente información
para permitir que los agentes publicitarios relacionados con la barra de herramientas la reinstalen.
Cuando instale software nuevo o actualice software existente, preste atención a todas las
casillas de verificación. Puede evitar muchas molestias si no lo hace
Machine Translated by Google

aceptar la instalación de estas barras de herramientas en primer lugar.

¿Qué sucede si usa la navegación privada, tiene NoScript, HTTPS Everywhere y borra
periódicamente las cookies y las barras de herramientas extrañas de su navegador? Deberías
estar a salvo, ¿verdad? No. Todavía puede ser rastreado en línea.
Los sitios web están codificados usando algo llamado lenguaje de marcado de hipertexto
o HTML. Hay muchas funciones nuevas disponibles en la versión actual, HTML5. Algunas de
las características han acelerado la desaparición de las súper cookies Silverlight y Flash, lo
cual es algo bueno. Sin embargo, HTML5 ha habilitado nuevas tecnologías de seguimiento,
quizás por accidente.
Una de ellas es la toma de huellas dactilares en el lienzo, una herramienta de seguimiento
en línea que es genial de una manera muy espeluznante. La toma de huellas dactilares de
lienzo utiliza el elemento de lienzo de HTML5 para dibujar una imagen simple. Eso es todo. El
dibujo de la imagen tiene lugar dentro del navegador y no es visible para usted. Solo toma una
fracción de segundo. Pero el resultado es visible para el sitio web solicitante.
La idea es que su hardware y software, cuando se combinen como recursos para el
navegador, representen la imagen de manera única. La imagen, que podría ser una serie de
formas de varios colores, se convierte luego en un número único, más o menos como lo son
las contraseñas. Luego, este número se compara con instancias anteriores de ese número que
se vieron en otros sitios web en Internet. Y a partir de eso, la cantidad de lugares donde se ve
ese número único, se puede construir un perfil de los sitios web que visita. Este número, o
huella dactilar del lienzo, se puede usar para identificar su navegador cada vez que regresa a
un sitio web en particular que lo solicitó, incluso si ha eliminado todas las cookies o ha
bloqueado la instalación de cookies futuras, porque utiliza un elemento integrado en el mismo
HTML5.20 La toma de huellas dactilares del lienzo es un proceso automático; no requiere que
haga clic ni haga nada más que simplemente ver una página web. Afortunadamente, existen
complementos para su navegador que pueden bloquearlo. Para Firefox hay 21 Para
Google Chrome hay CanvasFingerprintBlock.22 CanvasBlocker.

Incluso el proyecto Tor ha añadido su propia tecnología antilienzo a su navegador. 23 Si usa

estos complementos y sigue todas mis otras recomendaciones, puede pensar que finalmente
está libre del seguimiento en línea. Y estarías equivocado.

Empresas como Drawbridge y Tapad, y Oracle's Crosswise, toman

Machine Translated by Google

seguimiento en línea un paso más allá. Afirman tener tecnologías que pueden rastrear sus
intereses en múltiples dispositivos, incluidos los sitios que visita solo en sus teléfonos
celulares y tabletas.
Parte de este seguimiento es el resultado del aprendizaje automático y la lógica difusa.
Por ejemplo, si un dispositivo móvil y una PC tradicional contactan un sitio usando la misma
dirección IP, es muy posible que sean propiedad de una sola persona. Por ejemplo,
supongamos que busca una prenda de ropa en particular en su teléfono celular, luego,
cuando llega a casa y está en su PC tradicional, encuentra esa misma prenda de ropa en
la sección "visto recientemente" del sitio web del minorista. Mejor aún, digamos que
compras la prenda usando tu PC tradicional. Cuantas más coincidencias se creen entre
distintos dispositivos, más probable es que una sola persona los esté usando a ambos.
Solo Drawbridge afirma que vinculó a 1200 millones de usuarios en 3600 millones de
dispositivos en 2015.24
Google, por supuesto, hace lo mismo, al igual que Apple y Microsoft.
Los teléfonos Android requieren el uso de una cuenta de Google. Los dispositivos Apple
usan una ID de Apple. Ya sea que un usuario tenga un teléfono inteligente o una
computadora portátil, el tráfico web generado por cada uno se asocia con un usuario
específico. Y los últimos sistemas operativos de Microsoft requieren una cuenta de Microsoft
para descargar aplicaciones o almacenar fotos y documentos utilizando el servicio en la
nube de la empresa.
La gran diferencia es que Google, Apple y Microsoft le permiten deshabilitar parte o la
totalidad de esta actividad de recopilación de datos y eliminar retroactivamente los datos
recopilados. Drawbridge, Crosswise y Tapad hacen que el proceso de desactivación y
eliminación sea menos claro. O puede que simplemente no esté disponible.

Aunque el uso de un servicio de proxy o Tor es una forma conveniente de ocultar su

verdadera ubicación al acceder a Internet, este enmascaramiento puede crear problemas
interesantes o incluso resultar contraproducente para usted, porque a veces el seguimiento
en línea puede estar justificado, especialmente cuando una compañía de tarjetas de crédito
está tratando de lucha contra el fraude. Por ejemplo, solo unos días antes de que Edward
Snowden se hiciera público, quería crear un sitio web para apoyar los derechos en línea.
Sin embargo, tuvo problemas para pagar el registro a la empresa anfitriona con su tarjeta de crédito.
En ese momento, todavía usaba su nombre real, dirección de correo electrónico real y
tarjetas de crédito personales; esto fue justo antes de que se convirtiera en un denunciante.
También estaba usando Tor, que a veces activa advertencias de fraude de crédito.
Machine Translated by Google

compañías de tarjetas cuando quieren verificar su identidad y no pueden conciliar parte

de la información que proporcionó con lo que tienen en el archivo. Si, por ejemplo, su
cuenta de tarjeta de crédito dice que vive en Nueva York, ¿por qué su nodo de salida
Tor dice que está en Alemania? Una discrepancia de geolocalización como esta a
menudo señala un intento de compra como posible abuso e invita a un escrutinio
adicional.
Las compañías de tarjetas de crédito ciertamente nos rastrean en línea. Conocen
todas nuestras compras. Saben dónde tenemos suscripciones. Saben cuando salimos
del país. Y saben cada vez que usamos una máquina nueva para hacer una compra
online.
Según Micah Lee de EFF, en un momento Snowden estaba en su habitación de
hotel de Hong Kong discutiendo secretos gubernamentales con Laura Poitras y Glenn
Greenwald, un reportero de The Guardian, y al mismo tiempo estaba en espera con el
departamento de atención al cliente en DreamHost, un proveedor de Internet con sede
en Los Ángeles. Aparentemente, Snowden le explicó a DreamHost que estaba en el
extranjero y que no confiaba en el servicio de Internet local, de ahí su uso de Tor.
Finalmente, DreamHost aceptó su tarjeta de crédito de más de 25 Tor.

Una forma de evitar esta molestia con Tor es configurar el archivo de configuración
de torrec para usar nodos de salida ubicados en su país de origen. Eso debería
mantener felices a las compañías de tarjetas de crédito. Por otro lado, usar
constantemente los mismos nodos de salida podría revelar quién eres. Existe cierta
especulación seria de que las agencias gubernamentales podrían controlar algunos
nodos de salida, por lo que tiene sentido usar otros diferentes.
Otra forma de pagar sin dejar rastro es usar Bitcoin, una moneda virtual. Como la
mayoría de las monedas, su valor fluctúa en función de la confianza que la gente tenga
en ella.
Bitcoin es un algoritmo que permite a las personas crear (o, en la terminología de
Bitcoin, extraer) su propia moneda. Pero si fuera fácil, todos lo harían. Así que no lo es.
El proceso es computacionalmente intensivo y lleva mucho tiempo crear un Bitcoin. Por
lo tanto, existe una cantidad finita de Bitcoin en un día determinado y eso, además de
la confianza del consumidor, influye en su valor.

Cada Bitcoin tiene una firma criptográfica que lo identifica como original y único.
Las transacciones realizadas con esa firma criptográfica pueden ser
Machine Translated by Google

rastreado hasta la moneda, pero el método por el cual obtiene la moneda puede ocultarse,
por ejemplo, configurando una dirección de correo electrónico anónima sólida como una
roca y usando esa dirección de correo electrónico para configurar una billetera Bitcoin
anónima usando el Red Tor.
Usted compra Bitcoin en persona o de forma anónima en línea usando tarjetas de
regalo prepagas, o encuentra un cajero automático de Bitcoin sin vigilancia por cámara.
Dependiendo de qué factores de vigilancia podrían potencialmente revelar su verdadera
identidad, todos los riesgos deben tenerse en cuenta al elegir qué método de compra
utilizar. Luego puede poner estos Bitcoins en lo que se conoce como vaso. Un vaso toma
algunos Bitcoins de mí, algunos de usted y algunos de otras personas elegidas al azar y
los mezcla. Mantiene el valor de las monedas menos la tarifa de volteo; es solo que la
firma criptográfica de cada moneda puede ser diferente después de mezclarla con otras.
Eso anonimiza un poco el sistema.

Una vez que los tienes, ¿cómo almacenas Bitcoins? Debido a que no hay bancos de
Bitcoin, y dado que Bitcoin no es una moneda física, deberá usar una billetera de Bitcoin
configurada de forma anónima siguiendo las instrucciones detalladas que se describen
más adelante en este libro.
Ahora que lo compró y lo almacenó, ¿cómo usa Bitcoin?
Los intercambios le permiten invertir en Bitcoin y cambiarlo a otras monedas, como
dólares estadounidenses, o comprar productos en sitios como Amazon.
Digamos que tienes un Bitcoin, valorado en $618. Si solo necesita alrededor de $ 80 para
una compra, retendrá un cierto porcentaje del valor original, según el tipo de cambio,
después de la transacción.
Las transacciones se verifican en un libro público conocido como cadena de bloques
e identificado por dirección IP. Pero como hemos visto, las direcciones IP se pueden
cambiar o falsificar. Y aunque los comerciantes han comenzado a aceptar Bitcoin, las
tarifas de servicio, que normalmente paga el comerciante, se han transferido al comprador.
Además, a diferencia de las tarjetas de crédito, Bitcoin no permite devoluciones ni
reembolsos.
Puede acumular tanto Bitcoin como moneda fuerte. Pero a pesar de su éxito general
(los hermanos Winklevoss, famosos por desafiar a Mark Zuckerberg por la fundación de
Facebook, son importantes inversores en Bitcoin), el sistema también ha tenido algunas
fallas monumentales. En 2004, Mt. Gox, un intercambio de Bitcoin con sede en Tokio, se
declaró en bancarrota después de anunciar que le habían robado su Bitcoin. Ha habido
otros informes
Machine Translated by Google

de robo entre los intercambios de Bitcoin, que, a diferencia de la mayoría de las cuentas bancarias de EE. UU.,
no están aseguradas.

Aún así, aunque ha habido varios intentos de moneda virtual en el pasado, Bitcoin se ha convertido en la
moneda anónima estándar de Internet. Un trabajo en progreso, sí, pero una opción para cualquiera que busque
privacidad.
Es posible que te sientas invisible en este momento, oscureciendo tu dirección IP con Tor; cifrar su correo
electrónico y mensajes de texto con PGP y Signal. Sin embargo, no he hablado mucho sobre el hardware, que
se puede usar tanto para encontrarlo como para ocultarlo en Internet.
Machine Translated by Google

CAPÍTULO SIETE

¡Pague o de lo contrario!

La pesadilla comenzó en línea y terminó con federal

agentes asaltaron una casa en los suburbios de Blaine, Minnesota. Los agentes solo tenían una
dirección IP asociada con descargas de pornografía infantil e incluso una amenaza de muerte
contra el vicepresidente Joe Biden. Al contactar al proveedor de servicios de Internet asociado
con esa dirección IP, los agentes adquirieron la dirección física del usuario. Ese tipo de
seguimiento tuvo mucho éxito en los días en que todos todavía tenían una conexión por cable a
sus módems o enrutadores. En ese momento, cada dirección IP podía rastrearse físicamente
hasta una máquina determinada.

Pero hoy en día la mayoría de la gente usa conexiones inalámbricas dentro de sus hogares.
La conexión inalámbrica permite que todos los que están dentro se muevan por la casa con
dispositivos móviles y permanezcan conectados a Internet. Y si no tienes cuidado, también
permite que los vecinos accedan a esa misma señal. En este caso, los agentes federales
asaltaron la casa equivocada en Minnesota. Realmente querían la casa de al lado.

En 2010, Barry Vincent Ardolf se declaró culpable de los cargos de piratería informática,
robo de identidad, posesión de pornografía infantil y amenazas contra el vicepresidente Biden.
Los registros judiciales muestran que el problema entre Ardolf y su vecino comenzó cuando el
vecino, que en realidad era abogado y no fue identificado, presentó un informe policial diciendo
que Ardolf presuntamente “tocó y besó de manera inapropiada” al niño pequeño del abogado en
la boca.1
Machine Translated by Google

Luego, Ardolf usó la dirección IP del enrutador doméstico inalámbrico de su

vecino para abrir cuentas de Yahoo y Myspace a nombre de su víctima. Fue a partir
de estas cuentas falsas que Ardolf lanzó una campaña para avergonzar y causar
problemas legales al abogado.
Muchos ISP ahora brindan a sus enrutadores domésticos capacidades
inalámbricas integradas.2 Algunos ISP, como Comcast, están creando un segundo
servicio Wi-Fi abierto sobre el cual usted tiene un control limitado. Por ejemplo, es
posible que pueda cambiar algunas configuraciones, como la capacidad de
apagarlo. Deberías ser consciente de ello. Alguien en una camioneta estacionada
frente a su casa podría estar usando su conexión inalámbrica gratuita. Aunque no
tiene que pagar más por eso, aún puede notar una ligera degradación en la
velocidad de Wi-Fi si hay un uso intensivo de la segunda señal. Puede deshabilitar
el punto de acceso Xfinity Home de Comcast si no cree que alguna vez necesitará
brindar a los visitantes de su hogar acceso gratuito a Internet . no están configurados
correctamente y pueden crear problemas cuando no están protegidos. Por un
lado, el acceso inalámbrico no seguro podría proporcionar un punto de entrada
digital a su hogar, como lo hizo con Ardolf. Si bien es posible que los intrusos no
busquen sus archivos digitales, es posible que busquen causar problemas.

Ardolf no era un genio de la informática. Confesó en la corte que no sabía la

diferencia entre el cifrado WEP (privacidad equivalente por cable), que era el que
usaba el enrutador del vecino, y el cifrado WPA (acceso protegido Wi-Fi), que es
mucho más seguro. Solo estaba enojado. Esta es solo una razón más por la que
debería tomarse un momento para considerar la seguridad de su propia red
inalámbrica doméstica. Nunca se sabe cuándo un vecino enojado podría intentar
usar su red doméstica en su contra.
Si alguien hace algo malo en su red doméstica, existe cierta protección para el
propietario del enrutador. Según la EFF, los jueces federales rechazaron las
demandas de BitTorrent presentadas por los titulares de los derechos de autor
porque los demandados afirmaron con éxito que otra persona descargó las películas
usando sus redes inalámbricas.4 La EFF establece que una dirección IP no es una
persona, lo que significa que los suscriptores inalámbricos no pueden ser
responsable de las acciones de otros que usan sus redes inalámbricas.5
Aunque los forenses informáticos liberarán a una persona inocente cuyo Wi-Fi
Machine Translated by Google

fue utilizado en la comisión de un delito grave, como sucedió en el caso del abogado de
Minnesota, ¿por qué pasar por todo eso?

Incluso si utiliza un módem de acceso telefónico basado en teléfono o un enrutador ASM

(multidifusión de cualquier fuente) basado en cable (disponible en Cisco y Belkin, entre otros),
estos dispositivos han tenido su parte de problemas de software y configuración.

En primer lugar, descargue el último firmware (software instalado en un dispositivo de

hardware). Puede hacerlo accediendo a la pantalla de configuración del enrutador (ver a
continuación) o visitando el sitio web del fabricante y buscando actualizaciones para su marca
y modelo en particular. Haga esto tan a menudo como sea posible. Una manera fácil de
actualizar el firmware de su enrutador es comprar uno nuevo cada año. Esto puede ser costoso,
pero garantizará que tenga el último y mejor firmware. En segundo lugar, actualice los ajustes
de configuración de su enrutador. No desea la configuración predeterminada.

Pero primero: ¿qué hay en un nombre? Más de lo que piensas. El nombre es común tanto
al enrutador proporcionado por el ISP como al enrutador que compró en Best Buy. Todos los
enrutadores inalámbricos transmiten de forma predeterminada lo que se denomina un
identificador de conjunto de servicios (SSID).6 El SSID suele ser el nombre y el modelo de su
enrutador, por ejemplo, "Linksys WRT54GL". Si observa las conexiones inalámbricas
disponibles en su área, verá a lo que me refiero.
Transmitir el SSID predeterminado al mundo puede enmascarar el hecho de que la señal
Wi-Fi en realidad proviene de un hogar específico, pero también permite que alguien en la calle
sepa la marca y el modelo exactos del enrutador que posee. ¿Por qué es eso malo? Esa
persona también podría conocer las vulnerabilidades de esa marca y modelo y poder explotarlas.

Entonces, ¿cómo cambia el nombre del enrutador y actualiza su firmware?

Acceder al enrutador es fácil; lo hace desde su navegador de Internet. Si no tiene las
instrucciones para su enrutador, hay una lista en línea de URL que le indica qué escribir en la
ventana de su navegador para que pueda conectarse directamente al enrutador en su red
doméstica.7 Después de escribir la URL local (usted (recuerde, solo está hablando con el
enrutador, no con Internet en general), debería ver una pantalla de inicio de sesión. Entonces,
¿cuál es el nombre de usuario y la contraseña para iniciar sesión?

Resulta que hay una lista de inicios de sesión predeterminados publicada en Internet como
Machine Translated by Google

bien.8 En el ejemplo anterior de Linksys, el nombre de usuario está en blanco y la contraseña

es "admin". No hace falta decir que una vez que esté dentro de la pantalla de configuración
del enrutador, debe cambiar inmediatamente su contraseña predeterminada, siguiendo los
consejos que le di anteriormente sobre cómo crear contraseñas únicas y seguras (ver aquí)
o usar un administrador de contraseñas.
Recuerde almacenar esta contraseña en su administrador de contraseñas o anótela, ya
que probablemente no necesitará acceder a su enrutador con mucha frecuencia. Si olvida la
contraseña (realmente, ¿cuántas veces va a estar en la pantalla de configuración de su
enrutador?), No se preocupe. Hay un botón de reinicio físico que restaurará la configuración
predeterminada. Sin embargo, al realizar un restablecimiento físico o completo, también
deberá volver a ingresar todos los ajustes de configuración que voy a explicar a continuación.
Así que anote la configuración del enrutador o tome capturas de pantalla e imprímalas cada
vez que establezca una configuración del enrutador que sea diferente a la predeterminada.
Estas capturas de pantalla serán valiosas cuando necesite reconfigurar su enrutador.

Le sugiero que cambie "Linksys WRT54GL" por algo inocuo, como "HP Inkjet", para que
los extraños no vean de qué casa proviene la señal Wi-Fi. A menudo uso un nombre genérico,
como el nombre de mi complejo de apartamentos o incluso el nombre de mi vecino.

También hay una opción para ocultar su SSID por completo. Eso significa que otros
no podrá verlo fácilmente en la lista como una conexión de red inalámbrica.

Mientras se encuentra dentro de los ajustes básicos de configuración del enrutador, hay
varios tipos de seguridad inalámbrica a considerar. Por lo general, no están habilitados de
forma predeterminada. Y no todo el cifrado inalámbrico es igual, ni es compatible con todos
los dispositivos.
La forma más básica de encriptación inalámbrica, la privacidad equivalente por cable
(WEP), es inútil. Si lo ves como una opción, ni siquiera lo consideres. WEP se ha descifrado
durante años y, por lo tanto, ya no se recomienda. Solo los enrutadores y dispositivos
antiguos todavía lo ofrecen como una opción heredada. En su lugar, elija uno de los
estándares de encriptación más nuevos y más fuertes, como el acceso protegido Wi-Fi o
WPA. WPA2 es aún más seguro.
Activar el cifrado en el enrutador significa que los dispositivos que se conectan a él
también deberán coincidir con la configuración de cifrado. La mayoría de los dispositivos
nuevos detectan automáticamente el tipo de cifrado que se utiliza, pero los modelos más antiguos aún
Machine Translated by Google

requieren que indique manualmente qué nivel de cifrado está utilizando.

Utilice siempre el nivel más alto posible. Solo eres tan seguro como tu eslabón más
débil, así que asegúrate de maximizar el dispositivo más antiguo en términos de su
encriptación disponible.
Habilitar WPA2 significa que cuando conecte su computadora portátil o dispositivo
móvil, también deberá configurarlo en WPA2, aunque algunos sistemas operativos
nuevos reconocerán el tipo de encriptación automáticamente. Los sistemas
operativos modernos en su teléfono o computadora portátil identificarán el Wi-Fi
disponible en su área. Su transmisión de SSID (ahora “HP Inkjet”) debería aparecer
en la lista en la parte superior o cerca de ella. Los íconos de candado dentro de la
lista de conexiones Wi-Fi disponibles (generalmente superpuestos a la potencia de
cada conexión) indican qué conexiones Wi-Fi requieren contraseñas (la suya ahora
debería tener un candado).
De la lista de conexiones disponibles, haga clic en su propio SSID. Se le pedirá
que ingrese una contraseña; asegúrese de que tenga al menos quince caracteres.
O use un administrador de contraseñas para crear una contraseña compleja. Para
conectarse a su Wi-Fi protegido con contraseña, deberá ingresar esa contraseña al
menos una vez en cada dispositivo para conectarse, por lo que es posible que un
administrador de contraseñas no funcione en todos los casos, especialmente cuando
tiene que recordar el contraseña compleja y escríbala usted mismo más tarde. Cada
dispositivo, incluido su refrigerador "inteligente" y su televisor digital, utilizará la única
contraseña del enrutador que eligió cuando configuró el cifrado en su enrutador.
Deberá hacer esto una vez por cada dispositivo que acceda a la red Wi-Fi de su
hogar u oficina, pero no tendrá que volver a hacerlo a menos que cambie la
contraseña de su red doméstica o adquiera un nuevo dispositivo.
También puede ir un paso más allá y limitar las conexiones Wi-Fi solo a los
dispositivos que especifique. Esto se conoce como inclusión en la lista blanca. Con
este proceso, otorga acceso a (lista blanca) algunos dispositivos y prohíbe (lista
negra) todo lo demás. Esto requerirá que ingrese la dirección de control de acceso a
los medios de su dispositivo o la dirección MAC. También significará que la próxima
vez que actualice su teléfono celular, tendrá que agregarlo a la dirección MAC en su
enrutador antes de que se conecte.9 Esta dirección es única para cada dispositivo;
de hecho, los tres primeros conjuntos de caracteres (octetos) son el código del
fabricante y los tres últimos son exclusivos del producto. El router rechazará cualquier
dispositivo cuya MAC de hardware no haya sido almacenada previamente. Dicho esto, un hacker
Machine Translated by Google

La herramienta llamada aircrack-ng puede revelar la dirección MAC autorizada de un usuario

actualmente conectado y luego un atacante puede falsificar la dirección MAC para conectarse
al enrutador inalámbrico. Al igual que los SSID inalámbricos ocultos, es trivial eludir el filtrado
de direcciones MAC.
Encontrar la dirección MAC en su dispositivo es relativamente fácil. En Windows, vaya al
botón Inicio, escriba "CMD", haga clic en "Símbolo del sistema" y en el signo de intercalación
invertido, escriba "IPCONFIG". La máquina devolverá una larga lista de datos, pero la
dirección MAC debe estar allí, y constará de doce caracteres hexadecimales con cada dos
caracteres separados por dos puntos. Para los productos de Apple es aún más fácil. Vaya al
icono de Apple, seleccione "Preferencias del sistema" y vaya a "Red". Luego haga clic en el
dispositivo de red en el panel izquierdo y vaya a Avanzado>Hardware, y verá la dirección
MAC. Para algunos productos Apple más antiguos, el procedimiento es: ícono de
Apple>Preferencias del sistema>Redes>Ethernet incorporada. Puede encontrar la dirección
MAC de su iPhone seleccionando Configuración>General>Acerca de y buscando en "Dirección
Wi-Fi". Para un teléfono Android, vaya a Configuración> Acerca del teléfono> Estado y busque
en "Dirección MAC de Wi-Fi".

Estas instrucciones pueden cambiar según el dispositivo y el modelo que esté utilizando.
Con estas direcciones MAC de doce dígitos en la mano, ahora deberá decirle al enrutador
que permita solo estos dispositivos y bloquee todo lo demás. Hay algunas desventajas. Si
llega un invitado y quiere conectarse a su red doméstica, tendrá que decidir si le da uno de
sus dispositivos y su contraseña a esa persona o simplemente apaga el filtrado de direcciones
MAC volviendo a ingresar a la pantalla de configuración del enrutador. Además, hay momentos
en los que es posible que desee cambiar la dirección MAC de un dispositivo (ver aquí); si no
lo vuelve a cambiar, es posible que no pueda conectarse a su red Wi-Fi restringida por MAC
en casa o en el trabajo. Afortunadamente, reiniciar el dispositivo restaura la dirección MAC
original en la mayoría de los casos.

Para facilitar la conexión de cualquier dispositivo nuevo a un enrutador doméstico, Wi-Fi

Alliance, un grupo de proveedores deseosos de difundir el uso de tecnologías Wi-Fi, creó la
configuración protegida de Wi-Fi (WPS). WPS se anunció como una forma para que cualquier
persona, quiero decir cualquiera, pueda configurar de forma segura un dispositivo móvil en el
hogar o en la oficina. En realidad, sin embargo, no es muy seguro.
WPS es típicamente un botón que presiona en el enrutador. Otros metodos
Machine Translated by Google

incluyen el uso de un PIN y comunicación de campo cercano (NFC). En pocas palabras,

activa la función WPS y se comunica con cualquier dispositivo nuevo que tenga en su
hogar u oficina, sincronizándolos automáticamente para que funcionen con su red Wi-Fi.

Suena genial. Sin embargo, si el enrutador está en "público", por ejemplo, en su

sala de estar, cualquiera puede tocar el botón WPS y unirse a su red doméstica.

Incluso sin acceso físico, un atacante en línea puede usar la fuerza bruta para
adivinar su PIN de WPS. Podría llevar varias horas, pero sigue siendo un método de
ataque viable, contra el que debe protegerse apagando inmediatamente WPS en el
enrutador.
Otro método de ataque WPS se conoce como Pixie Dust. Este es un ataque fuera
de línea y afecta solo a unos pocos fabricantes de chips, incluidos Ralink, Realtek y
Broadcom. Pixie Dust funciona ayudando a los piratas informáticos a obtener acceso a
las contraseñas de los enrutadores inalámbricos. Básicamente, la herramienta es muy
sencilla y puede obtener acceso a un dispositivo en segundos u horas, según la
complejidad del PIN WPS elegido o generado.10 Por ejemplo, uno de esos programas,
Reaver, puede descifrar un enrutador habilitado para WPS en varias horas.
En general, es una buena idea desactivar WPS. Simplemente puede conectar cada
nuevo dispositivo móvil a su red escribiendo la contraseña que haya asignado para el
acceso.

Por lo tanto, ha impedido, mediante el uso de cifrado y contraseñas seguras, el uso de

su red de enrutador inalámbrico doméstico por parte de otros. ¿Significa eso que nadie
puede ingresar a su red doméstica o incluso ver digitalmente dentro de su hogar? No
completamente.
Cuando llamaron al estudiante de segundo año de secundaria Blake Robbins a la
oficina del director de su escuela en los suburbios de Filadelfia, no tenía idea de que
iba a ser reprendido por “comportamiento inapropiado” en casa. El distrito escolar de
Lower Merion, en las afueras de Filadelfia, les había dado a todos sus estudiantes de
secundaria, incluido Robbins, nuevas MacBooks para usar en sus cursos. Lo que el
distrito escolar no les dijo a los estudiantes fue que el software diseñado para recuperar
los dispositivos en caso de que se pierdan también podría usarse para monitorear el
comportamiento de los 2,300 estudiantes mientras estaban a la vista de las cámaras
web de las computadoras portátiles.
Machine Translated by Google

¿La presunta ofensa de Robbins? Tomando pastillas. La familia Robbins, a través de su

abogado, sostuvo todo el tiempo que el niño simplemente estaba comiendo dulces Mike e Ike
mientras hacía su tarea.
¿Por qué fue esto un problema?
El distrito escolar sostiene que activó el software de rastreo de robos solo después de
que le robaron una de sus computadoras portátiles. El software de seguimiento de robos
funciona así: cuando alguien que usa el software informa que su computadora portátil ha sido
robada, la escuela puede iniciar sesión en un sitio web y ver imágenes de la cámara web de
la computadora portátil robada, así como escuchar sonidos del micrófono. Luego, un
administrador de la escuela podría monitorear la computadora portátil y tomar fotografías según sea necesario
De esta forma se puede localizar y devolver el dispositivo y se puede identificar al culpable.
Sin embargo, en este caso se alegó que los funcionarios escolares estaban activando esta
función para espiar a los estudiantes mientras estaban en casa.
La cámara web de la computadora portátil Mac proporcionada por la escuela de Robbins
registró cientos de fotos, incluidas algunas del niño dormido en su cama. Para otros
estudiantes fue peor. Según el testimonio de la corte, la escuela tenía aún más fotografías de
algunos estudiantes, algunos de los cuales estaban “parcialmente desnudos”. Esto podría
haber pasado desapercibido para los estudiantes si Robbins no hubiera sido reprendido por
algo que supuestamente hizo en casa.
Robbins, junto con un ex alumno, Jalil Hasan, a quien le tomaron casi quinientas imágenes
y cuatrocientas imágenes de la pantalla de su computadora, que revelaron su actividad en
línea y los sitios que visitó, demandaron al distrito escolar. Robbins recibió $175,000 y Hasan
$10,000.11 El distrito también pagó casi medio millón de dólares para cubrir los gastos legales
de los niños. En total, el distrito escolar tuvo que pagar, a través de su aseguradora, alrededor
de $1,4 millones.

Es fácil que el software malicioso active la cámara web y el micrófono en una PC

tradicional sin que el usuario lo sepa. Y esto también es cierto en un dispositivo móvil. En este
caso fue una acción deliberada. Pero con demasiada frecuencia no lo es. Una solución rápida
es colocar cinta adhesiva sobre la cámara web de su computadora portátil hasta que tenga la
intención de usarla nuevamente.

En el otoño de 2014, Sophie Curtis, reportera del Telegraph de Londres, recibió una solicitud
de conexión de LinkedIn en un correo electrónico que parecía provenir de alguien que
trabajaba en su periódico. Era el
Machine Translated by Google

tipo de correo electrónico que Sophie recibía todo el tiempo, y como cortesía profesional,
no lo pensó dos veces antes de aceptarlo de un colega. Un par de semanas después,
recibió un correo electrónico que parecía ser de una organización anónima de denunciantes
que estaba a punto de publicar documentos confidenciales. Como reportera que había
cubierto grupos como Anonymous y WikiLeaks, había recibido correos electrónicos como
este antes y tenía curiosidad acerca de la solicitud. El archivo adjunto parecía un archivo
estándar, por lo que hizo clic para abrirlo.

Inmediatamente se dio cuenta de que algo andaba mal. Windows Defender, el programa
de seguridad que viene con cada copia de Windows, comenzó a emitir advertencias en su
escritorio. Y las advertencias seguían acumulándose en la pantalla.
Curtis, como mucha gente hoy en día, había sido engañada para hacer clic en un
archivo adjunto que ella pensó que era un archivo ordinario. Mientras fingía tener información
que quería ver, el archivo descargó y descomprimió una serie de otros archivos que
permitieron al atacante remoto tomar el control total de su computadora. El software
malicioso incluso le tomó una foto con su propia cámara web. En él, su rostro muestra una
expresión de pura frustración mientras trata de entender cómo alguien pudo haberse
apoderado de su computadora.
En realidad, Curtis sabía muy bien quién se había apoderado de su computadora. Como
experimento, unos meses antes había contratado a un probador de penetración o pen
tester. Alguien como yo. Las personas y las empresas contratan a piratas informáticos
profesionales para intentar entrar en la red informática de una empresa y ver dónde
necesitan refuerzo. En el caso de Curtis, el proceso se extendió durante varios meses.

Al comienzo de trabajos como este, siempre trato de obtener la mayor cantidad de

información posible sobre el cliente. Paso tiempo aprendiendo sobre su vida y sus hábitos
en línea. Hago un seguimiento de las publicaciones públicas del cliente en Twitter, Facebook
y, sí, incluso en LinkedIn. Que es exactamente lo que hizo el probador de pluma de Sophie
Curtis. Entre todos sus correos electrónicos había un mensaje cuidadosamente elaborado:
el primero enviado por su evaluador de pluma. El evaluador de penetración sabía que
trabajaba como reportera y sabía que estaba abierta a solicitudes por correo electrónico de
personas previamente desconocidas. En ese primer caso, Curtis escribió más tarde que no
había suficiente contexto para que ella estuviera interesada en entrevistar a una persona
en particular para una historia futura. Pero quedó impresionada por la cantidad de
investigación que hicieron el hacker y sus colegas de la empresa de seguridad.
Curtis dijo: “Pudieron usar Twitter para averiguar mi correo electrónico de trabajo.
Machine Translated by Google

dirección, así como algunas de mis ubicaciones recientes y el nombre de una noche social
habitual a la que asisto con otros periodistas. A partir de los objetos del fondo de una de
las fotos que había subido a Twitter pudieron descubrir qué móvil usaba, y que mi prometido
fumaba roll ups (era una foto antigua), así como el hecho de que le gusta andar en
bicicleta.”12 Cualquiera de
estos detalles podrían haber sido la base para otro correo electrónico.
También hay una nueva herramienta basada en Inteligencia Artificial anunciada en la
conferencia DEF CON 2016 que analizará los tweets de un objetivo. Luego construirá un
correo electrónico de phishing basado en sus intereses personales.13 Por lo tanto, tenga
cuidado al hacer clic en los enlaces dentro de un tweet.
De hecho, a menudo son las pequeñas cosas (el comentario extraño publicado aquí o
allá, la chuchería única en el estante detrás de usted en una foto, la camiseta de un
campamento al que asistió una vez) las que brindan información personal crucial que
nunca tendría. intención de compartir públicamente. Podemos considerar estos momentos
únicos inofensivos, pero cuantos más detalles pueda aprender un atacante sobre usted,
mejor podrá engañarlo para que abra los archivos adjuntos de correo electrónico y se
apodere de su mundo en línea.
Curtis señala que el equipo de prueba de penetración terminó su ataque allí. Si
hubieran sido verdaderos piratas informáticos criminales, la diversión y los juegos podrían
haber continuado durante algún tiempo, tal vez con los malos obteniendo acceso a sus
cuentas de redes sociales, la red de su oficina en Telegraph, incluso sus cuentas financieras.
Y lo más probable es que lo hubieran hecho de tal manera que Curtis no supiera que su
computadora estaba comprometida; la mayoría de los ataques no activan inmediatamente
Windows Defender o software antivirus. Algunos atacantes ingresan y persisten durante
meses o años antes de que el usuario tenga alguna pista de que ha sido pirateado. Y no
es solo su computadora portátil: un ataque desencadenado por correo electrónico también
podría lanzarse desde un iPhone con jailbreak o un dispositivo móvil Android.

Si bien Google y otros proveedores de correo electrónico escanean sus mensajes para
evitar la transmisión de malware y la propagación de pornografía en línea, y para recopilar
datos publicitarios, no necesariamente escanean en busca de fraude. Al igual que la
privacidad, cuyo estándar, como dije, es diferente para todos, el fraude es difícil de
cuantificar. Y no siempre lo reconocemos, incluso cuando nos está mirando a la cara.
Machine Translated by Google

Dentro del cuerpo del correo electrónico falso de LinkedIn de Curtis había un píxel de una
pulgada por una pulgada, un pequeño punto de una imagen, invisible a la vista, como los que dije
que se pueden encontrar en los sitios web y se usan para rastrearte en línea. Cuando ese pequeño
punto llama, le dice a un servidor de seguimiento en una ubicación remota, que podría estar en
cualquier parte del mundo, a qué hora abrió el correo electrónico, cuánto tiempo permaneció en la
pantalla y en qué dispositivo lo abrió. También puede saber si guardó, reenvió o eliminó el mensaje.
Además, si el escenario utilizado por el equipo de pen-test hubiera sido real, el atacante podría haber
incluido un enlace a través del cual Curtis podría haber visitado una página falsa de LinkedIn. Esta
página se parecería a una real en todos los aspectos excepto que estaría alojada en un servidor
diferente, quizás en otro país.

Para un anunciante, este Web bug se puede utilizar para recopilar información sobre (y, por lo
tanto, perfilar) el destinatario. Para los atacantes, se puede usar para obtener los detalles técnicos
que necesitan para diseñar su próximo ataque, que incluiría una forma de ingresar a su computadora.
Por ejemplo, si está ejecutando una versión antigua de un navegador, puede haber errores que
pueden aprovecharse.
Por lo tanto, el segundo correo electrónico que Curtis recibió de los evaluadores de penetración
incluía un archivo adjunto, un conjunto de documentos comprimidos para explotar una vulnerabilidad
en el software que se utilizó para abrir el archivo (por ejemplo, Adobe Acrobat). Cuando hablamos de
malware, la mayoría de la gente piensa en los virus informáticos de principios de la década de 2000,
cuando un solo correo electrónico infectado podía propagar correos electrónicos infectados adicionales
a todos los miembros de una lista de contactos. Estos tipos de ataques de infección masiva son
menos comunes hoy en día, en parte debido a los cambios en el propio software de correo electrónico.
En cambio, el malware más peligroso de la actualidad es mucho más sutil y, a menudo, está dirigido
y adaptado a un individuo. Como fue en el caso de Sophie Curtis.
Los pentesters utilizaron una forma especial de phishing llamada spear phishing, diseñada para
dirigirse a una persona específica.
El phishing es el proceso delictivo fraudulento de tratar de obtener información confidencial,
como nombres de usuario, contraseñas e información bancaria o de tarjetas de crédito. Se ha
utilizado contra los CFO que son engañados para transferir grandes sumas de dinero porque el
"CEO" ha autorizado la transferencia. Por lo general, el correo electrónico o mensaje de texto de
phishing incluye un elemento de acción, como hacer clic en un enlace o abrir un archivo adjunto. En
el caso de Curtis, la intención era plantar malware en su computadora con el fin de ilustrar lo fácil que
es para alguien hacer esto.

Uno de los esquemas de phishing más famosos fue la Operación Aurora, en

Machine Translated by Google

que se envió un correo electrónico de phishing a los empleados chinos de Google. La idea era
infectar sus máquinas en China para poder acceder a la red interna de la sede mundial de Google,
en Mountain View, California. Así lo hicieron los atacantes, acercándose peligrosamente al código
fuente del motor de búsqueda de Google. Google no estaba solo. Empresas como Adobe informaron
de intrusiones similares. Como resultado, Google retiró brevemente sus operaciones de China.14

Cada vez que recibimos una solicitud de LinkedIn o Facebook, bajamos la guardia.
Quizás porque confiamos en esos sitios, también confiamos en sus mensajes de correo electrónico.
Y, sin embargo, como hemos visto, cualquiera puede elaborar un mensaje que parezca legítimo.
En persona, por lo general podemos sentir cuando alguien lleva un bigote falso o implantes de
cabello o habla con una voz falsa; tenemos siglos de instintos evolutivos para ayudarnos a detectar
el engaño sin pensar en ello.
Esos instintos no se aplican en línea, al menos no para la mayoría de nosotros. Sophie Curtis era
reportera; su trabajo era ser curioso y escéptico, seguir pistas y verificar hechos. Podría haber
consultado la lista de empleados del Telegraph para ver quién era la persona en LinkedIn y haberse
enterado de que el correo electrónico probablemente era falso. Pero no lo hizo. Y la realidad es que
la mayoría de nosotros estamos igualmente desprotegidos.

Un atacante que realiza phishing tendrá parte de su información personal, pero no toda; la poca
que tiene le sirve como cebo. Por ejemplo, un phisher puede enviarle un correo electrónico que
incluya los últimos cuatro dígitos de su número de tarjeta de crédito para establecer confianza y
luego pedirle aún más información.
A veces, los cuatro dígitos son incorrectos y el phisher le pedirá que realice las correcciones
necesarias en su respuesta. no lo hagas En resumen, no interactúes con un phisher. En general,
no responda a ninguna solicitud de información personal, aunque parezca confiable. En su lugar,
comuníquese con el solicitante en un correo electrónico separado (si tiene la dirección) o mensaje
de texto (si tiene el número de teléfono celular).

El ataque de phishing más preocupante es el que se usa para engañar a un objetivo para que
realice una acción que explote directamente su computadora, dándole al atacante el control total.
Eso es lo que hago en los compromisos de ingeniería social. La recolección de credenciales
también es una línea de ataque popular, en la que se capturan el nombre de usuario y la contraseña
de una persona, pero el peligro real de la suplantación de identidad (spear phishing) es obtener
acceso al sistema informático y la red del objetivo.
Machine Translated by Google

¿Qué pasaría si interactuara con un phisher y, como resultado, perdiera todos los datos
(todas las fotografías personales y documentos privados) en su PC o dispositivo móvil
infectado? Eso es lo que le pasó a la madre de la autora Alina Simone.
Escribiendo en el New York Times, Simone describió cómo fue para su madre, que no tenía
inclinación por la tecnología, enfrentarse a un enemigo sofisticado que estaba usando algo
llamado ransomware.15
En 2014, una ola de malware extorsionador llegó a Internet, dirigido tanto a personas
como a empresas. Cryptowall es un ejemplo: encripta todo su disco duro, bloqueándolo de
todos los archivos hasta que le pague al atacante para que le dé la clave para desbloquear
sus archivos. A menos que tenga una copia de seguridad completa, el contenido de su PC
tradicional o dispositivo Android será inaccesible hasta que pague el rescate.

¿No quieres pagar? La carta de extorsión que aparece en la pantalla indica que la clave
para desbloquear los archivos se destruirá dentro de un período de tiempo determinado. A
menudo hay un reloj de cuenta regresiva incluido. Si no paga, en ocasiones se amplía el
plazo, aunque el precio aumenta con cada retraso.

En general, debe evitar hacer clic en los archivos adjuntos de correo electrónico (a
menos que los abra en Google Quick View o Google Docs). Aún así, hay otras formas en
que Cryptowall se propaga: anuncios publicitarios en sitios web, por ejemplo.
El simple hecho de ver una página con un anuncio de banner infectado puede infectar su
PC tradicional; esto se denomina paso en falso porque no hizo clic activamente en el anuncio.
Aquí es donde tener complementos de eliminación de anuncios como Adblock Plus en su
navegador es realmente efectivo.
En los primeros seis meses de 2015, el Centro de Quejas de Delitos en Internet (IC3)
del FBI registró casi mil casos de Cryptowall 3.0, con pérdidas estimadas en alrededor de
$18 millones. Esta cifra incluye el rescate que se pagó, el costo para los departamentos de
TI y los talleres de reparación, y la pérdida de productividad.
En algunos casos, los archivos cifrados contienen información de identificación personal,
como números de seguridad social, lo que puede calificar el ataque como una violación de
datos y, por lo tanto, generar más costos.
Aunque la clave para desbloquear los archivos siempre se puede comprar por una tarifa
fija de $ 500 a $ 1000, las personas infectadas generalmente intentan otros medios, como
romper el cifrado ellos mismos, para eliminar el ransomware.
Eso es lo que intentó la madre de Simone. Cuando finalmente llamó a su hija,
Machine Translated by Google

estaban casi fuera de tiempo.

Casi todos los que intentan descifrar el cifrado del ransomware fallan.
El cifrado es realmente fuerte y requiere computadoras más poderosas y más tiempo para
descifrarlo que el que la mayoría de la gente tiene a su disposición. Así que las víctimas
suelen pagar. Según Simone, la oficina del alguacil del condado de Dickson, Tennessee,
pagó en noviembre de 2014 un rescate de Cryptowall para desbloquear 72,000 informes
de autopsias, declaraciones de testigos, fotografías de la escena del crimen y otros
documentos.
Los piratas informáticos a menudo exigen el pago en Bitcoin, lo que significa que
muchas personas promedio tendrán dificultades para pagar.16 Bitcoin, como mencioné, es
una moneda virtual descentralizada, de igual a igual, y la mayoría de las personas no
tienen billeteras de Bitcoin disponibles para retirar dinero. .
A lo largo del artículo del Times , Simone les recuerda a los lectores que nunca deben
pagar el rescate; sin embargo, al final hizo exactamente eso. De hecho, el FBI ahora
aconseja a las personas cuyas computadoras están infectadas con ransomware que
simplemente paguen. Joseph Bonavolonta, el agente especial adjunto a cargo del programa
cibernético y de contrainteligencia del FBI en Boston, dijo: "Para ser honesto, a menudo
aconsejamos a las personas que solo paguen el rescate". Dijo que ni siquiera el FBI es
capaz de descifrar el cifrado ultraseguro utilizado por los autores del ransomware, y agregó
que debido a que muchas personas han pagado a los atacantes, el costo de $500 se ha
mantenido bastante constante a lo largo de los años. dicen que depende de las compañías
individuales decidir si pagar o contactar a otros profesionales de la seguridad.

La madre de Simone, que nunca había comprado una aplicación en su vida, llamó a
su hija en el último momento solo porque necesitaba averiguar cómo pagar con la moneda
virtual. Simone dijo que encontró un cajero automático de Bitcoin en Manhattan desde el
cual, después de una falla de software y una llamada de servicio al propietario del cajero
automático, finalmente realizó el pago. Al tipo de cambio de ese día, cada Bitcoin costaba
un poco más de $500.
Ya sea que estos extorsionadores reciban su pago en Bitcoin o en efectivo, permanecen
en el anonimato, aunque técnicamente existen formas de rastrear ambas formas de pago.
Las transacciones realizadas en línea usando Bitcoin se pueden conectar con el comprador,
pero no fácilmente. La pregunta es, ¿quién va a dedicar tiempo y esfuerzo a perseguir a
estos criminales?
En el próximo capítulo describiré lo que puede suceder cuando se conecta a
Machine Translated by Google

Internet a través de Wi-Fi público. Desde una perspectiva de privacidad,

desea el anonimato de un Wi-Fi público, pero al mismo tiempo deberá tomar
precauciones.
Machine Translated by Google

CAPÍTULO OCHO

Cree todo, no confíes en nada

Cuando el teléfono era todavía una novedad, era físicamente

conectado a la casa y tal vez colocado en un rincón integrado en la pared.
Obtener una segunda línea se consideraba un símbolo de estatus. Del mismo modo, se construyeron
cabinas telefónicas públicas para la privacidad. Incluso los bancos de teléfonos públicos en los
vestíbulos de los hoteles estaban equipados con deflectores de sonido entre ellos para dar la ilusión
de privacidad.
Con los teléfonos móviles, esa sensación de privacidad se ha desvanecido por completo. Es
común caminar por la calle y escuchar a la gente compartir en voz alta algún drama personal o,
peor aún, recitar su número de tarjeta de crédito al alcance del oído de todos los que pasan. En
medio de esta cultura de apertura e intercambio, debemos pensar detenidamente sobre la
información que ofrecemos al mundo.

A veces el mundo está escuchando. Sólo digo.

Supongamos que te gusta trabajar en el café que está a la vuelta de la esquina de tu casa, como
hago a veces. Dispone de wifi gratuito. Eso debería estar bien, ¿verdad? Odio decírtelo, pero no.
El Wi-Fi público no se creó teniendo en cuenta la banca en línea o el comercio electrónico. Es
simplemente conveniente, y también es increíblemente inseguro. No toda esa inseguridad es
técnica. Parte de esto comienza, y espero que termine, con usted.1

¿Cómo puedes saber si estás en Wi-Fi público? Por un lado, no lo harás

Machine Translated by Google

se le pedirá que introduzca una contraseña para conectarse al punto de acceso

inalámbrico. Para demostrar qué tan visible es usted en Wi-Fi público, los investigadores
de la compañía antivirus F-Secure construyeron su propio punto de acceso o punto de
acceso. Llevaron a cabo su experimento en dos lugares diferentes en el centro de
Londres: una cafetería y un espacio público. Los resultados fueron reveladores.
En el primer experimento, los investigadores se instalaron en un café en una zona
concurrida de Londres. Cuando los usuarios consideraron las opciones de redes
disponibles, el punto de acceso F Secure resultó ser sólido y gratuito. Los investigadores
también incluyeron un banner que aparecía en el navegador del usuario indicando los
términos y condiciones. Tal vez haya visto un cartel como este en su cafetería local que
estipula lo que puede y no puede hacer mientras usa su servicio. En este experimento,
sin embargo, los términos para el uso de este Wi-Fi gratuito requerían la entrega del
hijo primogénito o la mascota amada del usuario. Seis personas aceptaron esos
términos y condiciones.2 Para ser justos, la mayoría de las personas no se toman el
tiempo para leer la letra pequeña, solo quieren lo que sea que esté del otro lado. Aún
así, al menos debería hojear los términos y condiciones. En este caso, F-Secure dijo
más tarde que ni él ni sus abogados querían tener nada que ver con niños o mascotas.
El verdadero problema es lo que pueden ver los terceros mientras estás en una red
Wi-Fi pública. Cuando estés en casa, tu conexión inalámbrica debe estar encriptada
con WPA2 (ver aquí). Eso significa que si alguien está husmeando, no podrá ver lo que
estás haciendo en línea. Pero cuando usa Wi-Fi público y abierto en una cafetería o en
un aeropuerto, ese tráfico de destino queda al descubierto.
De nuevo te preguntarás, ¿cuál es el problema con todo esto? Bueno, antes que
nada, no sabes quién está al otro lado de la conexión. En este caso, el equipo de
investigación de F Secure destruyó éticamente los datos que recopilaron, pero los
delincuentes probablemente no lo harían. Venderían su dirección de correo electrónico
a compañías que le envían spam, ya sea para que compre algo o para infectar su PC
con malware. Y es posible que incluso usen los detalles de sus correos electrónicos sin
cifrar para crear ataques de phishing selectivo.

En el segundo experimento, el equipo colocó el punto de acceso en un balcón muy

cerca de las Casas del Parlamento, la sede de los partidos Laborista y Conservador, y
la Agencia Nacional contra el Crimen. En treinta minutos, un total de 250 personas se
conectaron al punto de acceso gratuito experimental. La mayoría de estas eran
conexiones automáticas realizadas por cualquier dispositivo que se estuviera utilizando.
Machine Translated by Google

En otras palabras, los usuarios no eligieron conscientemente la red: el dispositivo lo hizo

por ellos.
Un par de problemas aquí. Primero veamos cómo y por qué sus dispositivos móviles
se unen automáticamente a una red Wi-Fi.
Tu PC tradicional y todos tus dispositivos móviles recuerdan tus últimas conexiones
Wi-Fi, tanto públicas como privadas. Esto es bueno porque le ahorra la molestia de volver
a identificar continuamente un punto de acceso Wi-Fi de uso frecuente, como su hogar u
oficina. Esto también es malo porque si entras en un café nuevo, un lugar en el que
nunca has estado antes, es posible que de repente descubras que tienes conectividad
inalámbrica allí. ¿Por qué es eso malo?
Porque es posible que esté conectado a algo que no sea la red inalámbrica de la cafetería.

Es probable que su dispositivo móvil haya detectado un punto de acceso que coincida
con un perfil que ya se encuentra en su lista de conexiones más reciente. Es posible que
sienta algo extraño acerca de la conveniencia de conectarse automáticamente a Wi Fi
en un lugar en el que nunca ha estado antes, pero también puede estar en medio de un
juego de disparos en primera persona y no quiere pensar mucho más allá de eso.
¿Cómo funciona la conexión Wi-Fi automática? Como expliqué en el último capítulo,
tal vez tenga el servicio de Internet de Comcast en su hogar y, si lo tiene, también podría
tener un SSID público gratuito y no encriptado llamado Xfinity como parte de su plan de
servicio. Es posible que su dispositivo habilitado para Wi-Fi se haya conectado a él una
vez en el pasado.3 Pero, ¿cómo sabe que el tipo con una computadora portátil en la
mesa de la esquina no está transmitiendo un punto de acceso inalámbrico falsificado
llamado Xfinity?
Digamos que estás conectado a ese tipo sombrío en la esquina y no a la red
inalámbrica de la cafetería. En primer lugar, aún podrá navegar por la red. Para que
puedas seguir jugando tu juego. Sin embargo, cada paquete de datos no cifrados que
envíe y reciba a través de Internet será visible para este personaje sombrío a través del
punto de acceso inalámbrico de su computadora portátil falsificado.
Si se ha tomado la molestia de configurar un punto de acceso inalámbrico falso,
probablemente esté capturando esos paquetes con una aplicación gratuita como Wireshark.
Utilizo esta aplicación en mi trabajo como pen tester. Me permite ver la actividad de la
red que ocurre a mi alrededor. Puedo ver las direcciones IP de los sitios a los que se
conectan las personas y cuánto tiempo están visitando esos sitios. Si la conexión no está
encriptada, es legal interceptar el tráfico porque es
Machine Translated by Google

generalmente disponible para el público. Por ejemplo, como administrador de TI, me

gustaría saber la actividad en mi red.
Tal vez el tipo sombrío en la esquina solo esté olfateando, viendo a dónde vas y no
influyendo en el tráfico. O tal vez esté influyendo activamente en su tráfico de Internet. Esto
serviría para múltiples propósitos.
Tal vez esté redirigiendo su conexión a un proxy que implanta un registrador de teclas
javascript en su navegador para que cuando visite Amazon, sus pulsaciones de teclas sean
capturadas mientras interactúa con el sitio. Tal vez le paguen para recopilar sus
credenciales: su nombre de usuario y contraseña. Recuerde que su tarjeta de crédito puede
estar asociada con Amazon y otros minoristas.
Al dar mi discurso de apertura, doy una demostración que muestra cómo puedo
interceptar el nombre de usuario y la contraseña de una víctima cuando accede a sitios
una vez que él o ella está conectado a mi punto de acceso falsificado. Debido a que estoy
sentado en medio de la interacción entre la víctima y el sitio web, puedo inyectar JavaScript
y hacer que aparezcan actualizaciones falsas de Adobe en su pantalla, las cuales, si se
instalan, infectarán la computadora de la víctima con malware.
El propósito generalmente es engañarlo para que instale la actualización falsa para obtener
el control de su computadora.
Cuando el tipo en la mesa de la esquina está influyendo en el tráfico de Internet, eso
se llama un ataque man-in-the-middle. El atacante está enviando sus paquetes al sitio real,
pero interceptando o inyectando datos en el camino.
Sabiendo que podría conectarse involuntariamente a un punto de acceso Wi-Fi dudoso,
¿cómo puede evitarlo? En una computadora portátil, el dispositivo realizará el proceso de
búsqueda de una red inalámbrica preferida y luego se conectará a ella.
Pero algunas computadoras portátiles y dispositivos móviles eligen automáticamente a qué
red unirse. Esto fue diseñado para hacer que el proceso de llevar su dispositivo móvil de
un lugar a otro sea lo menos doloroso posible. Pero como mencioné, hay desventajas en
esta conveniencia.
Según Apple, sus diversos productos se conectarán automáticamente a
redes en este orden de preferencia:

1. la red privada a la que se unió el dispositivo más recientemente,

2. otra red privada y 3. una red de punto de acceso.
Machine Translated by Google

Las computadoras portátiles, afortunadamente, brindan los medios para eliminar las
conexiones Wi-Fi obsoletas, por ejemplo, el Wi-Fi de ese hotel al que se conectó el verano
pasado en un viaje de negocios. En una computadora portátil con Windows, puede
desmarcar el campo "Conectar automáticamente" junto al nombre de la red antes de
conectarse. O diríjase a Panel de control> Centro de redes y recursos compartidos y haga
clic en el nombre de la red. Haga clic en "Propiedades inalámbricas", luego desmarque
"Conectar automáticamente cuando esta red esté dentro del alcance". En una Mac, diríjase
a Preferencias del sistema, vaya a Red, resalte Wi-Fi en el panel de la izquierda y haga clic en "Avanzado"
Luego desmarque "Recordar redes a las que se ha unido esta computadora". También
puede eliminar redes individualmente seleccionando el nombre y presionando el botón
menos debajo de él.
Los dispositivos Android e iOS también tienen instrucciones para eliminar las
conexiones Wi-Fi utilizadas anteriormente. En un iPhone o iPod, vaya a su configuración,
seleccione "Wi-Fi", haga clic en el ícono "i" junto al nombre de la red y elija "Olvidar esta
red". En un teléfono Android, puede acceder a su configuración, elegir "Wi-Fi", mantener
presionado el nombre de la red y seleccionar "Olvidar red".
En serio, si realmente tiene algo delicado que hacer fuera de su casa, le recomiendo
usar la conexión celular en su dispositivo móvil en lugar de usar la red inalámbrica en el
aeropuerto o en la cafetería.
También puede conectarse a su dispositivo móvil personal mediante USB, Bluetooth o Wi-
Fi. Si usa Wi-Fi, asegúrese de configurar la seguridad WPA2 como se mencionó
anteriormente. La otra opción es comprar un punto de acceso portátil para usar cuando
viaja. Tenga en cuenta también que esto no lo hará invisible, pero es una mejor alternativa
que usar Wi-Fi público. Pero si necesita proteger su privacidad del operador móvil, por
ejemplo, para descargar una hoja de cálculo confidencial, le sugiero que use HTTPS
Everywhere o un Protocolo seguro de transferencia de archivos (SFTP). SFTP es
compatible con la aplicación Transmit en Mac y la aplicación Tunnelier en Windows.

Una red privada virtual (VPN) es un "túnel" seguro que extiende una red privada (desde su
hogar, oficina o un proveedor de servicios VPN) a su dispositivo en una red pública. Puede
buscar proveedores de VPN en Google y comprar el servicio por aproximadamente $60 al
año. No se puede confiar en la red que encontrará en la cafetería local o en el aeropuerto
o en otros lugares públicos, es pública. Pero al usar una VPN puede hacer un túnel a
través del público
Machine Translated by Google

red a una red privada y segura. Todo lo que hace dentro de la VPN está protegido
por encriptación, ya que todo su tráfico de Internet ahora está protegido en la red
pública. Por eso es importante utilizar un proveedor de VPN en el que pueda
confiar: puede ver su tráfico de Internet. Cuando usa una VPN en la cafetería, el
tipo incompleto en la esquina solo puede ver que se ha conectado a un servidor
VPN y nada más: sus actividades y los sitios que visita están completamente
ocultos detrás de un cifrado difícil de descifrar.
Sin embargo, aún tocará Internet con una dirección IP que se puede rastrear
directamente hacia usted, en este caso, la dirección IP de su hogar u oficina. Así
que todavía no eres invisible, incluso usando una VPN. No lo olvide: su proveedor
de VPN conoce su dirección IP de origen. Más adelante discutiremos cómo hacer
que esta conexión sea invisible (ver aquí).
Muchas empresas proporcionan VPN para sus empleados, lo que les permite
conectarse desde una red pública (es decir, Internet) a una red corporativa interna
privada. Pero ¿qué pasa con el resto de nosotros?
Hay muchas VPN comerciales disponibles. Pero, ¿cómo saber si confiar en
ellos? La tecnología VPN subyacente, IPsec (seguridad del protocolo de Internet),
incluye automáticamente PFS (secreto directo perfecto; consulte aquí), pero no
todos los servicios, incluso los corporativos, se molestan en configurarlo. OpenVPN,
un proyecto de código abierto, incluye PFS, por lo que puede inferir que cuando un
producto dice que usa OpenVPN, también usa PFS, pero no siempre es así. Es
posible que el producto no tenga OpenVPN configurado correctamente. Asegúrese
de que el servicio incluya específicamente PFS.
Una desventaja es que las VPN son más costosas que los proxies.4 Y, dado
que las VPN comerciales son compartidas, también pueden ser lentas o, en algunos
casos, simplemente no puede obtener una VPN disponible para su uso personal y
tendrá que esperar hasta que una. se vuelve disponible. Otra molestia es que, en
algunos casos, Google mostrará una solicitud de CAPTCHA (que te pide que
escribas los caracteres que ves en la pantalla) antes de que puedas usar su motor
de búsqueda porque quiere asegurarse de que eres un humano y no un bot. .
Finalmente, si su proveedor particular de VPN mantiene registros, lea la política de
privacidad para asegurarse de que el servicio no retenga su tráfico o registros de
conexión, incluso encriptados, y que no haga que los datos sean fáciles de compartir
con las fuerzas del orden. Puede averiguarlo en los términos de servicio y la política
de privacidad. Si pueden reportar actividades a las fuerzas del orden público, entonces sí registran
Machine Translated by Google

Conexiones VPN.
Los pasajeros de líneas aéreas que usan un servicio de Internet en el aire como
GoGo corren el mismo riesgo que cuando se conectan en línea mientras están sentados
en un Starbucks o en la sala del aeropuerto, y las VPN no siempre son excelentes
soluciones. Debido a que quieren evitar Skype u otras aplicaciones de llamadas de voz,
GoGo y otros servicios en el aire aceleran los paquetes UDP, lo que hará que la mayoría
de los servicios VPN sean muy lentos, ya que UDP es el protocolo más utilizado de
manera predeterminada. Sin embargo, elegir un servicio VPN que use el protocolo TCP
en lugar de UDP, como TorGuard o ExpressVPN, puede mejorar mucho el rendimiento.
Ambos servicios de VPN permiten al usuario configurar TCP o UDP como su protocolo preferido.
Otra consideración con una VPN es su política de privacidad. Ya sea que use una
VPN comercial o una proporcionada por una empresa, su tráfico viaja a través de su red,
por lo que es importante usar https para que el proveedor de VPN no pueda ver el
contenido de sus comunicaciones.5 Si trabaja en una oficina, lo más probable es que su
empresa proporcione una VPN para que pueda trabajar de forma remota. Dentro de
una aplicación en su PC tradicional, ingresa su nombre de usuario y contraseña (algo
que sabe). La aplicación también contiene un certificado de identificación colocado allí
por su departamento de TI (algo que ya tiene), o puede enviarle un mensaje de texto al
teléfono emitido por su empresa (algo que también tiene). La aplicación puede emplear
las tres técnicas en lo que se conoce como autenticación multifactor.

Ahora puede sentarse en un Starbucks o en el salón de un aeropuerto y hacer

negocios como si estuviera usando un servicio privado de Internet. Sin embargo, no debe
realizar negocios personales, como banca remota, a menos que la sesión real esté
encriptada con la extensión HTTPS Everywhere.
La única forma de confiar en un proveedor de VPN es ser anónimo desde el principio.
Si realmente quiere ser completamente anónimo, nunca use una conexión a Internet que
pueda estar vinculada a usted (es decir, una que se origine en su hogar, oficina, casas
de amigos, una habitación de hotel reservada a su nombre o cualquier otra cosa
conectada a usted) . Me atraparon cuando el FBI rastreó la señal de un teléfono celular
hasta mi escondite en Raleigh, Carolina del Norte, en la década de 1990.
Por lo tanto, nunca acceda a información personal utilizando un dispositivo grabador en
el mismo lugar si está tratando de evitar las autoridades gubernamentales. Todo lo que
haga en el dispositivo de grabación debe estar completamente separado para permanecer
invisible. Lo que significa que no se pueden vincular metadatos del dispositivo
Machine Translated by Google

tu verdadera identidad.
También puede instalar una VPN en su dispositivo móvil. Apple brinda instrucciones para
hacerlo,6 y también puede encontrar instrucciones para dispositivos Android.7 Si ha seguido mis
consejos en el libro hasta ahora, probablemente le irá mucho mejor que al ciudadano promedio. La

mayor parte de su uso de Internet probablemente estará a salvo de espionaje o manipulación

por parte de un atacante.

También lo harán tus redes sociales. Facebook usa https para todas sus sesiones.
¿Revisando tu correo electrónico? Google también ha cambiado a https solamente.
Le siguieron la mayoría de los servicios de correo web, al igual que la mayoría de los principales
servicios de mensajería instantánea. De hecho, la mayoría de los sitios principales (Amazon, eBay,
Dropbox) ahora usan https.
Para ser invisible, siempre es mejor proteger tu privacidad. Su riesgo de que otros vean su
tráfico en una red pública disminuye con cada capa adicional de seguridad que emplea. Por ejemplo,
desde una red Wi-Fi pública, acceda a su servicio VPN de pago y, a continuación, acceda a Tor con
la extensión HTTPS Everywhere instalada de forma predeterminada en el navegador Firefox.

Luego, todo lo que haga en línea estará encriptado y será difícil de rastrear.

Digamos que solo desea consultar el clima y no hacer nada financiero o personal, y está utilizando
su propia computadora portátil personal fuera de su red doméstica, eso debería ser seguro, ¿verdad?
Una vez más, no realmente. Hay algunas precauciones que aún debe tomar.
Machine Translated by Google

Primero, apague el Wi-Fi. En serio. Muchas personas dejan el Wi-Fi encendido en sus
computadoras portátiles incluso cuando no lo necesitan. Según los documentos publicados por
Edward Snowden, el Establecimiento de Seguridad de las Comunicaciones de Canadá (CSEC)
puede identificar a los viajeros que pasan por los aeropuertos canadienses simplemente
capturando sus direcciones MAC. Estos pueden ser leídos por cualquier computadora que esté
buscando cualquier solicitud de sonda enviada desde dispositivos inalámbricos. Incluso si no se
conecta, se puede capturar la dirección MAC. Entonces, si no lo necesita, apague su Wi-Fi.8
Como hemos visto, la conveniencia a menudo va en contra de la privacidad y la seguridad.

Hasta ahora hemos eludido un tema importante: su dirección MAC. Esto es exclusivo de
cualquier dispositivo que esté utilizando. Y no es permanente; Tú puedes cambiarlo.

Dejame darte un ejemplo.

En el segundo capítulo, le hablé sobre cómo encriptar su correo electrónico usando PGP
(Pretty Good Privacy; vea aquí). Pero, ¿qué pasa si no quiere pasar por la molestia, o qué pasa
si el destinatario no tiene una clave PGP pública para que la use? Hay otra forma clandestina
de intercambiar mensajes por correo electrónico: usar la carpeta de borradores en una cuenta
de correo electrónico compartida.
Así intercambió información el ex director de la CIA, el general David Petraeus, con su
amante, Paula Broadwell, su biógrafa. El escándalo se desató después de que Petraeus
terminara la relación y notara que alguien había estado enviando correos electrónicos
amenazantes a un amigo suyo. Cuando el FBI investigó, descubrió no solo que las amenazas
procedían de Broadwell, sino que también había estado dejando mensajes románticos para
Petraeus.9 Lo interesante es que los mensajes entre Broadwell y Petraeus no se transmitieron
sino que se dejaron en la carpeta de borradores de la cuenta de correo electrónico “anónima”.
En este escenario, el correo electrónico no pasa por otros servidores en un intento de llegar
al destinatario. Hay menos oportunidades para las intercepciones. Y si alguien obtiene acceso
a la cuenta más adelante, no habrá evidencia si elimina los correos electrónicos y vacía la
papelera de antemano.

Broadwell también inició sesión en su cuenta de correo electrónico "anónimo" usando una
computadora dedicada. No se comunicó con el sitio de correo electrónico desde la IP de su casa.
Machine Translated by Google

Dirección. Eso hubiera sido demasiado obvio. En cambio, fue a varios hoteles para realizar
sus comunicaciones.
Aunque Broadwell se había esforzado mucho por esconderse, ella todavía no era
invisible. Según el New York Times, “debido a que la cuenta del remitente se había registrado
de forma anónima, los investigadores tuvieron que usar técnicas forenses, incluida una
verificación de a qué otras cuentas de correo electrónico se había accedido desde la misma
dirección de computadora, para identificar quién estaba escribiendo el correo electrónico.
-mails.”10 Los proveedores de correo electrónico como Google, Yahoo y Microsoft conservan
registros de inicio de sesión durante más de un año, y estos revelan las direcciones IP
particulares desde las que se ha conectado un consumidor. Por ejemplo, si usó una red Wi-
Fi pública en Starbucks, la dirección IP revelaría la ubicación física de la tienda. En la
actualidad, los Estados Unidos permiten que las agencias encargadas de hacer cumplir la
ley obtengan estos registros de inicio de sesión de los proveedores de correo electrónico
con una mera citación, sin necesidad de un juez.

Eso significa que los investigadores tenían la ubicación física de cada dirección IP que
se comunicó con esa cuenta de correo electrónico en particular y luego pudieron hacer
coincidir la dirección MAC del dispositivo de Broadwell en el registro de conexión del
enrutador en esas ubicaciones.11 Con la autoridad total del FBI detrás de ellos (esto fue un
gran problema, porque Petraeus era el director de la CIA en ese momento), los agentes
pudieron buscar todos los archivos de registro del enrutador para cada hotel y ver cuándo
aparecía la dirección MAC de Broadwell en los archivos de registro del hotel. Además,
pudieron demostrar que en las fechas en cuestión Broadwell era un invitado registrado. Los
investigadores notaron que mientras ella iniciaba sesión en estas cuentas de correo
electrónico, en realidad nunca envió un correo electrónico.

Cuando se conecta a una red inalámbrica, el equipo de red inalámbrica registra

automáticamente la dirección MAC de su computadora.
Su dirección MAC es similar a un número de serie asignado a su tarjeta de red. Para ser
invisible, antes de conectarse a cualquier red inalámbrica, debe cambiar su dirección MAC a
una que no esté asociada con usted.
Para permanecer invisible, la dirección MAC debe cambiarse cada vez que se conecta
a la red inalámbrica para que sus sesiones de Internet no se puedan correlacionar fácilmente
con usted. También es importante no acceder a ninguna de sus cuentas personales en línea
durante este proceso, ya que puede comprometer su anonimato.
Machine Translated by Google

Las instrucciones para cambiar su dirección MAC varían con cada sistema operativo, es decir,

Windows, Mac OS, Linux, incluso Android e iOS.12 Cada vez que se conecte a una red pública (o
privada), es posible que desee recordar cambiar su dirección MAC. . Después de un reinicio, vuelve la
dirección MAC original.

Supongamos que no tiene una computadora portátil y no tiene más remedio que usar una terminal de
computadora pública, ya sea en una cafetería, una biblioteca o incluso en un centro de negocios en un
hotel de lujo. Que puedes hacer para protegerte?
Cuando voy de campamento, observo la regla de “no dejar rastro”, es decir, el lugar del campamento
debe tener el mismo aspecto que tenía cuando llegué por primera vez. Lo mismo ocurre con los terminales
de PC públicos. Después de que te vayas, nadie debería saber que estuviste allí.

Esto es especialmente cierto en las ferias comerciales. Un año estuve en el Consumer Electronics
Show anual y vi un banco de PC públicas dispuestas para que los asistentes pudieran revisar su correo
electrónico mientras caminaban por el piso de la convención. Incluso vi esto en la conferencia anual RSA
sobre seguridad, en San Francisco. Tener una fila de terminales genéricos en público es una mala idea
por varias razones.

Uno, estas son computadoras alquiladas, reutilizadas de un evento a otro. Que puede
ser limpiado, el sistema operativo reinstalado, pero, de nuevo, es posible que no sea así.
Dos, tienden a ejecutar derechos de administrador, lo que significa que el asistente a la conferencia
puede instalar cualquier software que desee. Esto incluye malware como keyloggers, que pueden
almacenar su nombre de usuario y contraseña. En el negocio de la seguridad, hablamos del principio de
"privilegio mínimo", lo que significa que una máquina otorga a un usuario solo los privilegios mínimos que
necesita para realizar el trabajo. Iniciar sesión en un terminal público con privilegios de administrador del
sistema, que es la posición predeterminada en algunos terminales públicos, viola el principio de privilegio
mínimo y solo aumenta el riesgo de que esté utilizando un dispositivo previamente infectado con malware.
La única solución es estar seguro de que está utilizando una cuenta de invitado, con privilegios limitados,
lo que la mayoría de la gente no sabrá cómo hacer.

En general recomiendo no confiar nunca en un terminal PC público. Suponga que la persona que lo
usó por última vez instaló malware, ya sea consciente o
Machine Translated by Google

inconscientemente. Si inicia sesión en Gmail en una terminal pública y hay un

registrador de teclas en esa terminal pública, algún tercero remoto ahora tiene su
nombre de usuario y contraseña. Si inicia sesión en su banco, olvídelo. Recuerde,
debe habilitar 2FA en cada sitio al que acceda para que un atacante armado con
su nombre de usuario y contraseña no pueda hacerse pasar por usted. La
autenticación de dos factores mitigará en gran medida las posibilidades de que su
cuenta sea pirateada si alguien obtiene conocimiento de su nombre de usuario y contraseña.
Me asombra la cantidad de personas que usan quioscos públicos en
conferencias basadas en computadoras como CES y RSA. En pocas palabras, si
está en una feria comercial, use su teléfono celular o tableta, su punto de acceso
personal (consulte aquí) o espere hasta que regrese a su habitación.
Si tiene que usar Internet fuera de su hogar u oficina, use su teléfono inteligente.
Si es absolutamente necesario utilizar una terminal pública, no inicie sesión en
ninguna cuenta personal, ni siquiera en el correo web. Si está buscando un
restaurante, por ejemplo, acceda solo a aquellos sitios web que no requieren
autenticación, como Yelp. Si usa una terminal pública de manera semirregular,
configure una cuenta de correo electrónico para usar solo en terminales públicas y
solo reenvíe correos electrónicos desde sus cuentas legítimas a esta dirección
"desechable" cuando esté de viaje. Deja de reenviar una vez que regreses a casa.
Esto minimiza la información que se puede encontrar en esa dirección de correo
electrónico.
Luego, asegúrese de que los sitios a los que accede desde la terminal pública
tengan https en la URL. Si no ve https (o si lo ve pero sospecha que alguien lo ha
puesto allí para darle una falsa sensación de seguridad), quizás debería reconsiderar
el acceso a información confidencial desde esta terminal pública.

Digamos que obtienes una URL https legítima. Si está en una página de inicio
de sesión, busque un cuadro que diga "Mantenerme conectado". Desmarque eso.
La razón es clara: esta no es tu PC personal. Es compartido por otros. Al
mantenerse conectado, está creando una cookie en esa máquina. No querrá que
la siguiente persona en la terminal vea su correo electrónico o pueda enviar correos
electrónicos desde su dirección, ¿verdad?
Como se indicó, no inicie sesión en sitios financieros o médicos desde una
terminal pública. Si inicia sesión en un sitio (ya sea Gmail u otro), asegúrese de
cerrar la sesión cuando haya terminado y tal vez considere cambiar su contraseña
desde su propia computadora o dispositivo móvil después solo para estar seguro.
Machine Translated by Google

seguro. Es posible que no siempre cierre la sesión de sus cuentas en casa, pero siempre
debe hacerlo cuando use la computadora de otra persona.
Después de enviar su correo electrónico (o mirar lo que quiera mirar) y cerrar la
sesión, intente borrar el historial del navegador para que la siguiente persona no pueda
ver dónde ha estado. También elimine las cookies si puede. Y asegúrese de no descargar
archivos personales a la computadora. Si lo hace, intente eliminar el archivo o los
archivos del escritorio o de la carpeta de descargas cuando haya terminado.

Desafortunadamente, sin embargo, solo borrar el archivo no es suficiente. A

continuación, deberá vaciar la papelera. Eso todavía no elimina por completo las cosas
eliminadas de la computadora. Puedo recuperar el archivo después de que te vayas si quiero.
Afortunadamente, la mayoría de las personas no tienen la capacidad de hacer eso y, por
lo general, bastará con borrar y vaciar la papelera.
Todos estos pasos son necesarios para ser invisible en un terminal público.
Machine Translated by Google

CAPÍTULO NUEVE

¿No tienes privacidad? ¡Superalo!

En algún momento durante el tiempo que el antiguo software antivirus

El creador John McAfee pasó como fugitivo de las autoridades en Belice, comenzó un
blog. Créeme: si estás tratando de salirte de la red y desaparecer por completo, no
quieres comenzar un blog. Por un lado, estás obligado a cometer un error.

McAfee es un hombre inteligente. Hizo su fortuna en los primeros días de Silicon

Valley al ser pionero en la investigación antivirus. Luego vendió su empresa, vendió todos
sus activos en Estados Unidos y durante unos cuatro años, de 2008 a 2012, vivió en
Belice, en una propiedad privada frente a la costa. Hacia el final de ese período, el
gobierno de Belice lo tenía bajo vigilancia casi constante, allanando su propiedad y
acusándolo de formar un ejército privado además de dedicarse al narcotráfico.

McAfee negó haber hecho ninguno de los dos. Afirmó que estaba luchando contra los
capos de la droga en la isla. Dijo, por ejemplo, que había ofrecido un televisor de pantalla
plana a un traficante de marihuana de poca monta con la condición de que dejara de
traficar. Y era conocido por detener autos que sospechaba que transportaban traficantes
de drogas.1 De hecho, McAfee tenía un laboratorio de drogas, pero no necesariamente
para drogas recreativas. Afirmó que estaba creando una nueva generación de
medicamentos "útiles".
De ahí su creciente sospecha de que los coches llenos de hombres blancos fuera de su
propiedad eran espías de empresas farmacéuticas como
Machine Translated by Google

GlaxoSmithKline. Afirmó además que los allanamientos de la policía local fueron instigados por
estas mismas empresas farmacéuticas.
Custodiando su propiedad había varios hombres armados y once perros. Un vecino dos casas
al sur, Greg Faull, se quejaba regularmente a las autoridades de los perros que ladraban a altas
horas de la noche. Luego, una noche de noviembre de 2012, algunos de los perros de McAfee
fueron envenenados. Y más tarde esa misma semana, Faull recibió un disparo y lo encontraron
boca abajo en un charco de sangre en su casa.
Las autoridades de Belice, naturalmente, consideraron a McAfee una persona de interés en su
investigación. Como relata McAfee en su blog, cuando su ama de llaves le dijo que la policía quería
hablar con él, se escondió.
Se convirtió en un fugitivo.
Pero no fue el blog lo que finalmente llevó a las fuerzas del orden a McAfee. era una foto Y ni
siquiera era suyo.
Un investigador de seguridad llamado Mark Loveless (más conocido en los círculos de
seguridad como Simple Nomad) notó una foto de McAfee publicada en Twitter por la revista Vice a
principios de diciembre de 2012. La foto mostraba al editor de Vice de pie junto a McAfee en un
lugar tropical, tal vez en Belice. , tal vez en otro lugar.

Loveless sabía que las fotos digitales capturan mucha información sobre cuándo, dónde y
cómo se toman, y quería ver qué información digital podría contener esta foto. Las fotos digitales
almacenan lo que se conoce como archivo de imagen intercambiable o datos EXIF. Estos son
metadatos fotográficos y contienen detalles mundanos como la cantidad de saturación de color en
la imagen para que la foto se pueda reproducir con precisión en una pantalla o en una impresora.

También puede, si la cámara está equipada para ello, incluir la longitud y latitud exactas del lugar
donde se tomó la foto.

Aparentemente, la foto de McAfee con el editor de la revista Vice fue tomada con la cámara de
un iPhone 4S. Algunos teléfonos celulares se envían con la geolocalización habilitada
automáticamente. Loveless tuvo suerte: la imagen publicada en el archivo en línea incluía la
geolocalización exacta de John McAfee, quien resultó estar en la vecina Guatemala.

En un blog posterior, McAfee dijo que falsificó los datos, pero eso parece poco probable. Más
tarde dijo que tenía la intención de revelar su ubicación. Lo más probable es que se haya vuelto
perezoso.
Para resumir, la policía guatemalteca detuvo a McAfee y no lo dejó salir del país. Luego sufrió
un problema de salud, fue
Machine Translated by Google

hospitalizado y finalmente se le permitió regresar a los Estados Unidos.

El asesinato de Greg Faull sigue sin resolverse. McAfee ahora vive en Tennessee, y en
2015 decidió postularse para presidente para abogar por políticas más cibernéticas en el
gobierno de EE. UU. Él no bloguea tan a menudo hoy en día.

Digamos que usted es un joven yihadista ambicioso y está orgulloso de ser enviado a un cuartel
general militar recientemente establecido de Daesh o ISIL.
¿Qué es lo primero que haces? Sacas tu celular y te tomas una selfie. Peor aún, además de la
foto tuya y de tu nueva excavación, publicas algunas palabras sobre el sofisticado equipo
disponible en esta instalación en particular.

A medio mundo de distancia, los aviadores de reconocimiento en el Campo Hurlburt de

Florida están revisando las redes sociales y ven la foto. “Tenemos una entrada”, dice uno de ellos.
Efectivamente, unas horas más tarde, tres JDAM (municiones conjuntas de ataque directo)
destruyen ese nuevo y reluciente edificio militar.2 Todo gracias a una selfie.3
No siempre consideramos qué más hay dentro del marco de una selfie que acabamos de
tomar. En cine y teatro esto se llama mise-en-scène, traducido aproximadamente del francés
como “lo que hay en la escena”. Su imagen puede mostrar el horizonte de una ciudad llena de
gente, incluida la Torre de la Libertad, fuera de la ventana de su apartamento. Incluso una foto
tuya en un entorno rural, tal vez una pradera que se extiende hasta el horizonte plano, me brinda
información valiosa sobre dónde vives. Estas imágenes brindan pequeñas pistas de ubicación
que pueden alertar a alguien que está ansioso por encontrarlo.

En el caso del joven yihadista, lo que había en el lugar era un cuartel militar.

Incrustados en los metadatos de la selfie estaban la longitud y latitud precisas, o

geolocalización, del lugar donde se tomó la foto. El general Hawk Carlisle, jefe del Comando de
Combate Aéreo de EE. UU., estimó que transcurrieron solo veinticuatro horas desde el momento
en que se publicó por primera vez la selfie en las redes sociales hasta la destrucción total de ese
cuartel general.
Ciertamente, los metadatos dentro de sus archivos de imagen se pueden usar para ubicarlo.
Los datos EXIF en una imagen digital contienen, entre otras cosas, la fecha y la hora en que se
tomó la foto, la marca y el número de modelo de la cámara y, si tiene la geolocalización activada
en el dispositivo que toma la foto, la
Machine Translated by Google

longitud y latitud del lugar donde tomó la imagen. Es esta información, dentro del
archivo, que el ejército estadounidense usó para encontrar la sede de Daesh en
el desierto, al igual que Mark Loveless usó datos EXIF para identificar la ubicación
de John McAfee. Cualquiera puede usar esta herramienta (es nativa en el
inspector de archivos en Apple OSX y en herramientas descargables como FOCA
para Windows y Metagoofil para Linux) para obtener acceso a los metadatos
almacenados en fotos y documentos.
A veces no es una foto sino una aplicación la que te da tu lugar. En el verano
de 2015, el capo de la droga Joaquín “El Chapo” Guzmán escapó de una prisión
mexicana e inmediatamente se desconectó. ¿O lo hizo?
Dos meses después de su fuga, de la prisión de máxima seguridad del
Altiplano de México, el hijo de veintinueve años de El Chapo, Jesús Alfredo
Guzmán Salazar, publicó una imagen en Twitter. Aunque los dos hombres
sentados a la mesa con Salazar están oscurecidos por emoticonos, la constitución
del hombre de la izquierda tiene un gran parecido con El Chapo. Además, Salazar
subtituló la imagen: “Aquí agosto, ya sabes con quién”. El tuit también contenía
los datos de ubicación de Twitter—Costa Rica—lo que sugiere que el hijo de El
Chapo no desactivó la función de etiquetado automático en la aplicación para
teléfonos inteligentes de Twitter.4 Incluso si no tiene un convicto fugitivo en su
familia, debe tener en cuenta que La información digital y visual oculta (a
veces a simple vista) en sus fotos puede revelar mucho a alguien que no lo
conoce y puede volverse contra usted.

Las fotos en línea pueden hacer más que solo revelar su ubicación. Pueden,
junto con ciertos programas de software, revelar información personal sobre usted.

En 2011 Alessandro Acquisti, investigador de la Universidad Carnegie Mellon,

planteó una hipótesis simple: “Quería ver si era posible pasar de una cara en la
calle a un número de Seguro Social”, dijo. Y descubrió que sí era posible.5 Al
tomar una simple fotografía con una cámara web de un estudiante voluntario,
Acquisti y su equipo tenían suficiente información para obtener información
personal sobre esa persona.
Piénsalo. Puede tomar una foto de una persona en la calle y, utilizando un
software de reconocimiento facial, intentar identificar a esa persona.
Machine Translated by Google

Sin la confirmación de la identidad de esa persona, es posible que obtenga algunos

falsos positivos. Pero es probable que la mayoría de los "éxitos" revelen un nombre
más que otro.
“Hay una combinación de datos en línea y fuera de línea, y su rostro es el
conducto, el verdadero vínculo entre estos dos mundos”, dijo Acquisti a Threatpost.
“Creo que la lección es bastante sombría. Tenemos que enfrentar la realidad de que
nuestra propia noción de privacidad se está erosionando. Ya no eres privado en la
calle o en una multitud. La combinación de todas estas tecnologías desafía nuestra
expectativa biológica de privacidad”.
Para su estudio, Acquisti y otros detuvieron a los estudiantes en el campus de
Carnegie Mellon y les pidieron que completaran una encuesta en línea. La cámara
web de la computadora portátil tomó una foto de cada estudiante mientras realizaba
la encuesta, y la imagen se cotejó inmediatamente en línea con un software de
reconocimiento facial. Al final de cada encuesta, varias de las fotos recuperadas ya
habían aparecido en la pantalla. Acquisti dijo que el 42 por ciento de las fotos fueron
identificadas positivamente y vinculadas a los perfiles de Facebook de los estudiantes.

Si usa Facebook, quizás ya esté al tanto de su limitada tecnología de

reconocimiento facial. Cargue una foto en el sitio y Facebook intentará etiquetar a las
personas dentro de su red, personas con las que ya es amigo. Tienes cierto control
sobre esto. Al ingresar a la configuración de Facebook, puede solicitar que el sitio le
notifique cada vez que eso suceda y elija si desea ser identificado en la foto. También
puede optar por publicar la foto en su muro o línea de tiempo solo después de que se
le haya notificado, si es que lo hace.

Para hacer que las fotos etiquetadas sean invisibles en Facebook, abra su cuenta
y vaya a "Configuración de privacidad". Hay varias opciones, incluida la limitación de
las imágenes a su línea de tiempo personal. Aparte de eso, Facebook aún no ha
brindado una opción para evitar que las personas lo etiqueten sin permiso.
Empresas como Google y Apple también cuentan con tecnología de reconocimiento
facial integrada en algunas de sus aplicaciones, como Google Photo e iPhoto. Puede
valer la pena mirar los ajustes de configuración de esas aplicaciones y servicios para
que pueda limitar lo que la tecnología de reconocimiento facial puede hacer en cada
uno. Hasta ahora, Google se ha abstenido de incluir la tecnología de reconocimiento
facial en su función de búsqueda de imágenes (indicado por el pequeño ícono de
cámara que ve en la ventana de búsqueda de Google). Puede cargar una imagen existente,
Machine Translated by Google

y Google encontrará la imagen, pero no intentará encontrar otras fotos que muestren a la misma
persona o personas dentro de la imagen. Google ha dicho, en varias declaraciones públicas, que
permitir que las personas identifiquen a los extraños por el rostro "cruza la línea espeluznante".6

Aun así, algunos gobiernos represivos han hecho precisamente eso. Han tomado fotografías
de manifestantes en grandes mítines antigubernamentales y luego han puesto las imágenes en la
web. No se trata tanto de usar un software de reconocimiento de imágenes como de colaborar en
el proceso de identificación. Además, algunos estados de EE. UU. han utilizado las bases de
datos de fotografías de sus departamentos de vehículos motorizados para identificar sospechosos
en casos penales. Pero esas son operaciones sofisticadas basadas en el estado. ¿Qué podría
hacer un académico solitario?

Acquisti y sus colegas investigadores querían ver cuánta información derivada de imágenes
sobre una persona podía ser referenciada en línea. Para averiguarlo, utilizaron una tecnología de
reconocimiento facial llamada Pittsburgh Pattern Recognition, o PittPatt, ahora propiedad de
Google. Los algoritmos utilizados en PittPatt han sido autorizados a varias empresas de seguridad
e instituciones gubernamentales. Poco después de la adquisición, Google dejó constancia de sus
intenciones: “Como hemos dicho durante más de un año, no agregaremos el reconocimiento facial
a Google a menos que podamos encontrar un modelo de privacidad sólido para él. No lo hemos
resuelto”.7 Esperemos que la empresa cumpla su palabra.

En el momento de su investigación, Acquisti pudo usar PittPatt junto con imágenes de

Facebook extraídas de datos de lo que él y su equipo consideraban perfiles de búsqueda, es
decir, aquellos en los que los voluntarios de Carnegie Mellon ya habían publicado fotos de ellos
mismos junto con ciertos piezas de información personal. Luego aplicaron este conjunto de caras
conocidas a las caras "anónimas" en un popular sitio de citas en línea. Allí, los investigadores
descubrieron que podían identificar el 15 por ciento de estos rompecorazones digitales
supuestamente "anónimos".

Sin embargo, el experimento más espeluznante consistió en vincular la cara de una persona
con su número de Seguro Social. Para ello, Acquisti y su equipo buscaron perfiles de Facebook
que incluyeran la fecha y ciudad de nacimiento de la persona.
Anteriormente, en 2009, el mismo grupo de investigadores había demostrado que esta información
por sí sola era suficiente para permitirles obtener el número de Seguro Social de una persona (los
números de Seguro Social se emiten secuencialmente según la fórmula propia de cada estado, y
desde 1989 los SSN se emiten en o muy cerca
Machine Translated by Google

la fecha de nacimiento, lo que hace que sea aún más fácil adivinar los últimos cuatro dígitos
de una persona).8 Después de algunos cálculos iniciales, los investigadores enviaron
una encuesta de seguimiento a cada uno de sus estudiantes voluntarios de CMU
preguntando si los primeros cinco dígitos de su El número de Seguro Social según lo
predicho por su algoritmo era correcto. Y la mayoría de ellos lo eran.9

Apuesto a que hay algunas fotos que ahora no quieres en línea. Lo más probable es que no
pueda recuperarlos todos, incluso si pudiera eliminarlos de su sitio de redes sociales. Eso
es en parte porque una vez que publicas algo en una red social, es propiedad de esa red y
está fuera de tus manos. Y usted estuvo de acuerdo con esto en los términos del servicio.

Si usa la popular aplicación Google Photos, incluso eliminar una foto no significa
necesariamente que haya desaparecido. Los clientes han descubierto que las imágenes
siguen ahí incluso después de eliminar la aplicación de sus dispositivos móviles. ¿Por qué?
Porque una vez que la imagen llega a la nube, es independiente de la aplicación, lo que
significa que otras aplicaciones pueden tener acceso a ella y pueden continuar mostrando
la imagen que eliminó.10 Esto tiene consecuencias en el mundo real. Digamos que
publicaste una leyenda estúpida en una foto de alguien que ahora trabaja en la misma
empresa para la que estás solicitando trabajo. O publicaste una foto tuya con alguien que
no quieres que sepa tu cónyuge actual. Aunque puede ser su cuenta de red social personal,
son los datos de la red social .

Probablemente nunca se haya tomado la molestia de leer los términos de uso de ningún
sitio web donde publique sus datos personales, experiencias diarias, pensamientos,
opiniones, historias, quejas, quejas, etc., o donde compre, juegue, aprenda, e interactuar,
tal vez a diario o incluso cada hora. La mayoría de los sitios de redes sociales requieren que
los usuarios acepten términos y condiciones antes de utilizar sus servicios. De manera
controvertida, estos términos a menudo contienen cláusulas que permiten a los sitios
almacenar datos obtenidos de los usuarios e incluso compartirlos con terceros.

Facebook ha llamado la atención a lo largo de los años por sus políticas de

almacenamiento de datos, incluido el hecho de que el sitio dificulta la eliminación de una
cuenta. Y Facebook no está solo. Muchos sitios web tienen un lenguaje casi idéntico en sus
términos de uso que muy probablemente lo asustaría si hubiera leído los términos antes de
iniciar sesión. Aquí hay un ejemplo, de Facebook,
Machine Translated by Google

al 30 de enero de 2015:

Eres dueño de todo el contenido y la información que publicas en Facebook, y

puedes controlar cómo se comparte a través de la configuración de privacidad y de
la aplicación. Además:
1. Para el contenido que está cubierto por derechos de propiedad intelectual,
como fotos y videos (contenido IP), nos otorga específicamente el siguiente permiso,
sujeto a su configuración de privacidad y aplicación: nos otorga una licencia no
exclusiva, transferible y sublicenciable. , licencia mundial libre de regalías para usar
cualquier contenido de propiedad intelectual que publique en o en relación con
Facebook (licencia de propiedad intelectual). Esta Licencia de propiedad intelectual
finaliza cuando elimina su contenido de propiedad intelectual o su cuenta, a menos
que su contenido haya sido compartido con otros y no lo hayan eliminado.11

En otras palabras, la compañía de redes sociales tiene derecho a usar cualquier cosa
que publique en el sitio de la forma que desee. Incluso puede vender su imagen, sus
opiniones, su escritura o cualquier otra cosa que publique, ganando dinero con su
contribución sin pagarle un centavo. Puede usar sus comentarios publicados, críticas,
opiniones, calumnias, calumnias (si le gustan ese tipo de cosas) y los detalles más
personales que haya publicado sobre sus hijos, su jefe o su amante. Y no tiene que hacerlo
de forma anónima: si ha usado su nombre real, el sitio también puede usarlo.

Todo esto significa, entre otras cosas, que las imágenes que publicas en Facebook
pueden terminar en otros sitios. Para averiguar si hay fotos tuyas vergonzosas en el mundo,
puedes realizar lo que se llama una búsqueda inversa de imágenes en Google. Para hacer
esto, haga clic en la pequeña cámara dentro de la ventana de búsqueda de Google y cargue
cualquier foto de su disco duro. En unos minutos, verá cualquier copia de esa imagen que
se pueda encontrar en línea. En teoría, si es tu foto, debes conocer todos los sitios que
aparecen en los resultados. Sin embargo, si encuentra que alguien ha publicado su foto en
un sitio que no le gusta, tiene opciones limitadas.

Las búsquedas de imágenes inversas están limitadas por lo que ya se ha publicado. En

otras palabras, si hay una imagen similar en línea pero no exactamente la misma, Google
no la encontrará. Encontrará versiones recortadas de la imagen que buscó, pero en ese
caso los datos centrales, o suficientes, siguen siendo los mismos.
Machine Translated by Google

mismo.

Una vez, para mi cumpleaños, alguien intentó crear un sello con mi imagen. La empresa,
Stamps.com, tiene una política estricta contra el uso de imágenes de personas condenadas. Mi
imagen fue rechazada. Tal vez hicieron una búsqueda de imágenes en línea.

Yo estaba en una base de datos en algún lugar como Kevin Mitnick, condenado por un crimen.
Al año siguiente, mi amigo probó una foto anterior con un nombre diferente, una tomada antes
de que yo fuera conocido. Ella razonó que tal vez esta foto no se había subido a Internet. ¿Y adivina
qué? Funcionó. La segunda foto, que mostraba un yo mucho más joven, fue aprobada. Esto muestra
las limitaciones de las búsquedas de imágenes.

Dicho esto, si encuentra fotos suyas que preferiría no ver en línea, tiene algunas opciones.

Primero, póngase en contacto con el sitio. La mayoría de los sitios tienen una dirección de
correo electrónico “[email protected]”. También puede ponerse en contacto con el
webmaster del sitio en "[email protected]". Explique que es el propietario de la imagen y
que no da permiso para que se publique. La mayoría de los webmasters quitarán la imagen sin mucho
problema. Sin embargo, si lo necesita, puede presentar una solicitud de la Ley de derechos de autor
del milenio digital, o DMCA, enviando un correo electrónico a "[email protected]".

Ten cuidado. La tergiversación de una solicitud de DMCA puede causarle problemas, así que
busque asesoramiento legal si llega a este nivel. Si aún no puede eliminar la imagen, considere ir
hacia arriba y comunicarse con el ISP del sitio web (ya sea Comcast, GoDaddy u otra compañía). La
mayoría tomará en serio una solicitud legítima de DMCA.

Además de fotos, ¿qué más hay en tu perfil de redes sociales? No compartirías todo lo que hay que
saber sobre ti con la persona que está sentada a tu lado en el metro. De la misma manera, no es una
buena idea compartir demasiada información personal en sitios web impersonales. Nunca sabes
quién está mirando tu perfil. Y una vez que está ahí fuera, no puedes recuperarlo.

Piense detenidamente en lo que pone en su perfil: no tiene que llenar todos los espacios en blanco,
como la universidad a la que asistió (o incluso cuándo asistió). De hecho, complete la menor cantidad
de información posible.
También es posible que desee crear un perfil de redes sociales dedicado. no mientas,
Machine Translated by Google

ser deliberadamente vago con los hechos. Por ejemplo, si creciste en Atlanta, di que creciste
en el "sureste de los Estados Unidos" o simplemente "Soy del sur".

También puede crear un cumpleaños de "seguridad", un día que no sea su cumpleaños

real, para enmascarar aún más la información personal. Asegúrese de realizar un seguimiento
de sus cumpleaños de seguridad, ya que a veces se usan para verificar su identidad cuando
llama al soporte técnico o necesita volver a ingresar a un sitio después de haber sido
bloqueado.
Después de crear o modificar sus perfiles en línea, tómese unos minutos para ver las
opciones de privacidad en cada sitio. Por ejemplo, dentro de Facebook debe habilitar los
controles de privacidad, incluida la revisión de etiquetas. Desactive "Sugerir fotos mías a
amigos". Deshabilite "Los amigos pueden registrarme en lugares".
Los niños con cuentas de Facebook son quizás los más preocupantes. Tienden a llenar
cada casilla en blanco que pueden, incluso el estado de su relación. O revelan inocentemente
los nombres de las escuelas a las que asisten y los maestros que tienen, así como los
números de los autobuses en los que viajan cada mañana.
Si bien no necesariamente le dicen al mundo específicamente dónde viven, también podrían
hacerlo. Los padres deben hacerse amigos de sus hijos, monitorear lo que publican e,
idealmente, discutir con anticipación qué es aceptable y qué no.
Ser invisible no significa que no pueda compartir actualizaciones sobre su vida personal
de forma segura, sino que implica tanto el sentido común como visitar y revisar la configuración
de privacidad de los sitios de redes sociales que usa, porque las políticas de privacidad
cambian, y a veces no para el mejor. No muestres tu cumpleaños, ni siquiera tu cumpleaños
de seguridad, o al menos lo ocultes de los "amigos" de Facebook que no conoces
personalmente.
Considere una publicación que diga que la Sra. Sánchez es una gran maestra. Otra
publicación podría ser sobre una feria de artesanías en Alamo Elementary. En Google
podemos encontrar que la Sra. Sánchez enseña el quinto grado en Alamo Elementary, y a
partir de esto podemos suponer que el titular de la cuenta del estudiante tiene alrededor de diez años.
A pesar de las advertencias de Consumer Reports y otras organizaciones a aquellos que
publican información personal, la gente continúa informando todo en línea.
Recuerde que es perfectamente legal que vengan terceros y se lleven esa información una
vez que se haga pública.12 Recuerde también que nadie lo está obligando a publicar
información personal. Puedes publicar tanto o tan poco como quieras. En algunos casos
Machine Translated by Google

usted está obligado a completar algunos datos. Más allá de eso, usted decide cuánto
compartir es adecuado para usted. Debe determinar su propio nivel de privacidad personal
y comprender que cualquier información que proporcione no se puede recuperar.

Para ayudarlo a estar al tanto de todas las opciones que tiene, Facebook lanzó una
nueva herramienta de verificación de privacidad en mayo de 2015.13 A pesar de
herramientas como estas, casi trece millones de usuarios de Facebook en 2012 dijeron a
la revista Consumer Reports que nunca habían configurado o no No conozco las
herramientas de privacidad de Facebook. Y el 28 por ciento compartió todas, o casi todas,
sus publicaciones en el muro con una audiencia más amplia que solo sus amigos. Más
revelador es que el 25 por ciento de los entrevistados por Consumer Reports dijeron que
falsificaron información en sus perfiles para proteger su identidad, y esta cifra aumentó
del 10 por ciento en 2010.14 Al menos estamos aprendiendo.
Si bien tiene derecho a publicar información sobre usted que no sea estrictamente
precisa, tenga en cuenta que en California es ilegal publicar en línea como otra persona.
No puede hacerse pasar por otra persona viva. Y Facebook tiene una política que no te
permitirá crear una cuenta con un nombre falso.

En realidad, esto me pasó a mí. Facebook suspendió mi cuenta porque Facebook me

acusó de hacerme pasar por Kevin Mitnick. En ese momento había doce Kevin Mitnicks
en Facebook. La situación se solucionó cuando CNET publicó una historia sobre el
"verdadero" Kevin Mitnick que quedó fuera de Facebook.15 Sin embargo, existen muchas
razones por las que las personas podrían necesitar publicar con un nombre diferente. Si
es importante para usted, busque un servicio de redes sociales que le permita publicar
de forma anónima o con un nombre diferente.

Dichos sitios, sin embargo, no igualarán la amplitud y el alcance de Facebook.

Ten cuidado con quién eres amigo. Si has conocido a la persona cara a cara, bien. O
si la persona es amiga de alguien que conoces, tal vez. Pero si recibe una solicitud no
solicitada, piénselo detenidamente. Si bien puede dejar de ser amigo de esa persona en
cualquier momento, él o ella tendrán la oportunidad de ver todo su perfil, y solo se
necesitan unos segundos para que alguien con intenciones maliciosas interfiera en su
vida. La mejor recomendación es limitar toda la información personal que compartes en
Facebook, porque ha habido ataques muy personales, incluso entre amigos, a través de
sitios web de redes sociales. Y
Machine Translated by Google

los datos visibles para sus amigos pueden volver a ser publicados por ellos en otro lugar
sin su consentimiento o control.
Te daré un ejemplo. Una vez un tipo me quiso contratar porque era víctima de una
extorsión. Conoció a una chica increíble y hermosa en Facebook y comenzó a enviarle fotos
de él desnudo. Esto continuó por un tiempo.
Entonces, un día le dijeron que le enviara a esta mujer, que podría haber sido un tipo que
vivía en Nigeria usando la foto de una mujer, $4,000. Lo hizo, pero luego me contactó
después de que le pidieran que enviara otros $ 4,000 o sus fotos desnudas se enviarían a
todos sus amigos, incluidos sus padres, en Facebook. Estaba desesperado por arreglar
esta situación. Le dije que su única opción real era decirle a su familia o esperar y ver si el
extorsionador cumplió con la amenaza. Le dije que dejara de pagar el dinero; el extorsionador
no iba a renunciar mientras siguiera pagando.

Incluso las redes sociales legítimas pueden ser pirateadas: alguien podría ser tu amigo
solo para tener acceso a alguien que conoces. Un oficial de la ley podría estar buscando
información sobre una persona de interés que forma parte de su red social. Sucede.

Según Electronic Frontier Foundation, los investigadores federales han utilizado las
redes sociales para la vigilancia pasiva durante años. En 2011, la EFF publicó un curso de
capacitación de treinta y ocho páginas para empleados del IRS (obtenido a través de la Ley
de Libertad de Información) que, según la fundación, se usó para realizar investigaciones a
través de las redes sociales.16 Aunque los agentes federales no pueden pretender
legalmente ser alguien de lo contrario, pueden pedir legalmente ser tu amigo. Al hacerlo,
pueden ver todas sus publicaciones (según su configuración de privacidad), así como las
de otras personas en su red. La EFF continúa estudiando los problemas de privacidad
asociados con esta nueva forma de vigilancia policial.

A veces, las corporaciones te siguen, o al menos te controlan, si publicas o tuiteas algo que
encuentran objetable, algo tan inocente como un comentario sobre un examen que hiciste
en la escuela, por ejemplo. Para un estudiante, un tuit como ese causó muchos problemas.

Cuando Elizabeth C. Jewett, superintendente de la escuela secundaria regional

Watchung Hills, en Warren, Nueva Jersey, recibió una comunicación de la compañía de
pruebas que le proporcionó a su escuela un examen estatal,
Machine Translated by Google

su reacción fue de sorpresa más que de preocupación. Le sorprendió que Pearson

Education estuviera viendo la cuenta de Twitter de un estudiante en primer lugar. A los
menores se les da cierta privacidad y libertad de acción cuando se trata de lo que publican
en las redes sociales. Pero los estudiantes, ya sea que estén en la escuela intermedia, la
secundaria o la universidad, deben darse cuenta de que lo que hacen en línea es público
y está siendo observado. En este caso, uno de los estudiantes de Jewett supuestamente
tuiteó material de una prueba estandarizada.
De hecho, el estudiante había publicado una pregunta sobre una pregunta, no una
imagen de la página del examen, solo unas pocas palabras, en una prueba estatal de un
día realizada en Nueva Jersey, la Asociación para la Evaluación de la Preparación para
la Universidad y las Carreras, o PARCC, prueba. El tuit se publicó alrededor de las 3:00
p. m., mucho después de que los estudiantes del distrito hubieran tomado el examen.
Después de que el superintendente habló con uno de los padres del estudiante que
publicó el tuit, el estudiante lo eliminó. No hubo evidencia de engaño. El tuit, no revelado
al público, fue un comentario subjetivo en lugar de una solicitud de respuesta.

Pero la revelación sobre Pearson desconcertó a la gente. “El DOE [Departamento de

Educación] nos informó que Pearson está monitoreando todas las redes sociales durante
las pruebas PARCC”, escribió Jewett a sus colegas en un correo electrónico que un
columnista local hizo público sin su permiso. En ese correo electrónico, Jewett confirmó
que Pearson había identificado al menos tres casos más y los había pasado al DOE
estatal.
Si bien Pearson no está solo en el monitoreo de las redes sociales para detectar el
robo de propiedad intelectual, su comportamiento genera dudas. ¿Cómo, por ejemplo,
supo la empresa la identidad del estudiante involucrado a partir de su cuenta de Twitter?
En una declaración proporcionada al New York Times, Pearson dijo: “Una violación incluye
cada vez que alguien comparte información sobre una prueba fuera del aula, desde
conversaciones informales hasta publicaciones en las redes sociales. Una vez más,
nuestro objetivo es garantizar un examen justo para todos los estudiantes. Cada estudiante
merece su oportunidad de tomar el examen en igualdad de condiciones.”17
The Times dijo que confirmó a través de funcionarios en Massachusetts, que también
está administrando la prueba PARCC, que Pearson hace referencias cruzadas de tuits
sobre pruebas estandarizadas con listas de estudiantes que se han registrado para tomar
las pruebas. Sobre esto, Pearson se negó a comentar para el Times.
Durante años, el estado de California también monitoreó las redes sociales durante su
Machine Translated by Google

pruebas anuales de Pruebas e Informes Estandarizados (STAR). En 2013, el último año en

que se administraron las pruebas en todo el estado, el Departamento de Educación de
California identificó 242 escuelas cuyos estudiantes publicaron en las redes sociales durante
la administración de las pruebas, de las cuales solo dieciséis incluyeron publicaciones de
preguntas o respuestas de las pruebas.18
“El incidente destacó el grado en que los estudiantes están bajo vigilancia, tanto dentro
como fuera de los entornos escolares tradicionales”, dijo Elana Zeide, investigadora de
privacidad en el Instituto de Derecho de la Información de la Universidad de Nueva York. “Las
redes sociales generalmente se ven como un dominio separado de la escuela. Twitter parece
más un discurso 'fuera del campus', por lo que el monitoreo de Pearson se parece más a
espiar las conversaciones de los estudiantes en los vehículos compartidos que en los pasillos
de la escuela”.19
Sin embargo, continúa diciendo: “La conversación también debe pasar de centrarse en
los intereses y daños individuales a tener en cuenta las consecuencias más amplias de las
prácticas de información. Las escuelas y los proveedores deben dejar de descartar a los
padres como luditas simplemente porque no pueden articular un daño específico e inmediato
para su hijo. Los padres, a su vez, deben comprender que las escuelas no pueden ceder en
todas sus preferencias de privacidad porque también hay intereses colectivos en juego que
afectan a todo el sistema educativo”.

Twitter, con su icónico límite de 140 caracteres, se ha generalizado y recopila muchos

detalles aparentemente pequeños sobre nuestra vida diaria. Su política de privacidad reconoce
que recopila y retiene información personal a través de sus diversos sitios web, aplicaciones,
servicios de SMS, API (interfaces de programación de aplicaciones) y otros terceros. Cuando
las personas usan el servicio de Twitter, dan su consentimiento para la recopilación,
transferencia, almacenamiento, manipulación, divulgación y otros usos de esta información.
Para crear una cuenta de Twitter, se debe proporcionar un nombre, nombre de usuario,
contraseña y dirección de correo electrónico.
Su dirección de correo electrónico no se puede utilizar para más de una cuenta de Twitter.
Otro problema de privacidad en Twitter se refiere a los tuits filtrados: tuits privados que se
han hecho públicos. Esto ocurre cuando los amigos de alguien con una cuenta privada
retuitean, o copian y pegan, el tuit privado de esa persona en una cuenta pública. Una vez
público, no se puede retirar.
La información personal aún puede ser peligrosa para compartir en Twitter, especialmente
si sus tweets son públicos (el valor predeterminado). Evite compartir direcciones,
Machine Translated by Google

números de teléfono, números de tarjetas de crédito y números de Seguro Social mayores de

Gorjeo. 20 años . Si debe compartir información confidencial, use la función de mensaje directo
para comunicarse con una persona específica. Pero tenga en cuenta que incluso los tweets
privados o de mensajes directos pueden volverse públicos.

Para la juventud actual, la llamada Generación Z, Facebook y Twitter ya son viejos. Las acciones
de la Generación Z en sus dispositivos móviles se centran en WhatsApp (irónicamente, ahora
es parte de Facebook), Snapchat (no Facebook) e Instagram e Instagram Stories (también
Facebook). Todas estas aplicaciones son visuales, ya que le permiten publicar fotos y videos o
principalmente mostrar fotos o videos tomados por otros.

Instagram, una aplicación para compartir fotos y videos, es Facebook para una audiencia
más joven. Permite seguimientos, me gusta y chats entre miembros. Instagram tiene términos
de servicio y parece responder a las solicitudes de eliminación de miembros y titulares de
derechos de autor.
Snapchat, quizás porque no es propiedad de Facebook, es quizás el más espeluznante del
grupo. Snapchat anuncia que te permite enviar una foto autodestructiva a alguien. La vida de la
imagen es corta, alrededor de dos segundos, lo suficiente para que el destinatario pueda ver la
imagen. Desafortunadamente, dos segundos son suficientes para que alguien tome una captura
de pantalla rápida que dure.

En el invierno de 2013, dos chicas menores de edad de secundaria en Nueva Jersey se

tomaron fotos desnudas y se las enviaron a un chico de su escuela a través de Snapchat,
asumiendo naturalmente que las imágenes se eliminarían automáticamente dos segundos
después de que las enviaran. Al menos eso es lo que la compañía dijo que sucedería.

Sin embargo, el chico supo tomar una captura de pantalla del mensaje de Snapchat y luego
subió las imágenes a su aplicación de Instagram. Instagram no elimina las fotos después de dos
segundos. No hace falta decir que las imágenes de las niñas menores de edad desnudas se
volvieron virales, y el superintendente de la escuela tuvo que enviar una nota a los padres para
pedirles que borraran las imágenes de los teléfonos de todos los estudiantes o correrían el riesgo
de ser arrestados por cargos de pornografía infantil. En cuanto a los tres estudiantes, por ser
menores de edad no podían ser acusados de ningún delito, pero cada uno estaba sujeto a
medidas disciplinarias dentro del distrito escolar.21
Machine Translated by Google

Y no son solo las chicas las que envían fotos de desnudos a los chicos. En el Reino
Unido, un chico de catorce años envió una foto de sí mismo desnudo a una chica de su
escuela a través de Snapchat, pensando nuevamente que la imagen desaparecería
después de unos segundos. La chica, sin embargo, tomó una captura de pantalla y… ya
sabes el resto de la historia. Según la BBC, el niño, y la niña, aparecerán en una base de
datos del Reino Unido por delitos sexuales aunque sean demasiado jóvenes para ser
procesados.22 Al igual que WhatsApp, con sus capacidades inconsistentes para difuminar
imágenes, Snapchat, a pesar de las promesas de la , realmente no elimina imágenes.
De hecho, Snapchat accedió en 2014 a un acuerdo de la Comisión Federal de Comercio
sobre los cargos de que la empresa había engañado a los usuarios sobre la naturaleza
de desaparición de sus mensajes, que la agencia federal alegó que podrían guardarse o
recuperarse en un momento posterior.23 La política de privacidad de Snapchat también
dice que no solicita, rastrea ni accede a ninguna información específica de la ubicación
de su dispositivo en ningún momento, pero la FTC también encontró que esas afirmaciones
eran falsas.24
Es un requisito de todos los servicios en línea que las personas tengan trece años de
edad o más para suscribirse. Es por eso que estos servicios solicitan su fecha de
nacimiento. Sin embargo, un usuario podría simplemente decir, bajo pena de perjurio,
"Juro que tengo más de trece años", o veintiuno o lo que sea. Los padres que descubren
que sus hijos de diez años se han registrado en Snapchat o Facebook pueden
denunciarlos y eliminar esas cuentas. Por otro lado, los padres que quieren que sus hijos
tengan una cuenta a menudo modifican la fecha de nacimiento del niño.
Esos datos pasan a formar parte del perfil del niño. De repente, su hijo de diez años tiene
catorce años, lo que significa que podría recibir anuncios en línea dirigidos a niños
mayores. También tenga en cuenta que se registra cada dirección de correo electrónico
y foto que su hijo comparte a través del servicio.
La aplicación Snapchat también transmite información de ubicación basada en Wi-Fi
y celular desde los dispositivos móviles de los usuarios de Android a su proveedor de
servicios de seguimiento de análisis. Si es un usuario de iOS e ingresa su número de
teléfono para buscar amigos, Snapchat recopila los nombres y números de teléfono de
todos los contactos en la libreta de direcciones de su dispositivo móvil sin su aviso o
consentimiento, aunque iOS le pedirá permiso la primera vez que lo haga. solicitado. Mi
recomendación es probar otra aplicación si quieres una verdadera privacidad.
En Carolina del Norte, un estudiante de secundaria y su novia fueron acusados de
poseer fotos de menores de edad desnudos a pesar de que las fotos eran de
Machine Translated by Google

ellos mismos y habían sido tomados y compartidos consensualmente. La novia enfrentó dos cargos de
explotación sexual de un menor: uno por tomar la foto y otro por poseerla. Dejando de lado el sexteo, eso
significa que es ilegal que los adolescentes de Carolina del Norte tomen o posean fotos de sí mismos
desnudos. En la orden policial, la novia figura tanto como víctima como criminal.

El novio enfrentó cinco cargos, dos por cada foto que tomó de sí mismo más uno por poseer una foto
de su novia. Si es declarado culpable, podría enfrentar hasta diez años de prisión y tener que registrarse
como delincuente sexual por el resto de su vida. Todo por sacarse fotos desnudo y quedarse con una que
le envió su novia.25

Cuando estaba en la escuela secundaria, simplemente conocí a alguien y la invité a salir. Hoy tienes que
poner algo de información en línea para que la gente pueda verte primero.
Pero ten cuidado.

Si está utilizando un sitio de citas y accede a él desde la computadora de otra persona, o si usa una
computadora pública para acceder, siempre cierre la sesión. En serio. No desea que alguien presione el
botón Atrás en el navegador y vea su información de citas. O cambiarlo. Además, recuerda desmarcar la
casilla que dice "Recordarme" en la pantalla de inicio de sesión. No desea que esta computadora, ni
ninguna otra, inicie sesión automáticamente en su cuenta de citas.

Digamos que tienes una primera cita, tal vez una segunda cita. Las personas no siempre revelan su
verdadero yo en una primera o segunda cita. Una vez que tu cita se ha hecho amigo tuyo en Facebook o
te ha seguido en Twitter o en cualquier otra red social, él o ella puede ver a todos tus amigos, tus fotos,
tus intereses... las cosas pueden ponerse raras rápidamente.

Hemos cubierto los servicios en línea: ¿qué pasa con las aplicaciones móviles?
Las aplicaciones de citas pueden informar tu ubicación, y parte de eso es por diseño. Supongamos
que ve a alguien que le gusta en su área: luego puede usar la aplicación para averiguar si esa persona
está cerca. La aplicación móvil de citas Grindr brinda información de ubicación muy precisa para sus
suscriptores... quizás demasiado precisa.
Los investigadores Colby Moore y Patrick Wardle de la firma de ciberseguridad Synack pudieron
falsificar solicitudes a Grindr para seguir a algunas de las personas a su servicio mientras se movían por
una sola ciudad. Ellos también
Machine Translated by Google

descubrió que si tenían tres cuentas para buscar a una persona, podían triangular los
resultados para obtener una medida mucho más precisa de dónde estaba esa persona
en un momento dado.26 Tal vez las aplicaciones de citas no sean lo tuyo, pero incluso
iniciar sesión en la El servicio de Yelp para buscar un buen restaurante brinda a las
empresas de terceros información sobre su sexo, edad y ubicación. Una configuración
predeterminada dentro de la aplicación le permite enviar información al restaurante,
diciéndole, por ejemplo, que una mujer, de treinta y un años, de la ciudad de Nueva York
estaba mirando su reseña. Sin embargo, puede acceder a su configuración y elegir
"Básico", que revela solo su ciudad (lamentablemente, no puede deshabilitar la función
por completo).27 Quizás la mejor manera de evitar esto es no iniciar sesión y simplemente
usar Yelp como invitado. .

Con respecto a la geolocalización, en general es una buena idea verificar si alguna

aplicación móvil que utiliza transmite su ubicación. En la mayoría de los casos, puede girar
esta función está desactivada, ya sea en cada aplicación individual o por completo.
28

Y antes de aceptar descargar cualquier aplicación de Android, siempre lea primero

los permisos. Puede ver estos permisos en Google Play yendo a la aplicación y luego
desplazándose hacia abajo hasta la sección sobre el contenido de Google Play que dice
"Permisos". Si los permisos te hacen sentir incómodo, o si crees que le dan demasiado
control al desarrollador de la aplicación, entonces no descargues la aplicación. Apple no
proporciona información similar sobre las aplicaciones en su tienda y, en cambio, se
solicitan permisos cuando se necesitan al usar la aplicación. De hecho, prefiero usar
dispositivos iOS porque el sistema operativo siempre me avisa antes de revelar
información privada, como mis datos de ubicación. Además, iOS es mucho más seguro
que Android si no haces jailbreak a tu iPhone o iPad. Por supuesto, los adversarios bien
financiados podrían comprar exploits para cualquier sistema operativo en el mercado,
pero los exploits de iOS son bastante caros: cuestan más de un millón de dólares.29
Machine Translated by Google

CAPÍTULO DIEZ

Puedes correr pero no esconderte

Si lleva consigo su teléfono celular durante todo el día, como la mayoría

de nosotros lo hacemos, entonces no eres invisible. Está siendo vigilado, incluso si no
tiene activado el seguimiento de geolocalización en su teléfono. Por ejemplo, si tiene
iOS 8.2 o anterior, Apple desactivará el GPS en modo avión, pero si tiene una versión
más nueva, como la mayoría de nosotros, el GPS permanece activado, incluso si está
en modo avión, a menos que tome más tiempo. pasos.1 Para averiguar cuánto sabía
su operador de telefonía móvil sobre su actividad diaria, un destacado político alemán,
Malte Spitz, presentó una demanda contra el operador, y un tribunal alemán ordenó a
la empresa que entregara sus registros. El volumen total de esos registros fue
asombroso. Solo en un período de seis meses, registraron su ubicación 85,000 veces
y también rastrearon cada llamada que hizo y recibió, el número de teléfono de la otra
parte y cuánto duró cada llamada. En otras palabras, estos fueron los metadatos
producidos por el teléfono de Spitz. Y no era solo para la comunicación de voz, sino
también para los mensajes de texto.2
Spitz se asoció con otras organizaciones y les pidió que formatearan los datos y
los hicieran públicos. Una organización produjo resúmenes diarios como el siguiente.
La ubicación de la reunión del Partido Verde de esa mañana se determinó a partir de
la latitud y la longitud proporcionadas en los registros de la compañía telefónica.
Machine Translated by Google

Actividad de Malte Spitz para el 12 de octubre de 2009

A partir de estos mismos datos, otra organización creó un mapa animado. Muestra
los movimientos minuto a minuto de Spitz por toda Alemania y muestra un símbolo
parpadeante cada vez que realiza o recibe una llamada. Este es un asombroso nivel de
detalle capturado en unos pocos días normales.3 Los datos sobre Spitz no son un caso
especial, por supuesto, ni esta situación se limita a Alemania. Es simplemente un
ejemplo sorprendente de los datos que guarda su operador de telefonía celular. Y se
puede utilizar en un tribunal de justicia.
En 2015, un caso ante la Corte de Apelaciones del Cuarto Circuito de los Estados
Unidos involucró el uso de registros de teléfonos celulares similares en los Estados Unidos.
El caso se refería a dos ladrones que asaltaron un banco, un 7-Eleven, varios restaurantes
de comida rápida y una joyería en Baltimore. Al hacer que Sprint entregara información
sobre la ubicación de los teléfonos de los principales sospechosos durante los 221 días
anteriores, la policía pudo relacionar a los sospechosos con una serie de
Machine Translated by Google

crímenes, tanto por la proximidad de los crímenes entre sí como por la proximidad de
los sospechosos a las escenas del crimen.4 Un segundo caso, escuchado por el
Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California, no
detalló los detalles del crimen. , pero también se centró en la "información histórica
del sitio celular" disponible de Verizon y AT&T para los teléfonos de los objetivos. En
palabras de la Unión Estadounidense de Libertades Civiles, que presentó un escrito
de amicus curiae en el caso, estos datos “generan un registro casi continuo de las
ubicaciones y movimientos de un individuo”. Cuando un juez federal mencionó la
privacidad de los teléfonos celulares durante el caso de California, el fiscal federal
sugirió que “los usuarios de teléfonos celulares que estén preocupados por su
privacidad no pueden cargar sus teléfonos o apagarlos”, según el registro oficial.

Esto parecería violar nuestro derecho de la Cuarta Enmienda a estar protegidos

contra registros irrazonables. La mayoría de la gente nunca equipararía simplemente
llevar un teléfono celular con perder su derecho a no ser rastreado por el gobierno,
pero eso es lo que significa llevar un teléfono en estos días. Ambos casos señalan
que Verizon, AT&T y Sprint no les dicen a los clientes en las políticas de privacidad
qué tan generalizado es el rastreo de ubicación. Aparentemente, AT&T, en una carta
al Congreso en 2011, dijo que almacena datos celulares durante cinco años “en caso
de disputas de facturación”. 5 Y los datos de ubicación no se almacenan solo con el
operador; también se almacena con el proveedor. Por ejemplo, su cuenta de
Google conservará todos sus datos de geolocalización de Android. Y si usas un
iPhone, Apple también tendrá un registro de tus datos. Para evitar que alguien mire
estos datos en el propio dispositivo y para evitar que se realice una copia de seguridad
en la nube, periódicamente debe eliminar los datos de ubicación de su teléfono
inteligente. En dispositivos Android, vaya a Configuración de Google>Ubicación>Eliminar
historial de ubicación. En un dispositivo iOS, debe profundizar un poco; Apple no lo
pone fácil. Vaya a Configuración> Privacidad> Servicios de ubicación, luego
desplácese hacia abajo hasta "Servicios del sistema", luego desplácese hacia abajo
hasta "Ubicaciones frecuentes" y luego "Borrar historial reciente".

En el caso de Google, a menos que haya desactivado la función, los datos de

geolocalización disponibles en línea se pueden utilizar para reconstruir sus
movimientos. Por ejemplo, es posible que pase gran parte de su día en un solo lugar,
pero puede haber una explosión de viajes cuando se reúna con clientes o
Machine Translated by Google

tomar un bocado para comer. Más inquietante es que si alguien alguna vez obtiene acceso a su
cuenta de Google o Apple, esa persona tal vez también pueda identificar dónde vive o quiénes son
sus amigos en función de dónde pasa la mayor parte de su tiempo. Como mínimo, alguien puede
averiguar cuál podría ser su rutina diaria.

Entonces, está claro que el simple hecho de salir a caminar hoy está lleno de oportunidades para que
otros rastreen su comportamiento. Sabiendo esto, digamos que conscientemente dejas tu celular en
casa. Eso debería resolver el problema de ser rastreado, ¿verdad? Bueno eso depende.

¿Usa un dispositivo de seguimiento de actividad física como Fitbit, el brazalete UP de Jawbone

o Nike+ FuelBand? Si no, tal vez use un reloj inteligente de Apple, Sony o Samsung. Si usa uno o
ambos (una banda de ejercicios y/o un reloj inteligente), aún puede ser rastreado. Estos dispositivos
y las aplicaciones que los acompañan están diseñados para registrar su actividad, a menudo con
información de GPS, por lo que, ya sea que se transmita en vivo o se cargue más tarde, aún puede
ser rastreado.

La palabra vigilancia, acuñada por el defensor de la privacidad Steve Mann, es un juego de la

palabra vigilancia. La palabra francesa para "arriba" es sur; la palabra francesa para "abajo" es sous.
Entonces, la vigilancia significa que, en lugar de ser observados desde arriba, por otras personas o

por cámaras de seguridad, por ejemplo, estamos siendo observados desde "abajo" por los pequeños
dispositivos que llevamos y que tal vez incluso usamos en nuestros cuerpos.

Los rastreadores de actividad física y los relojes inteligentes registran datos biométricos como la
frecuencia cardíaca, la cantidad de pasos que das e incluso la temperatura de tu cuerpo. La tienda
de aplicaciones de Apple admite muchas aplicaciones creadas de forma independiente para realizar
un seguimiento de la salud y el bienestar en sus teléfonos y relojes. Lo mismo con la tienda Google Play.
Y, ¡sorpresa!, estas aplicaciones están configuradas para enviar por radio los datos a la empresa,
aparentemente solo para recopilarlos para una futura revisión por parte del propietario, pero también
para compartirlos, a veces sin su consentimiento activo.
Por ejemplo, durante el Amgen Tour of California 2015, los participantes en la carrera de
bicicletas pudieron identificar quién los había adelantado y luego, mientras estaban en línea, enviarles
un mensaje directo. Eso podría ser un poco espeluznante cuando un extraño comienza a hablarte
sobre un movimiento en particular que hiciste durante una carrera, un movimiento que tal vez ni
siquiera recuerdes haber hecho.
Machine Translated by Google

A mi me paso algo parecido. En la autopista, conduciendo de Los Ángeles a Las

Vegas, un tipo que conducía un BMW me cortó el paso. Ocupado con su teléfono celular,
de repente cambió de carril, desviándose a pulgadas de mí, asustándome. Casi nos
aniquiló a los dos.
Tomé mi teléfono celular, llamé al DMV y me hice pasar por la policía. Conseguí que
el DMV revisara su placa, luego me dieron su nombre, dirección y número de Seguro
Social. Luego llamé a AirTouch Cellular, haciéndome pasar por un empleado de AirTouch,
y les pedí que buscaran en su número de Seguro Social cualquier cuenta celular. Así fue
como pude obtener su número de celular.

Apenas más de cinco minutos después de que el otro conductor me cortara el paso,
llamé al número y lo puse al teléfono. Todavía estaba temblando, enojado y enojado. Grité:
“Oye, idiota, soy el tipo al que cortaste hace cinco minutos, cuando casi nos matas a los
dos. ¡Soy del DMV, y si haces un truco más como ese, vamos a cancelar tu licencia de
conducir!
Debe estar preguntándose hasta el día de hoy cómo un tipo en la autopista pudo
obtener su número de teléfono celular. Me gustaría pensar que la llamada lo asustó para
que se convirtiera en un conductor más considerado. Pero nunca se sabe.
Lo que va, vuelve, sin embargo. En un momento, mi cuenta móvil de AT&T fue
pirateada por algunos script kiddies (un término para los aspirantes a piratas informáticos
poco sofisticados) utilizando ingeniería social. Los piratas informáticos llamaron a una
tienda de AT&T en el medio oeste y se hicieron pasar por empleados de otra tienda de
AT&T. Convencieron al empleado para que restableciera la dirección de correo electrónico
en mi cuenta de AT&T para que pudieran restablecer mi contraseña en línea y obtener
acceso a los detalles de mi cuenta, ¡incluidos todos mis registros de facturación!
En el caso del Amgen Tour of California, los ciclistas utilizaron la función Flyby de la
aplicación Strava para compartir, de forma predeterminada, datos personales con otros
usuarios de Strava. En una entrevista en Forbes, Gareth Nettleton, director de marketing
internacional de Strava, dijo: “Strava es fundamentalmente una plataforma abierta donde
los atletas se conectan con una comunidad global. Sin embargo, la privacidad de nuestros
atletas es muy importante para nosotros y hemos tomado medidas para permitir que los
atletas administren su privacidad de manera simple”. 6 Strava ofrece una configuración de
privacidad mejorada que le permite controlar quién puede ver su frecuencia cardíaca. .
También puede crear zonas de privacidad del dispositivo para que otros no puedan ver
dónde vive o trabaja. En el Amgen Tour de
Machine Translated by Google

California, los clientes podían optar por no participar en la función Flyby para que sus
actividades se marcaran como "privadas" en el momento de la carga.
Otros dispositivos y servicios de seguimiento del estado físico ofrecen protecciones de
privacidad similares. Puede pensar que, dado que no anda en bicicleta en serio y
probablemente no se cruzará con alguien mientras corre por la acera alrededor de su
complejo de oficinas, no necesita esas protecciones. ¿Cuál podría ser el daño?
Pero hay otras actividades que realiza, algunas en privado, que aún podrían compartirse a
través de la aplicación y en línea y, por lo tanto, crear problemas de privacidad.
Por sí solo, la grabación de acciones como dormir o subir varios tramos de escaleras,
especialmente cuando se realiza con un propósito médico específico, como reducir las primas
de su seguro médico, podría no comprometer su privacidad. Sin embargo, cuando estos
datos se combinan con otros datos, comienza a surgir una imagen holística de usted. Y puede
revelar más información de la que se siente cómodo.

Un usuario de un dispositivo de seguimiento de la salud descubrió al revisar sus datos

en línea que mostraba un aumento significativo en su frecuencia cardíaca cada vez que tenía
relaciones sexuales.7 De hecho, Fitbit, como empresa, informó brevemente sobre el sexo
como parte de su lista en línea de registros actividades. Aunque anónimos, los datos se
podían buscar en Google hasta que se divulgaron públicamente.
y rápidamente retirado por la empresa. 8

Algunos de ustedes podrían pensar, “¿Y qué?” Cierto: no muy interesante por sí mismo.
Pero cuando los datos de frecuencia cardíaca se combinan con, por ejemplo, datos de
geolocalización, las cosas pueden ponerse complicadas. El reportero de Fusion , Kashmir
Hill, llevó los datos de Fitbit a su extremo lógico y se preguntó: “¿Qué pasaría si las compañías
de seguros combinaran sus datos de actividad con los datos de ubicación del GPS para
determinar no solo cuándo es probable que tenga relaciones sexuales, sino también dónde lo
está haciendo? ¿Podría una compañía de seguros de salud identificar a un cliente que estaba
teniendo suerte en varios lugares por semana y darle a esa persona un perfil de riesgo
médico más alto, en función de su supuesta promiscuidad?”9
Por otro lado, los datos de Fitbit se han utilizado con éxito en casos judiciales para probar
o refutar afirmaciones que antes no se podían verificar. En un caso extremo, se usaron los
datos de Fitbit para demostrar que una mujer había mentido sobre una violación.10
A la policía, la mujer, mientras visitaba Lancaster, Pensilvania, dijo que se había
despertado alrededor de la medianoche con un extraño encima de ella. Además, afirmó que
había perdido su Fitbit en la lucha por su liberación. Cuando el
Machine Translated by Google

la policía encontró el Fitbit y la mujer les dio su consentimiento para acceder a él, el
dispositivo contó una historia diferente. Aparentemente, la mujer había estado despierta y
caminando toda la noche. Según un canal de televisión local, la mujer fue “acusada de
informes falsos a las fuerzas del orden, falsas alarmas a la seguridad pública y manipulación
de pruebas por supuestamente volcar muebles y colocar un cuchillo en la escena para que
pareciera que había sido violada por un intruso.”11 Por otro lado, los rastreadores de
actividad también se pueden usar para respaldar reclamos por discapacidad. Un bufete de
abogados canadiense utilizó datos de seguimiento de actividad para mostrar las graves
consecuencias de la lesión laboral de un cliente. El cliente había proporcionado datos a la
empresa Vivametrica, que recopila datos de dispositivos portátiles y los compara con datos
sobre la actividad y la salud de la población en general, y los datos de Fitbit muestran una
marcada disminución en su actividad. “Hasta ahora, siempre hemos tenido que depender
de la interpretación clínica”, dijo a Forbes Simon Muller, de McLeod Law, LLC, en Calgary.
“Ahora estamos analizando períodos de tiempo más largos a lo largo del día y tenemos
datos concretos”.12

Incluso si no tiene un rastreador de actividad física, los relojes inteligentes, como el

Galaxy Gear, de Samsung, pueden comprometer su privacidad de manera similar. Si recibe
notificaciones rápidas, como mensajes de texto, correos electrónicos y llamadas telefónicas,
en su muñeca, es posible que otras personas también puedan ver esos mensajes.
Ha habido un tremendo crecimiento recientemente en el uso de GoPro, una pequeña
cámara que se sujeta a su casco o al tablero de su automóvil para que pueda grabar un
video de sus movimientos. Pero, ¿qué sucede si olvida la contraseña de su aplicación móvil
GoPro? Un investigador israelí tomó prestada la GoPro de su amigo y la aplicación móvil
asociada, pero no tenía la contraseña. Al igual que el correo electrónico, la aplicación
GoPro le permite restablecer la contraseña.
Sin embargo, el procedimiento, que desde entonces ha sido modificado, tenía fallas.
GoPro envió un enlace a su correo electrónico como parte del proceso de restablecimiento
de contraseña, pero este enlace en realidad conducía a un archivo ZIP que debía
descargarse e insertarse en la tarjeta SD del dispositivo. Cuando el investigador abrió el
archivo ZIP, encontró un archivo de texto llamado "configuración" que contenía las
credenciales inalámbricas del usuario, incluido el SSID y la contraseña que la GoPro usaría
para acceder a Internet. El investigador descubrió que si cambiaba el número en el enlace,
8605145, a otro número, digamos 8604144, podía acceder a los datos de configuración de
GoPro de otras personas, que incluían su
Machine Translated by Google

contraseñas inalámbricas.

Se podría argumentar que Eastman Kodak inició la discusión sobre la privacidad en Estados Unidos,
o al menos la hizo interesante, a fines del siglo XIX. Hasta ese momento, la fotografía era un arte
serio, lento e inconveniente que requería equipo especializado (cámaras, luces, cuartos oscuros) y
largos períodos de inmovilidad (mientras los sujetos posaban en un estudio). Luego apareció Kodak e
introdujo una cámara portátil relativamente asequible. El primero de su línea se vendió por $ 25,
alrededor de $ 100 en la actualidad. Posteriormente, Kodak presentó la cámara Brownie, que se
vendió por solo $ 1. Ambas cámaras fueron diseñadas para ser llevadas fuera del hogar y la oficina.
Eran las computadoras móviles y los teléfonos móviles de su época.

De repente, la gente tenía que lidiar con el hecho de que alguien en la playa o en un parque
público podría tener una cámara y esa persona podría incluirte en el marco de una foto. Tenías que
verte bien. Tenías que actuar con responsabilidad. “No solo estaba cambiando tu actitud hacia la
fotografía, sino también hacia el objeto mismo que estabas fotografiando”, dice Brian Wallis, ex
curador en jefe del Centro Internacional de Fotografía. “Así que tenías que organizar una cena y
organizar una fiesta de cumpleaños”. 13

Creo que en realidad nos comportamos de manera diferente cuando estamos siendo observados.
La mayoría de nosotros nos comportamos de la mejor manera cuando sabemos que hay una cámara
sobre nosotros, aunque, por supuesto, siempre habrá quienes no les importe menos.
El advenimiento de la fotografía también influyó en cómo se sentía la gente acerca de su
privacidad. De repente, podría haber un registro visual de alguien comportándose mal. De hecho, hoy
tenemos cámaras en el tablero y en el cuerpo de nuestros agentes de la ley, de modo que habrá un
registro de nuestro comportamiento cuando nos enfrentemos a la ley. Y hoy, con la tecnología de

reconocimiento facial, puede tomar una foto de alguien y hacer que coincida con su perfil de Facebook.
Hoy tenemos selfies.

Pero en 1888, ese tipo de exposición constante seguía siendo una novedad impactante y
desconcertante. El Hartford Courant hizo sonar una alarma: “El ciudadano sereno no puede permitirse
ninguna broma sin correr el riesgo de ser atrapado en el acto y que su fotografía pase entre sus hijos
de la escuela dominical. Y el joven que desea acurrucarse con su mejor chica mientras navega río
abajo debe mantenerse constantemente
Machine Translated by Google

protegido por su paraguas.”14 A

algunas personas no les gustó el cambio. En la década de 1880, en los Estados Unidos, un
grupo de mujeres rompió una cámara a bordo de un tren porque no querían que su dueño les
tomara una foto. En el Reino Unido, un grupo de niños británicos se unieron para vagar por las
playas y amenazaron a cualquiera que intentara tomar fotografías de mujeres que salían del océano
después de nadar.
Escribiendo en la década de 1890, Samuel Warren y Louis Brandeis, el último de los cuales se
desempeñó posteriormente en la Corte Suprema, escribieron en un artículo que “las fotografías
instantáneas y la empresa periodística han invadido los recintos sagrados de la vida privada y
doméstica”. Propusieron que la ley estadounidense debería reconocer formalmente la privacidad y,
en parte para detener la ola de fotografías subrepticias, imponer responsabilidad por cualquier
intrusión.15 Leyes de este tipo fueron aprobadas en varios estados.

Hoy, varias generaciones han crecido con la amenaza de las fotografías instantáneas:
¿Polaroid, alguien? Pero ahora también tenemos que lidiar con la ubicuidad de la fotografía.
Dondequiera que vaya, seguramente será capturado en video, ya sea que dé su permiso o no.

Y esas imágenes pueden ser accesibles para cualquier persona, en cualquier parte del mundo.
Vivimos con una contradicción cuando se trata de privacidad. Por un lado, lo valoramos
intensamente, lo consideramos un derecho y lo vemos ligado a nuestra libertad e independencia:
¿no debería permanecer privado todo lo que hacemos en nuestra propiedad, a puertas cerradas?
Por otro lado, los humanos son criaturas curiosas. Y ahora tenemos los medios para satisfacer esa
curiosidad de formas antes inimaginables.

¿Alguna vez se preguntó qué hay sobre esa cerca al otro lado de la calle, en el patio trasero
de su vecino? La tecnología puede ser capaz de responder a esa pregunta para casi cualquier
persona. Las compañías de drones como 3D Robotics y CyPhy facilitan hoy en día que el Joe
promedio tenga su propio dron (por ejemplo, tengo el dron DJI Phantom 4). Los drones son
aeronaves a control remoto y significativamente más sofisticados que los que solías comprar en
Radio Shack.
Casi todos vienen con pequeñas cámaras de video. Te dan la oportunidad de ver el mundo de una
manera nueva. Algunos drones también se pueden controlar desde su teléfono celular.

Los drones personales son Peeping Toms con esteroides. Casi nada está fuera
límites ahora que puedes flotar unos cientos de pies sobre el suelo.
Machine Translated by Google

Actualmente, la industria de seguros utiliza drones por motivos comerciales.

Piénsalo. Si es un ajustador de seguros y necesita tener una idea de la condición de
una propiedad que está a punto de asegurar, puede volar un dron a su alrededor,
tanto para inspeccionar visualmente las áreas a las que no tenía acceso antes como
para crear una permanente. registro de lo que encuentre. Puede volar alto y mirar
hacia abajo para obtener el tipo de vista que antes solo podía obtener desde un
helicóptero.
El dron personal es ahora una opción para espiar a nuestros vecinos; podemos
simplemente volar alto sobre el techo de alguien y mirar hacia abajo. Quizás el vecino
tenga piscina. Quizás al vecino le gusta bañarse desnudo. Las cosas se han
complicado: tenemos la expectativa de privacidad dentro de nuestros propios hogares
y en nuestra propiedad, pero ahora eso está siendo cuestionado. Google, por
ejemplo, enmascara rostros y matrículas y otra información personal en Google
Street View y Google Earth. Pero un vecino con un dron privado no te da ninguna de
esas garantías, aunque puedes intentar pedirle amablemente que no vuele sobre tu
patio trasero. Un dron equipado con video te brinda Google Earth y Google Street
View combinados.
Hay algunas regulaciones. La Administración Federal de Aviación, por ejemplo,
tiene pautas que establecen que un dron no puede salir de la línea de visión del
operador, que no puede volar dentro de una cierta distancia de los aeropuertos y que
no puede volar a alturas que excedan ciertos niveles.16 Hay una aplicación llamada
B4UFLY eso lo ayudará a determinar dónde volar su dron.17 Y, en respuesta al uso
comercial de drones, varios estados han aprobado leyes que restringen o limitan
severamente su uso. En Texas, los ciudadanos comunes no pueden volar drones,
aunque hay excepciones, incluida una para los agentes inmobiliarios.
La actitud más liberal hacia los drones quizás se encuentre en Colorado, donde los
civiles pueden legalmente disparar drones desde el cielo.
Como mínimo, el gobierno de EE. UU. debería exigir a los entusiastas de los
drones que registren sus juguetes. En Los Ángeles, donde vivo, alguien estrelló un
dron contra las líneas eléctricas en West Hollywood, cerca de la intersección de
Larrabee Street y Sunset Boulevard. Si el dron hubiera sido registrado, las autoridades
podrían saber quién molestó a setecientas personas durante horas y horas mientras
docenas de empleados de la compañía eléctrica trabajaban durante la noche para
restaurar la energía en el área.
Machine Translated by Google

Las tiendas minoristas quieren cada vez más conocer a sus clientes. Un método que
realmente funciona es una especie de receptor IMSI de teléfono celular (ver aquí).
Cuando entras a una tienda, el IMSI catcher toma información de tu teléfono celular y
de alguna manera averigua tu número. A partir de ahí, el sistema puede consultar
toneladas de bases de datos y crear un perfil sobre usted. Los minoristas tradicionales
también están utilizando la tecnología de reconocimiento facial. Piense en ello como
un saludo de Walmart de gran tamaño.
“Hola, Kevin”, podría ser el saludo estándar que recibo de un empleado en un
futuro no muy lejano, aunque nunca antes haya estado en esa tienda. La personalización
de su experiencia minorista es otra forma de vigilancia, aunque muy sutil. Ya no
podemos comprar de forma anónima.
En junio de 2015, apenas dos semanas después de apoyarse en el Congreso para
aprobar la Ley de Libertad de EE. UU., una versión modificada de la Ley Patriota con
algo de protección de la privacidad añadida, nueve grupos de privacidad del
consumidor, algunos de los cuales habían cabildeado fuertemente a favor de la Ley
de Libertad, se frustró con varios grandes minoristas y abandonó las negociaciones
para restringir el uso del reconocimiento facial.18 El problema era si los consumidores
deberían dar permiso por defecto antes de que puedan ser escaneados. Eso suena
razonable, pero ninguna de las principales organizaciones minoristas involucradas en
las negociaciones cedería este punto. Según ellos, si ingresa a sus tiendas, debe ser
un blanco fácil para el escaneo y la identificación.19 Algunas personas pueden querer
ese tipo de atención personal cuando ingresan a una tienda, pero a muchos de
nosotros nos resultará simplemente inquietante. Las tiendas lo ven de otra manera.
No quieren dar a los consumidores el derecho de optar por no participar porque están
tratando de atrapar a ladrones conocidos, quienes simplemente optarían por no
participar si esa fuera una opción. Si se utiliza el reconocimiento facial automático, los
ladrones conocidos se identificarían en el momento en que ingresan a una tienda.

¿Qué dicen los clientes? Al menos en el Reino Unido, siete de cada diez
encuestados consideran que el uso de la tecnología de reconocimiento facial dentro
de una tienda es “demasiado espeluznante”.20 Y algunos estados de EE. data.21
Estas regulaciones han dado lugar a demandas. Por ejemplo, un hombre de Chicago
está demandando a Facebook porque no le dio permiso expreso al servicio en línea
para usar la tecnología de reconocimiento facial para identificarlo en otros
Machine Translated by Google

las fotos de las

personas.22 El reconocimiento facial se puede utilizar para identificar a una persona
basándose únicamente en su imagen. Pero, ¿qué pasa si ya sabes quién es la persona
y solo quieres asegurarte de que esté donde debería estar? Este es otro uso potencial
del reconocimiento facial.
Moshe Greenshpan es el director ejecutivo de Face-Six, una empresa de
reconocimiento facial con sede en Israel y Las Vegas. Su software Churchix se usa,
entre otras cosas, para tomar asistencia en las iglesias. La idea es ayudar a las iglesias
a identificar a los feligreses que asisten irregularmente para animarlos a venir más a
menudo e identificar a los feligreses que asisten regularmente para animarlos a donar
más dinero a la iglesia.
Face-Six dice que hay al menos treinta iglesias en todo el mundo que utilizan su
tecnología. Todo lo que la iglesia debe hacer es subir fotos de alta calidad de sus
feligreses. El sistema estará entonces pendiente de ellos en los servicios y funciones
sociales.
Cuando se le preguntó si las iglesias le dicen a sus feligreses que están siendo
rastreados, Greenshpan le dijo a Fusion: “No creo que las iglesias le digan a la gente.
Los alentamos a que lo hagan, pero no creo que lo hagan” .23 Jonathan Zittrain, director
del Centro Berkman para Internet y la Sociedad de la Facultad de Derecho de
Harvard, ha sugerido en broma que los humanos necesitan una etiqueta “nofollow”
como las que se usan en ciertos sitios web. .24 Esto evitaría que las personas que
desean optar por no aparecer en las bases de datos de reconocimiento facial. Con ese
fin, el Instituto Nacional de Informática de Japón ha creado un “visor de privacidad”
comercial. Los anteojos, que se venden por alrededor de $240, producen luz visible
solo para las cámaras. La luz fotosensible se emite alrededor de los ojos para frustrar
los sistemas de reconocimiento facial. Según los primeros probadores, las gafas tienen
éxito el 90 por ciento de las veces. La única advertencia parece ser que no son
adecuados para conducir o andar en bicicleta. Puede que tampoco estén tan de moda,
pero son perfectos para ejercer su derecho a la privacidad en un lugar público.25
Sabiendo que su privacidad puede verse comprometida cuando está al aire libre, es
posible que se sienta más seguro en la privacidad. de su automóvil, su hogar o
incluso su oficina. Por desgracia, esto ya no es el caso. En los próximos capítulos
explicaré por qué.
Machine Translated by Google

CAPÍTULO ONCE

Oye, KITT, no compartas mi ubicación

Los investigadores Charlie Miller y Chris Valasek no eran ajenos a la piratería de automóviles.

Anteriormente, los dos habían pirateado un Toyota Prius, pero lo habían hecho mientras
estaban conectados físicamente al automóvil y sentados en el asiento trasero. Luego, en el
verano de 2015, Miller y Valasek lograron tomar los controles principales de un Jeep
Cherokee mientras viajaba a setenta millas por hora por una autopista en St. Louis. Podían
controlar remotamente un automóvil sin estar cerca de él.1 El Jeep en cuestión tenía un
conductor: el reportero de Wired Andy Greenberg.

Los investigadores le habían dicho a Greenberg de antemano: pase lo que pase, no se

asuste. Eso resultó ser una tarea difícil, incluso para un tipo que esperaba que le piratearan
el auto.
“Inmediatamente mi acelerador dejó de funcionar”, escribió Greenberg sobre la
experiencia. “Mientras presionaba frenéticamente el pedal y observaba cómo aumentaban
las RPM, el Jeep perdió la mitad de su velocidad y luego redujo la velocidad a paso de
tortuga. Esto ocurrió justo cuando llegué a un largo paso elevado, sin hombro para ofrecer
un escape. El experimento había dejado de ser divertido”.
Posteriormente, los investigadores enfrentaron algunas críticas por ser "imprudentes" y
"peligrosos". El Jeep de Greenberg estaba en una vía pública, no en una pista de prueba,
por lo que la policía de Missouri, en el momento de escribir este artículo, todavía está
considerando presentar cargos contra Miller y Valasek, y posiblemente contra Greenberg.
Hace años que se habla de hackear autos conectados de forma remota, pero
Machine Translated by Google

tomó el experimento de Miller y Valasek para que la industria automotriz prestara atención. Ya
sea que se tratara de "hackeo acrobático" o investigación legítima, hizo que los fabricantes de
automóviles comenzaran a pensar seriamente en la seguridad cibernética y en si el Congreso
debería prohibir el pirateo de automóviles.2
Otros investigadores han demostrado que pueden aplicar ingeniería inversa al protocolo que
controla su vehículo interceptando y analizando el tráfico GSM o CDMA desde la computadora a
bordo de su automóvil hasta los sistemas del fabricante de automóviles. Los investigadores
pudieron falsificar los sistemas de control del automóvil mediante el envío de mensajes SMS
para bloquear y desbloquear las puertas de los automóviles. Algunos incluso han secuestrado
las capacidades de inicio remoto usando los mismos métodos también. Pero Miller y
3
Valasek fue el primero en poder tomar el control completo de un automóvil de forma remota.
Y afirman que, al usar los mismos métodos, también podrían apoderarse de automóviles en otros
estados.
Quizás el resultado más importante del experimento de Miller-Valasek fue el retiro por parte
de Chrysler de más de 1,4 millones de sus automóviles debido a un problema de programación,
el primer retiro de este tipo. Como medida provisional, Chrysler también suspendió la conexión
de los autos afectados a la red Sprint, que los autos habían utilizado para la telemática, los datos
que los autos recopilan y comparten con el fabricante en tiempo real. Miller y Valasek le dijeron
a una audiencia en DEF CON 23 que se habían dado cuenta de que podían hacer eso
(apoderarse de autos en otros estados), pero sabían que no era ético. En cambio, llevaron a
cabo su experimento controlado con Greenberg en la ciudad natal de Miller.

En este capítulo, analizaré las diversas formas en que los automóviles que conducimos, los
trenes en los que viajamos y las aplicaciones móviles que usamos para impulsar nuestro viaje
diario al trabajo son vulnerables a los ciberataques, sin mencionar los numerosos compromisos
de privacidad que introducen nuestros automóviles conectados. en nuestras vidas.

Cuando Johana Bhuiyan, reportera de BuzzFeed, llegó a las oficinas de Uber en Nueva York, el
servicio de llamadas de automóviles, en uno de los automóviles de Uber, Josh Mohrer, el gerente
general, estaba esperando. "Ahí estás", dijo, sosteniendo su iPhone. "Te estaba siguiendo". No
fue un comienzo auspicioso para su entrevista, que abordó, entre otras cosas, la privacidad del
consumidor.
4

Hasta que apareció la historia de Bhuiyan, en noviembre de 2014, pocos fuera de Uber
conocían God View, una herramienta con la que Uber rastrea el
Machine Translated by Google

localización de sus miles de conductores contratados así como de sus clientes, todo en tiempo real.

Como mencioné anteriormente, las aplicaciones solicitan de forma rutinaria a los usuarios varios
permisos, incluido el derecho a acceder a sus datos de geolocalización. La aplicación de Uber va
más allá: solicita tu ubicación aproximada (Wi-Fi) y precisa (GPS), el derecho a acceder a tus
contactos y no permite que tu dispositivo móvil entre en modo de suspensión (para que pueda
controlar dónde estás). ).
Bhuiyan supuestamente le dijo a Mohrer por adelantado que no le dio permiso a la compañía
para rastrearla en cualquier momento y en cualquier lugar. Pero lo hizo, aunque tal vez no
explícitamente. El permiso estaba en el acuerdo de usuario al que dio su consentimiento al descargar
el servicio a su dispositivo móvil. Después de su reunión, Mohrer envió por correo electrónico a
Bhuiyan registros de algunos de sus viajes recientes en Uber.

Uber compila un dossier personal para cada cliente, registrando cada viaje que hace. Esa es
una mala idea si la base de datos no es segura.
Conocida en el negocio de la seguridad como trampa, la base de datos de Uber puede atraer a todo
tipo de fisgones, desde el gobierno de EE. UU. hasta piratas informáticos chinos.5
En 2015, Uber cambió algunas de sus políticas de privacidad; en algunos casos, 6 Uber ahora
consumidor. todos los usuarios de EE. UU., incluso
recopilasidatos
la aplicación
de geolocalización
se ejecuta solo
en detrimento
en segundo
delplano
e incluso si las comunicaciones satelitales y celulares están desactivadas. Uber dijo que usará Wi-Fi
y direcciones IP para rastrear a los usuarios "fuera de línea". Eso significa que la aplicación Uber
actúa como un espía silencioso en su dispositivo móvil. La empresa no,

sin embargo, diga por qué necesita esta habilidad. 7

Uber tampoco ha explicado completamente por qué necesita God View. Por otro lado, según la
política de privacidad de la empresa: “Uber tiene una política estricta que prohíbe a todos los
empleados de todos los niveles acceder a los datos de un pasajero o conductor. La única excepción
a esta política es para un conjunto limitado de fines comerciales legítimos”. El negocio legítimo puede
incluir el seguimiento de cuentas sospechosas de fraude y la resolución de problemas de los
conductores (por ejemplo, conexiones perdidas). Probablemente no incluya el seguimiento de los
viajes de un reportero.
Se podría pensar que Uber les daría a sus clientes el derecho de eliminar la información de
seguimiento. No. Y si después de leer esto has eliminado la aplicación de tu teléfono, ¿adivina qué?
Los datos todavía existen dentro de Uber. 8
Según la política de privacidad revisada, Uber también recopila su libreta de direcciones
Machine Translated by Google

información. Si tiene un iPhone, puede acceder a su configuración y cambiar su

preferencia para compartir contactos. Si tienes un Android, esa no es una opción.

Los representantes de Uber han afirmado que la empresa actualmente no recopila

este tipo de datos de clientes. Sin embargo, al incluir la recopilación de datos en la
política de privacidad, que los usuarios existentes ya aceptaron y que los nuevos usuarios
deben aceptar, la empresa se asegura de poder implementar estas funciones en cualquier
momento. Y el usuario no tendrá ninguna reparación.
God View de Uber es quizás suficiente para hacerte sentir nostálgico por los viejos
taxis normales. En el pasado, te subías a un taxi, decías tu destino y pagabas en efectivo
por el viaje una vez que llegabas. En otras palabras, su viaje sería casi completamente
anónimo.
Con el advenimiento de la aceptación casi universal de las tarjetas de crédito a
principios del siglo XXI, muchas transacciones ordinarias se han vuelto rastreables, por
lo que probablemente haya un registro de su viaje en taxi en alguna parte, tal vez no
resida con un conductor específico. o compañía, pero ciertamente reside en la compañía
de su tarjeta de crédito. En la década de 1990, solía trabajar como investigador privado
y podía averiguar los movimientos de mi objetivo obteniendo las transacciones de su
tarjeta de crédito. Basta con mirar un estado de cuenta para saber que la semana pasada
tomó un taxi en la ciudad de Nueva York y pagó $54 por ese viaje.

Alrededor de 2010 los taxis comenzaron a utilizar datos de GPS. Ahora la compañía
de taxis conoce su lugar de recogida y entrega, el monto de su tarifa y quizás el número
de tarjeta de crédito asociado con su viaje. Estos datos se mantienen privados en Nueva
York, San Francisco y otras ciudades que apoyan el movimiento de datos abiertos en el
gobierno, proporcionando a los investigadores conjuntos de datos ricos y anónimos.
Mientras no se incluyan los nombres, ¿qué daño podría haber en hacer públicos esos
datos anónimos?
En 2013, Anthony Tockar, entonces estudiante de posgrado de la Universidad de
Northwestern que realizaba una pasantía en una empresa llamada Neustar, analizó los
metadatos anónimos publicados públicamente por la Comisión de Taxis y Limusinas de
la Ciudad de Nueva York. Este conjunto de datos contenía un registro de cada viaje
realizado por los automóviles de su flota durante el año anterior e incluía el número de
taxi, las horas de recogida y entrega, las ubicaciones, las tarifas y los montos de las
propinas, y versiones anónimas (hash) de los números de licencia y medallón de los taxis.9 Por sí mismo
Machine Translated by Google

este conjunto de datos no es muy interesante. Desafortunadamente, el valor hash en

este caso es relativamente fácil de deshacer.10 Sin embargo, cuando combina el
conjunto de datos públicos con otros conjuntos de datos, comienza a obtener una
imagen completa de lo que está sucediendo. En este caso, Tockar pudo determinar
dónde habían tomado sus taxis celebridades específicas como Bradley Cooper y
Jessica Alba dentro de la ciudad de Nueva York durante el año anterior. ¿Cómo dio
este salto?
Ya tenía datos de geolocalización, por lo que sabía dónde y cuándo los taxis
recogían y dejaban sus tarifas, pero tenía que ir más allá para determinar quién estaba
dentro del taxi11 Así que combinó
. delos metadatos
la Ciudad de la Comisión
de Nueva York conde Taxis
fotos Limusinas
en ylínea de sitios
web de tabloides ordinarios disponibles en línea. Una base de datos de paparazzi.

Piénsalo. Los paparazzi suelen fotografiar a las celebridades justo cuando entran y
salen de los taxis de la ciudad de Nueva York. En estos casos, el número exclusivo del
medallón de la cabina suele verse dentro de la imagen. Está impreso en el costado de
cada cabina. Entonces, un número de taxi fotografiado junto a Bradley Cooper, por
ejemplo, podría coincidir con los datos disponibles públicamente sobre los lugares de
recogida y entrega y los montos de las tarifas y las propinas.
Afortunadamente, no todos tenemos paparazzi siguiéndonos la pista. Sin embargo,
eso no significa que no haya otras formas de rastrear nuestros viajes. Tal vez no tomas
taxis. ¿Existen otras formas de determinar su ubicación? Existen. Incluso si tomas el
transporte público.

Si vas en autobús, tren o ferry al trabajo, ya no eres invisible entre las masas. Los
sistemas de tránsito están experimentando con el uso de aplicaciones móviles y
comunicación de campo cercano (NFC) para etiquetar a los pasajeros cuando suben y
bajan del transporte público. NFC es una señal de radio de corta distancia que a
menudo requiere contacto físico. Los sistemas de pago como Apple Pay, Android Pay
y Samsung Pay utilizan NFC para hacer que buscar monedas de veinticinco centavos
sea cosa del pasado.
Supongamos que tiene un teléfono habilitado para NFC con una aplicación de su
autoridad de tránsito local instalada. La aplicación querrá una conexión con su cuenta
bancaria o tarjeta de crédito para que siempre pueda abordar cualquier autobús, tren o
ferry sin preocuparse por un saldo negativo en su cuenta. Esa conexión con su número
de tarjeta de crédito, si no está oculta por un token, o
Machine Translated by Google

marcador de posición, número, podría revelar a la autoridad de tránsito quién es usted.

Reemplazar su número de tarjeta de crédito con un token es una nueva opción que ofrecen
Apple, Android y Samsung. De esa manera, el comerciante, en este caso la autoridad de tránsito,
solo tiene un token y no su número de tarjeta de crédito real.
El uso de un token reducirá las filtraciones de datos que afectan a las tarjetas de crédito en un
futuro próximo porque el delincuente necesitaría dos bases de datos: el token y el número real
de la tarjeta de crédito detrás del token.
Pero digamos que no usa un teléfono habilitado para NFC. En su lugar, tiene una tarjeta de
tránsito, como CharlieCard en Boston, la tarjeta SmarTrip en Washington, DC y la tarjeta Clipper
en San Francisco. Estas tarjetas usan tokens para alertar al dispositivo receptor, ya sea un
torniquete o una caja de cobro de tarifas, que hay suficiente saldo para que usted viaje en
autobús, tren o ferry. Sin embargo, los sistemas de tránsito no usan tokens en el back-end. La
tarjeta en sí tiene solo un número de cuenta, no la información de su tarjeta de crédito, en su
banda magnética.
Pero si se infringiera la autoridad de tránsito en el back-end, la información de su tarjeta de
crédito o bancaria también podría quedar expuesta. Además, algunos sistemas de tránsito
quieren que registre sus tarjetas en línea para que puedan enviarle un correo electrónico, lo que
significa que sus direcciones de correo electrónico también podrían quedar expuestas en un
futuro ataque. De cualquier manera, la capacidad de viajar en autobús de forma anónima se ha
ido por la ventana en gran medida, a menos que pague la tarjeta con efectivo, no con crédito.12
Este desarrollo es de gran ayuda para la aplicación de la ley. Debido a que estas compañías
de tarjetas de viajero son terceros de propiedad privada, no gobiernos, pueden establecer las
reglas que quieran sobre el intercambio de datos.
Pueden compartirlo no solo con las fuerzas del orden, sino también con los abogados que llevan
casos civiles, en caso de que su ex quiera acosarlo.
Entonces, alguien que mire los registros de la autoridad de tránsito podría saber exactamente
quién pasó por una estación de metro en tal o cual momento, pero esa persona podría no saber
qué tren abordó su objetivo, especialmente si la estación es un centro de varias líneas. ¿Qué
pasaría si su dispositivo móvil pudiera resolver la cuestión de en qué tren viajó y, por lo tanto,
inferir su destino?

Investigadores de la Universidad de Nanjing, en China, decidieron responder a esa pregunta

enfocando su trabajo en algo dentro de nuestros teléfonos llamado acelerómetro. Cada
dispositivo móvil tiene uno. Es un pequeño chip responsable de determinar la orientación de su
dispositivo, ya sea que lo esté sujetando
Machine Translated by Google

vista horizontal o vertical. Estos chips son tan sensibles que los investigadores decidieron usar
solo los datos del acelerómetro en sus cálculos. Y, efectivamente, pudieron predecir con
precisión en qué tren subterráneo viajaba un usuario. Esto se debe a que la mayoría de las
líneas de metro incluyen giros que afectan al acelerómetro. También es importante el tiempo
que transcurre entre las paradas de las estaciones: solo necesita mirar un mapa para ver por
qué. La precisión de sus predicciones mejoró con cada estación que pasaba un ciclista. Los
investigadores afirman que su método tiene una tasa de precisión del 92 por ciento.

Supongamos que posee un automóvil de modelo antiguo y lo lleva al trabajo. Podrías pensar
que eres invisible, solo uno entre un millón de autos en la carretera hoy. Y quizas tengas
razon. Pero la nueva tecnología, incluso si no es parte del propio automóvil, está erosionando
su anonimato. Lo más probable es que, con esfuerzo, alguien aún pueda identificarte si pasas
zumbando por la autopista con bastante rapidez.
En la ciudad de San Francisco, la Agencia de Transporte Municipal ha comenzado a
utilizar el sistema de peaje FasTrak, que le permite cruzar cualquiera de los ocho puentes del
Área de la Bahía con facilidad, para rastrear los movimientos de los automóviles habilitados
para FasTrak en toda la ciudad. Usando una tecnología similar a la que usan los puentes de
peaje para leer el dispositivo FasTrak (o E-ZPass) en su automóvil, la ciudad ha comenzado a
buscar esos dispositivos a medida que los usuarios dan vueltas en busca de estacionamiento.
Pero los funcionarios no siempre están interesados en sus movimientos: más bien, están
interesados en los espacios de estacionamiento, la mayoría de los cuales están equipados
con parquímetros electrónicos. Los espacios que son muy buscados pueden cobrar una tarifa
más alta. La ciudad puede ajustar de forma inalámbrica el precio en medidores específicos,
incluidos los medidores cerca de un evento popular.
Además, en 2014, los funcionarios decidieron no utilizar peajes humanos en el puente
Golden Gate, por lo que todos, incluso los turistas, deben pagar electrónicamente o recibir
una factura por correo. ¿Cómo saben las autoridades dónde enviar su factura? Te fotografían
la matrícula cuando cruzas la plaza de peaje. Estas fotografías de matrículas también se
utilizan para atrapar a los corredores de luz roja en intersecciones problemáticas. Y cada vez
más, la policía está utilizando una estrategia similar cuando conducen por estacionamientos y
entradas residenciales.

Los departamentos de policía rastrean pasivamente los movimientos de su automóvil

todos los días con la tecnología de reconocimiento automático de matrículas (ALPR). Ellos pueden
Machine Translated by Google

fotografíe la matrícula de su automóvil y almacene esa información, a veces durante años,

según la política del departamento de policía. Las cámaras ALPR escanean y leen cada
placa que pasan, ya sea que el automóvil esté registrado a nombre de un delincuente o no.
Aparentemente, la tecnología ALPR se usa principalmente para localizar autos robados,
delincuentes buscados y ayudar con las Alertas AMBER. La tecnología involucra tres
cámaras montadas en la parte superior de un patrullero que están conectadas a una pantalla
de computadora dentro del vehículo. El sistema está además vinculado a una base de datos
del Departamento de Justicia que realiza un seguimiento de las placas de los automóviles
robados y los vehículos asociados con delitos. Mientras un oficial conduce, la tecnología
ALPR puede escanear hasta sesenta placas por segundo. Si una placa escaneada coincide
con una placa en la base de datos del DOJ, el oficial recibe una alerta tanto visual como
audible.
The Wall Street Journal informó por primera vez sobre la tecnología de reconocimiento
de matrículas en 2012.13 El problema para quienes se oponen o cuestionan la tecnología
ALPR no es el sistema en sí, sino cuánto tiempo se conservan los datos y por qué algunas
agencias de aplicación de la ley no los divulgan, incluso a los dueño del auto rastreado. Es
una herramienta inquietante que la policía puede usar para averiguar dónde has estado.

“Los lectores automáticos de matrículas son una forma sofisticada de rastrear las
ubicaciones de los conductores, y cuando sus datos se agregan a lo largo del tiempo,
pueden pintar imágenes detalladas de la vida de las personas”, señala Bennett Stein del
Proyecto sobre Discurso, Privacidad y Tecnología de la ACLU. 14

Un hombre de California que presentó una solicitud de registros públicos estaba

preocupado por la cantidad de fotos (más de cien) que se habían tomado de su placa. La
mayoría estaban en cruces de puentes y otros lugares muy públicos.
Sin embargo, uno lo mostró a él y a sus hijas saliendo del automóvil familiar mientras estaba
estacionado en su propio camino de entrada. Eso sí, esta persona no estaba bajo sospecha
de haber cometido un delito. Los documentos obtenidos por la ACLU muestran que incluso
la oficina del abogado general del FBI ha cuestionado el uso de
ALPR en ausencia de una política de gobierno coherente. 15

Desafortunadamente, no es necesario que presente una solicitud de registros públicos

para ver algunos de los datos de ALPR. Según la EFF, las imágenes de más de cien
cámaras ALPR están disponibles para cualquier persona en línea. Todo lo que necesitas es
un navegador. Antes de hacer públicos sus hallazgos, la EFF trabajó con las fuerzas del
orden para corregir la fuga de datos. La EFF dijo esto
Machine Translated by Google

se encontró una configuración incorrecta en más de esos cien casos e instó a las fuerzas del
orden público de todo el país a eliminar o limitar lo que se publica en Internet. Pero al momento
de escribir este artículo, aún es posible, si escribe la consulta correcta en una ventana de
búsqueda, obtener acceso a las imágenes de matrículas en muchas comunidades. Un
investigador encontró más de 64 000 imágenes de placas y sus correspondientes puntos de
datos de ubicación durante un período de una semana.16

Tal vez no tengas un auto y solo alquiles uno ocasionalmente. Aún así, definitivamente no
eres invisible, dada toda la información personal y de la tarjeta de crédito que debes
proporcionar al momento del alquiler. Además, la mayoría de los autos de alquiler hoy en día
tienen GPS incorporado. Lo sé. Me enteré de la manera difícil.
Cuando le dan un auto prestado de un concesionario porque su auto está siendo reparado,
por lo general acepta no llevarlo al otro lado de las fronteras estatales. El concesionario quiere
mantener el auto en el estado en el que se tomó prestado. Esta regla se refiere principalmente
a su seguro, no al suyo.
esto me paso a mi Llevé mi automóvil a un concesionario Lexus en Las Vegas para que
lo repararan y me permitieron usar un automóvil prestado. Como ya había pasado la hora de
cierre en el concesionario, simplemente firmé el papeleo sin leerlo, principalmente porque el
asociado de servicio me estaba apurando. Más tarde, conduje el automóvil al norte de
California, al Área de la Bahía, para un trabajo de consultoría. Cuando el tipo de servicio me
llamó para discutir sus recomendaciones, me preguntó: "¿Dónde estás?"
Dije: “San Ramón, California”. Él dijo: "Sí, ahí es donde vemos el auto". Luego me leyó el acto
antidisturbios sobre sacar el auto fuera del estado.
Al parecer, el contrato de préstamo que había firmado rápidamente estipulaba que no sacaría
el coche de Nevada.
Cuando alquila o toma prestado un automóvil hoy, existe la tentación de emparejar su
dispositivo inalámbrico con el sistema de entretenimiento para recrear la experiencia de audio
que tiene en casa. Por supuesto, hay algunas preocupaciones inmediatas sobre la privacidad.
Este no es tu coche. Entonces, ¿qué sucede con sus datos de información y entretenimiento
una vez que devuelve el automóvil a la agencia de alquiler?
Antes de emparejar su dispositivo con un automóvil que no es suyo, eche un vistazo al
sistema de entretenimiento. Tal vez al tocar la configuración del teléfono móvil, verá los
dispositivos y/o nombres de los usuarios anteriores en la pantalla de Bluetooth.
Piensa si quieres unirte a esa lista.
En otras palabras, sus datos no desaparecen simplemente cuando sale del automóvil.
Machine Translated by Google

Tienes que quitarlo tú mismo.

Podrías estar pensando: "¿Qué hay de malo en compartir mis canciones favoritas con
los demás?" El problema es que tu música no es lo único que se comparte. Cuando la
mayoría de los dispositivos móviles se conectan al sistema de infoentretenimiento de un
automóvil, vinculan automáticamente sus contactos al sistema del automóvil. La suposición
es que es posible que desee realizar una llamada con manos libres mientras conduce, por
lo que tener sus contactos almacenados en el automóvil lo hace mucho más fácil. El
problema es que no es tu coche.
“Cuando alquilo un auto”, dice David Miller, director de seguridad de Covisint, “lo último
que hago es vincular mi teléfono. Descarga todos mis contactos porque eso es lo que
quiere hacer. En la mayoría de los autos de alquiler, puedes entrar y, si alguien está
emparejado con él, ver sus contactos”.
Lo mismo es cierto cuando finalmente vendes tu auto. Los automóviles modernos le
brindan acceso a su mundo digital mientras viaja. ¿Quieres consultar Twitter? ¿Quieres
publicar en Facebook? Los automóviles de hoy se parecen cada vez más a su PC
tradicional y su teléfono celular: contienen datos personales que debe eliminar antes de
vender la máquina o el dispositivo.
Trabajar en el negocio de la seguridad le dará el hábito de pensar en el futuro, incluso
en transacciones mundanas. “Paso todo este tiempo conectando mi vehículo con toda mi
vida”, dice Miller, “y luego, en cinco años, lo vendo. ¿Cómo lo desconecto de toda mi vida?
No quiero que el tipo que compre [mi auto] pueda ver a mis amigos de Facebook, así que
tienes que deshacerte. Los encargados de la seguridad están mucho más interesados en
las vulnerabilidades de seguridad relacionadas con el desaprovisionamiento que con el
aprovisionamiento”.17
Y, tal como lo hace con su dispositivo móvil, necesitará proteger su automóvil con una
contraseña. Excepto en el momento de escribir este artículo, no hay ningún mecanismo
disponible que le permita bloquear con contraseña su sistema de infoentretenimiento.
Tampoco es fácil eliminar todas las cuentas que ha puesto en su automóvil a lo largo de
los años; la forma de hacerlo varía según el fabricante, la marca y el modelo. Tal vez eso
cambie: alguien podría inventar un botón único que elimine un perfil de usuario completo
de su automóvil. Hasta entonces, al menos conéctese a Internet y cambie todas las
contraseñas de sus redes sociales después de vender su automóvil.

Quizás el mejor ejemplo de una computadora sobre ruedas es un Tesla, un vehículo

totalmente electrónico de última generación. En junio de 2015, Tesla alcanzó un importante
Machine Translated by Google

hito: en conjunto, los automóviles Tesla de todo el mundo habían recorrido más de mil
millones de millas.18
Conduzco un Tesla. Son excelentes autos, pero debido a sus sofisticados tableros y su
constante comunicación celular, generan dudas sobre los datos que recopilan.

Cuando toma posesión de un Tesla, se le ofrece un formulario de consentimiento.

Tiene la capacidad de controlar si Tesla registrará cualquier información sobre su automóvil
a través de un sistema de comunicación inalámbrico. Puede habilitar o deshabilitar el uso
compartido de sus datos personales con Tesla a través de una pantalla táctil en el tablero.
Muchas personas aceptan el argumento de que sus datos ayudarán a Tesla a fabricar un
mejor automóvil en el futuro.
De acuerdo con la política de privacidad de Tesla, la empresa puede recopilar el número
de identificación del vehículo, información sobre la velocidad, lecturas del cuentakilómetros,
información sobre el uso de la batería, historial de carga de la batería, información sobre las
funciones del sistema eléctrico, información sobre la versión del software, datos del sistema
de infoentretenimiento y datos relacionados con la seguridad (incluidos información sobre los
sistemas SRS, los frenos, la seguridad y el sistema de frenos electrónicos del vehículo), entre
otras cosas, para ayudar a analizar el rendimiento del vehículo. Tesla afirma que pueden
recopilar dicha información en persona (por ejemplo, durante una cita de servicio) o mediante
acceso remoto.
Eso es lo que dicen en su póliza impresa.
En la práctica, también pueden determinar la ubicación y el estado de su automóvil en
cualquier momento. Para los medios, Tesla ha sido cauteloso sobre qué datos recopila en
tiempo real y cómo los usa. Al igual que Uber, Tesla se sienta en una posición divina que le
permite saber todo sobre cada automóvil y su ubicación en cualquier lugar.
momento.
Si eso lo pone nervioso, puede comunicarse con Tesla y optar por no participar en su
programa telemático. Sin embargo, si lo hace, se perderá las actualizaciones automáticas de
software, que incluyen correcciones de seguridad y nuevas funciones.
Por supuesto, la comunidad de seguridad está interesada en Tesla, y el investigador de
seguridad independiente Nitesh Dhanjani ha identificado algunos problemas. Si bien está de
acuerdo conmigo en que el Tesla Model S es un gran automóvil y un fantástico producto de
innovación, Dhanjani descubrió que Tesla usa un sistema de autenticación de un factor
bastante débil para acceder a los sistemas del automóvil. 19 El sitio web y la aplicación de
Tesla carecen de la capacidad de limitar el número de forma remota.
Machine Translated by Google

de intentos de inicio de sesión en una cuenta de usuario, lo que significa que un atacante
podría usar la fuerza bruta para descifrar la contraseña de un usuario. Eso significa que
un tercero podría (suponiendo que su contraseña esté descifrada) iniciar sesión y usar la
API de Tesla para verificar la ubicación de su vehículo. Esa persona también podría iniciar
sesión de forma remota en la aplicación de Tesla y controlar los sistemas del vehículo: el
aire acondicionado, las luces, etc., aunque el vehículo debe estar parado.
Tesla ha abordado la mayoría de las preocupaciones de Dhanjani al momento de
escribir este artículo, pero la situación es un ejemplo de cuánto más deben hacer los
fabricantes de automóviles hoy para proteger sus automóviles. El solo hecho de ofrecer
una aplicación para iniciar y verificar el estado de su automóvil de forma remota no es
suficiente. También tiene que ser seguro. La actualización más reciente, una característica
llamada Invocar, le permite decirle al automóvil que salga del garaje o se estacione en un
lugar estrecho. En el futuro, Summon permitirá que el automóvil lo recoja en cualquier
lugar del país. Un poco como el viejo programa de televisión Knight Rider.
Al refutar una reseña negativa en el New York Times, Tesla admitió el poder de los
datos que tienen de su lado. El reportero del Times , John Broder, dijo que su Tesla Model
S se había averiado y lo había dejado varado. En un blog, Tesla respondió, identificando
varios puntos de datos que dijeron que cuestionaban la versión de la historia de Broder.
Por ejemplo, Tesla señaló que Broder conducía a velocidades que oscilaban entre
sesenta y cinco millas por hora y ochenta y una millas por hora, con una configuración de
temperatura promedio en la cabina de setenta y dos grados Fahrenheit.20 Según Forbes,
“los registradores de datos en el Modelo S conocía los ajustes de temperatura del
automóvil, el nivel de la batería durante todo el viaje, la velocidad del automóvil de un
minuto a otro y la ruta exacta tomada, hasta el hecho de que el revisor del automóvil
conducía en círculos en un estacionamiento cuando la batería del automóvil estaba casi
agotada. muerto.”21 La capacidad telemática es una extensión lógica de las cajas negras
obligatorias en todos los autos producidos para la venta en los Estados Unidos
después de 2015. Pero las cajas negras en los autos no son nada nuevo. Se remontan a
la década de 1970, cuando se introdujeron por primera vez las bolsas de aire. En las
colisiones, las personas en ese entonces sufrieron lesiones que amenazaron sus vidas
debido a las bolsas de aire, y algunas murieron por la fuerza de las bolsas al golpear sus
cuerpos. En algunos casos, si el automóvil no hubiera estado equipado con esas bolsas,
los ocupantes podrían estar vivos hoy. Para realizar mejoras, los ingenieros necesitaban
los datos sobre el despliegue de las bolsas en los momentos antes y después de un
choque, recopilados por la detección y el diagnóstico de las bolsas de aire.
Machine Translated by Google

módulos (SDM). Sin embargo, a los propietarios de los vehículos no se les dijo hasta hace
muy poco que los sensores de sus automóviles registraban datos sobre su conducción.
Activadas por cambios repentinos en las fuerzas g, las cajas negras en los automóviles,
al igual que las cajas negras en los aviones, registran solo los últimos segundos que rodean
el evento de fuerza g, como aceleración repentina, torsión y frenado brusco.
Pero es fácil imaginar que se recopilen más tipos de datos en estas cajas negras y se
transmitan en tiempo real a través de conexiones celulares. Imagine, en el futuro, que los
datos recopilados durante un período de tres a cinco días podrían almacenarse en el
vehículo o en la nube. En lugar de tratar de describir ese ruido de ping-ping que escucha
cuando su automóvil viaja a treinta y cinco millas por hora o más, simplemente le daría
acceso a su mecánico a los datos registrados. La verdadera pregunta es, ¿quién más tiene
acceso a todos estos datos? Incluso Tesla admite que los datos que recopila pueden ser
utilizados por terceros.
¿Y si el tercero fuera su banco? Si tuviera un acuerdo con el fabricante de su automóvil,
podría rastrear su capacidad de conducción y juzgar su elegibilidad para futuros préstamos
para automóviles en consecuencia. O su aseguradora de salud podría hacer lo mismo. O
incluso su aseguradora de coche. Puede ser necesario que el gobierno federal evalúe quién
posee los datos de su automóvil y qué derechos tiene para mantener dichos datos privados.

Es poco lo que puede hacer al respecto hoy, pero vale la pena prestarle atención en el
futuro.

Incluso si no posee un Tesla, el fabricante de su automóvil podría ofrecerle una aplicación

que le permita abrir las puertas del automóvil, arrancar el motor o incluso inspeccionar ciertos
diagnósticos en su automóvil. Un investigador ha demostrado que estas señales, entre el
automóvil, la nube y la aplicación, pueden piratearse y usarse para rastrear un vehículo
objetivo, desbloquearlo sin esfuerzo, activar la bocina y la alarma e incluso controlar su
motor. El hacker puede hacer casi todo excepto poner el auto en marcha y alejarlo. Eso
todavía requiere la llave del conductor. Aunque, recientemente descubrí cómo deshabilitar
el llavero de Tesla para que el Tesla esté completamente conectado a tierra. Al usar un
pequeño transmisor a 315 MHz, puede hacer que no se detecte el llavero, inhabilitando así
el automóvil.
Hablando en DEF CON 23, Samy Kamkar, el investigador de seguridad mejor conocido
por desarrollar el gusano Samy específico de Myspace en 2005, demostró un dispositivo
que construyó llamado OwnStar, que puede hacerse pasar por un
Machine Translated by Google

red vehicular conocida. Con él podría abrir su vehículo de General Motors habilitado para
OnStar, por ejemplo. El truco consiste en colocar físicamente el dispositivo en el
parachoques o en la parte inferior de un automóvil o camión objetivo. El dispositivo
falsifica el punto de acceso inalámbrico del automóvil, que asocia automáticamente el
dispositivo móvil del conductor desprevenido con el nuevo punto de acceso (suponiendo
que el conductor se haya asociado previamente con el punto de acceso original). Cada
vez que el usuario inicia la aplicación móvil de OnStar, ya sea en iOS o Android, el código
OwnStar explota una falla en la aplicación para robar las credenciales de OnStar del
conductor. “Tan pronto como esté en mi red y abra la aplicación, me haré cargo”, dijo
Kamkar.22
Después de obtener las credenciales de inicio de sesión del usuario para RemoteLink,
el software que activa OnStar, y escuchar el sonido de bloqueo o desbloqueo (bip-bip),
un atacante puede rastrear un automóvil en un estacionamiento lleno de gente, abrirlo y
robar cualquier cosa. valioso por dentro. Luego, el atacante quitaría el dispositivo del
parachoques. Es un ataque muy limpio, ya que no hay señales de una intrusión forzada.
El propietario y la compañía de seguros deben descifrar qué sucedió.

Los investigadores han descubierto que también se pueden rastrear los estándares
de automóviles conectados diseñados para mejorar el flujo de tráfico. Las comunicaciones
de vehículo a vehículo (V2V) y de vehículo a infraestructura (V2I), conocidas en conjunto
como V2X, exigen que los automóviles transmitan mensajes diez veces por segundo,
utilizando una parte del espectro Wi-Fi a 5,9 gigahercios conocida como 802.11p.23
Lamentablemente, estos datos se envían sin cifrar, tiene que ser así. Cuando los
automóviles circulan a toda velocidad por una carretera, el milisegundo de retraso
necesario para descifrar la señal podría provocar un accidente peligroso, por lo que los
diseñadores optaron por comunicaciones abiertas y sin cifrar. Sabiendo esto, insisten en
que las comunicaciones no contienen información personal, ni siquiera un número de
matrícula. Sin embargo, para evitar falsificaciones, los mensajes se firman digitalmente.
Son estas firmas digitales, como los datos IMEI (número de serie del teléfono móvil)
enviados desde nuestros teléfonos celulares, las que se pueden rastrear hasta los
propietarios registrados del vehículo.
Jonathan Petit, uno de los investigadores detrás del estudio, le dijo a Wired: “El
vehículo dice: 'Soy Alice, esta es mi ubicación, esta es mi velocidad y mi dirección'. Todos
a tu alrededor pueden escuchar eso... Pueden decir, 'Ahí está Alice, dijo que estaba en
casa, pero pasó por la farmacia, se fue
Machine Translated by Google

a una clínica de fertilidad', este tipo de cosas... Alguien puede inferir mucha información privada sobre
el pasajero.”24
Petit ha diseñado un sistema por alrededor de $ 1,000 que puede escuchar las comunicaciones
V2X, y sugiere que una pequeña ciudad podría cubrirse con sus sensores por alrededor de $ 1 millón.
En lugar de tener una gran fuerza policial, la ciudad usaría los sensores para identificar a los conductores
y, lo que es más importante, sus hábitos.

Una propuesta de la Administración Nacional de Seguridad del Tráfico en las Carreteras y las
autoridades europeas es que la señal 802.11p, el “seudónimo” del vehículo, cambie cada cinco minutos.
Sin embargo, eso no detendrá a un atacante dedicado, simplemente instalará más sensores en la
carretera que identificarán el vehículo antes y después de que realice el cambio. En resumen, parece
haber muy pocas opciones para evitar la identificación del vehículo.

“El cambio de seudónimo no detiene el seguimiento. Solo puede mitigar este ataque”, dice Petit.
"Pero aún es necesario para mejorar la privacidad... Queremos demostrar que en cualquier
implementación, aún debe tener esta protección, o alguien podrá rastrearlo".

La conectividad del automóvil a Internet es realmente buena para los propietarios de vehículos: los
fabricantes pueden enviar correcciones de errores de software al instante en caso de que sean
necesarias. Al momento de escribir este artículo, Volkswagen,25 Land Rover, 26 y Chrysler27 han
experimentado vulnerabilidades de software de alto perfil. Sin embargo, solo unos pocos fabricantes de
automóviles, como Mercedes, Tesla y Ford, envían actualizaciones inalámbricas a todos sus automóviles.
El resto de nosotros todavía tenemos que ir al taller para actualizar el software de nuestro automóvil.

Si crees que la forma en que Tesla y Uber rastrean cada viaje que haces es aterradora, entonces los
autos sin conductor serán aún más aterradores. Al igual que los dispositivos de vigilancia personal que
guardamos en nuestros bolsillos (nuestros teléfonos celulares), los autos autónomos necesitarán realizar
un seguimiento de a dónde queremos ir y tal vez incluso saber dónde estamos en un momento dado
para estar siempre listos. El escenario propuesto por Google y otros es que las ciudades ya no
necesitarán estacionamientos o garajes: su automóvil conducirá hasta que se necesite. O tal vez las
ciudades sigan el modelo bajo demanda, en el que la propiedad privada es cosa del pasado y todos
comparten el automóvil que tienen cerca.

Así como nuestros teléfonos móviles se parecen menos a los teléfonos con hilos de cobre que a los
Machine Translated by Google

Al igual que las PC tradicionales, los automóviles autónomos también serán una nueva forma de computadora.
Serán dispositivos informáticos autónomos, capaces de tomar decisiones autónomas en una fracción
de segundo mientras conducen en caso de que se corten las comunicaciones de su red. Usando
conexiones celulares, podrán acceder a una variedad de servicios en la nube, lo que les permitirá
recibir información de tráfico en tiempo real, actualizaciones de construcción de carreteras e informes
meteorológicos del Servicio Meteorológico Nacional.

Estas actualizaciones están disponibles en algunos vehículos convencionales en este momento.

Pero se pronostica que para 2025 la mayoría de los autos en la carretera estarán conectados (a
otros autos, a los servicios de asistencia en la carretera) y es probable que un porcentaje considerable
de estos sean autónomos.28 Imagínese qué error de software en un se vería un coche autónomo.

Mientras tanto, cada viaje que hagas quedará registrado en alguna parte. Necesitará una
aplicación, muy parecida a la aplicación de Uber, que estará registrada para usted y para su
dispositivo móvil. Esa aplicación registrará sus viajes y, presumiblemente, los gastos asociados con
su viaje si se cargan a la tarjeta de crédito registrada, que podría ser citada, si no de Uber, entonces
de su compañía de tarjeta de crédito. Y dado que lo más probable es que una empresa privada
participe en el diseño del software que hace funcionar estos autos sin conductor, estaría a merced
de esas empresas y de sus decisiones sobre si compartir parte o toda su información personal con
las fuerzas del orden. agencias

Bienvenido al futuro.

Espero que cuando lea esto haya regulaciones más estrictas, o al menos un indicio de
regulaciones más estrictas en el futuro cercano, con respecto a la fabricación de automóviles
conectados y sus protocolos de comunicación. En lugar de utilizar prácticas de seguridad de software
y hardware ampliamente aceptadas que son estándar hoy en día, la industria automotriz, al igual
que la industria de dispositivos médicos y otras, está intentando reinventar la rueda, como si no
hubiéramos aprendido mucho sobre la seguridad de la red en los últimos cuarenta años. años. Lo
hemos hecho, y sería mejor si estas industrias comenzaran a seguir las mejores prácticas existentes
en lugar de insistir en que lo que están haciendo es radicalmente diferente de lo que se ha hecho
antes. No es. Desafortunadamente, la falta de seguridad del código en un automóvil tiene
consecuencias mucho mayores que un simple bloqueo del software, con su pantalla azul de muerte.
En un automóvil, esa falla podría dañar o matar a un ser humano. A
Machine Translated by Google

Al momento de escribir este artículo, al menos una persona ha muerto mientras

un Tesla estaba en el modo de piloto automático beta, ya sea que el resultado de
frenos defectuosos o un error de juicio por parte del software del automóvil aún no
se ha resuelto.29 Al leer esto, es posible que no desee dejar tu casa. En el
próximo capítulo, analizaré las formas en que los dispositivos de nuestros hogares
escuchan y graban lo que hacemos a puerta cerrada. En este caso, no es al
gobierno al que debemos temer.
Machine Translated by Google

CAPÍTULO DOCE

Internet de la vigilancia

Hace unos años a nadie le importaba el termostato de tu

hogar. Era un simple termostato operado manualmente que mantenía su hogar
a una temperatura agradable. Entonces los termostatos se volvieron
programables. Y luego, una empresa, Nest, decidió que debería poder controlar
su termostato programable con una aplicación basada en Internet. Puedes
sentir a dónde voy con esto, ¿verdad?
En una reseña vengativa del producto del termostato con pantalla táctil
inteligente Wi-Fi de Honeywell, alguien que se hace llamar el General escribió
en Amazon que su exesposa se quedó con la casa, el perro y el 401(k), pero
conservó la contraseña del Termostato Honeywell. Cuando la ex esposa y su
novio estaban fuera de la ciudad, el general afirmó que subiría la temperatura
de la casa y luego la bajaría antes de que regresaran: “Solo puedo imaginar
cuál será su factura de electricidad. Me hace sonreír”.1 Los investigadores de
Black Hat USA 2014, una conferencia para personas de la industria de la
seguridad de la información, revelaron algunas formas en las que el
firmware de un termostato Nest podría verse comprometido.2 Es importante
tener en cuenta que muchas de estas los compromisos requieren acceso físico
al dispositivo, lo que significa que alguien tendría que entrar a su casa e instalar
un puerto USB en el termostato. Daniel Buentello, un investigador de seguridad
independiente, uno de los cuatro presentadores que hablaron sobre la piratería
del dispositivo, dijo: "Este es un
Machine Translated by Google

computadora en la que el usuario no puede instalar un antivirus. Peor aún, hay una
puerta trasera secreta que una mala persona podría usar y permanecer allí para
siempre. Es literalmente una mosca en la pared”.3 El equipo de investigadores mostró
un video en el que cambiaron la interfaz del termostato Nest (hicieron que pareciera
la lente de la cámara en forma de pecera HAL 9000) y cargaron otras características
nuevas. Curiosamente, no pudieron desactivar la función de informes automáticos
dentro del dispositivo, por lo que el equipo produjo su propia herramienta para hacerlo.4
Esta herramienta cortaría el flujo de datos que regresaba a Google, la empresa matriz
de Nest.
Al comentar sobre la presentación, Zoz Cuccias de Nest le dijo más tarde a
VentureBeat: “Todos los dispositivos de hardware, desde computadoras portátiles
hasta teléfonos inteligentes, son susceptibles de fugas; esto no es un problema único.
Este es un jailbreak físico que requiere acceso físico al Nest Learning Thermostat. Si
alguien lograra ingresar a su hogar y pudiera elegir, es probable que instale sus propios
dispositivos o se lleve las joyas. Este jailbreak no compromete la seguridad de nuestros
servidores o las conexiones a ellos y, hasta donde sabemos, no se ha accedido ni
comprometido ningún dispositivo de forma remota. La seguridad del cliente es muy
importante para nosotros y nuestra máxima prioridad son las vulnerabilidades remotas.
Una de sus mejores defensas es comprar una Dropcam Pro para que pueda monitorear
su hogar cuando no esté allí”. que otros productos utilizarán. En otras palabras, estas
empresas quieren que los dispositivos desarrollados por otras empresas se
conecten a sus servicios y no a los de otra persona. Google posee tanto Dropcam
como Nest, pero quieren que otros dispositivos de Internet de las cosas, como
bombillas inteligentes y monitores para bebés, también se conecten a su cuenta de
Google. La ventaja de esto, al menos para Google, es que pueden recopilar más datos
sin procesar sobre sus hábitos personales (y esto se aplica a cualquier gran empresa:
Apple, Samsung e incluso Honeywell).

Al hablar sobre el Internet de las cosas, el experto en seguridad informática Bruce

Schneier concluyó en una entrevista: “Esto se parece mucho al campo informático de
los años noventa. Nadie está prestando atención a la seguridad, nadie está
actualizando, nadie sabe nada; todo es muy, muy malo y se va a derrumbar... Habrá
vulnerabilidades, serán explotadas por los malos, y habrá no hay manera de
parchearlos.”6
Machine Translated by Google

Para probar ese punto, en el verano de 2013, el periodista Kashmir Hill hizo algunos
reportajes de investigación y pirateó computadoras. Al usar una búsqueda en Google,
encontró una frase simple que le permitía controlar algunos dispositivos de concentrador
Insteon para el hogar. Un concentrador es un dispositivo central que brinda acceso a una
aplicación móvil o a Internet directamente. A través de la aplicación, las personas pueden
controlar la iluminación de sus salas de estar, cerrar las puertas de sus casas o ajustar la
temperatura de sus hogares. A través de Internet, el propietario puede ajustar estas cosas
durante, por ejemplo, un viaje de negocios.
Como mostró Hill, un atacante también podría usar Internet para comunicarse de forma
remota con el concentrador. Como prueba adicional, se acercó a Thomas Hatley, un
completo extraño, en Oregón, y le preguntó si podía usar su casa como prueba.
caso.
Desde su casa en San Francisco, Hill pudo encender y apagar las luces dentro de la
casa de Hatley, a unas seiscientas millas de la costa del Pacífico.
También podría haber controlado sus bañeras de hidromasaje, ventiladores, televisores,
bombas de agua, puertas de garaje y cámaras de videovigilancia si él las hubiera conectado.
El problema, ahora corregido, fue que Insteon hizo que toda la información de Hatley
estuviera disponible en Google. Peor aún, el acceso a esta información no estaba protegido
por una contraseña en ese momento: cualquier persona que tropezara con este hecho
podría controlar cualquier centro de Insteon que pudiera encontrarse en línea. El enrutador
de Hatley tenía una contraseña, pero se podía eludir buscando el puerto utilizado por
Insteon, que es lo que hizo Hill.
“La casa de Thomas Hatley fue una de las ocho a las que pude acceder”, escribió Hill.
“Se reveló información confidencial, no solo qué electrodomésticos y dispositivos tenían las
personas, sino también su zona horaria (junto con la ciudad importante más cercana a su
hogar), direcciones IP e incluso el nombre de un niño; aparentemente, los padres querían
tener la capacidad de desconectar su televisor desde lejos. En al menos tres casos, hubo
suficiente información para vincular las casas en Internet con sus ubicaciones en el mundo
real. Los nombres de la mayoría de los sistemas eran genéricos, pero en uno de esos
casos, incluía la dirección de una calle que pude rastrear hasta una casa en Connecticut”
.7 Casi al mismo tiempo, Nitesh Dhanjani encontró un problema similar. , un investigador
de seguridad. Dhanjani estaba mirando en particular el sistema de iluminación Philips
Hue, que permite al propietario ajustar el color y el brillo de una bombilla desde un
dispositivo móvil. La bombilla tiene un alcance de dieciséis millones.
Machine Translated by Google

colores.
Dhanjani descubrió que un simple script insertado en una computadora doméstica en
la red doméstica era suficiente para provocar un ataque distribuido de denegación de
servicio, o ataque DDoS, en el sistema de iluminación.8 En otras palabras, podía hacer
cualquier habitación con un Hue la bombilla se apaga a voluntad. Lo que escribió fue un
código simple para que cuando el usuario reinicie la bombilla, se apague rápidamente de
nuevo y siga apagándose mientras el código esté presente.
Dhanjani dijo que esto podría significar serios problemas para un edificio de oficinas
o de apartamentos. El código haría que todas las luces no funcionaran, y las personas
afectadas llamarían a la empresa de servicios públicos local solo para descubrir que no
había cortes de energía en su área.
Si bien los dispositivos de automatización del hogar accesibles por Internet pueden
ser el objetivo directo de los ataques DDoS, también pueden verse comprometidos y
unirse a una red de bots: un ejército de dispositivos infectados bajo un controlador que se
puede usar para lanzar ataques DDoS contra otros sistemas en Internet. . En octubre de
2016, una empresa llamada Dyn, que maneja los servicios de infraestructura de DNS
para las principales marcas de Internet como Twitter, Reddit y Spotify, se vio muy afectada
por uno de estos ataques. Millones de usuarios en la parte este de los Estados Unidos no
pudieron acceder a muchos sitios importantes porque sus navegadores no pudieron
acceder a los servicios DNS de Dyn.
El culpable fue una pieza de malware llamada Mirai, un programa malicioso que
recorre Internet en busca de dispositivos inseguros de Internet de las cosas, como
cámaras de CCTV, enrutadores, DVR y monitores para bebés, para secuestrar y
aprovechar en futuros ataques. Mirai intenta apoderarse del dispositivo simplemente
adivinando la contraseña. Si el ataque tiene éxito, el dispositivo se une a una botnet
donde espera instrucciones. Ahora, con un simple comando de una línea, el operador de
la red de bots puede indicar a todos los dispositivos, cientos de miles o millones de ellos,
que envíen datos a un sitio de destino e inundarlo con información, obligándolo a
desconectarse.
Si bien no puede evitar que los piratas informáticos lancen ataques DDoS contra
otros, puede volverse invisible para sus botnets. El primer elemento del negocio al
implementar un dispositivo de Internet de las cosas es cambiar la contraseña a algo difícil
de adivinar. Si ya tiene un dispositivo implementado, reiniciarlo debería eliminar cualquier
código malicioso existente.
Machine Translated by Google

Los scripts de computadora pueden afectar otros sistemas de hogares inteligentes.

Si tiene un recién nacido en su hogar, también puede tener un monitor de bebé.

Este dispositivo, ya sea un micrófono o una cámara o una combinación de ambos, permite a
los padres estar fuera de la sala de recién nacidos y seguir a su bebé.
Desafortunadamente, estos dispositivos también pueden invitar a otros a observar al niño.
Los monitores de bebés analógicos utilizan frecuencias inalámbricas retiradas en el rango
de 43 a 50 MHz. Estas frecuencias se usaron por primera vez para teléfonos inalámbricos en
la década de 1990, y cualquier persona con un escáner de radio barato podría interceptar
fácilmente llamadas de teléfonos inalámbricos sin que el objetivo supiera lo que sucedió.
Incluso hoy en día, un pirata informático podría usar un analizador de espectro para
descubrir la frecuencia que usa un monitor de bebé analógico en particular, y luego emplear
varios esquemas de demodulación para convertir la señal eléctrica en audio. Un escáner
policial de una tienda de electrónica también sería suficiente. Ha habido numerosos casos
legales en los que los vecinos que usaban la misma marca de monitores para bebés
configurados en el mismo canal se escuchaban a escondidas entre sí. En 2009, Wes Denkov
de Chicago demandó a los fabricantes del monitor de video para bebés Summer Infant Day &
Night, alegando que su vecino podía escuchar conversaciones privadas en su casa.9

Como contramedida, es posible que desee utilizar un monitor de bebé digital.

Estos siguen siendo vulnerables a las escuchas, pero tienen mejor seguridad y más opciones
de configuración. Por ejemplo, puede actualizar el firmware del monitor (el software en el chip)
inmediatamente después de la compra. También asegúrese de cambiar el nombre de usuario
y la contraseña predeterminados.
Una vez más, es posible que se encuentre con una elección de diseño que está fuera de
su control. Nitesh Dhanjani descubrió que el vigilabebés inalámbrico Belkin WeMo utiliza un
token en una aplicación que, una vez instalada en su dispositivo móvil y utilizada en su red
doméstica, permanece activa, desde cualquier parte del mundo. Supongamos que acepta
cuidar a su sobrina recién nacida y su hermano lo invita a descargar la aplicación de Belkin en
su teléfono a través de su red doméstica local (con un poco de suerte, está protegida con una
contraseña WPA2). Ahora tiene acceso al monitor de bebé de su hermano desde todo el país,
desde todo el mundo.

Dhanjani señala que esta falla de diseño está presente en muchos dispositivos
interconectados de Internet de las cosas. Básicamente, estos dispositivos asumen que todo
en la red local es confiable. Si, como algunos creen, todos tenemos veinte o
Machine Translated by Google

treinta dispositivos de este tipo en nuestros hogares dentro de poco, el modelo de seguridad
tendrá que cambiar. Dado que todo en la red es confiable, una falla en cualquier dispositivo
(el monitor de su bebé, la bombilla, el termostato) podría permitir que un atacante remoto
ingrese a su red doméstica inteligente y darle la oportunidad de aprender aún más sobre sus
hábitos personales.

Mucho antes de las aplicaciones móviles, existían los controles remotos portátiles. La mayoría
de nosotros somos demasiado jóvenes para recordar los días antes de que los televisores
tuvieran controles remotos, los días en que las personas tenían que levantarse físicamente
del sofá y girar un dial para cambiar de canal. O para subir el volumen. Hoy, desde la
comodidad de nuestros sofás, solo podemos instruir al televisor con nuestras palabras. Eso
puede ser muy conveniente, pero también significa que el televisor está escuchando, aunque
solo sea para que el comando se encienda solo.
En los primeros días, los controles remotos de los televisores requerían una línea de
visión directa y funcionaban utilizando luz, específicamente, tecnología infrarroja. Un control
remoto a batería emitiría una secuencia de destellos de luz apenas visibles para el ojo humano
pero visibles (nuevamente, dentro de la línea de visión) para un receptor en el televisor.
¿Cómo sabría el televisor si querías encenderlo cuando estaba apagado?
Simple: el sensor de infrarrojos ubicado dentro del televisor siempre estaba encendido, en
espera, esperando una secuencia particular de pulsos de luz infrarroja del control remoto de
mano para despertarlo.
Los televisores con control remoto evolucionaron a lo largo de los años para incluir
señales inalámbricas, lo que significaba que no tenía que pararse directamente frente al
televisor; podrías estar a un lado, a veces incluso en otra habitación. Nuevamente, el televisor
estaba encendido en modo de espera, esperando la señal adecuada para despertarlo.
Avance rápido a televisores activados por voz. Estos televisores eliminan el control remoto
que tienes en la mano, que, si eres como yo, nunca puedes encontrar cuando lo deseas de
todos modos. En su lugar, dices algo tonto como "TV encendida" o "Hola, TV" y la TV,
mágicamente, se enciende.
En la primavera de 2015, los investigadores de seguridad Ken Munro y David Lodge
querían ver si los televisores Samsung activados por voz escuchaban las conversaciones en
la habitación, incluso cuando el televisor no estaba en uso. Si bien descubrieron que los
televisores digitales, de hecho, permanecen inactivos cuando están apagados, lo cual es
tranquilizador, los televisores graban todo lo que se habla después de que les da un comando
simple, como "Hola, TV" (es decir, graban todo hasta que el la televisión es
Machine Translated by Google

ordenó que se apagara de nuevo). ¿Cuántos de nosotros recordaremos mantenernos absolutamente

callados mientras la televisión está encendida?
No lo haremos, y para hacer las cosas aún más inquietantes, lo que decimos (y lo que se graba)
después del comando "Hola, TV" no está encriptado. Si puedo conectarme a la red de su hogar,
puedo escuchar cualquier conversación que tenga en su hogar mientras el televisor está encendido.
El argumento a favor de mantener el televisor en modo de escucha es que el dispositivo necesita
escuchar cualquier comando adicional que pueda darle, como "Subir volumen", "Cambiar el canal" y
"Silenciar el sonido". Eso podría estar bien, excepto que los comandos de voz capturados suben a
un satélite antes de volver a bajar.

Y debido a que toda la cadena de datos no está encriptada, puedo llevar a cabo un ataque de
intermediario en su televisor, insertando mis propios comandos para cambiar su canal, subir el
volumen o simplemente apagar el televisor cuando quiera. desear.

Pensemos en eso por un segundo. Eso significa que si está en una habitación con un televisor
activado por voz, en medio de una conversación con alguien, y decide encender el televisor, el flujo
de conversación que sigue puede ser grabado por su televisor digital. Además, esa conversación
grabada sobre la próxima venta de pasteles en la escuela primaria puede transmitirse a un servidor
en algún lugar lejos de su sala de estar. De hecho, Samsung transmite esos datos no solo a sí mismo
sino también a otra empresa llamada Nuance, una empresa de software de reconocimiento de voz.
Esas son dos empresas que tienen información vital sobre la próxima venta de pasteles.

Y seamos realistas aquí: la conversación promedio que está teniendo en su sala de televisión
probablemente no se trate de una venta de pasteles. Tal vez estés hablando de algo ilegal, que la
policía podría querer saber. Es muy probable que estas empresas informen a la policía, pero si la
policía, por ejemplo, ya estuviera interesada en usted, los agentes podrían obtener una orden judicial
que obligue a estas empresas a proporcionar transcripciones completas. “Lo siento, pero fue tu
televisor inteligente el que te narcó…”

Samsung, en su defensa, ha declarado que tales escenarios de espionaje se mencionan en el

acuerdo de privacidad que todos los usuarios aceptan implícitamente cuando encienden el televisor.
Pero, ¿cuándo fue la última vez que leyó un acuerdo de privacidad antes de encender un dispositivo
por primera vez? Samsung dice que en un futuro cercano todas sus comunicaciones de TV estarán
encriptadas.10 Pero a partir de 2015,
Machine Translated by Google

la mayoría de los modelos en el mercado no están protegidos.

Afortunadamente, hay formas de desactivar esta función similar a HAL 9000 en su Samsung y
presumiblemente también en los televisores de otros fabricantes. En el Samsung PN60F8500 y productos
similares, vaya al menú Configuración, seleccione "Funciones inteligentes" y luego, en "Reconocimiento
de voz", seleccione "Desactivado".
Pero si desea evitar que su televisor pueda grabar conversaciones confidenciales en su hogar, tendrá
que sacrificar la posibilidad de entrar a una habitación y ordenar por voz que se encienda su televisor.
Todavía puede, con el control remoto en la mano, seleccionar el botón del micrófono y decir sus
comandos. O podrías levantarte del sofá y cambiar los canales tú mismo. Lo sé. La vida es dura.

Los flujos de datos sin cifrar no son exclusivos de Samsung. Mientras probaba los televisores
inteligentes LG, un investigador descubrió que los datos se envían a LG a través de Internet cada vez
que el espectador cambia de canal. El televisor también tiene una opción de configuración llamada
"Recopilación de información de visualización", habilitada de forma predeterminada.
Su "información de observación" incluye los nombres de los archivos almacenados en cualquier unidad
USB que conecte a su televisor LG, por ejemplo, una que contenga fotos de sus vacaciones familiares.
Los investigadores llevaron a cabo otro experimento en el que crearon un archivo de video simulado y lo
cargaron en una unidad USB, luego lo conectaron a su televisor. Cuando analizaron el tráfico de la red,
encontraron que el nombre del archivo de video se transmitió sin cifrar dentro del tráfico http y se envió a
la dirección GB.smartshare.lgtvsdp.com.

Sensory, una empresa que fabrica soluciones integradas de reconocimiento de voz para productos
inteligentes, cree que puede hacer aún más. “Creemos que la magia en [los televisores inteligentes] es
dejarlo siempre encendido y siempre escuchando”, dice Todd Mozer, director ejecutivo de Sensory. “En
este momento [escuchar] consume demasiada energía para hacer eso. Samsung hizo algo realmente
inteligente y creó un modo de escucha. Queremos ir más allá y hacerlo siempre encendido, siempre
escuchando sin importar dónde se encuentre”. 11 Ahora que sabe de lo que es capaz su televisor digital,
es posible que se pregunte: ¿Puede su teléfono celular escuchar a escondidas cuando está apagado?
Hay tres campamentos. Sí, no, y depende.

Hay quienes en la comunidad de la privacidad juran que tienes que sacar la batería de tu teléfono
inteligente apagado para asegurarte de que no esté escuchando. No parece haber mucha evidencia para
apoyar esto; es
Machine Translated by Google

en su mayoría anecdótico. Luego están las personas que juran que simplemente apagar el teléfono es
suficiente; caso cerrado. Pero creo que en realidad hay instancias, por ejemplo, si se agrega malware a
un teléfono inteligente, cuando no se apaga por completo y aún podría grabar conversaciones cercanas.
Así que depende de una variedad de factores.

Hay algunos teléfonos que se activan cuando dices una frase mágica, al igual que los televisores
activados por voz. Esto implicaría que los teléfonos están escuchando en todo momento, esperando la
frase mágica. Esto también implicaría que lo que se dice se está grabando o transmitiendo de alguna
manera. En algunos teléfonos infectados con malware eso es cierto: la cámara o el micrófono del teléfono
se activan cuando no hay una llamada en curso. Estos casos, creo, son raros.

Pero volvamos a la pregunta principal. Hay algunos en la comunidad de privacidad que juran que
puedes activar un teléfono cuando está apagado. Hay malware que puede hacer que el teléfono parezca
estar apagado cuando no lo está. Sin embargo, la posibilidad de que alguien pueda activar un teléfono
apagado (sin batería) me parece imposible. Básicamente, cualquier dispositivo que tenga energía de
batería que permita que su software esté en estado de ejecución puede ser explotado. No es difícil que
una puerta trasera de firmware haga que el dispositivo parezca que está apagado cuando no lo está. Un
dispositivo sin energía no puede hacer nada. ¿O puede? Algunos todavía argumentan que la NSA ha
colocado chips en nuestros teléfonos que proporcionan energía y permiten el seguimiento incluso cuando
el teléfono está físicamente apagado (incluso si se extrae la batería física).

Ya sea que su teléfono sea capaz de escuchar o no, el navegador que usa ciertamente lo es.
Alrededor de 2013, Google comenzó lo que se llama hotwording, una función que le permite dar un
comando simple que activa el modo de escucha en Chrome. Otros han seguido su ejemplo, incluidos Siri
de Apple, Cortana de Microsoft y Alexa de Amazon. Por lo tanto, su teléfono, su PC tradicional y ese
dispositivo independiente en su mesa de café contienen servicios de back-end en la nube que están
diseñados para responder a comandos de voz como "Siri, ¿qué tan lejos está la estación de servicio más
cercana? ?” Lo que significa que escuchan. Y si eso no te preocupa, debes saber que las búsquedas
realizadas por estos servicios se registran y guardan indefinidamente.

12

Indefinidamente.
Entonces, ¿cuánto oyen estos dispositivos? En realidad, es un poco confuso lo que hacen cuando no
están respondiendo preguntas o encendiendo su televisor y
Machine Translated by Google

apagado. Por ejemplo, utilizando la versión tradicional para PC del navegador Chrome,
los investigadores descubrieron que alguien (¿Google?) parecía estar escuchando
todo el tiempo al habilitar el micrófono. Esta función llegó a Chrome desde su
equivalente de código abierto, un navegador conocido como Chromium. En 2015, los
investigadores descubrieron que alguien (¿Google?) parecía estar escuchando todo el
tiempo. Tras una investigación más profunda, descubrieron que esto se debe a que el
navegador enciende el micrófono de forma predeterminada. A pesar de estar incluido
en el software de código abierto, este código no estaba disponible para su inspección.
Hay varios problemas con esto. Primero, "código abierto" significa que las personas
deberían poder ver el código, pero en este caso el código era una caja negra, un
código que nadie había examinado. En segundo lugar, este código llegó a la versión
popular del navegador a través de una actualización automática de Google, que los
usuarios no tuvieron la oportunidad de rechazar. Y a partir de 2015 Google no lo ha
eliminado. Ofrecieron un medio para que las personas optaran por no participar, pero
esa opción requiere habilidades de codificación tan complicadas que los usuarios
promedio no pueden hacerlo por sí mismos . y otros programas. Para la cámara web,
simplemente coloque un trozo de cinta adhesiva sobre ella. Para el micrófono, una
de las mejores defensas es colocar un enchufe de micrófono ficticio en la toma de
micrófono de su PC tradicional. Para hacer esto, consiga unos auriculares o audífonos
viejos y rotos y simplemente corte el cable cerca del conector del micrófono. Ahora
conecte ese trozo de un conector de micrófono en el enchufe. Su computadora pensará
que hay un micrófono allí cuando no lo hay. Por supuesto, si desea realizar una
llamada a través de Skype o algún otro servicio en línea, primero deberá quitar el
enchufe. Además, y esto es muy importante, asegúrese de que los dos cables en el
extremo del micrófono no se toquen para que no se fríe el puerto del micrófono.

Otro dispositivo conectado que vive en el hogar es Amazon Echo, un centro de

Internet que permite a los usuarios pedir películas a pedido y otros productos de
Amazon con solo hablar. El Echo también está siempre encendido, en modo de espera,
escuchando cada palabra, esperando la "palabra de activación".
Debido a que Amazon Echo hace más que un televisor inteligente, requiere que los
usuarios primerizos hablen hasta veinticinco frases específicas en el dispositivo antes
de darle cualquier comando. Amazon puede indicarle el clima exterior, brindarle los
últimos resultados deportivos y ordenar o reordenar artículos de su
Machine Translated by Google

colección si usted lo solicita. Dada la naturaleza genérica de algunas de las frases

que reconoce Amazon, por ejemplo, "¿Lloverá mañana?", Es lógico que su Echo
esté escuchando más que su televisor inteligente.
Afortunadamente, Amazon ofrece formas de eliminar sus datos de voz de
Echo.14 Si desea eliminar todo (por ejemplo, si planea vender su Echo a otra parte),
debe conectarse a Internet para hacerlo.15
Si bien todos estos dispositivos activados por voz requieren una frase específica
para despertarse, no está claro qué hace cada dispositivo durante el tiempo de
inactividad, el momento en que nadie le ordena que haga nada. Cuando sea posible,
desactive la función de activación por voz en los ajustes de configuración. Siempre
puedes volver a encenderlo cuando lo necesites.

Uniéndose al Amazon Echo en el Internet de las cosas, además de su televisor y

termostato, está su refrigerador.
¿Refrigerador?
Samsung ha anunciado un modelo de refrigerador que se conecta con su
calendario de Google para mostrar los próximos eventos en una pantalla plana
incrustada en la puerta del electrodoméstico, algo así como esa pizarra que alguna
vez tuvo en su lugar. Solo que ahora el frigorífico se conecta a Internet a través de
tu cuenta de Google.
Samsung hizo varias cosas bien al diseñar este refrigerador inteligente. Incluyeron
una conexión SSL/https para que el tráfico entre el refrigerador y el servidor de
Google Calendar esté encriptado. Y presentaron su refrigerador futurista para
probarlo en DEF CON 23, una de las convenciones de hackers más intensas del
mundo.
Pero según los investigadores de seguridad Ken Munro y David Lodge, las
personas que hackearon las comunicaciones de la televisión digital, Samsung no
verificó el certificado para comunicarse con los servidores de Google y obtener la
información del calendario de Gmail. Un certificado validaría que las comunicaciones
entre el refrigerador y los servidores de Google son seguras. Pero sin él, alguien con
intenciones maliciosas podría aparecer y crear su propio certificado, lo que le
permitiría espiar la conexión entre su refrigerador y Google.16 ¿Y qué?

Bueno, en este caso, al estar en su red doméstica, alguien no podría

Machine Translated by Google

solo obtenga acceso a su refrigerador y eche a perder su leche y huevos, pero también
obtenga acceso a la información de su cuenta de Google al realizar un ataque de hombre
en el medio en el cliente del calendario del refrigerador y robar sus credenciales de inicio
de sesión de Google, lo que le permite a él o ella lea su Gmail y tal vez haga un daño aún
mayor.
Los refrigeradores inteligentes aún no son la norma. Pero es lógico que a medida que
conectemos más dispositivos a Internet, e incluso a nuestras redes domésticas, habrá fallas
en la seguridad. Lo cual es aterrador, especialmente cuando lo que se compromete es algo
realmente precioso y privado, como tu hogar.

Las empresas de Internet de las cosas están trabajando en aplicaciones que convertirán
cualquier dispositivo en un sistema de seguridad para el hogar. Su televisor, por ejemplo,
algún día podría contener una cámara. En ese escenario, una aplicación en un teléfono
inteligente o tableta podría permitirle ver cualquier habitación de su hogar u oficina desde
cualquier ubicación remota. Las luces también se pueden encender cuando hay movimiento
dentro o fuera de la casa.
En un escenario, puede conducir hasta su casa y, mientras lo hace, la aplicación del
sistema de alarma en su teléfono o en su automóvil utiliza sus capacidades de
geolocalización integradas para detectar su llegada. Cuando estás a quince metros de
distancia, la aplicación le indica al sistema de alarma de la casa que desbloquee la puerta
delantera o del garaje (la aplicación en tu teléfono ya se conectó a la casa y se autenticó).
El sistema de alarma contacta además con el sistema de iluminación del hogar, pidiéndole
que ilumine el porche, la entrada y tal vez la sala de estar o la cocina. Además, es posible
que desee ingresar a su hogar mientras se reproduce música de cámara suave o la última
melodía Top 40 de un servicio como Spotify en el estéreo. Y por supuesto la temperatura
de la casa calienta o enfría, según la estación y tus preferencias, ahora que estás de nuevo
en casa.
Las alarmas para el hogar se hicieron populares a principios del siglo XXI. Los sistemas
de alarma para el hogar en ese momento requerían que un técnico montara sensores
cableados en las puertas y ventanas de la casa. Estos sensores cableados estaban
conectados a un concentrador central que usaba una línea fija cableada para enviar y recibir
mensajes del servicio de monitoreo. Pondría la alarma, y si alguien comprometiera las
puertas y ventanas aseguradas, el servicio de monitoreo se comunicaría con usted,
generalmente por teléfono. A menudo se proporcionaba una batería en caso de que se
cortara la energía. Tenga en cuenta que un teléfono fijo generalmente nunca pierde energía
a menos que se corte el cable a la casa.
Machine Translated by Google

Cuando mucha gente se deshizo de sus líneas fijas de cobre y se basó únicamente
en sus servicios de comunicación móvil, las empresas de monitoreo de alarmas
comenzaron a ofrecer conexiones basadas en celulares. Últimamente han cambiado
a servicios de aplicaciones basados en Internet.
Los sensores de alarma en las puertas y ventanas ahora son inalámbricos.
Ciertamente hay menos perforaciones y tendidos de cables feos, pero también hay
más riesgo. Los investigadores han encontrado repetidamente que las señales de
estos sensores inalámbricos no están encriptadas. Un posible atacante solo necesita
escuchar las comunicaciones entre los dispositivos para comprometerlos. Por
ejemplo, si puedo violar su red local, puedo espiar las comunicaciones entre los
servidores de su compañía de alarmas y su dispositivo doméstico (suponiendo que
esté en la misma red local y no esté encriptado), y al manipular esas comunicaciones
puedo comenzar a controlar su hogar inteligente, falsificando comandos para controlar
el sistema.
Las empresas ahora brindan servicios de monitoreo del hogar "hágalo usted
mismo". Si se altera algún sensor, su teléfono celular se ilumina con un mensaje de
texto informándole del cambio. O tal vez la aplicación proporciona una imagen de
cámara web desde el interior de la casa. De cualquier manera, usted tiene el control
y está monitoreando la casa usted mismo. Eso es genial hasta que se va el Internet de tu casa.
afuera.

Incluso cuando Internet está funcionando, los malos aún pueden subvertir o
suprimir estos sistemas de alarma inalámbricos de bricolaje. Por ejemplo, un atacante
puede activar falsas alarmas (que en algunas ciudades debe pagar el propietario).
Los dispositivos que crean falsas alarmas pueden activarse desde la calle frente a su
casa o hasta 250 yardas de distancia. Demasiadas falsas alarmas podrían hacer que
el sistema no sea confiable (y que el dueño de la casa se quede sin dinero por una
tarifa considerable).
O el atacante podría bloquear las señales del sensor inalámbrico de bricolaje
enviando ruido de radio para evitar la comunicación con el concentrador principal o el
panel de control. Suprime la alarma y evita que suene, neutralizando efectivamente
la protección y permitiendo que el criminal entre.

Mucha gente ha instalado cámaras web en sus hogares, ya sea por seguridad, para
monitorear a una persona que limpia o a una niñera, o para controlar un
Machine Translated by Google

adulto mayor confinado en el hogar o un ser querido con necesidades especiales. Desafortunadamente,
muchas de estas cámaras web a través de Internet son vulnerables a ataques remotos.

Hay un motor de búsqueda web disponible públicamente conocido como Shodan que expone
dispositivos no tradicionales configurados para conectarse a Internet.17 Shodan muestra resultados no
solo de sus dispositivos de Internet de las cosas en el hogar, sino también de redes internas de
servicios públicos municipales y sistemas de control industrial que han sido mal configurados. para
conectar sus servidores a la red pública. También muestra flujos de datos de innumerables cámaras
web comerciales mal configuradas en todo el mundo. Se ha estimado que en un día determinado
puede haber hasta cien mil cámaras web con poca o ninguna seguridad transmitiendo a través de
Internet.

Entre estas se encuentran cámaras de Internet sin autenticación predeterminada de una empresa
llamada D-Link, que se pueden usar para espiar a las personas en sus momentos privados (dependiendo
de lo que estas cámaras estén configuradas para capturar). Un atacante puede usar los filtros de
Google para buscar "cámaras de Internet D-Link". Luego, el atacante puede buscar los modelos que
por defecto no tienen autenticación, luego ir a un sitio web como Shodan, hacer clic en un enlace y ver
las secuencias de video cuando lo desee.

Para ayudar a prevenir esto, mantenga sus cámaras web accesibles por Internet apagadas cuando
no estén en uso. Desconéctelos físicamente para asegurarse de que estén apagados.
Cuando estén en uso, asegúrese de que tengan la autenticación adecuada y que estén configuradas
con una contraseña personalizada fuerte, no la predeterminada.
Si cree que su hogar es una pesadilla de privacidad, espere a ver su lugar de trabajo. Lo explicaré
en el siguiente capítulo.
Machine Translated by Google

CAPÍTULO TRECE

Cosas que tu jefe no quiere que sepas

Si has leído hasta aquí, obviamente te preocupa

privacidad, pero para la mayoría de nosotros no se trata de esconderse del gobierno federal.
Más bien, sabemos que cuando estamos en el trabajo, nuestros empleadores pueden ver
exactamente lo que estamos haciendo en línea a través de sus redes (por ejemplo, compras,
juegos, holgazanear). ¡Muchos de nosotros solo queremos cubrir nuestros traseros!
Y eso es cada vez más difícil de hacer, gracias en parte a los teléfonos celulares que
tenemos. Cada vez que Jane Rodgers, gerente de finanzas de una empresa de paisajismo
de Chicago, quiere saber si sus empleados en el campo están donde deberían estar, busca
sus ubicaciones exactas en su computadora portátil. Al igual que muchos gerentes y
propietarios de empresas, está recurriendo al software de seguimiento en los teléfonos
inteligentes y camiones de servicio de propiedad corporativa habilitados personalmente
(COPE) con dispositivos GPS para vigilar a sus empleados. Un día, un cliente le preguntó a
Jane si uno de sus paisajistas había ido a realizar un servicio. Después de algunas
pulsaciones de teclas, Jane verificó que entre las 10:00 am y las 10:30 am uno de sus
empleados había estado en el lugar especificado.
El servicio telemático que utiliza Rodgers proporciona capacidades más allá de la
geolocalización. Por ejemplo, en sus nueve teléfonos propiedad de la empresa, también
puede ver fotos, mensajes de texto y correos electrónicos enviados por sus jardineros. Ella
también tiene acceso a sus registros de llamadas y visitas al sitio web. Pero Rodgers dice
que ella solo usa la función GPS.1 El rastreo GPS en la industria de servicios ha estado
disponible durante mucho tiempo.
Machine Translated by Google

Junto con el propio sistema ORION de selección de ruta algorítmica de United Parcel Service,
ha permitido a la empresa de entrega de paquetes reducir los gastos de gasolina al monitorear
y sugerir rutas optimizadas para sus conductores.
La compañía también pudo tomar medidas enérgicas contra los conductores perezosos. De
esta forma, UPS ha aumentado su volumen en 1,4 millones de paquetes adicionales por día,
con mil conductores menos.2
Todo esto es bueno para los empleadores, quienes argumentan que al obtener márgenes
más altos, a su vez pueden permitirse pagar mejores salarios. Pero, ¿cómo se sienten los
empleados? Hay un inconveniente en toda esta vigilancia. En un análisis, la revista de Harper
presentó el perfil de un conductor que fue monitoreado electrónicamente mientras estaba en
el trabajo. El conductor, que no dio su nombre, dijo que el software cronometraba sus
entregas al segundo y le informaba cuando estaba por debajo o por encima del tiempo
óptimo. Al final de un día típico, el conductor dijo que podría haber llegado hasta por cuatro
horas.
holgazaneando? El conductor señaló que una sola parada puede incluir varios paquetes,
que el software ORION no siempre tiene en cuenta. El conductor describió a sus compañeros
de trabajo en su centro de distribución de Nueva York que luchaban contra el dolor crónico
en la parte inferior de la espalda y las rodillas por tratar de cargar demasiado en un solo viaje,
a pesar de los constantes recordatorios de la empresa sobre el manejo adecuado de cargas
pesadas, para mantenerse al día. con el programa Entonces, hay un tipo de costo humano
para este monitoreo de empleados.

Otro lugar donde la vigilancia del trabajo se usa regularmente es la industria de servicio
de alimentos. Desde cámaras en los techos de los restaurantes hasta quioscos en la mesa,
varios sistemas de software pueden observar y calificar al personal de servicio.
Un estudio de 2013 realizado por investigadores de la Universidad de Washington, la
Universidad Brigham Young y el MIT encontró que el software de monitoreo de robos utilizado
en 392 restaurantes produjo una reducción del 22 por ciento en el robo financiero del lado
del servidor después de su instalación.3 Como mencioné, monitorear activamente a las
personas no cambiar su comportamiento.
Actualmente no existen estatutos federales en los Estados Unidos que prohíban a las
empresas rastrear a sus empleados. Solo Delaware y Connecticut requieren que los
empleadores informen a los empleados cuando están siendo rastreados. En la mayoría de
los estados, los empleados no tienen idea de si están siendo observados en el trabajo.
¿Qué pasa con los empleados en la oficina? La gerencia americana
Machine Translated by Google

Association encontró que el 66 por ciento de los empleadores monitorea el uso de Internet de sus
empleados, el 45 por ciento rastrea las pulsaciones de teclas de los empleados en la computadora
(señalando el tiempo de inactividad como posibles "descansos") y el 43 por ciento monitorea el contenido

del correo electrónico de los empleados.4 Algunas compañías monitorean las entradas del calendario de
Outlook, los encabezados de correo electrónico y los registros de mensajería instantánea de los empleados.
Aparentemente, los datos se utilizan para ayudar a las empresas a determinar cómo emplean el tiempo
sus empleados, desde cuánto tiempo dedican los vendedores a los clientes hasta qué divisiones de la
empresa se mantienen en contacto por correo electrónico y cuánto tiempo dedican los empleados a las
reuniones. o lejos de sus escritorios.

Por supuesto, hay un giro positivo: tener tales métricas significa que la empresa puede ser más
eficiente en la programación de reuniones o en alentar a los equipos a tener más contacto entre sí. Pero la
conclusión es que alguien está recopilando todos estos datos corporativos. Y algún día podría ser entregado

a la policía o, al menos, utilizado en su contra en una revisión de desempeño.

No eres invisible en el trabajo. Todo lo que pasa por una red corporativa pertenece a la empresa, no es
tuyo. Incluso si está revisando su cuenta de correo electrónico personal, su último pedido con Amazon o
planeando unas vacaciones, probablemente esté usando un teléfono, una computadora portátil o una VPN
proporcionados por la compañía, así que espere que alguien controle todo lo que hace.

Aquí hay una manera fácil de evitar que su gerente e incluso sus compañeros de trabajo husmeen:
cuando deje su escritorio para ir a una reunión o al baño, bloquee la pantalla de su computadora. En serio.
No deje su correo electrónico o los detalles sobre el proyecto en el que ha pasado semanas abiertos,
simplemente sentado allí para que alguien se meta. Bloquea tu computadora hasta que regreses a tu
pantalla. Toma unos segundos más, pero te ahorrará mucho dolor. Configure un temporizador en el sistema
operativo para bloquear la pantalla después de una cierta cantidad de segundos. O busque en una de las
aplicaciones de Bluetooth que bloquearán automáticamente su pantalla si su teléfono móvil no está cerca
de la computadora. Dicho esto, hay un nuevo ataque que utiliza un dispositivo USB armado. Muchas
oficinas sellan los puertos USB en sus computadoras portátiles y de escritorio, pero si la suya no lo hace,
una memoria USB armada aún podría desbloquear su computadora sin una contraseña.5

Además de los secretos corporativos, también hay una buena cantidad de correo electrónico personal.
Machine Translated by Google

correo que pasa por nuestras computadoras durante la jornada laboral y, a veces, lo
imprimimos nosotros mismos mientras estamos en la oficina. Si le preocupa la
privacidad, no haga nada personal en el trabajo. Mantenga un cortafuegos estricto
entre su vida laboral y su vida hogareña. O traiga un dispositivo personal como una
computadora portátil o un iPad de casa si siente la necesidad de hacer cosas
personales durante el descanso. Y si su dispositivo móvil está habilitado para
celulares, nunca use el Wi-Fi de la compañía y, además, apague la transmisión SSID
si está usando un punto de acceso portátil (ver aquí). Solo use datos móviles cuando
realice negocios personales en el trabajo.
Realmente, una vez que llegue a su oficina, su rostro público debe estar
encendido. Así como no hablaría de cosas realmente personales con sus compañeros
de oficina ocasionales, debe mantener sus asuntos personales fuera de los sistemas
informáticos de la empresa (especialmente cuando está buscando temas relacionados
con la salud o buscando un nuevo trabajo).
Es más difícil de lo que parece. Por un lado, estamos acostumbrados a la
ubicuidad de la información ya la disponibilidad casi universal de Internet. Pero si vas
a dominar el arte de la invisibilidad, debes evitar hacer cosas privadas en público.

Suponga que todo lo que escribe en la computadora de su oficina es público.

Eso no significa que su departamento de TI esté monitoreando activamente su
dispositivo en particular o que alguna vez actuará sobre el hecho de que imprimió el
proyecto de la feria de ciencias de su hijo en la costosa impresora a color en el quinto
piso, aunque es posible que así sea. El punto es que hay un registro de que hiciste
estas cosas, y si hay sospechas en el futuro, pueden acceder a los registros de todo
lo que hiciste en esa máquina. Es su máquina, no la tuya.
Y es su red. Eso significa que están analizando el contenido que entra y sale de la
empresa.
Considere el caso de Adam, quien descargó su informe crediticio gratuito en la
computadora de su trabajo. Ingresó al sitio de la oficina de crédito utilizando la
computadora de la empresa a través de la red de la empresa. Digamos que usted,
como Adam, también descarga su informe de crédito en el trabajo. Quieres imprimirlo,
¿verdad? Entonces, ¿por qué no enviarlo a la imprenta de la empresa en la esquina?
Porque si lo hace, habrá una copia del archivo PDF que contiene su historial crediticio
en el disco duro de la impresora. Tú no controlas esa impresora. Y después de retirar
la impresora y sacarla de la oficina, no tiene control sobre cómo se desecha el disco
duro. Algunas impresoras ahora cifran sus
Machine Translated by Google

unidades, pero ¿puede estar seguro de que la impresora de su oficina está cifrada? no puedes

Eso no es todo. Cada documento de Word o Excel que crea con Microsoft Office incluye
metadatos que describen el documento. Por lo general, los metadatos del documento incluyen el
nombre del autor, la fecha de creación, el número de revisiones y el tamaño del archivo, así como
una opción para agregar más detalles. Esto no está habilitado de forma predeterminada por
Microsoft; tiene que pasar por algunos aros para verlo.6 Sin embargo, Microsoft ha incluido un
Inspector de documentos que puede eliminar estos detalles antes de exportar el documento a otro
lugar.7 Un estudio de 2012 patrocinado por Xerox y McAfee encontró que el 54 por ciento de los
empleados dicen que no siempre siguen las políticas de seguridad de TI de su empresa, y el 51 por

ciento de los empleados cuyo lugar de trabajo tiene una impresora, fotocopiadora o impresora
multifunción dicen que han copiado, escaneado o impreso información personal confidencial en el
trabajo. Y no es solo trabajo: lo mismo ocurre con las impresoras en la copistería local y la biblioteca
local. Todos contienen discos duros que recuerdan todo lo que han impreso durante su vida. Si
necesita imprimir algo personal, quizás deba imprimirlo más tarde en casa, en una red y una
impresora sobre las que tenga control.

Espiar, incluso a los empleados, se ha vuelto muy creativo. Algunas empresas contratan dispositivos
de oficina no tradicionales que de otro modo daríamos por sentado, sin imaginar nunca que podrían
usarse para espiarnos. Considere la historia de un joven estudiante graduado de la Universidad de
Columbia llamado Ang Cui.
Preguntándose si podría piratear una oficina corporativa y robar datos confidenciales a través de
medios no tradicionales, Cui decidió primero atacar las impresoras láser, un elemento básico en la
mayoría de las oficinas en la actualidad.
Cui notó que las imprentas estaban muy atrasadas. Durante varias pruebas de pluma, también
he observado esto. Pude aprovechar la impresora para obtener más acceso a la red corporativa.
Esto se debe a que los trabajadores rara vez cambian la contraseña de administrador en las
impresoras que se implementan internamente.
El software y el firmware utilizados en las impresoras, especialmente las impresoras comerciales
para la oficina en el hogar, contienen muchas fallas básicas de seguridad. La cuestión es que muy
pocas personas ven una impresora de oficina como vulnerable. Ellos piensan que son
Machine Translated by Google

disfrutar de lo que a veces se llama "seguridad por oscuridad": si nadie nota la falla,
entonces está a salvo.
Pero como he dicho, las impresoras y fotocopiadoras, según el modelo, tienen una
cosa importante en común: ambas pueden contener discos duros.
Y a menos que ese disco duro esté encriptado, y muchos todavía no lo están, es posible
acceder a lo que se ha impreso en una fecha posterior. Todo esto se sabe desde hace
años. Lo que Cui se preguntaba era si podría volver a una imprenta de la empresa en
contra de sus propietarios y filtrar todo lo que se imprimiera.
Para hacer las cosas más interesantes, Cui quería atacar el código de firmware de
la impresora, la programación incrustada dentro de un chip dentro de la impresora.
A diferencia de nuestras PC y dispositivos móviles tradicionales, los televisores digitales
y otros dispositivos electrónicos "inteligentes" no tienen la potencia ni los recursos de
procesamiento para ejecutar un sistema operativo completo como Android, Windows e iOS.
En su lugar, estos dispositivos utilizan lo que se denomina sistemas operativos en tiempo
real (RTOS), que se almacenan en chips individuales dentro del dispositivo
(frecuentemente conocido como fireware). Estos chips almacenan solo los comandos
necesarios para operar el sistema y no mucho más. Ocasionalmente, incluso estos
comandos simples deben ser actualizados por el fabricante o el proveedor al actualizar
o reemplazar los chips. Dado que esto se hace con poca frecuencia, es obvio que
muchos fabricantes simplemente no incorporaron las medidas de seguridad adecuadas.
Esto, la falta de actualización, fue el vector que Cui decidió perseguir para su ataque.
Cui quería ver qué pasaría si pirateaba el formato de archivo que HP usaba para sus
actualizaciones de firmware y descubrió que HP no verificaba la validez de cada
actualización. Así que creó su propio firmware de impresora y la impresora lo aceptó.
Así. No hubo autenticación en el lado de la impresora de que la actualización provino de
HP. A la impresora solo le importaba que el código estuviera en el formato esperado.

Cui ahora era libre de explorar.

En un famoso experimento, Cui informó que podía encender la barra del fusor, la
parte de la impresora que calienta el papel después de aplicar la tinta, y dejarla
encendida, lo que haría que la impresora se incendiara. El proveedor, no HP, respondió
de inmediato argumentando que había un mecanismo de seguridad térmico dentro de la
barra del fusor, lo que significaba que la impresora no podía sobrecalentarse. Sin
embargo, ese era el punto de Cui: había logrado desactivar esa función de seguridad
para que la máquina realmente pudiera incendiarse.
Como resultado de estos experimentos, Cui y su asesor, Salvatore Stolfo,
Machine Translated by Google

argumentó que las imprentas eran eslabones débiles en cualquier organización u hogar. Por
ejemplo, el departamento de recursos humanos de una empresa Fortune 500 podría recibir
un archivo de currículum vitae codificado de forma malintencionada a través de Internet. En
el tiempo que le toma al gerente de contratación imprimir ese documento, la impresora a
través de la cual viaja podría verse completamente comprometida al instalar una versión
maliciosa del firmware.
Para evitar que alguien tome sus documentos de la impresora, la impresión segura,
también conocida como impresión pull, garantiza que los documentos solo se liberen con la
autenticación de un usuario en la impresora (por lo general, se debe ingresar un código de
acceso antes de que se imprima el documento). Esto se puede hacer usando un PIN, una
tarjeta inteligente o una huella digital biométrica. La impresión pull también elimina los
documentos no reclamados, lo que evita que la información confidencial permanezca a la
vista de todos.8

Sobre la base de sus ataques a la impresora, Cui comenzó a buscar en la oficina típica otros
objetos comunes que pudieran ser vulnerables y se decidió por los teléfonos de Voz sobre
Protocolo de Internet (VoIP). Al igual que con las impresoras, nadie había apreciado el valor
oculto pero obvio de estos dispositivos para recopilar información. Y al igual que con una
impresora, el teléfono VoIP puede falsificar y aceptar una actualización del sistema.

La mayoría de los teléfonos VoIP tienen una opción de manos libres que le permite poner
a alguien en altavoz en su cubículo u oficina. Lo que significa que no solo hay un altavoz,
sino también un micrófono en la parte exterior del teléfono.
También hay un interruptor de "descolgado", que le dice al teléfono cuando alguien ha
descolgado el auricular y quiere hacer o escuchar una llamada, así como cuando el auricular
se ha vuelto a colocar y el altavoz está activado. Cui se dio cuenta de que si podía
comprometer el interruptor "descolgado", podría hacer que el teléfono escuchara
conversaciones cercanas a través del micrófono del altavoz, ¡incluso cuando el auricular
estaba colgado!
Una advertencia: a diferencia de una impresora, que puede recibir código malicioso a
través de Internet, los teléfonos VoIP deben "actualizarse" individualmente a mano. Esto
requiere que el código se propague mediante una unidad USB. No hay problema, decidió
Cui. Por un precio, un conserje nocturno podría instalar el código en cada teléfono con una
memoria USB mientras limpiaba la oficina.
Cui ha presentado esta investigación en varias conferencias, cada vez
Machine Translated by Google

usando diferentes teléfonos VoIP. Y cada vez que se notificó al proveedor por
adelantado, y cada vez que el proveedor produjo una solución. Pero Cui ha señalado
que el hecho de que exista un parche no significa que se aplique. Algunos de los
teléfonos sin parchear aún podrían estar en oficinas, hoteles y hospitales en este
momento.
Entonces, ¿cómo obtuvo Cui los datos del teléfono? Dado que las redes
informáticas de la oficina se supervisan en busca de actividad inusual, necesitaba
otro medio para extraer los datos. Decidió salir de la red y usar ondas de radio en su
lugar.
Anteriormente, los investigadores de la Universidad de Stanford y en Israel
descubrieron que tener su teléfono móvil colocado junto a su computadora puede
permitir que un tercero remoto escuche sus conversaciones. El truco requiere que se
inserte malware en su dispositivo móvil. Pero con aplicaciones codificadas
maliciosamente disponibles para descargar desde tiendas de aplicaciones no
autorizadas, eso es bastante fácil, ¿verdad?
Con el malware instalado en su teléfono móvil, el giroscopio dentro del teléfono
ahora es lo suficientemente sensible como para captar vibraciones leves. El malware
en este caso, dicen los investigadores, también puede captar vibraciones de aire
diminutas, incluidas las producidas por el habla humana. El sistema operativo Android
de Google permite leer los movimientos de los sensores a 200 Hz, o 200 ciclos por
segundo. La mayoría de las voces humanas oscilan entre 80 y 250 Hz. Eso significa
que el sensor puede captar una parte significativa de esas voces.
Los investigadores incluso crearon un programa personalizado de reconocimiento de
voz diseñado para interpretar aún más las señales de 80 a 250 Hz. 9 Cui encontró
algo similar en los teléfonos e impresoras VoIP. Descubrió que los pines finos
que sobresalen de casi cualquier microchip dentro de cualquier dispositivo integrado
hoy en día podrían oscilar en secuencias únicas y, por lo tanto, filtrar datos a través
de radiofrecuencia (RF). Esto es lo que él llama una funtenna, y es un campo de
juego virtual para los posibles atacantes. Oficialmente, dice el investigador de
seguridad Michael Ossmann, a quien Cui atribuye la idea, “una funtenna es una
antena que el diseñador del sistema no pretendía que fuera una antena,
particularmente cuando un atacante la usa como antena”.10 Aparte de a funtenna,
¿cuáles son otras formas en que la gente puede espiar lo que haces en el trabajo?
Machine Translated by Google

Investigadores en Israel han descubierto que los teléfonos celulares ordinarios pueden,
con malware instalado, recibir datos binarios de las computadoras. Y anteriormente, los
investigadores de Stanford descubrieron que los sensores de los teléfonos móviles podían
interceptar el sonido de las emisiones electrónicas de un teclado inalámbrico.11 Esto se
basa en una investigación similar realizada por científicos del MIT y Georgia Tech.12 Baste
decir que todo lo que escribe, ve o usa en la oficina puede ser escuchada de una forma u
otra por un tercero remoto.
Por ejemplo, supongamos que usa un teclado inalámbrico. La señal de radio inalámbrica
enviada desde el teclado a la computadora portátil o de escritorio puede ser interceptada.
El investigador de seguridad Samy Kamkar desarrolló algo llamado KeySweeper que está
diseñado para hacer precisamente eso: un cargador USB disfrazado que busca, descifra,
registra e informa de forma inalámbrica y pasiva (a través de GSM) todas las pulsaciones
de teclas de cualquier teclado inalámbrico de Microsoft en las cercanías. 13

Hemos discutido el peligro de usar puntos de acceso falsos en cafés y aeropuertos. Lo

mismo puede ser cierto en las oficinas. Alguien en su oficina puede configurar un punto de
acceso inalámbrico y su dispositivo puede conectarse automáticamente a él. Los
departamentos de TI suelen buscar estos dispositivos, pero a veces no lo hacen.
Un equivalente moderno de traer su propio punto de acceso a la oficina es traer su
propia conexión celular. Las femtoceldas son pequeños dispositivos disponibles a través
de su operador de telefonía móvil. Están diseñados para impulsar las conexiones celulares
dentro de una casa u oficina donde la señal puede ser débil. No están exentos de riesgos
de privacidad.
En primer lugar, debido a que las femtoceldas son estaciones base para comunicaciones
celulares, su dispositivo móvil a menudo se conectará a ellas sin informarle. Piénsalo.

En los Estados Unidos, las fuerzas del orden usan algo llamado StingRay, también
conocido como receptor IMSI, un simulador de sitio celular. Además, están TriggerFish,
Wolfpack, Gossamer y Swamp Box. Aunque las tecnologías varían, estos dispositivos
básicamente actúan como una femtocelda sin la conexión celular. Están diseñados para
recopilar la identidad del suscriptor móvil internacional, o IMSI, desde su teléfono celular.
Su uso en los Estados Unidos está significativamente por detrás del de Europa, por ahora.
Los receptores IMSI se utilizan en grandes protestas sociales, por ejemplo, para ayudar a
las fuerzas del orden público a identificar quién estaba en la asamblea. Presumiblemente,
los organizadores estarán en sus teléfonos, coordinando eventos.
Machine Translated by Google

Después de una prolongada batalla legal, la Unión Estadounidense de Libertades Civiles

del Norte de California obtuvo documentos del gobierno que detallan cómo utiliza StingRay.
Por ejemplo, a los agentes de la ley se les dice que obtengan un registro de llamadas o una
orden judicial de captura y rastreo. Los registros de bolígrafos se han utilizado para obtener
números de teléfono, un registro de dígitos marcados en un teléfono. La tecnología de captura
y rastreo se ha utilizado para recopilar información sobre las llamadas recibidas. Además, las
fuerzas del orden pueden, con una orden judicial, obtener legalmente la grabación de voz de
una llamada telefónica o el texto de un correo electrónico.
Según Wired, los documentos recibidos por la ACLU establecen que los dispositivos “pueden
ser capaces de interceptar el contenido de las comunicaciones y, por lo tanto, dichos
dispositivos deben configurarse para desactivar la función de interceptación, a menos que las
interceptaciones hayan sido autorizadas por una orden del Título III. ”14 Una orden del Título
III permite la interceptación de comunicaciones en tiempo real.
Digamos que no estás bajo vigilancia de las fuerzas del orden. Supongamos que está en
una oficina que está muy regulada, por ejemplo, en una empresa de servicios públicos.
Alguien puede instalar una femtocelda para permitir comunicaciones personales fuera del
sistema normal de registro de llamadas de la empresa de servicios públicos. El peligro es que
el compañero de trabajo con la femtocelda modificada en su escritorio podría realizar un
ataque de hombre en el medio, y él o ella también podría escuchar sus llamadas o interceptar
sus mensajes de texto.
En una demostración en Black Hat USA 2013, los investigadores pudieron capturar
llamadas de voz, mensajes de texto SMS e incluso tráfico web de voluntarios en la audiencia
en sus femtoceldas de Verizon. La vulnerabilidad en las femtoceldas emitidas por Verizon ya
había sido reparada, pero los investigadores querían mostrarles a las empresas que deberían
evitar usarlas de todos modos.
Algunas versiones de Android le informarán cuando cambie de red celular; Los iPhone no
lo harán. “Tu teléfono se asociará a una femtocelda sin tu conocimiento”, explicó el investigador
Doug DePerry. “Esto no es como Wi-Fi; no tienes opción.”15 Una compañía, Pwnie Express,
produce un dispositivo llamado Pwn Pulse que identifica femtoceldas e incluso receptores IMSI
como StingRay.
dieciséis

Brinda a
las empresas la capacidad de monitorear las redes celulares a su alrededor. Herramientas
como estas, que detectan el espectro completo de amenazas celulares potenciales, alguna
vez fueron compradas en gran parte por el gobierno, pero ya no.
Machine Translated by Google

A pesar de lo fácil que es, Skype no es el más amigable cuando se trata de

privacidad. Según Edward Snowden, cuyas revelaciones se publicaron por primera
vez en The Guardian, Microsoft trabajó con la NSA para asegurarse de que las
conversaciones de Skype pudieran ser interceptadas y monitoreadas. Un documento
se jacta de que un programa de la NSA conocido como Prism monitorea el video de
Skype, entre otros servicios de comunicaciones. “Las partes de audio de estas
sesiones se han procesado correctamente todo el tiempo, pero sin el video que las
acompaña. Ahora, los analistas tendrán la 'imagen' completa”, escribió The
Guardian.17
En marzo de 2013, un estudiante de posgrado en informática de la Universidad
de Nuevo México descubrió que TOM-Skype, una versión china de Skype creada a
través de una colaboración entre Microsoft y la empresa china TOM Group, carga
listas de palabras clave en la máquina de cada usuario de Skype: porque en China
hay palabras y frases que no puede buscar en línea (incluida la "Plaza de
Tiananmen"). TOM-Skype también envía al gobierno chino el nombre de usuario del
titular de la cuenta, la hora y fecha de transmisión e información sobre si el mensaje
fue enviado o recibido por el usuario.
18

Los investigadores han descubierto que incluso los sistemas de videoconferencia

de muy alto nivel (los costosos, no Skype) pueden verse comprometidos por ataques
de intermediarios. Eso significa que la señal se enruta a través de otra persona antes
de que llegue a tu destino. Lo mismo ocurre con las conferencias de audio.
A menos que el moderador tenga una lista de números que se han marcado, y a
menos que haya pedido verificar cualquier número cuestionable, por ejemplo, códigos
de área fuera de los Estados Unidos, no hay forma de probar o determinar si se ha
unido una parte no invitada. El moderador debe llamar a los recién llegados y, si no
se identifican, colgar y usar un segundo número de conferencia telefónica en su lugar.

Digamos que su oficina ha gastado mucho dinero y ha comprado un sistema de

videoconferencia realmente caro. Uno pensaría que sería más seguro que un sistema
de nivel de consumidor. Pero estarías equivocado.
Al observar estos sistemas de alta gama, el investigador HD Moore descubrió
que casi todos responden automáticamente a las videollamadas entrantes. Eso tiene
sentido. Fijó una reunión para las 10:00 a. m. y desea que los participantes llamen.
Sin embargo, también significa que en algún otro momento del día, cualquiera que
Machine Translated by Google

sabe que ese número podría marcar y, bueno, literalmente echar un vistazo a su oficina.

“La popularidad de los sistemas de videoconferencia entre las industrias de capital de riesgo
y finanzas conduce a un pequeño grupo de objetivos de valor increíblemente alto para cualquier
atacante que intente espionaje industrial u obtenga una ventaja comercial injusta”, escribió
Moore.19
¿Qué tan difícil es encontrar estos sistemas? Los sistemas de conferencias utilizan un
protocolo H.323 exclusivo. Entonces, Moore miró una porción de Internet e identificó 250,000
sistemas que usaban ese protocolo. Él estima a partir de ese número que menos de cinco mil de
estos estaban configurados para responder automáticamente, un pequeño porcentaje del total,
pero aún así un número muy grande por sí solo. Y eso sin contar el resto de Internet.

¿Qué puede aprender un atacante al piratear un sistema de este tipo? La cámara del
sistema de conferencias está bajo el control del usuario, por lo que un atacante remoto podría
inclinarla hacia arriba, hacia abajo, hacia la izquierda o hacia la derecha. En la mayoría de los
casos, la cámara no tiene una luz roja que indique que está encendida, por lo que, a menos que
esté mirando la cámara, es posible que no se dé cuenta de que alguien la ha movido. La cámara
también puede hacer zoom. Moore dijo que su equipo de investigación pudo leer una contraseña
de seis dígitos colocada en una pared a seis metros de la cámara. También podían leer el correo
electrónico en la pantalla de un usuario al otro lado de la habitación.
La próxima vez que esté en la oficina, considere lo que se puede ver desde la cámara de
videoconferencia. Tal vez el organigrama del departamento esté en la pared. Quizás la pantalla
de su escritorio mire hacia la sala de conferencias.
Tal vez las fotos de sus hijos y su cónyuge también sean visibles. Eso es lo que un atacante
remoto podría ver y posiblemente usar contra su empresa o incluso contra usted personalmente.

Algunos proveedores de sistemas son conscientes de este problema. Polycom, por ejemplo,
proporciona una guía de refuerzo (fortalecimiento de la seguridad) de varias páginas, que incluso
limita el reposicionamiento de la cámara.20 Sin embargo, el personal de TI generalmente no
tiene tiempo para seguir pautas como estas, y a menudo seguridad una preocupación. Hay miles
de sistemas de conferencias en Internet con configuraciones predeterminadas habilitadas.

Los investigadores también descubrieron que los firewalls corporativos no saben cómo
manejar el protocolo H.323. Sugieren dar al dispositivo una dirección de Internet pública y
establecer una regla para él dentro del firewall corporativo.
Machine Translated by Google

El mayor riesgo es que muchas de las consolas de administración de estos sistemas de

conferencias tienen poca o ninguna seguridad incorporada. En un ejemplo, Moore y su equipo
pudieron acceder al sistema de un bufete de abogados, que contenía una entrada en la libreta
de direcciones para la sala de juntas de un conocido banco de inversión. Los investigadores
habían comprado un dispositivo de videoconferencia usado en eBay, y cuando llegó, su disco
duro todavía tenía datos antiguos, incluida la libreta de direcciones, que enumeraba docenas
de números privados, muchos de los cuales estaban configurados para responder
automáticamente a las llamadas entrantes del Internet en general.21 Al igual que con las
impresoras y fotocopiadoras antiguas, si tiene un disco duro, debe borrar los datos de forma
segura antes de venderlo o donarlo (consulte aquí).

A veces, en el trabajo, tenemos la tarea de colaborar en un proyecto con un colega que puede
estar al otro lado del planeta. Los archivos se pueden compartir de un lado a otro a través del
correo electrónico corporativo, pero a veces son tan grandes que los sistemas de correo
electrónico simplemente se resisten y no los aceptan como archivos adjuntos. Cada vez más,
las personas utilizan los servicios de intercambio de archivos para enviar y recibir archivos de
gran tamaño.
¿Qué tan seguros son estos servicios basados en la nube? Varía.
Los cuatro grandes jugadores (iCloud de Apple, Google Drive, OneDrive de Microsoft
(anteriormente SkyDrive) y Dropbox) brindan verificación en dos pasos. Eso significa que
recibirá un mensaje de texto fuera de banda en su dispositivo móvil que contiene un código de
acceso para confirmar su identidad. Y aunque los cuatro servicios cifran los datos mientras
están en tránsito, usted debe —si no desea que la empresa o la NSA los lean— cifrar los datos
antes de enviarlos.22

Ahí terminan las similitudes.

La autenticación de dos factores es importante, pero aún puedo evitar esto mediante el
secuestro de cuentas no utilizadas. Por ejemplo, recientemente hice una prueba de penetración
en la que el cliente agregó 2FA de Google a su sitio web de VPN utilizando herramientas
disponibles públicamente. La forma en que pude ingresar fue obteniendo las credenciales de
inicio de sesión del directorio activo para un usuario que no se registró para usar el portal VPN.
Como fui el primero en iniciar sesión en el servicio VPN, se me pidió que configurara 2FA
usando Google Authenticator. Si el empleado nunca accede al servicio por sí mismo, el
atacante tendrá acceso continuo.
Machine Translated by Google

Para los datos en reposo, Dropbox usa un cifrado AES de 256 bits (que es bastante fuerte).
Sin embargo, conserva las claves, lo que podría dar lugar a un acceso no autorizado por parte
de Dropbox o de las fuerzas del orden. Google Drive e iCloud utilizan un cifrado de 128 bits
considerablemente más débil para los datos en reposo. La preocupación aquí es que los datos
podrían potencialmente ser descifrados por una fuerte fuerza computacional.
Microsoft OneDrive no se molesta con el cifrado, lo que lleva a sospechar que esto fue por
diseño, tal vez a instancias de algunos gobiernos.
Google Drive ha introducido una nueva función de administración de derechos de información
(IRM). Además de los documentos, hojas de cálculo y presentaciones creados en Google Docs,
Google Drive ahora también acepta PDF y otros formatos de archivo. Las características útiles
incluyen la capacidad de desactivar las capacidades de descarga, impresión y copia para
comentaristas y espectadores. También puede evitar que alguien agregue más personas a un
archivo compartido. Por supuesto, estas funciones de administración solo están disponibles para
los propietarios de archivos. Eso significa que si alguien te ha invitado a compartir un archivo,
esa persona tiene que establecer las restricciones de privacidad, no tú.

Microsoft también ha introducido una función única de cifrado por archivo, que es lo que
parece: una función que cifra cada archivo individual con su propia clave. Si una clave se ve
comprometida, solo ese archivo individual se verá afectado en lugar de todo el archivo. Pero
este no es el valor predeterminado, por lo que los usuarios tendrán que acostumbrarse a cifrar
cada archivo ellos mismos.
Lo que parece una buena recomendación en general. Los empleados y los usuarios en
general deben acostumbrarse a cifrar los datos antes de enviarlos a la nube.
De esa manera conservas el control de las teclas. Si una agencia gubernamental llama a la
puerta de Apple, Google, Dropbox o Microsoft, esas empresas no podrán ayudarlo: tendrá las
llaves individuales.
También puede optar por utilizar el único proveedor de servicios en la nube que se distingue
del resto: SpiderOak, que ofrece todos los beneficios del almacenamiento en la nube y la
capacidad de sincronización junto con el 100 por ciento de privacidad de datos. SpiderOak
protege los datos confidenciales del usuario a través de la autenticación de contraseña de dos
factores y el cifrado AES de 256 bits para que los archivos y las contraseñas permanezcan
privados. Los usuarios pueden almacenar y sincronizar información confidencial con total
privacidad, ya que este servicio en la nube tiene un conocimiento absolutamente nulo de contraseñas y datos.
Pero la mayoría de los usuarios continuarán usando otros servicios bajo su propio riesgo.
A la gente le encanta la facilidad de obtener datos de la nube, al igual que a las fuerzas del
orden. Una gran preocupación sobre el uso de la nube es que su
Machine Translated by Google

los datos no tienen las mismas protecciones de la Cuarta Enmienda que tendrían si
estuvieran almacenados en un cajón del escritorio o incluso en su computadora de escritorio.
Los organismos encargados de hacer cumplir la ley solicitan datos basados en la nube
con una frecuencia cada vez mayor (e inquietante). Y pueden obtener acceso con
relativa facilidad, ya que todo lo que carga en línea, ya sea en un servicio de correo
electrónico basado en la web, Google Drive o Shutterfly, va a un servidor que pertenece
al proveedor de servicios en la nube, no a usted. La única protección verdadera es
comprender que cualquier otra persona puede acceder a cualquier cosa que coloque allí
y actuar en consecuencia encriptando todo primero.
Machine Translated by Google

CAPÍTULO CATORCE

Obtener el anonimato es un trabajo duro

Hace unos años regresaba a los Estados Unidos de un viaje a

Bogotá, Colombia, y al llegar a Atlanta, dos agentes de Aduanas de EE. UU. me
escoltaron silenciosamente a una habitación privada. Habiendo sido arrestado
anteriormente y habiendo pasado tiempo en prisión, tal vez estaba un poco menos
nervioso de lo que hubiera estado el Joe promedio. Aún así, era inquietante. No había
hecho nada malo. Y estuve en esa habitación durante cuatro horas, cinco menos del
máximo que me podían retener sin que me arrestaran.
El problema comenzó cuando un agente de aduanas de EE. UU. robó mi
pasaporte y luego se quedó mirando la pantalla. “Kevin”, dijo el agente con una gran
sonrisa en su rostro. "¿Adivina qué? Hay algunas personas abajo que quieren hablar
contigo. Pero no te preocupes. Todo estará bien."
Estuve en Bogotá para dar un discurso patrocinado por el diario El Tiempo.
También estaba visitando a la mujer que era mi novia en ese momento.
Mientras esperaba en esa habitación de abajo, llamé a mi novia en Bogotá. Dijo que
la policía de Colombia había llamado para pedirle permiso para registrar un paquete
que había puesto en una caja de FedEx a los Estados Unidos. “Encontraron rastros
de cocaína”, dijo. Sabía que no lo habían hecho.
El paquete contenía un disco duro interno de 2,5 pulgadas. Aparentemente, las
autoridades colombianas, o tal vez las estadounidenses, querían verificar el contenido
del disco, que estaba encriptado. La cocaína fue una excusa poco convincente para
abrir el paquete. Nunca recuperé mi disco duro.
Machine Translated by Google

Más tarde me enteré de que la policía había abierto la caja, desarmado el equipo
electrónico y luego destruido mi disco duro mientras intentaba abrirlo perforándolo para ver
si tenía cocaína. Podrían haber usado un destornillador especial para abrir la unidad. No
encontraron ninguna droga.
Mientras tanto, en Atlanta, los funcionarios abrieron mi equipaje y encontraron mi
MacBook Pro, una computadora portátil Dell XPS M1210, una computadora portátil Asus
900, tres o cuatro discos duros, numerosos dispositivos de almacenamiento USB, algunos
dongles Bluetooth, tres iPhones y cuatro teléfonos celulares Nokia. (cada uno con su propia
tarjeta SIM, por lo que podría evitar los cargos de roaming mientras hablaba en diferentes
países). Estas son herramientas estándar en mi profesión.
También en mi equipaje estaba mi kit para forzar cerraduras y un dispositivo de clonación
que podía leer y reproducir cualquier tarjeta de proximidad HID. Este último se puede utilizar
para recuperar las credenciales almacenadas en las tarjetas de acceso colocándolo muy
cerca de ellas. Puedo, por ejemplo, falsificar las credenciales de la tarjeta de una persona y
entrar por puertas cerradas sin tener que falsificar la tarjeta. Los tenía porque había dado
una presentación magistral sobre seguridad en Bogotá. Naturalmente, los ojos de los agentes
de aduanas se iluminaron cuando los vieron, pensando que estaba tramando otra cosa, por
ejemplo, robando tarjetas de crédito, lo cual era imposible con estos dispositivos.

Finalmente, llegaron agentes del Servicio de Inmigración y Control de Aduanas (ICE, por
sus siglas en inglés) de EE. UU. y me preguntaron por qué estaba en Atlanta. Estuve allí
para moderar un panel en una conferencia de seguridad patrocinada por la Sociedad
Estadounidense de Seguridad Industrial (ASIS). Más tarde, un agente del FBI en el mismo
panel pudo confirmar el motivo de mi viaje.
Las cosas parecieron empeorar cuando abrí mi computadora portátil e inicié sesión en
mostrarles el correo electrónico que confirma mi presencia en el panel.
Mi navegador se configuró para borrar automáticamente mi historial cuando se inició,
por lo que cuando lo inicié, se me solicitó que borrara mi historial. Cuando confirmé e hice
clic en el botón Aceptar para borrar mi historial, los agentes se asustaron. Pero luego
simplemente presioné el botón de encendido para apagar la MacBook, por lo que no se
podía acceder a mi disco sin mi frase de contraseña PGP.
A menos que estuviera bajo arresto, lo cual me dijeron repetidamente que no era así, no
debería haber tenido que dar mi contraseña. Incluso si hubiera estado bajo arresto,
técnicamente no habría tenido que dar mi contraseña según la ley de los EE. UU., pero si
ese derecho está protegido depende de cuánto tiempo uno esté dispuesto
Machine Translated by Google

para luchar.1 Y diferentes países tienen diferentes leyes sobre esto. En el Reino Unido y
Canadá, por ejemplo, las autoridades pueden obligarlo a revelar su contraseña.
Después de mis cuatro horas, tanto ICE como los agentes de aduanas me dejaron ir.
Sin embargo, si una agencia como la NSA me hubiera apuntado, probablemente habrían
logrado descubrir el contenido de mi disco duro. Las agencias gubernamentales pueden
comprometer el firmware de su computadora o teléfono móvil, dañar la red que usa para
conectarse a Internet y explotar una variedad de vulnerabilidades encontradas en sus
dispositivos.
Puedo viajar a países extranjeros que tienen reglas aún más estrictas y nunca tener los
problemas que tengo en los Estados Unidos debido a mis antecedentes penales aquí.
Entonces, ¿cómo viajas al extranjero con datos confidenciales? ¿Y tú cómo viajas a países
“hostiles” como China?
Si no desea tener ningún dato confidencial disponible en su disco duro, las opciones son:

1. Limpie todos los datos confidenciales antes de viajar y realice una revisión completa.
respaldo.
2. Deje los datos allí, pero cífrelos con una clave segura (aunque algunos países
pueden obligarlo a revelar la clave o la contraseña).
No guarde la frase de contraseña con usted: tal vez entregue la mitad de la frase de
contraseña a un amigo fuera de los Estados Unidos a quien no se le pueda obligar
a que la entregue.
3. Cargue los datos cifrados en un servicio en la nube, luego descárguelos y
cargar según sea necesario.

4. Utilice un producto gratuito como VeraCrypt para crear una carpeta de archivos
cifrada oculta en su disco duro. Nuevamente, un gobierno extranjero, si encuentra
la carpeta de archivos oculta, puede obligarlo a revelar la contraseña.

5. Siempre que ingrese su contraseña en sus dispositivos, cúbrase usted y su

computadora, tal vez con una chaqueta u otra prenda de vestir, para evitar la
vigilancia de la cámara.
6. Selle su computadora portátil y otros dispositivos en un sobre de FedEx u otro Tyvek
y fírmelo, luego guárdelo en la caja fuerte de la habitación del hotel. Si el
Machine Translated by Google

el sobre está manipulado, debe notarlo. Tenga en cuenta, también, que las cajas fuertes
de los hoteles no son realmente tan seguras. Debería considerar comprar un dispositivo
de cámara que pueda colocar dentro de la caja fuerte para tomar una foto de cualquiera
que la abra y enviar la foto a través del celular en tiempo real.

7. Lo mejor de todo es que no se arriesgue. Lleva tu dispositivo contigo en todo momento

veces, y no lo pierdas de vista.

Según documentos obtenidos por la Unión Estadounidense de Libertades Civiles a través de la

Ley de Libertad de Información, entre octubre de 2008 y junio de 2010, más de 6,500 personas
que viajaban hacia y desde Estados Unidos registraron sus dispositivos electrónicos en la frontera.
Esto es un promedio de más de trescientos registros fronterizos de dispositivos electrónicos por
mes.
Y casi la mitad de esos viajeros eran ciudadanos estadounidenses.

Un hecho poco conocido: los dispositivos electrónicos de cualquier persona se pueden

registrar sin una orden judicial o sospecha razonable dentro de las cien millas aéreas de la frontera
de EE. UU., que probablemente incluye a San Diego. ¡El hecho de que haya cruzado la frontera
no significa necesariamente que esté a salvo!
Dos agencias gubernamentales son las principales responsables de inspeccionar a los
viajeros y artículos que ingresan a los Estados Unidos: la Oficina de Aduanas y Protección
Fronteriza (CBP) y el Servicio de Inmigración y Control de Aduanas (ICE) del Departamento de
Seguridad Nacional. En 2008, el Departamento de Seguridad Nacional anunció que podía
inspeccionar cualquier dispositivo electrónico que ingresara a los Estados Unidos.2 También
presentó su Sistema Automatizado de Identificación de Objetivos (ATS), que crea un expediente
personal instantáneo sobre usted, uno muy detallado, cada vez que usted viajar internacionalmente.
Los agentes de CBP usan su archivo ATS para decidir si estará sujeto a una búsqueda mejorada
y, a veces, invasiva al volver a ingresar a los Estados Unidos.

El gobierno de los EE. UU. puede incautar un dispositivo electrónico, buscar en todos los
archivos y conservarlo para un mayor escrutinio sin ninguna sugerencia de irregularidad de ningún
tipo. Los agentes de CBP pueden buscar en su dispositivo, copiar su contenido e intentar recuperar
imágenes y videos.
Así que esto es lo que hago.

Para proteger mi privacidad y la de mis clientes, encripto los datos confidenciales en mis
computadoras portátiles. Cuando estoy en un país extranjero, transmito los archivos cifrados a
través de Internet para almacenarlos en servidores seguros en cualquier parte del mundo.
Machine Translated by Google

Luego los borro físicamente de la computadora antes de regresar a casa, en caso de

que los funcionarios del gobierno decidan registrar o confiscar mi equipo.
Limpiar datos no es lo mismo que borrar datos. Eliminar datos solo cambia la entrada
del registro de arranque maestro para un archivo (el índice utilizado para encontrar
partes del archivo en el disco duro); el archivo (o algunas de sus partes) permanece en
el disco duro hasta que se escriben nuevos datos en esa parte del disco duro. Así es
como los expertos forenses digitales pueden reconstruir los datos eliminados.
Limpiar, por otro lado, sobrescribe de forma segura los datos en el archivo con datos
aleatorios. En las unidades de estado sólido, la limpieza es muy difícil, así que llevo una
computadora portátil que tiene un disco duro estándar y la limpio con al menos treinta y
cinco pasadas. El software de trituración de archivos hace esto sobrescribiendo datos
aleatorios cientos de veces en cada paso sobre un archivo eliminado, lo que dificulta que
alguien recupere esos datos.
Solía hacer una copia de seguridad de la imagen completa de mi dispositivo en un
disco duro externo y cifrarla. Luego enviaría la unidad de respaldo a los Estados Unidos.
No borraría los datos de mi parte hasta que un colega confirmara que la unidad fue
recibida en condiciones legibles. Luego borraría de forma segura todos los archivos
personales y de clientes. No formatearía todo el disco y dejaría el sistema operativo
intacto. De esa manera, si me buscaran, sería más fácil restaurar mis archivos de forma
remota sin tener que reinstalar todo el sistema operativo.

Desde la experiencia en Atlanta, he cambiado un poco mi protocolo. Empecé a

mantener un "clon" actualizado de todas mis computadoras de viaje con un colega de
negocios. Mi colega puede enviarme los sistemas clonados a cualquier parte de los
Estados Unidos, si es necesario.
Mi iPhone es otro asunto. Si alguna vez conecta su iPhone a su computadora portátil
para cargarlo y hace clic en "Confiar" cuando le muestra la pregunta "Confiar en esta
computadora", se almacena un certificado de emparejamiento en la computadora que le
permite acceder a todo el contenido del iPhone. sin necesidad de saber el código de
acceso. El certificado de emparejamiento se utilizará siempre que el mismo iPhone esté
conectado a esa computadora.
Por ejemplo, si conecta su iPhone a la computadora de otra persona y "confía", se
crea una relación de confianza entre la computadora y el dispositivo iOS, lo que le
permite a la computadora acceder a fotos, videos, mensajes SMS, registros de llamadas,
mensajes de WhatsApp, y casi todo lo demás sin necesidad del código de acceso. Aún
más preocupante, esa persona puede simplemente hacer una
Machine Translated by Google

Haga una copia de seguridad de iTunes de todo su teléfono a menos que haya establecido previamente
una contraseña para las copias de seguridad cifradas de iTunes (lo cual es una buena idea). Si no
estableció esa contraseña, un atacante podría establecer una para usted y simplemente hacer una
copia de seguridad de su dispositivo móvil en su computadora sin su conocimiento.
Eso significa que si las fuerzas del orden quieren ver qué hay en su iPhone protegido
con contraseña, pueden hacerlo fácilmente conectándolo a su computadora portátil, ya
que es probable que tenga un certificado de emparejamiento válido con ese teléfono. La
regla es: nunca “confíe en esta computadora” a menos que sea su sistema personal. ¿Qué
sucede si desea revocar todos los certificados de emparejamiento de su dispositivo Apple?
La buena noticia es que puede restablecer su certificado de emparejamiento en sus
dispositivos Apple.3 Si necesita compartir archivos y está usando un producto Apple, use AirDrop.
Y si necesita cargar su teléfono, use el cable lightning conectado a su sistema o a un
tomacorriente, no a la computadora de otra persona. O puede comprar un condón USB en
syncstop.com, que le permite conectarlo de manera segura a cualquier cargador USB o
computadora.
¿Qué sucede si solo tiene su iPhone y no su computadora cuando viaja?

He habilitado Touch ID en mi iPhone para que reconozca mi huella digital. Yo lo que

hago es reiniciar mi iPhone antes de acercarme al control de inmigración de cualquier
país. Y cuando se enciende, deliberadamente no pongo mi código de acceso. Aunque he
habilitado Touch ID, esa función está deshabilitada de manera predeterminada hasta que
ingrese mi código de acceso por primera vez. Los tribunales de EE. UU. tienen claro que
las fuerzas del orden no pueden exigir su contraseña. Tradicionalmente, en los Estados
Unidos, no se le puede obligar a dar testimonio; sin embargo, puede verse obligado a
entregar una llave física de una caja fuerte. Como tal, un tribunal puede obligarlo a
proporcionar sus huellas dactilares para desbloquear el dispositivo.4 Solución simple:
reinicie su teléfono. De esa manera, su huella digital no se habilitará y no tendrá que dar
su contraseña.
En Canadá, sin embargo, es la ley; si es ciudadano canadiense, debe proporcionar su
código de acceso cuando se le solicite. Esto le sucedió a Alain Philippon, de Sainte-Anne-
des-Plaines, Quebec. Se dirigía a su casa desde Puerto Plata, en la República Dominicana,
cuando se negó a proporcionar a los agentes fronterizos de Nueva Escocia el código de
acceso de su teléfono móvil.
Fue acusado en virtud de la sección 153.1(b) de la Ley de Aduanas de Canadá por
obstaculizar o impedir que los funcionarios fronterizos desempeñaran su función. los
Machine Translated by Google

la pena si lo declaran culpable es de $1,000, con una multa máxima de $25,000 y la posibilidad de un
año de cárcel.5
Conozco de primera mano la ley de contraseñas de Canadá. Contraté un servicio de automóvil
como Uber para que me llevara de Chicago a Toronto en 2015 (no quería volar en medio de fuertes
tormentas eléctricas), y cuando cruzamos la frontera hacia Canadá desde Michigan, nos enviaron de
inmediato a un sitio de inspección secundario. Tal vez fue porque un hombre del Medio Oriente con
solo una tarjeta verde conducía. Tan pronto como llegamos al punto de inspección secundario,
entramos en una escena sacada directamente de CSI.

Un equipo de agentes de aduanas se aseguró de que dejáramos el vehículo con todas nuestras
pertenencias adentro, incluidos nuestros celulares. El conductor y yo estábamos separados. Uno de
los agentes se acercó al lado del conductor del automóvil y sacó su teléfono celular de la base. El
agente exigió el código de acceso del conductor y comenzó a revisar su teléfono.

Previamente había tomado la decisión de nunca dar mi contraseña. Sentí que tendría que elegir
entre dar mi contraseña y que me permitieran viajar a Canadá para mi concierto. Así que decidí usar
un poco de ingeniería social.

Le grité al agente de aduanas que buscaba el teléfono del conductor. “Oye, no vas a registrar mi
maleta, ¿verdad? Está bloqueado, así que no puedes. Inmediatamente llamó su atención. Dijo que
tenían todo el derecho de registrar mi maleta.

Respondí: “Lo cerré con llave, por lo que no se puede registrar”.

Lo siguiente que supe fue que dos agentes se me acercaron y me pidieron la llave.
Empecé a preguntarles por qué necesitaban registrar mi maleta y me explicaron nuevamente que
tenían derecho a registrarlo todo. Saqué mi billetera y le entregué al agente la llave de mi maleta.

Eso fue suficiente. Se olvidaron por completo de los teléfonos móviles y se concentraron en mi
maleta. Misión cumplida a través de una mala dirección. Me soltaron y, afortunadamente, nunca me
pidieron la contraseña de mi teléfono celular.

En la confusión de ser evaluado, es fácil distraerse. No se deje caer víctima de las circunstancias.
Al pasar por cualquier punto de control de seguridad, asegúrese de que su computadora portátil y sus
dispositivos electrónicos sean los últimos en la cinta transportadora. No quiere que su computadora
portátil se quede en el otro extremo mientras
Machine Translated by Google

alguien delante de usted está retrasando la fila. Además, si necesita salir de la línea, asegúrese
de tener su computadora portátil y dispositivo electrónico con usted.
Cualesquiera que sean las protecciones de privacidad que podamos disfrutar en casa, no se
aplican necesariamente a los viajeros en la frontera de EE. UU. Para médicos, abogados y
muchos profesionales de negocios, una búsqueda fronteriza invasiva podría comprometer la
privacidad de la información profesional confidencial. Esta información puede incluir secretos
comerciales, comunicaciones abogado-cliente y médico-paciente, y estrategias comerciales y de
investigación, algunas de las cuales el viajero tiene obligaciones legales y contractuales de
proteger.
Para el resto de nosotros, las búsquedas en nuestros discos duros y dispositivos móviles
pueden revelar correo electrónico, información de salud e incluso registros financieros. Si ha
viajado recientemente a ciertos países considerados hostiles a los intereses de los EE. UU., tenga
en cuenta que esto puede generar un escrutinio adicional por parte de los agentes de aduanas.
Los gobiernos represivos presentan otro desafío. Es posible que insistan en revisar sus
dispositivos electrónicos más a fondo, leyendo su correo electrónico y revisando su carpeta de
Descargas. También existe la posibilidad, especialmente si le quitan su computadora portátil, de
que intenten instalar un software de seguimiento en su dispositivo.

Muchas empresas entregan teléfonos desechables y computadoras portátiles de préstamo

cuando los empleados viajan al extranjero. Estos dispositivos se desechan o se limpian con un
trapo cuando el empleado regresa a los Estados Unidos. Pero para la mayoría de nosotros, subir
archivos cifrados a la nube o comprar un nuevo dispositivo y desecharlo al devolverlo no son
opciones prácticas.
En general, no lleve consigo dispositivos electrónicos que almacenen información confidencial
a menos que sea absolutamente necesario. Si lo hace, traiga solo lo mínimo.
Y si necesita traer su teléfono móvil, piense en obtener un teléfono desechable para la duración
de su visita. Sobre todo porque las tarifas de roaming de voz y datos son escandalosas. Es mejor
traer un teléfono desechable desbloqueado y comprar una tarjeta SIM en el país que está visitando.

Puede pensar que entrar y salir de la aduana es la parte más aterradora de cualquier viaje. Pero
podría no serlo. Su habitación de hotel también se puede buscar.
Hice varios viajes a Colombia en 2008, no solo el que me detuvieron en Atlanta. En uno de
los viajes que hice ese mismo año, algo extraño sucedió en mi habitación de hotel en Bogotá. Y
esto no era un cuestionable
Machine Translated by Google

hotel; era uno de los hoteles donde se alojaban con frecuencia los funcionarios colombianos.
Quizás ese era el problema.
Salí a cenar con mi novia y, cuando volvimos, la cerradura de mi puerta se veía amarilla
cuando inserté la llave de mi habitación. No verde.
No rojo. Pero amarillo, lo que generalmente significa que la puerta está cerrada desde adentro.

Bajé a la recepción y le pedí al empleado que me entregara una nueva tarjeta de acceso.
Una vez más, la cerradura mostró una luz amarilla. Hice esto de nuevo. Mismo resultado.
Después de la tercera vez, convencí al hotel para que enviara a alguien conmigo. La puerta
se abrio.
En el interior, nada se veía mal de inmediato. De hecho, en ese momento, atribuí todo el
asunto a que la cerradura estaba mal. No fue hasta que regresé a los Estados Unidos que me
di cuenta de lo que había sucedido.
Antes de irme de los Estados Unidos, llamé a una exnovia, Darci Wood, que solía ser la
técnica principal de TechTV, y le pedí que viniera a mi casa y cambiara el disco duro de mi
computadora portátil MacBook Pro.
En ese momento, los discos duros de MacBook Pro no eran fáciles de quitar. Sin embargo,
ella lo hizo. En su lugar, colocó una unidad nueva que tuve que formatear e instalar el sistema
operativo OSX.
Varias semanas después, cuando regresé de ese viaje a Colombia, le pregunté
Darci para que venga a mi casa en Las Vegas a cambiar las unidades.
Inmediatamente notó que algo era diferente. Dijo que alguien había apretado los tornillos
del disco duro mucho más que ella. Claramente, alguien en Bogotá había quitado el disco, tal
vez para hacer una copia de imagen cuando salí de mi habitación.

Esto le sucedió más recientemente a Stefan Esser, un investigador conocido por hacer
jailbreak a los productos iOS. Tuiteó una foto de su disco duro mal montado.

Incluso una unidad con muy pocos datos tiene algunos datos. Afortunadamente, utilicé
PGP Whole Disk Encryption de Symantec para cifrar todo el contenido de mi disco duro.
(También puede usar WinMagic para Windows o FileVault 2 para OSX; consulte aquí). Por lo
tanto, el clon de mi disco duro no tendría ningún valor a menos que el ladrón pudiera obtener
la clave para desbloquearlo. Es por lo que creo que sucedió en Bogotá que ahora llevo mi
computadora portátil cuando viajo, incluso cuando salgo a cenar. Si tengo que dejar mi
computadora portátil, nunca la dejo en modo de hibernación. Más bien, lo apago. si no lo
hiciera,
Machine Translated by Google

un atacante posiblemente podría volcar la memoria y obtener mis claves de cifrado

de PGP Whole Disk.6 Así que lo apago por completo.

Al principio del libro hablé de las muchas precauciones que tomó Edward Snowden
para mantener privada su comunicación con Laura Poitras. Sin embargo, una vez
que el caché secreto de datos de Snowden estuvo listo para ser revelado al público,
él y Poitras necesitaban un lugar para almacenarlo. Los sistemas operativos más
comunes (Windows, iOS, Android e incluso Linux) contienen vulnerabilidades.
Todo el software lo hace. Así que necesitaban un sistema operativo seguro, uno
que esté encriptado desde el primer día y requiera una clave para desbloquearlo.

El cifrado del disco duro funciona así: cuando enciende su computadora,

ingresa una contraseña segura o, más bien, una frase de contraseña como "No
necesitamos educación" (de la famosa canción de Pink Floyd). Luego, el sistema
operativo se inicia y puede acceder a sus archivos y realizar sus tareas sin notar
ningún retraso, ya que un controlador realiza las tareas de cifrado de forma
transparente y sobre la marcha. Sin embargo, esto crea la posibilidad de que si te
levantas y dejas tu dispositivo, aunque sea por un momento, alguien pueda acceder
a tus archivos (ya que están desbloqueados). Lo importante que debe recordar es
que mientras su disco duro encriptado está desbloqueado, debe tomar precauciones
para mantenerlo seguro. Tan pronto como apaga, la clave de cifrado ya no está
disponible para el sistema operativo: es decir, simplemente elimina la clave de la
memoria para que ya no se pueda acceder a los datos en el disco.7
Tails es un sistema operativo que se puede iniciar en cualquier computadora
moderna para evitar dejar datos recuperables de forma forense en el disco duro,
preferiblemente uno que se pueda proteger contra escritura.8 Descargue Tails en
un DVD o una memoria USB, luego configure el firmware de su BIOS o la secuencia
de inicio inicial de EFI (OSX) para DVD o USB para iniciar la distribución de Tails.
Cuando inicie, iniciará el sistema operativo, que cuenta con varias herramientas de
privacidad, incluido el navegador Tor. Las herramientas de privacidad le permiten
encriptar el correo electrónico usando PGP, encriptar su USB y discos duros, y
proteger sus mensajes con OTR (mensajes no registrados).
Si desea cifrar archivos individuales en lugar de todo el disco duro, hay varias
opciones. Todavía existe una opción gratuita, TrueCrypt, pero ya no se mantiene y
no ofrece cifrado de disco completo. porque no es
Machine Translated by Google

mantenido por más tiempo, no se abordarán las nuevas vulnerabilidades. Si

continúa usando TrueCrypt, tenga en cuenta los riesgos. Un reemplazo para
TrueCrypt 7.1a es VeraCrypt, que es una continuación del proyecto TrueCrypt.

También hay varios programas a la venta. Uno obvio es Windows BitLocker,

que generalmente no se incluye en las ediciones domésticas del sistema operativo
Windows. Para habilitar BitLocker, si está instalado, abra el Explorador de archivos,
haga clic con el botón derecho en la unidad C y desplácese hacia abajo hasta la
opción "Activar BitLocker". BitLocker aprovecha un chip especial en su placa base
conocido como módulo de plataforma confiable o TPM. Está diseñado para
desbloquear su clave de cifrado solo después de confirmar que su programa de
arranque no ha sido modificado. Esta es una defensa perfecta contra los ataques
de las sirvientas malvadas, que describiré en breve. Puede configurar BitLocker
para que se desbloquee cuando lo encienda o solo cuando haya un PIN o un USB
especial que proporcione. Las últimas opciones son mucho más seguras. También
tiene la opción de guardar la clave en su cuenta de Microsoft. No hagas eso,
porque si lo haces, más o menos le habrás dado a Microsoft tus claves (que, como
verás, es posible que ya tenga).
Hay varios problemas con BitLocker. En primer lugar, utiliza un generador de
números pseudoaleatorios (PRNG) llamado Dual_EC_DRBG, abreviatura de
generador de bits aleatorios deterministas de curva elíptica dual, que podría
contener una significa
puerta trasera de tiene
que solo la NSA.
que9 creer
También
en laespalabra
de propiedad privada,
de Microsoft de lo que
que
funciona y que no tiene puertas traseras para la NSA, lo que puede no ser el caso
con el software de código abierto. Otro problema con BitLocker es que debe
compartir la clave con Microsoft a menos que la compre por $250. No hacerlo
puede permitir que las fuerzas del orden soliciten la clave de Microsoft.

A pesar de estas reservas, la EFF en realidad recomienda BitLocker para el

consumidor promedio que busca proteger sus archivos.10 Sin embargo, tenga en
cuenta que también hay una manera de eludir BitLocker.11 Otra opción comercial
es PGP Whole Disk Encryption de Symantec. Muchas universidades usan
esto, al igual que muchas corporaciones. Lo he usado en el pasado también. PGP
Whole Disk Encryption fue creado por Phil Zimmermann, el hombre que creó PGP
para el correo electrónico. Al igual que BitLocker, PGP puede admitir el chip TPM
para brindar autenticación adicional cuando
Machine Translated by Google

encienda su PC. Una licencia perpetua se vende por alrededor de $200.

También está WinMagic, una de las pocas opciones que requiere autenticación de dos
factores en lugar de solo una contraseña. WinMagic tampoco depende de una contraseña
maestra. Más bien, los archivos cifrados se agrupan y cada grupo tiene una contraseña. Esto
puede dificultar la recuperación de la contraseña, por lo que puede no ser adecuado para
todos.
Y para Apple está FileVault 2. Después de la instalación, puede habilitar FileVault 2
abriendo Preferencias del sistema, haciendo clic en el ícono "Seguridad y privacidad" y
cambiando a la pestaña FileVault. Nuevamente, no guarde su clave de cifrado en su cuenta
de Apple. Esto puede darle acceso a Apple, que a su vez podría dárselo a las fuerzas del
orden. En su lugar, elija "Crear una clave de recuperación y no use mi cuenta de iCloud",
luego imprima o escriba la clave de veinticuatro caracteres. Proteja esta clave, ya que
cualquiera que la encuentre podría desbloquear su disco duro.

Si tiene iOS 8 o una versión más reciente del sistema operativo en su iPhone o iPad, su
contenido se cifra automáticamente. Yendo un paso más allá, Apple ha dicho que la clave
permanece en el dispositivo, con el usuario.
Eso significa que el gobierno de los EE. UU. no puede pedirle a Apple la clave: es única para
todos y cada uno de los dispositivos. El director del FBI, James Comey, afirma que, en última
instancia, el cifrado irrompible no es algo bueno. En un discurso dijo: “Los delincuentes
sofisticados llegarán a contar con estos medios para evadir la detección. Y mi pregunta es,
¿a qué costo?”12 El temor es que las cosas malas se mantengan bajo la cobertura de la
encriptación.
El mismo miedo retrasó mi caso durante meses mientras languidecía en la cárcel en la
década de 1990. Mi equipo de defensa legal quería tener acceso al descubrimiento que el
gobierno planeaba usar en mi contra en mi juicio. El gobierno se negó a entregar ningún
archivo cifrado a menos que proporcionara la clave de descifrado. Me negué.13 El tribunal, a
su vez, se negó a ordenar al gobierno que proporcionara el descubrimiento porque yo no les
daría la clave. 14

Los dispositivos Android, a partir de la versión 3.0 (Honeycomb), también se pueden

cifrar. La mayoría de nosotros optamos por no hacerlo. A partir de Android 5.0 (Lollipop), las
unidades cifradas son las predeterminadas en la línea Nexus de teléfonos Android, pero son
opcionales en los teléfonos de otros fabricantes, como LG, Samsung y otros. Si elige encriptar
su teléfono Android, tenga en cuenta que podría tomar hasta una hora hacerlo y que su
dispositivo debe estar
Machine Translated by Google

conectado durante el proceso. Según se informa, cifrar su dispositivo móvil no afecta

significativamente el rendimiento, pero una vez que haya tomado la decisión de cifrar, no podrá
deshacerlo.
En cualquiera de estos programas de cifrado de disco completo, siempre existe la posibilidad
de una puerta trasera. Una vez fui contratado por una empresa para probar un producto USB
que permitía a los usuarios almacenar archivos en un contenedor cifrado. Durante el análisis del
código, descubrimos que el desarrollador había puesto una puerta trasera secreta: la clave para
desbloquear el contenedor cifrado estaba enterrada en una ubicación aleatoria en la unidad USB.
Eso significaba que cualquier persona con conocimiento de la ubicación de la clave podía
desbloquear los datos cifrados por el usuario.
Peor aún, las empresas no siempre saben qué hacer con esta información.
Cuando completé mi análisis de seguridad del dispositivo USB encriptado, el director ejecutivo
me llamó y me preguntó si debía dejar la puerta trasera adentro o no.
Le preocupaba que las fuerzas del orden público o la NSA pudieran necesitar acceder a los datos
de un usuario. El hecho de que necesitaba preguntar dice mucho.
En su informe de escuchas telefónicas de 2014, el gobierno de EE. UU. informó haber
encontrado unidades encriptadas en solo veinticinco de los 3554 dispositivos en los que las
fuerzas del orden habían buscado evidencia.15 Y todavía pudieron descifrar las unidades en
veintiuno de los veinticinco . Por lo tanto, si bien tener el cifrado a menudo es lo suficientemente
bueno para evitar que un ladrón común acceda a sus datos, para un gobierno dedicado, podría
no representar un gran desafío.

Hace años, la investigadora Joanna Rutkowska escribió sobre lo que llamó un ataque de criada
malvada.16 Supongamos que alguien deja una computadora portátil apagada cuyo disco duro
está encriptado con TrueCrypt o PGP Whole Disk Encryption en una habitación de hotel. (Usé
PGP Whole Disk Encryption en Bogotá; también apagué la computadora portátil). Más tarde,
alguien ingresa a la habitación e inserta una memoria USB que contiene un gestor de arranque
malicioso. Luego, la computadora portátil de destino debe arrancarse desde el USB para instalar
el cargador de arranque malicioso que roba la del usuario.
frase de contraseña Ahora la trampa está lista.
Una mucama, alguien que puede frecuentar una habitación de hotel sin demasiadas
sospechas, sería la mejor candidata para hacer esto, de ahí el nombre del ataque. Una mucama
puede volver a ingresar a casi cualquier habitación de hotel al día siguiente y escribir una
combinación de clave secreta que extrae la frase de contraseña que se almacenó en secreto.
Machine Translated by Google

en el disco Ahora el atacante puede ingresar la frase de contraseña y obtener acceso a

todos sus archivos.
No sé si alguien hizo esto en mi laptop en Bogotá. El disco duro en sí había sido
removido y luego reemplazado con los tornillos demasiado apretados. De cualquier manera,
afortunadamente, la unidad no contenía información real.
¿Qué hay de poner sus dispositivos electrónicos en la caja fuerte de un hotel? ¿Es
mejor que dejarlos afuera o guardarlos en maletas? Sí, pero no mucho mejor.
Cuando asistí a un Black Hat reciente, me alojé en el Four Seasons de Las Vegas. Coloqué
$4,000 en efectivo en la caja fuerte con varias tarjetas de crédito y cheques.
Unos días después, fui e intenté abrir la caja fuerte pero el código falló. Llamé a seguridad
y lo abrieron. Inmediatamente noté que la pila de billetes de $100 era mucho menos gruesa.
Quedaron $2,000. Entonces, ¿a dónde fueron a parar los otros $2,000? La seguridad del
hotel no tenía idea. Un amigo mío que se especializa en pruebas de penetración física
intentó piratear la caja fuerte pero no pudo explotarla. Hoy en día, sigue siendo un misterio.
Irónicamente, la caja fuerte se llamaba Lugar Seguro.

Una empresa alemana de antivirus, G DATA, descubrió que en las habitaciones de hotel
donde se hospedaba su personal de investigación, "la mayoría de las veces" la caja fuerte
tenía la contraseña predeterminada (0000). En casos como ese, no importa qué contraseña
privada seleccione, cualquiera que conozca la contraseña predeterminada también podría
obtener acceso a sus objetos de valor en el interior. G DATA sí dijo que esta información no
se descubrió sistemáticamente sino de manera anecdótica durante varios años.17
Si un atacante no conoce la contraseña predeterminada para una caja fuerte de una
habitación de hotel determinada, otra opción para él es, literalmente, forzar la cerradura con
fuerza bruta. Aunque al gerente del hotel se le confía un dispositivo electrónico de
emergencia que se conecta al puerto USB y abre la caja fuerte, un ladrón inteligente puede
simplemente desenroscar la placa en el frente de la caja fuerte y usar un dispositivo digital
para abrir la cerradura debajo. O puede cortocircuitar la caja fuerte e iniciar un reinicio, luego
ingresar un nuevo código.
Si eso no te molesta, considera esto. G DATA también descubrió que los lectores de
tarjetas de crédito en las cajas fuertes de las habitaciones, a menudo el medio por el cual
paga por su uso, pueden ser leídos por un tercero que podría hojear los datos de la tarjeta
de crédito y luego usar o vender esa información en Internet.

Hoy en día, los hoteles utilizan NFC o incluso tarjetas magnéticas para bloquear y
Machine Translated by Google

abre tu habitación. La ventaja es que el hotel puede cambiar estos códigos de acceso de forma rápida
y sencilla desde la recepción. Si pierde su tarjeta, puede solicitar una nueva. Se envía un código simple
a la cerradura y, cuando llega a su habitación, la nueva tarjeta llave funciona. La herramienta MagSpoof
de Samy Kamkar se puede usar para falsificar las secuencias correctas y abrir la cerradura de una
habitación de hotel que usa tarjetas de banda magnética. Esta herramienta se utilizó en un episodio del
programa de televisión Mr. Robot.

La presencia de una banda magnética o un chip NFC ha dado lugar a la idea de que la información
personal podría almacenarse en la tarjeta llave del hotel. No es. Pero la leyenda urbana continúa.
Incluso hay una historia famosa que se originó en el condado de San Diego. Supuestamente, un
ayudante del alguacil emitió una advertencia de que el nombre, la dirección de la casa y la información
de la tarjeta de crédito de un huésped del hotel se habían encontrado en la tarjeta llave del hotel. Tal
vez hayas visto el correo electrónico. Se ve algo como esto:

Los profesionales encargados de hacer cumplir la ley del sur de California asignados para
detectar nuevas amenazas a los problemas de seguridad personal descubrieron recientemente
qué tipo de información está incrustada en las llaves de las habitaciones de hotel tipo tarjeta
de crédito que se utilizan en toda la industria.
Aunque las llaves de las habitaciones difieren de un hotel a otro, se encontró que una llave
obtenida de la cadena DoubleTree que se estaba utilizando para una presentación regional de
robo de identidad contenía la siguiente información:

Nombre del cliente

Domicilio parcial del cliente

Número de habitación de hotel

Fecha de entrada y fecha de salida

¡Número de tarjeta de crédito del cliente y fecha de vencimiento!

Cuando los entrega en la recepción, su información personal está allí para que cualquier
empleado pueda acceder simplemente escaneando la tarjeta en el escáner del hotel. Un
empleado puede llevarse un puñado de tarjetas a casa y, mediante un dispositivo de escaneo,
acceder a la información en una computadora portátil e ir de compras a su cargo.

En pocas palabras, los hoteles no borran estas tarjetas hasta que un empleado
Machine Translated by Google

emite la tarjeta al siguiente huésped del hotel. ¡Por lo general, se guarda en un cajón
en la recepción con SU INFORMACIÓN EN ÉL!
¡La conclusión es, quédate con las cartas o destrúyelas! NUNCA los deje atrás
y NUNCA los entregue en la recepción cuando salga de una habitación. No te
cobrarán por la tarjeta.18

La veracidad de este correo electrónico ha sido ampliamente discutida.19 Francamente,

me suena a estupidez.
La información enumerada ciertamente podría almacenarse en una tarjeta de acceso,
pero eso parece extremo, incluso para mí. Los hoteles usan lo que se puede considerar un
token, un número de marcador de posición, para cada huésped. Solo con acceso a las
computadoras de back-end que realizan la facturación se puede conectar el token con
información personal.
No creo que necesite recolectar y destruir sus viejas tarjetas de acceso, pero bueno, es
posible que desee hacerlo de todos modos.

Otra pregunta común que se relaciona con el viaje y sus datos: ¿Qué hay en el código de
barras en la parte inferior de su boleto de avión? ¿Qué, en todo caso, podría revelar? En
verdad, relativamente poca información personal, a menos que tenga un número de viajero
frecuente.
A partir de 2005, la Asociación Internacional de Transporte Aéreo (IATA) decidió utilizar
tarjetas de embarque con código de barras por la sencilla razón de que las tarjetas de
embarque magnéticas eran mucho más costosas de mantener. Los ahorros se han estimado
en $ 1.5 mil millones. Además, el uso de códigos de barras en los billetes de avión permite a
los pasajeros descargar sus billetes de Internet e imprimirlos en casa, o pueden utilizar un
teléfono móvil en la puerta de embarque.

No hace falta decir que este cambio en el procedimiento requería algún tipo de estándar.
Según el investigador Shaun Ewing, el código de barras típico de la tarjeta de embarque
contiene información que en su mayoría es inofensiva: nombre del pasajero, nombre de la
aerolínea, número de asiento, aeropuerto de salida, aeropuerto de llegada y número de
vuelo. 20 Sin embargo, la parte más sensible del código de barras es su viajero frecuente 21
un número.
Todos
contraseñas
los sitiospersonales.
web de las Dar
aerolíneas
su número
ahora
deprotegen
viajero frecuente
sus cuentas
no es
decomo
clientes
darcon
su
número de Seguro Social, pero sigue siendo un problema de privacidad.
Machine Translated by Google

Una mayor preocupación por la privacidad son las tarjetas de fidelización que se ofrecen
en los supermercados, farmacias, gasolineras y otros negocios. A diferencia de los boletos de
avión, que deben estar a su nombre legal, las tarjetas de fidelización se pueden registrar con
un nombre, una dirección y un número de teléfono falsos (un número falso que pueda recordar),
por lo que sus hábitos de compra no se pueden vincular con usted.

Cuando se registre en su hotel y encienda su computadora, es posible que vea una lista de
redes Wi-Fi disponibles, como "Hotel Guest", "tmobile123",
"El iPhone de Kimberley", "attwifi", "Android de Steve" y "Punto de acceso de Chuck". ¿A cuál
deberías conectarte? ¡Espero que ya sepas la respuesta!

La mayoría de las redes Wi-Fi de los hoteles no usan encriptación, pero requieren el
apellido y el número de habitación del huésped como autenticación. Hay trucos para sortear
los muros de pago, por supuesto.
Un truco para obtener Internet gratis en cualquier hotel es llamar a cualquier otra habitación,
tal vez la que está al otro lado del pasillo, haciéndose pasar por servicio de habitaciones. Si el
hotel usa identificador de llamadas, solo use el teléfono de la casa en el vestíbulo. Dígale a la
persona que contesta el teléfono que sus dos hamburguesas están en camino. Cuando el
invitado dice que no hizo un pedido, le pides cortésmente su apellido para corregir el error.
Ahora tiene tanto el número de habitación (usted lo llamó) como el apellido, que es todo lo que
se necesita para autenticarlo (un huésped que no paga) como un huésped legítimo en ese hotel.

Supongamos que se hospeda en un hotel de cinco estrellas con acceso a Internet, gratuito o
no. Al iniciar sesión, tal vez vea un mensaje que le informa que Adobe (o algún otro fabricante
de software) tiene una actualización disponible. Siendo un buen ciudadano de Internet, puede
sentirse tentado a descargar la actualización y seguir adelante. Excepto que la red del hotel
aún debe considerarse hostil, incluso si tiene una contraseña. No es su red doméstica, por lo
que es posible que la actualización no sea real y, si continúa y la descarga, puede instalar un
código malicioso sin darse cuenta en su PC.

Si viaja mucho, como yo, actualizar o no es una decisión difícil. Es poco lo que puede
hacer excepto verificar que haya una actualización disponible. El problema es que, si usa
Internet del hotel para descargar esa actualización, es posible que lo redirijan a un sitio web
falsificado que proporciona la información maliciosa.
Machine Translated by Google

"actualizar." Si puede, use su dispositivo móvil para confirmar la existencia de la

actualización desde el sitio del proveedor y, si no es crítica, espere hasta que esté de
vuelta en un entorno seguro, como una oficina corporativa o en casa, para descargarla.
22 Investigadores de Kaspersky Lab, una empresa de seguridad de software,
descubrieron un grupo de piratas informáticos criminales a los que llaman DarkHotel
(también conocido como Tapaoux) que utilizan esta técnica. Operan identificando a los
ejecutivos de negocios que podrían estar hospedados en un hotel de lujo en particular,
luego anticipan su llegada colocando malware en el servidor del hotel. Cuando los
ejecutivos se registran y se conectan al Wi-Fi del hotel, el malware se descarga y
ejecuta en sus dispositivos. Una vez completada la infección, el malware se elimina
del servidor del hotel. Al parecer, esto ha estado ocurriendo durante casi una década,
anotaron los investigadores.

Aunque afecta principalmente a los ejecutivos que se hospedan en hoteles de lujo

en Asia, podría ser común en otros lugares. El grupo DarkHotel en general utiliza un
ataque de phishing de lanza de bajo nivel para objetivos masivos y reserva los ataques
de hotel para objetivos singulares de alto perfil, como ejecutivos en las industrias de
defensa y energía nuclear.
Un análisis inicial sugirió que DarkHotel tenía su sede en Corea del Sur. Un
keylogger (malware utilizado para registrar las pulsaciones de teclas de los sistemas
comprometidos) utilizado en los ataques contiene caracteres coreanos dentro del código.
Y los días cero (vulnerabilidades en el software que el proveedor desconoce) eran
fallas muy avanzadas que antes se desconocían.
Además, un nombre de Corea del Sur identificado dentro del keylogger se ha rastreado
hasta otros keyloggers sofisticados utilizados por los coreanos en el pasado.
Cabe señalar, sin embargo, que esto no es suficiente para confirmar la atribución.
El software se puede cortar y pegar desde una variedad de fuentes. Además, se puede
hacer que el software parezca creado en un país cuando en realidad se creó en otro.

Para obtener el malware en las computadoras portátiles, DarkHotel utiliza

certificados falsificados que parecen haber sido emitidos por el gobierno de Malasia y
Deutsche Telekom. Los certificados, si recuerda del capítulo 5, se utilizan para verificar
el origen del software o del servidor web. Para ocultar aún más su trabajo, los piratas
informáticos lo arreglaron para que el malware permanezca inactivo hasta seis meses
antes de activarse. Esto es para deshacerse de los departamentos de TI que
Machine Translated by Google

podría vincular una visita con una infección.

Kaspersky solo se enteró de este ataque cuando un grupo de sus clientes se infectó
después de hospedarse en ciertos hoteles de lujo en Asia. Los investigadores recurrieron a un
host de Wi-Fi de terceros común a ambos, y el host de Wi-Fi se asoció con la empresa antivirus
para averiguar qué sucedía en sus redes. Aunque los archivos utilizados para infectar a los
huéspedes desaparecieron hace mucho tiempo, quedaron registros de eliminación de archivos
que correspondían a las fechas de las estadías de los huéspedes.

La forma más fácil de protegerse contra este tipo de ataques es conectarse a un servicio
VPN tan pronto como se conecte a Internet en el hotel.
El que uso es barato, solo seis dólares al mes. Sin embargo, esa no es una buena opción si
desea ser invisible, ya que no permitirá la configuración anónima.

Si quiere ser invisible, no confíe en el proveedor de VPN con su información real. Esto
requiere configurar una dirección de correo electrónico falsa por adelantado (ver aquí) y usar
una red inalámbrica abierta. Una vez que tenga esa dirección de correo electrónico falsa, use
Tor para configurar una billetera de Bitcoin, busque un cajero automático de Bitcoin para
depositar fondos en la billetera y luego use un vaso para lavar Bitcoin para que no se pueda
rastrear hasta usted en la cadena de bloques. Este proceso de lavado requiere configurar dos
billeteras de Bitcoin utilizando diferentes circuitos Tor. La primera billetera se usa para enviar
Bitcoin al servicio de lavado y la segunda está configurada para recibir Bitcoin lavado.

Una vez que haya logrado el verdadero anonimato mediante el uso de Wi-Fi abierto fuera
de la vista de la cámara más Tor, busque un servicio VPN que acepte Bitcoin para el pago.
Paga con el Bitcoin lavado. Algunos proveedores de VPN, incluido WiTopia, bloquean Tor, por
lo que debe encontrar uno que no lo haga, preferiblemente con un proveedor de VPN que no
registre las conexiones.
En este caso, no estamos "confiando" al proveedor de VPN con nuestra dirección IP o
nombre real. Sin embargo, cuando use la VPN recién configurada, debe tener cuidado de no
usar ninguno de los servicios conectados a su nombre real y de no conectarse a la VPN desde
una dirección IP que pueda vincularse con usted. Puede considerar conectarse a un teléfono
desechable adquirido de forma anónima, consulte aquí.

Lo mejor es comprar un punto de acceso portátil, comprado de tal manera que sea muy
difícil identificarlo. Por ejemplo, puede contratar a alguien para que lo compre por usted para
que su rostro no aparezca en una cámara de vigilancia.
Machine Translated by Google

en la tienda. Cuando esté usando el punto de acceso anónimo, debe apagar cualquiera de sus
dispositivos personales que usen señales celulares para evitar que el patrón de sus dispositivos
personales se registre en el mismo lugar que el dispositivo anónimo.

Para resumir, esto es lo que debe hacer para usar Internet de forma privada mientras viaja:

1. Compre tarjetas de regalo prepagas de forma anónima (consulte aquí). En la UE, puede
comprar tarjetas de crédito prepagas de forma anónima en viabuy.com.
2. Use Wi-Fi abierto después de cambiar su dirección MAC (ver aquí).
3. Encuentre un proveedor de correo electrónico que le permita registrarse sin validación
de SMS. O puede registrarse para obtener un número de entrada de Skype usando Tor
y una tarjeta de regalo prepaga. Con Skype-in, puede recibir llamadas de voz para
verificar su identidad. Asegúrese de estar fuera de la vista de la cámara (es decir, no en
un Starbucks ni en ningún otro lugar con vigilancia por cámara). Utilice Tor para
enmascarar su ubicación cuando se suscriba a este servicio de correo electrónico.
4. Usando su nueva dirección de correo electrónico anónima, regístrese en un sitio como
paxful.com, nuevamente usando Tor, para registrarse en una billetera Bitcoin y comprar
un suministro de Bitcoin. Pague por ellos usando las tarjetas de regalo prepago.
5. Configure una segunda dirección de correo electrónico anónima y una nueva billetera
secundaria de Bitcoin después de cerrar y establecer un nuevo circuito Tor para evitar
cualquier asociación con la primera cuenta de correo electrónico y billetera.
6. Use un servicio de lavado de Bitcoin como bitlaunder.com para que sea difícil rastrear el
origen de la moneda. Haga que el Bitcoin lavado se envíe a la segunda dirección de
Bitcoin.23

7. Regístrese en un servicio VPN utilizando Bitcoin lavado que no registra tráfico ni

conexiones IP. Por lo general, puede averiguar qué se registra revisando la política de
privacidad del proveedor de VPN (p. ej., TorGuard).
8. Haga que un recorte obtenga un dispositivo de punto de acceso portátil quemador en su
beneficio. Da el recorte en efectivo para comprarlo.
9. Para acceder a Internet, use el dispositivo de punto de acceso de grabación fuera de
casa, el trabajo y sus otros dispositivos celulares.
Machine Translated by Google

10. Una vez encendido, conéctese a VPN a través del punto de acceso del quemador
dispositivo.

11. Usa Tor para navegar por Internet.

Machine Translated by Google

CAPÍTULO QUINCE

El FBI siempre consigue a su hombre

En la sección de ciencia ficción de la sucursal de Glen Park de la Biblioteca Pública

de San Francisco, no muy lejos de su apartamento, Ross William Ulbricht participaba
en un chat de atención al cliente en línea para la empresa que poseía. En ese
momento, octubre de 2013, la persona al otro lado del chat de Internet pensó que
estaba hablando con el administrador del sitio, que usaba el nombre de Internet de
Dread Pirate Roberts, un nombre tomado de la película La princesa prometida.
Roberts, también conocido como DPR, era de hecho Ross Ulbricht, no solo el
administrador, sino también el propietario de Silk Road, un emporio de drogas en
línea, y como tal fue objeto de una persecución federal.1 Ulbricht usaba con frecuencia
ubicaciones públicas de Wi-Fi como la biblioteca por su trabajo, tal vez bajo la
impresión errónea de que el FBI, si alguna vez lo identificara como DPR, nunca
realizaría una redada en un lugar público. Ese día, sin embargo, la persona con la que
estaba hablando Ulbricht resultó ser un agente encubierto del FBI.

Dirigir un emporio de drogas en línea, en el que los clientes podían pedir cocaína
y heroína y una amplia gama de drogas de diseño de forma anónima, requería cierto
valor. El sitio estaba alojado en la Dark Web (ver aquí) y solo era accesible a través
de Tor. El sitio solo aceptaba Bitcoin como pago.
Y el creador de Silk Road había sido cuidadoso, pero no lo suficiente.
Unos meses antes de que Ulbricht se sentara en la Biblioteca Pública de San
Francisco con el FBI rodeándolo, un héroe improbable relacionado con el gobierno federal.
Machine Translated by Google

manhunt se presentó con evidencia que vinculaba a Ulbricht con DPR. El héroe, un agente del
IRS llamado Gary Alford, había estado leyendo sobre Silk Road y sus orígenes, y por las
noches había estado realizando búsquedas avanzadas en Google para ver qué podía
encontrar. Una de las primeras menciones de Silk Road que encontró fue de 2011. Alguien
que se hacía llamar "altoide" lo había estado hablando en un grupo de chat. Dado que Silk
Road aún no se había lanzado, Alford pensó que lo más probable era que altoid tuviera
conocimiento interno de la operación.
Naturalmente, Alford comenzó una búsqueda de otras referencias.
Encontró oro.
Aparentemente, altoid había publicado una pregunta en otro grupo de chat, pero había
eliminado el mensaje original. Alford obtuvo una respuesta a la consulta ahora eliminada que
contenía el mensaje original. En ese mensaje, altoid dijo que si alguien podía responder a su
pregunta, esa persona podía contactarlo en [email protected] No era la última vez
que se cometía un desliz. Hubo otras preguntas publicadas, una en un sitio llamado Stack
Overflow: la pregunta original se envió desde [email protected], pero luego,
sorprendentemente, el nombre del remitente se cambió a DPR.

Regla número 1 sobre ser invisible: nunca puedes vincular tu

persona anónima en línea con su persona del mundo real. Simplemente no puedes.
Hubo otros vínculos establecidos después de eso. Ulbricht, como DPR, defendió las
filosofías libertarias de libre mercado de Ron Paul. Y en un momento, Ulbricht incluso había
pedido un conjunto de identificaciones falsas (licencias de conducir con diferentes nombres de
varios estados) que atrajeron a las autoridades federales a su puerta en San Francisco en julio
de 2013, pero en ese momento las autoridades no tenían idea de que estaban hablando. con
DPR.
Poco a poco, la evidencia se volvió tan convincente que una mañana de octubre de 2013,
tan pronto como comenzó el chat de atención al cliente del DPR, los agentes federales
comenzaron a entrar silenciosamente en la biblioteca de Glen Park. Luego, en un golpe
quirúrgico, capturaron a Ulbricht antes de que pudiera apagar su computadora portátil. Si lo
hubiera cerrado, ciertas pruebas clave habrían sido destruidas. Tal como estaban las cosas,
pudieron fotografiar las pantallas de administración del sistema de un sitio llamado Silk Road
momentos después del arresto y, por lo tanto, establecieron un vínculo concreto entre Ulbricht,
Dread Pirate Roberts y Silk Road, poniendo así fin a cualquier futura esperanza de anonimato.
Machine Translated by Google

Esa mañana de octubre en Glen Park, Ulbricht inició sesión en Silk Road como
administrador. Y el FBI lo sabía porque habían estado observando su máquina iniciando
sesión en Internet. Pero, ¿y si hubiera podido falsificar su ubicación? ¿Qué pasaría si no
estuviera en la biblioteca sino que usara un servidor proxy en su lugar?

En el verano de 2015, el investigador Ben Caudill de Rhino Security anunció que no solo
hablaría en DEF CON 23 sobre su nuevo dispositivo, ProxyHam, sino que también lo
vendería al costo (alrededor de $200) en la sala de vendedores de DEF CON. . Luego,
aproximadamente una semana después, Caudill anunció que su charla fue cancelada y
que todas las unidades ProxyHam existentes serían destruidas. No ofreció más
explicaciones.3
Las conversaciones en las principales conferencias de seguridad se cancelan por
varias razones. O las empresas cuyos productos se están discutiendo o el gobierno federal
presiona a los investigadores para que no se hagan públicos. En este caso, Caudill no
estaba señalando un defecto en particular; había construido algo nuevo.
Lo curioso de Internet: una vez que una idea está ahí, tiende a permanecer ahí.
Entonces, incluso si los federales o alguien más convenciera a Caudill de que su discurso
no era de interés para la seguridad nacional, parecía probable que alguien más crearía un
nuevo dispositivo. Y eso es exactamente lo que sucedió.
ProxyHam es un punto de acceso muy remoto. Usarlo es muy parecido a poner un
transmisor Wi-Fi en su hogar u oficina. Excepto que la persona que usa y controla
ProxyHam podría estar a una milla de distancia. El transmisor de Wi-Fi utiliza una radio de
900 MHz para conectarse a un dongle de antena en una computadora a una distancia de
hasta 2,5 millas. Entonces, en el caso de Ross Ulbricht, el FBI podría haber estado
reuniendo afuera de la biblioteca de Glen Park mientras él estaba en el sótano de alguien
lavando la ropa a varias cuadras de distancia.
La necesidad de tales dispositivos es clara si vives en un país oprimido.
Ponerse en contacto con el mundo exterior a través de Tor es un riesgo que muchos
corren. Este tipo de dispositivo agregaría otra capa de seguridad al enmascarar la
geolocalización del solicitante.
Excepto que alguien no quería que Caudill hablara de eso en DEF CON.
En entrevistas, Caudill negó que la Comisión Federal de Comunicaciones lo haya
desalentado. Wired especuló que plantar en secreto un ProxyHam en la red de otra
persona podría interpretarse como no autorizado.
Machine Translated by Google

acceso bajo la draconiana y vaga Ley de Abuso y Fraude Informático de Estados Unidos.
Caudill se niega a comentar sobre cualquiera de las especulaciones.
Como dije, una vez que una idea está disponible, cualquiera puede ejecutarla. Entonces, el
investigador de seguridad Samy Kamkar creó ProxyGambit, un dispositivo que esencialmente
reemplaza a ProxyHam.4 Excepto que usa tráfico celular inverso, lo que significa que en lugar
de estar a solo unas pocas millas del dispositivo cuando lo usa, podría estar al otro lado del
mundo. ¡Enfriar!
ProxyGambit y dispositivos como este, por supuesto, crearán dolores de cabeza para la ley.
cumplimiento cuando los delincuentes deciden utilizarlos.

Silk Road de Ulbricht era un emporio de drogas en línea. No era algo que pudieras buscar en
Google; no estaba en lo que se llama Surface Web, que se puede indexar y buscar fácilmente.
Surface Web, que contiene sitios familiares como Amazon y YouTube, representa solo el 5 por
ciento de todo Internet. Todos los sitios web que la mayoría de ustedes han visitado o conocen
constituyen un número trivial en comparación con el número real de sitios que existen. La gran
mayoría de los sitios de Internet en realidad están ocultos para la mayoría de los motores de
búsqueda.

Después de Surface Web, la siguiente parte más grande de Internet es lo que se llama
Deep Web. Esta es la parte de la Web que está oculta detrás del acceso con contraseña; por
ejemplo, el contenido del catálogo de fichas de la sucursal de Glen Park de la Biblioteca Pública
de San Francisco. La Deep Web también incluye la mayoría de los sitios solo por suscripción y
los sitios de intranet corporativos. netflix
Pandora. Entiendes la idea.
Finalmente, hay una parte mucho más pequeña de Internet conocida como Dark Web. No
se puede acceder a esta parte de Internet a través de un navegador común, ni se puede buscar
en sitios como Google, Bing y Yahoo.
La Dark Web es donde vivía Silk Road, junto con sitios donde puedes contratar a un asesino
y adquirir pornografía infantil. Sitios como estos viven en la Dark Web porque es prácticamente
anónimo. Digo "virtualmente" porque nada realmente lo es.

El acceso a la Dark Web solo se puede obtener a través de un navegador Tor. De hecho,
los sitios web oscuros, con URL alfanuméricas complicadas, todos terminan con .onion. Como
mencioné anteriormente, el enrutador cebolla fue creado por el Laboratorio de Investigación
Naval de EE. UU. para brindar a las personas oprimidas una forma de comunicarse entre sí.
Machine Translated by Google

otro, así como el mundo exterior. También expliqué que Tor no conecta su navegador
directamente a un sitio; más bien, establece un enlace a otro servidor, que luego se
conecta a otro servidor para finalmente llegar al sitio de destino. Los múltiples saltos
hacen que sea más difícil de rastrear. Y sitios como Silk Road son productos de
servicios ocultos dentro de la red Tor. Sus direcciones URL se generan a partir de un
algoritmo y las listas de sitios web oscuros cambian con frecuencia. Tor puede acceder
tanto a la Surface Web como a la Dark Web. Otro navegador Dark Web, I2P, también
puede acceder a Surface Web y Dark Web.
Incluso antes del desmantelamiento de Silk Road, la gente especulaba que la NSA
u otros tenían una forma de identificar a los usuarios en la Dark Web. Una forma de
que la NSA lo haga sería plantar y controlar lo que se llama nodos de salida, los puntos
en los que se pasa una solicitud de Internet a uno de estos servicios ocultos, aunque
eso aún no permitiría la identificación del solicitante inicial.
Para hacer eso, el observador del gobierno tendría que ver que se hizo una
solicitud para acceder al sitio X y que unos segundos antes, alguien en New Hampshire
activó el navegador Tor. El observador podría sospechar que los dos eventos estaban
relacionados. Con el tiempo, el acceso al sitio y el acceso repetido a Tor al mismo
tiempo podrían establecer un patrón. Una forma de evitar crear ese patrón es mantener
su navegador Tor conectado en todo momento.

En el caso de Ulbricht, se volvió descuidado. Ulbricht aparentemente no tenía un plan

desde el principio. En sus conversaciones iniciales sobre Silk Road, alternó entre usar
su dirección de correo electrónico real y una seudónima.
Como puede ver, es muy difícil operar en el mundo actual sin dejar rastros de su
verdadera identidad en algún lugar de Internet. Pero como dije al principio, con un
poco de cuidado, tú también puedes dominar el arte de la invisibilidad. En las siguientes
páginas, le mostraré cómo hacerlo.
Machine Translated by Google

CAPÍTULO DIECISÉIS

Dominando el arte de la invisibilidad

Después de leer hasta aquí, es posible que esté pensando en su nivel de

experiencia y lo fácil (o difícil) que será para ti desaparecer en línea. O puede que se
pregunte hasta dónde debe llegar o si algo de esto es para usted. ¡Después de todo, es
posible que no tenga secretos de estado para compartir! Sin embargo, es posible que
esté peleando con su ex en una disputa legal. O podría estar en desacuerdo con su jefe.
Es posible que esté contactando a un amigo que todavía está en contacto con un familiar
abusivo. O tal vez quiera mantener algunas actividades privadas y no observables por un
abogado. Hay una variedad de razones legítimas por las que podría necesitar comunicarse
con otras personas en línea o usar la Web y otras tecnologías de forma anónima. Asi
que…
¿Qué pasos realmente necesita tomar para ir all-in? ¿Cuánto tiempo será
¿tomar? ¿Y cuánto costará?
Si no está muy claro por ahora, para ser invisible en línea, más o menos necesita
crear una identidad separada, una que no tenga ninguna relación con usted. Ese es el
significado de ser anónimo. Cuando no estás siendo anónimo, también debes defender
con rigor la separación de tu vida de esa identidad anónima. Lo que quiero decir con eso
es que necesita comprar algunos dispositivos separados que solo se usan cuando es
anónimo. Y esto podría resultar costoso.

Podría, por ejemplo, usar su computadora portátil actual y crear lo que se llama una
máquina virtual (VM) en su escritorio. Una máquina virtual es un software.
Machine Translated by Google

computadora. Está contenido dentro de una aplicación de máquina virtual, como VMware Fusion.
Puede cargar una copia con licencia de Windows 10 dentro de una máquina virtual y decirle cuánta
RAM desea, cuánto espacio en disco necesita, etc. Para alguien que lo observa al otro lado de
Internet, parecería que está usando una máquina con Windows 10, incluso si en realidad está
usando una Mac.

Los investigadores de seguridad profesionales usan máquinas virtuales todo el tiempo,

creándolas y destruyéndolas fácilmente. Pero incluso entre los profesionales existe la posibilidad de
fuga. Por ejemplo, es posible que esté en su versión de máquina virtual de Windows 10 y, por algún
motivo, inicie sesión en su cuenta de correo electrónico personal.
Ahora esa máquina virtual se puede asociar con usted.

Entonces, el primer paso para ser anónimo es comprar una computadora portátil independiente que
solo usará para sus actividades anónimas en línea. Como hemos visto, el nanosegundo que
transcurre y, por ejemplo, revisa su cuenta de correo electrónico personal en esa máquina, el juego
del anonimato ha terminado. Así que recomiendo una computadora portátil con Windows de bajo
precio (Linux es mejor, si sabes cómo usarlo). La razón por la que no recomiendo una MacBook Pro
es que es mucho más cara que una computadora portátil con Windows.

Anteriormente le recomendé que comprara una segunda computadora portátil, específicamente,

una Chromebook, para usar solo para la banca en línea. Otra opción para la banca en línea sería
usar un iPad. Debe registrarse para obtener una ID de Apple utilizando su dirección de correo
electrónico y una tarjeta de crédito, o comprando una tarjeta de regalo de iTunes.
Pero dado que este dispositivo solo se usa para su banca personal segura, la invisibilidad no es el
objetivo.
Pero si su objetivo aquí es la invisibilidad, un Chromebook no es la mejor solución porque no
tiene la misma flexibilidad que usar una computadora portátil con Windows o un sistema operativo
basado en Linux como Ubuntu. Windows 10 está bien siempre que omita la opción que le pide que
se registre para obtener una cuenta de Microsoft. No desea crear ningún vínculo desde su
computadora a Microsoft en absoluto.

Debe comprar la nueva computadora portátil en efectivo en persona, no en línea, de esa manera
no se puede rastrear fácilmente la compra hasta usted. Recuerde, su nueva computadora portátil
tiene una tarjeta de red inalámbrica con una dirección MAC única. No desea que nadie pueda
rastrear el equipo hasta usted, en caso de que su verdadero
Machine Translated by Google

La dirección MAC se filtró de alguna manera. Por ejemplo, si está en un Starbucks y

enciende la computadora portátil, el sistema buscará cualquier red inalámbrica
previamente "conectada". Si hay un equipo de monitoreo en el área que registra la
solicitud de sondeo, es posible que se revele su dirección MAC real. Una preocupación
es que el gobierno pueda tener una forma de rastrear la compra de su computadora
portátil si existe algún vínculo entre la dirección MAC de su tarjeta de red y el número
de serie de su computadora. Si es así, los federales solo necesitarían encontrar quién
compró la computadora específica para identificarlo, lo que probablemente no sea tan
difícil.
Debes instalar Tails (ver aquí) y Tor (ver aquí) y usarlos en lugar del sistema
operativo nativo y el navegador.
No inicie sesión en ningún sitio o aplicación con su identidad real. Ya aprendiste
los riesgos basados en lo fácil que es rastrear personas y computadoras en Internet.
Como hemos discutido, usar sitios o cuentas con su identidad real es una muy mala
idea: los bancos y otros sitios usan de forma rutinaria la toma de huellas dactilares del
dispositivo para minimizar el fraude, y esto deja una gran huella que puede identificar
su computadora si alguna vez accede a los mismos sitios de forma anónima. .

De hecho, es mejor apagar su enrutador inalámbrico antes de encender su

computadora portátil anónima en casa. Su proveedor de servicios podría obtener la
dirección MAC de su computadora portátil anónima si se conecta al enrutador de su
hogar (suponiendo que el proveedor sea propietario y administre el enrutador en su
hogar). Siempre es mejor comprar su propio enrutador doméstico sobre el que tenga
control total, de modo que el proveedor de servicios no pueda obtener las direcciones
MAC asignadas a sus computadoras en su red local. Como tal, el proveedor de
servicios solo verá la dirección MAC de su enrutador, lo cual no representa ningún riesgo para usted.
Lo que quieres es una negación plausible. Desea que sus conexiones pasen por
proxy a través de múltiples capas para que sea muy, muy difícil para un investigador
vincularlas con una sola persona, y mucho menos con usted. Cometí un error cuando
todavía era un fugitivo. Llamé repetidamente a los módems de Netcom —un fantasma
de los proveedores de servicios de Internet del pasado— usando un módem de teléfono
celular para enmascarar mi ubicación física. Como estaba en una ubicación fija, fue un
juego de niños usar técnicas de radiogoniometría para encontrarme, una vez que
supieron qué torre celular estaba usando mi teléfono móvil para las conexiones de
datos. Esto permitió a mi adversario (Tsutomu Shimomura) encontrar la ubicación general
Machine Translated by Google

y pásalo al FBI.1 Lo que esto

significa es que nunca puedes usar tu computadora portátil anónima en casa o en el
trabajo. Alguna vez. Así que obtenga una computadora portátil y comprométase a no usarla
nunca para revisar su correo electrónico personal, Facebook o incluso el2clima local.

Otra forma en que se le puede rastrear en línea es a través del método comprobado de
seguimiento del dinero. Deberá pagar algunas cosas, por lo que antes de sacar su
computadora portátil anónima y encontrar una red inalámbrica abierta, el primer paso es
comprar algunas tarjetas de regalo de forma anónima. Dado que todas las tiendas que venden
tarjetas de regalo probablemente tengan cámaras de vigilancia en el quiosco o mostrador,
debe tener mucho cuidado. No debe comprarlos usted mismo. Debe contratar a una persona
elegida al azar en la calle para comprar las tarjetas de regalo mientras espera a una distancia
segura.
Pero, ¿cómo haces eso? Podrías acercarte, como lo hice yo, a alguien en un
estacionamiento y decir que tu ex trabaja en esa tienda de allí y que no quieres una
confrontación, u ofrecer alguna otra excusa que suene plausible.
Tal vez agregue que ella tiene una orden de restricción en su contra. Por $100 en efectivo,
hacer una compra para usted puede sonar muy razonable para alguien.
Ahora que hemos configurado nuestro recorte para entrar a la tienda y comprar un puñado
de tarjetas prepagas, ¿qué tarjetas debería comprar? Recomiendo comprar algunas tarjetas
prepagas preestablecidas de $100. No compre ninguna de las tarjetas de crédito recargables,
ya que debe proporcionar su identidad real según la Ley Patriota cuando las active. Estas
compras requieren su nombre real, dirección, fecha de nacimiento y un número de Seguro
Social que coincida con la información sobre usted registrada en las agencias de crédito.
Proporcionar un nombre inventado o el número de Seguro Social de otra persona es ilegal y
probablemente no valga la pena correr el riesgo.

Intentamos ser invisibles en línea, no infringir la ley.

Recomiendo tener el recorte para comprar tarjetas de regalo Vanilla Visa o Vanilla
MasterCard de $100 en una cadena de farmacias, 7-Eleven, Walmart o una gran tienda. Estos
a menudo se entregan como obsequios y se pueden usar como lo harían las tarjetas de
crédito normales. Para estos no tiene que proporcionar ninguna información de identificación.
Y puedes comprarlos de forma anónima, con efectivo. Si vive en la UE, debe solicitar de
forma anónima una tarjeta de crédito física a través de viabuy.com. En Europa pueden enviar
las tarjetas a la oficina de correos,
Machine Translated by Google

que no requiere identificación para recoger. Según tengo entendido, le envían un código PIN y puede
abrir el buzón con el PIN para recoger las tarjetas de forma anónima (suponiendo que no haya
cámara).

Entonces, ¿dónde puede usar su nueva computadora portátil y comprar tarjetas prepagas de forma
anónima?

Con la llegada de dispositivos de almacenamiento óptico económicos, las empresas que brindan
acceso inalámbrico gratuito pueden almacenar imágenes de cámaras de vigilancia durante años.
Para un investigador es relativamente fácil obtener ese metraje y buscar posibles sospechosos.
Durante el tiempo de su visita, el investigador puede analizar los registros, buscando direcciones
MAC autenticadas en la red inalámbrica que coincidan con su dirección MAC. Por eso es importante
cambiar su dirección MAC cada vez que se conecta a una red inalámbrica gratuita. Por lo tanto, debe
encontrar una ubicación cercana o adyacente a una que ofrezca Wi-Fi gratis. Por ejemplo, puede
haber un restaurante chino al lado de un Starbucks u otro establecimiento que ofrezca acceso
inalámbrico gratuito. Siéntese en una mesa cerca de la pared contigua al proveedor de servicios. Es
posible que experimente velocidades de conexión un poco más lentas, pero tendrá un anonimato

relativo (al menos hasta que el investigador comience a mirar todas las imágenes de vigilancia del
área circundante).

Es probable que su dirección MAC se registre y almacene una vez que se autentique en la red
inalámbrica gratuita. ¿Recuerdas a la amante del general David Petraeus? ¿Recuerda que las horas
y fechas de los registros de su hotel coincidieron con las horas y fechas de aparición de su dirección

MAC en la red del hotel? No querrás que errores simples como estos comprometan tu anonimato.
Así que recuerda cambiar tu dirección MAC cada vez que accedas a Wi-Fi público (ver aquí).

Hasta ahora esto parece bastante sencillo. Desea comprar una computadora portátil separada
desde la cual realizará su actividad anónima. Quiere comprar de forma anónima algunas tarjetas de
regalo. Desea encontrar una red Wi-Fi a la que pueda acceder desde un sitio cercano o adyacente
para evitar ser visto en la cámara. Y desea cambiar su dirección MAC cada vez que se conecta a una
red inalámbrica gratuita.

Por supuesto que hay más. Mucho más. Solo estamos comenzando.
Machine Translated by Google

También es posible que desee contratar un segundo recorte, esta vez para hacer una
compra más importante: un punto de acceso personal. Como mencioné antes, el FBI
me atrapó porque estaba llamando a sistemas de todo el mundo usando mi teléfono
celular y módem, y con el tiempo mi ubicación fija se vio comprometida porque mi
teléfono celular estaba conectado a la misma torre celular. En ese momento, fue fácil
usar la búsqueda de dirección por radio para ubicar el transceptor (mi teléfono celular).
Puede evitar eso contratando a alguien para que vaya a una tienda de Verizon (o
AT&T o T-Mobile) y compre un punto de acceso personal que le permita conectarse a
Internet usando datos móviles. Eso significa que tiene su propio acceso local a Internet,
por lo que no tiene que pasar por una red Wi-Fi pública. Lo más importante es que
nunca debe usar un punto de acceso personal en una ubicación fija durante demasiado
tiempo cuando necesita mantener su anonimato.

Idealmente, la persona que contrate no verá su matrícula ni tendrá ninguna forma

de identificarlo. Dale a la persona en efectivo: $200 por el punto de acceso y otros
$100 cuando la persona regrese con el punto de acceso. El operador móvil venderá al
recorte un punto de acceso personal que no lleva información de identificación.
Y mientras lo hace, ¿por qué no comprar algunas tarjetas de recarga para agregar
más datos? Con suerte, el recorte no se fugará con su dinero, pero es un riesgo que
vale la pena por el anonimato. Más tarde, puede recargar el dispositivo grabador con
Bitcoin.3 Una vez que haya comprado de forma anónima un punto de acceso portátil,
es muy importante que, al igual que con la computadora portátil, nunca, nunca,
nunca encienda el dispositivo en casa. Cada vez que se enciende el punto de acceso,
se registra con la torre celular más cercana. No desea que su hogar u oficina o
cualquier lugar que frecuenta aparezca en los archivos de registro del operador móvil.

Y nunca encienda su teléfono personal o computadora portátil personal en el

mismo lugar donde enciende su computadora portátil anónima o teléfono prepago o
punto de acceso anónimo. La separación es muy importante. Cualquier registro que lo
vincule a su yo anónimo en una fecha y hora posterior niega toda la operación.

Ahora, armados con tarjetas de regalo prepagas y un punto de acceso personal

con un plan de datos prepago, ambos comprados de forma anónima por dos personas
muy diferentes que no tendrían ninguna información sobre usted para identificarlo ante
la policía, casi estamos listos. Casi.
Machine Translated by Google

A partir de este momento, el navegador Tor siempre debe usarse para crear y acceder a todas
las cuentas en línea porque cambia constantemente su dirección IP.
Uno de los primeros pasos es configurar un par de cuentas de correo electrónico anónimas
usando Tor. Esto fue algo que Ross Ulbricht se olvidó de hacer. Como vimos en el capítulo
anterior, usó su cuenta de correo electrónico personal más de una vez mientras realizaba su
negocio de Silk Road en Dark Web. Estos cruces no intencionales de Dread Pirate Roberts a
Ross Ulbricht y viceversa ayudaron a los investigadores a confirmar que los dos nombres
estaban asociados con una persona.

Para evitar el abuso, la mayoría de los proveedores de correo electrónico, como Gmail,
Hotmail, Outlook y Yahoo, exigen la verificación del teléfono móvil. Eso significa que debe
proporcionar su número de teléfono móvil e, inmediatamente durante el proceso de registro, se
envía un mensaje de texto a ese dispositivo para confirmar su identidad.
Todavía puede usar un servicio comercial como los mencionados anteriormente si usa un
teléfono desechable. Sin embargo, ese teléfono desechable y cualquier tarjeta de recarga deben
obtenerse de forma segura, es decir, comprarse en efectivo por un tercero que no pueda ser
rastreado hasta usted. Además, una vez que tenga un teléfono desechable, no podrá usarlo
cuando esté cerca de cualquier otro dispositivo celular que posea.
Nuevamente, deje su teléfono personal en casa.
Para comprar Bitcoin en línea, necesitará al menos dos direcciones de correo electrónico
creadas de forma anónima y billeteras de Bitcoin. Entonces, ¿cómo se crean direcciones de
correo electrónico anónimas como las creadas por Edward Snowden y Laura Poitras?

En mi investigación, descubrí que podía crear una cuenta de correo electrónico en

protonmail.com y una en tutanota.com usando Tor, ambas sin ninguna solicitud para verificar mi
identidad. Ninguno de estos dos proveedores de correo electrónico me pidió verificación durante
la configuración. Puede realizar su propia investigación buscando proveedores de correo
electrónico y verificando si requieren su número de teléfono móvil durante el proceso de registro.
También puede ver cuánta información necesitan para crear las nuevas cuentas. Otra opción
de correo electrónico es fastmail.com, que no tiene tantas funciones como Gmail, pero debido a
que es un servicio pago, no hay extracción de datos de usuario ni visualización de anuncios.

Así que ahora tenemos una computadora portátil, con Tor y Tails cargados, un teléfono
desechable, un puñado de tarjetas de regalo prepagas anónimas y un punto de acceso anónimo
con un plan de datos comprado de forma anónima. Todavía no estamos listos. para mantener esto
Machine Translated by Google

anonimato, necesitamos convertir nuestras tarjetas de regalo prepagas compradas de forma

anónima a Bitcoin.

En el capítulo 6 hablé de Bitcoin, moneda virtual. Por sí mismo, Bitcoin no es anónimo. Se

pueden rastrear a través de lo que se llama una cadena de bloques hasta la fuente de la
compra; Del mismo modo, también se pueden rastrear todas las compras posteriores.
Entonces, Bitcoin por sí solo no ocultará su identidad. Tendremos que ejecutar los fondos a
través de un mecanismo de anonimato: convertir las tarjetas de regalo prepagas en Bitcoin y
luego ejecutar el Bitcoin a través de un servicio de lavado.
Este proceso dará como resultado Bitcoin anonimizado que se utilizará para futuros pagos.
Necesitaremos el Bitcoin lavado, por ejemplo, para pagar nuestro servicio VPN y cualquier
compra futura de uso de datos en nuestro punto de acceso portátil o teléfono desechable.

Usando Tor, puede configurar una billetera Bitcoin inicial en paxful.com u otros sitios de
billetera Bitcoin. Algunos sitios negocian ofertas en las que puede comprar Bitcoin con tarjetas
de regalo prepagas, como las tarjetas de regalo Vanilla Visa y Vanilla MasterCard
preestablecidas que mencioné anteriormente. La desventaja es que pagará una gran prima
por este servicio, al menos el 50 por ciento.
Paxful.com es más como un sitio de subastas de eBay donde encuentras vendedores de
Bitcoin: el sitio simplemente te conecta con compradores y vendedores.
Aparentemente el anonimato tiene un alto costo. Cuanta menos información de identidad
proporcione en una transacción, más pagará. Eso tiene sentido: las personas que venden
Bitcoin corren un gran riesgo al no verificar su identidad. Pude comprar Bitcoin a cambio de
mis tarjetas de regalo Vanilla Visa compradas de forma anónima a una tasa de $ 1.70 por
dólar, lo cual es indignante pero necesario para garantizar el anonimato.

Mencioné que Bitcoin por sí mismo no es anónimo. Por ejemplo, hay un registro de que
cambié ciertas tarjetas de regalo prepagas por Bitcoin. Un investigador podría rastrear mi
Bitcoin hasta las tarjetas de regalo.
Pero hay formas de lavar Bitcoin, oscureciendo cualquier vínculo que me dirija.
El lavado de dinero es algo que los delincuentes hacen todo el tiempo. Se usa con mayor
frecuencia en el tráfico de drogas, pero también desempeña un papel en los delitos financieros
de cuello blanco. El lavado significa que disfraza la propiedad original de los fondos, a menudo
enviando el dinero fuera del país a varios bancos en países que tienen leyes de privacidad
estrictas. Resulta que puedes hacer
Machine Translated by Google

algo similar con la moneda virtual.

Hay servicios llamados tumblers que toman Bitcoin de una variedad de fuentes y los
mezclan, o los mezclan, para que el Bitcoin resultante conserve su valor pero contenga
rastros de muchos propietarios. Esto hace que sea difícil para alguien decir más tarde
qué propietario realizó una determinada compra. Pero hay que tener mucho cuidado,
porque hay toneladas de estafas por ahí.
Me arriesgué. Encontré un servicio de lavado en línea y cobraron una tarifa adicional
de la transacción. De hecho, obtuve el valor de Bitcoin que quería. Pero piense en esto:
ese servicio de lavado ahora tiene una de mis direcciones de correo electrónico
anónimas y ambas direcciones de Bitcoin que se usaron en la transacción. Entonces,
para mezclar aún más las cosas, envié el Bitcoin a una segunda billetera de Bitcoin que
se configuró al abrir un nuevo circuito Tor, que estableció nuevos saltos entre el sitio
que quería visitar y yo. Ahora la transacción está completamente ofuscada, lo que
dificulta que alguien llegue más tarde y descubra que las dos direcciones de Bitcoin son
propiedad de la misma persona. Por supuesto, el servicio de lavado de Bitcoin podría
cooperar con terceros proporcionando ambas direcciones de Bitcoin. Por eso es tan
importante comprar de forma segura las tarjetas de regalo prepagas.

Después de usar las tarjetas de regalo para comprar Bitcoin, recuerde desechar las
tarjetas de plástico de forma segura (no en la basura de su casa). Recomiendo usar una
trituradora de corte transversal que esté clasificada para tarjetas de plástico, luego
desechar los fragmentos en un contenedor de basura al azar lejos de su hogar u oficina.
Una vez que se haya recibido el Bitcoin lavado, puede suscribirse a un servicio VPN
que haga de su privacidad una prioridad. La mejor política cuando intenta ser anónimo
es simplemente no confiar en ningún proveedor de VPN, especialmente en aquellos que
afirman no retener ningún registro. Lo más probable es que sigan revelando tus datos si
se ponen en contacto con la policía o la NSA.
Por ejemplo, no puedo imaginar que ningún proveedor de VPN pueda solucionar
problemas dentro de su propia red. Y la resolución de problemas requiere el
mantenimiento de algunos registros, por ejemplo, registros de conexión que podrían
usarse para vincular a los clientes con sus direcciones IP de origen.
Entonces, debido a que no se puede confiar incluso en el mejor de estos
proveedores, compraremos un servicio VPN utilizando Bitcoin lavado a través del
navegador Tor. Sugiero revisar los términos de servicio y las políticas de privacidad de
un proveedor de VPN y encontrar el que parezca el mejor del grupo. No vas a encontrar
una pareja perfecta, solo una buena. Recuerda que no puedes confiar en ninguna
Machine Translated by Google

proveedor para mantener su anonimato. Tienes que hacerlo tú mismo con el

entendimiento de que un solo error puede revelar tu verdadera identidad.
Ahora, con una computadora portátil independiente, que ejecuta Tor o Tails,
usando un proveedor de VPN comprado con Bitcoin lavado, en un punto de acceso
comprado de forma anónima y con un suministro de aún más Bitcoin lavado, ha
completado la parte fácil: la configuración. Esto le costará un par de cientos de
dólares, tal vez quinientos, pero todas las piezas han sido aleatorias para que no
puedan conectarse fácilmente con usted. Ahora viene la parte difícil: mantener ese
anonimato.

Toda la configuración y los procesos por los que acabamos de pasar pueden
perderse en un segundo si usa el punto de acceso anónimo en casa, o si enciende
su teléfono celular personal, tableta o cualquier otro dispositivo celular vinculado a
su identidad real en el ubicación física donde está utilizando su identidad anónima.
Solo necesita un desliz por su parte para que un investigador forense pueda
correlacionar su presencia con una ubicación mediante el análisis de los registros
del proveedor de telefonía celular. Si existe un patrón de acceso anónimo al mismo
tiempo que su dispositivo celular está registrado en el mismo sitio celular, podría
llevar a desenmascarar su verdadera identidad.
Ya he dado varios ejemplos de esto.
Ahora, si su anonimato se ve comprometido y decide participar en otra actividad
anónima, es posible que deba realizar este proceso una vez más: borrar y reinstalar
el sistema operativo en su computadora portátil anónima y crear otro conjunto de
cuentas de correo electrónico anónimas con Monederos de Bitcoin y comprar otro
punto de acceso anónimo.
Recuerde que Edward Snowden y Laura Poitras, quienes ya tenían cuentas de
correo electrónico anónimas, configuraron cuentas de correo electrónico anónimas
adicionales para poder comunicarse específicamente entre ellos. Esto solo es
necesario si sospecha que el anonimato original que ha establecido está
comprometido. De lo contrario, podría usar el navegador Tor (después de establecer
un nuevo circuito Tor) a través del punto de acceso anónimo y VPN para acceder a
Internet usando una persona diferente.
Por supuesto, depende de usted qué tanto o qué tan poco decida seguir estas
recomendaciones.
Machine Translated by Google

Incluso si sigues mis recomendaciones, es posible que alguien del otro lado te reconozca. ¿Cómo?
Por cierto, escribes.
Hay un cuerpo considerable de investigación que se ha centrado en las elecciones de palabras
específicas que hacen las personas cuando escriben correos electrónicos y comentan publicaciones
en las redes sociales. Al observar esas palabras, los investigadores a menudo pueden identificar el
sexo y el origen étnico. Pero más allá de eso no pueden ser más específicos.
¿O pueden?
En la Segunda Guerra Mundial, el gobierno británico instaló varias estaciones de escucha en
todo el país para interceptar señales del ejército alemán.
Los avances que llevaron a los Aliados a descifrar estos mensajes llegaron un poco más tarde, en
Bletchley Park, el sitio de la Escuela de Cifrado y Código del Gobierno, donde se descifró el código
Enigma alemán. Al principio, la gente de Bletchley Park que interceptaba los mensajes del telégrafo
alemán podía identificar ciertas características únicas de un remitente basándose en los intervalos
entre los puntos y los guiones. Por ejemplo, podían reconocer cuando entraba un nuevo operador
de telégrafo, e incluso comenzaron a dar a los operadores

nombres

¿Cómo podrían simples puntos y rayas revelar a las personas detrás de ellos?
Bueno, se puede medir el intervalo de tiempo entre el toque de una tecla por parte del remitente
y el toque de la tecla de nuevo. Este método de diferenciación más tarde se conoció como el Puño
del Remitente. Varios operadores clave de código Morse podrían identificarse por sus "puños"
únicos. No era para lo que se diseñó el telégrafo (a quién le importa quién envió el mensaje; ¿cuál
era el mensaje?), pero en este caso, la escucha única fue un producto interesante.

Hoy en día, con los avances en la tecnología digital, los dispositivos electrónicos pueden medir
las diferencias de nanosegundos en la forma en que cada persona presiona las teclas en los
teclados de las computadoras, no solo el tiempo que se mantiene presionada una tecla determinada,
sino también la rapidez con la que sigue la siguiente tecla. Puede notar la diferencia entre alguien
que escribe normalmente y alguien que busca y picotea el teclado. Eso, junto con las palabras
elegidas, puede revelar mucho sobre una comunicación anónima.

Este es un problema si se ha tomado la molestia de anonimizar su dirección IP. El sitio del otro
lado aún puede reconocerlo, no por algo técnico sino por algo exclusivamente humano.

Esto también se conoce como análisis de comportamiento.

Machine Translated by Google

Digamos que un sitio web anonimizado por Tor decide rastrear su perfil de pulsaciones de
teclas. Tal vez las personas detrás de esto sean maliciosas y solo quieran saber más sobre ti.
O tal vez trabajan con las fuerzas del orden.
Muchas instituciones financieras ya utilizan el análisis de pulsaciones de teclas para
autenticar aún más a los titulares de cuentas. De esa manera, si alguien tiene su nombre de
usuario y contraseña, él o ella realmente no pueden falsificar la cadencia de su escritura. Eso
es tranquilizador cuando desea autenticarse en línea. Pero, ¿y si no lo haces?

Debido a que el análisis de pulsaciones de teclas es tan inquietantemente fácil de

implementar, los investigadores Per Thorsheim y Paul Moore crearon un complemento del
navegador Chrome llamado Keyboard Privacy. El complemento almacena en caché sus
pulsaciones de teclas individuales y luego las reproduce en diferentes intervalos. La idea es
introducir la aleatoriedad en la cadencia normal de pulsaciones de teclas como medio para lograr el anonimato e
El complemento podría enmascarar aún más sus actividades anónimas en Internet.4

Como hemos visto, mantener la separación entre tu vida real y tu vida anónima en línea es
posible, pero requiere una vigilancia constante. En el capítulo anterior hablé de algunos fracasos
espectaculares en ser invisible. Estos fueron intentos gloriosos pero a corto plazo de invisibilidad.

En el caso de Ross Ulbricht, realmente no planeó su alter ego con mucho cuidado,
ocasionalmente usaba su dirección de correo electrónico real en lugar de una anónima,
particularmente al principio. Mediante el uso de una búsqueda avanzada de Google, un
investigador pudo reunir suficiente información para revelar al misterioso propietario de Silk
Road.
Entonces, ¿qué pasa con Edward Snowden y otros como él que están preocupados por su
vigilancia por parte de una o más agencias gubernamentales? Snowden, por ejemplo, tiene una
cuenta de Twitter. Al igual que otras personas dedicadas a la privacidad, ¿de qué otra forma
podría involucrarlos en una ronda de conversación en línea? Hay un par de posibilidades para
explicar cómo estas personas permanecen "invisibles".
No están bajo vigilancia activa. Tal vez un gobierno o una agencia gubernamental sepa
exactamente dónde están sus objetivos, pero no le importa. En ese caso, si los objetivos no
están infringiendo ninguna ley, ¿quién puede decir que no han bajado la guardia en algún
momento? Pueden afirmar que solo usan Tor para sus correos electrónicos anónimos, pero
también pueden estar usando esa cuenta para sus compras de Netflix.
Machine Translated by Google

Están bajo vigilancia, pero no pueden ser arrestados. Creo que eso podría
describir muy bien a Snowden. Es posible que se haya deslizado con respecto a su
anonimato en algún momento y que ahora esté siendo rastreado activamente donde
quiera que vaya, excepto que vive en Rusia. Rusia no tiene ninguna razón real para
arrestarlo y devolverlo a los Estados Unidos.
Notarás que dije "desliz": a menos que tengas una increíble atención a los
detalles, es realmente difícil vivir dos vidas. Lo sé. Lo he hecho. Bajé la guardia al
usar una ubicación fija al acceder a las computadoras a través de una red de
telefonía celular.
Existe una perogrullada en el negocio de la seguridad de que un atacante
persistente tendrá éxito con el tiempo y los recursos suficientes. Tengo éxito todo
el tiempo cuando pruebo los controles de seguridad de mi cliente. Todo lo que
realmente está haciendo al tratar de hacerse anónimo es poner tantos obstáculos
que un atacante se dará por vencido y pasará a otro objetivo.
La mayoría de nosotros solo tenemos que escondernos por un rato. Para evitar
a ese jefe que quiere que te despidan. Para evitar a ese ex cuyos abogados están
buscando algo, cualquier cosa, para acusarte. Para evadir a ese acosador
espeluznante que vio tu foto en Facebook y está decidido a acosarte. Cualquiera
que sea su razón para ser invisible, los pasos que he esbozado funcionarán lo
suficiente como para sacarlo de una mala situación.
Ser anónimo en el mundo digital actual requiere mucho trabajo y vigilancia
constante. Los requisitos de anonimato de cada persona difieren: ¿necesita proteger
sus contraseñas y mantener los documentos privados fuera del alcance de sus
compañeros de trabajo? ¿Necesitas esconderte de un fan que te está acosando?
¿Necesita evadir la aplicación de la ley porque es un denunciante?
Sus requisitos individuales dictarán los pasos necesarios que debe seguir para
mantener el nivel deseado de anonimato, desde establecer contraseñas seguras y
darse cuenta de que la impresora de su oficina está fuera de servicio hasta seguir
los pasos que se detallan aquí para que sea extremadamente difícil. para que un
investigador forense descubra su verdadera identidad.
Sin embargo, en general, todos podemos aprender algo sobre cómo minimizar
nuestras huellas dactilares en el mundo digital. Podemos pensar antes de publicar
esa foto con una dirección de casa visible en el fondo. O antes de proporcionar una
fecha de nacimiento real y otra información personal en nuestros perfiles de redes
sociales. O antes de navegar por Internet sin usar la extensión HTTPS Everywhere.
O antes de hacer llamadas confidenciales o enviar mensajes de texto sin
Machine Translated by Google

utilizando una herramienta de cifrado de extremo a extremo como Signal. O antes de enviar
mensajes a un médico a través de AOL, MSN Messenger o Google Talk sin OTR. O antes de
enviar un correo electrónico confidencial sin usar PGP o GPG.
Podemos pensar de manera proactiva sobre nuestra información y darnos cuenta de que
incluso si lo que estamos haciendo con ella se siente benigno: compartir una fotografía, olvidar
cambiar los inicios de sesión y las contraseñas predeterminados, usar un teléfono de trabajo para
un mensaje personal o configurar una cuenta de Facebook. dar cuenta de nuestros hijos, en
realidad estamos tomando decisiones que conllevan ramificaciones de por vida. Así que tenemos que actuar.
Este libro se trata de permanecer en línea mientras conservamos nuestra preciada privacidad.
Todos, desde los más tecnológicamente desafiantes hasta los expertos profesionales en seguridad,
deben hacer una práctica comprometida de dominar este arte, que se vuelve más esencial cada
día que pasa: el arte de la invisibilidad.
Machine Translated by Google

Expresiones de gratitud

Este libro está dedicado a mi amada madre, Shelly Jaffe, y a mi abuela

Reba Vartanian, quienes sacrificaron mucho por mí durante toda mi vida.
No importa en qué situación me metí, mi mamá y la abuela siempre
estuvieron ahí para mí, especialmente en mis momentos de necesidad.
Este libro no hubiera sido posible sin mi maravillosa familia, que me ha
brindado tanto amor y apoyo incondicional a lo largo de mi vida.
El 15 de abril de 2013, mi madre falleció después de una larga lucha contra el
cáncer de pulmón. Llegó después de años de dificultades y luchas para lidiar con
los efectos de la quimioterapia. Hubo pocos días buenos después de los terribles
tratamientos utilizados en la medicina moderna para combatir este tipo de cánceres.
Por lo general, los pacientes tienen muy poco tiempo; por lo general, son solo
meses antes de que sucumban a la enfermedad. Me siento muy afortunado por el
tiempo que pude pasar con ella mientras luchaba en esta horrible batalla. Estoy
muy agradecida de haber sido criada por una madre tan amorosa y dedicada, a
quien también considero mi mejor amiga. Mi mamá es una persona increíble y la
extraño muchísimo.
El 7 de marzo de 2012, mi abuela falleció inesperadamente mientras recibía
tratamiento en el Hospital Sunrise de Las Vegas. Nuestra familia esperaba que
ella regresara a casa, pero nunca sucedió. Durante los últimos años previos a la
muerte de mi abuela, su corazón estaba en constante tristeza debido a la batalla
de mi madre contra el cáncer. Se la extraña terriblemente y desearía que estuviera
aquí para disfrutar de este logro.
Espero que este libro traiga mucha felicidad a los corazones de mi madre y mi
abuela y las haga sentir orgullosas de que estoy ayudando a proteger
Machine Translated by Google

derecho de las personas a la privacidad.

Ojalá mi padre, Alan Mitnick, y mi hermano, Adam Mitnick, estuvieran aquí para celebrar
la publicación de este importante libro sobre volverse invisible cuando el espionaje y la
vigilancia son ahora la norma.
Tuve la suerte de colaborar con el experto en seguridad y privacidad Robert Vamosi
para escribir este libro. El notable conocimiento de Rob en seguridad y sus habilidades como
escritor incluyen su capacidad para encontrar historias convincentes, investigar estos temas
y tomar la información proporcionada por mí y escribirla en tal estilo y manera que cualquier
persona sin conocimientos técnicos pueda entenderla. Debo quitarme el sombrero ante Rob,
quien hizo una enorme cantidad de trabajo duro en este proyecto. A decir verdad, no podría
haberlo hecho sin él.
Estoy ansioso por agradecer a aquellas personas que representan mi carrera profesional
y se dedican de manera extraordinaria. Mi agente literario, David Fugate de LaunchBooks,
negoció el contrato del libro y actuó como enlace con el editor, Little, Brown. El concepto de
El arte de la invisibilidad fue creado por John Rafuse de 121 Minds, quien es mi agente para
charlas y patrocinios, y también realiza desarrollo comercial estratégico para mi empresa.
Totalmente por su propia iniciativa, John me dio una propuesta de libro intrigante, junto con
una maqueta de la portada. Él me animó enfáticamente a escribir este libro para ayudar a
educar a la población mundial sobre cómo proteger sus derechos de privacidad personal
contra el exceso de Big Brother y Big Data. Juan es increíble.

Estoy agradecido de haber tenido la oportunidad de trabajar con Little, Brown en el

desarrollo de este emocionante proyecto. Deseo agradecer a mi editor, John Parsley, por
todo su arduo trabajo y excelentes consejos sobre este proyecto. Gracias John.
Deseo agradecer a mi amigo Mikko Hypponen, director de investigación de F Secure,
por dedicar su valioso tiempo a escribir el prólogo de este libro.
Mikko es un experto en seguridad y privacidad muy respetado que se ha centrado en la
investigación de malware durante más de veinticinco años.
También me gustaría agradecer a Tomi Tuominen de F-Secure por tomarse un tiempo
de su apretada agenda para hacer una revisión técnica del manuscrito y ayudar a detectar
cualquier error y detectar cualquier cosa que se haya pasado por alto.
Machine Translated by Google

Sobre el Autor

KEVIN MITNICK ha sido objeto de innumerables perfiles publicados y

difundidos en todo el mundo. El equipo líder en pruebas de penetración de
Mitnick es muy respetado y buscado por sus servicios de seguridad por parte
de las principales corporaciones y gobiernos del mundo. La compañía que
fundó, Mitnick Security Consulting LLC, tiene clientes que incluyen docenas
de Fortune 500 y muchas naciones en todo el mundo. Mitnick es el autor
más vendido de Ghost in the Wires, The Art of Intrusion y The Art of
Deception. Vive en Las Vegas y viaja por el mundo como el principal orador
principal sobre seguridad cibernética.

mitnicksecurity.com
twitter.com/kevinmitnick
Machine Translated by Google

Libros de Kevin Mitnick

El arte de la invisibilidad (con Robert Vamosi)

Fantasma en los cables (con William L. Simon)

El arte de la intrusión (con William L. Simon)

El arte del engaño (con William L. Simon)
Machine Translated by Google

notas

Todas las URL de origen citadas a continuación eran precisas en el momento de la redacción original de
este libro, julio de 2016.

Introducción: Hora de desaparecer

1. https://www.youtube.com/watch?t=33&v=XEVlyP4_11M.
2. Snowden fue primero a Hong Kong antes de recibir permiso para vivir en
Rusia. Desde entonces, ha solicitado vivir en Brasil y otras naciones y no
ha descartado regresar a los Estados Unidos si tuviera un juicio justo.

3. http://www.reuters.com/article/2011/02/24/idUSN2427826420110224. 4.
https://www.law.cornell.edu/supct/html/98-93.ZD.html. 5. https://
www.law.cornell.edu/uscode/text/16/3372. 6. http://www.wired.com/2013/06/
por-que-no-tengo-nada-que-esconder-es-la-manera-errónea-de-pensar-sobre-
la-vigilancia/.
Machine Translated by Google

Capítulo uno: ¡Su contraseña puede ser descifrada!

1. https://www.apple.com/pr/library/2014/09/02Apple-Media
Asesoramiento.html.
2. http://anon-ib.com/. Tenga en cuenta que este sitio no es seguro para el trabajo y puede
también contienen imágenes perturbadoras.
3. http://www.wired.com/2014/09/eppb-icloud/.
4. https://www.justice.gov/usao-mdpa/pr/lancaster-county-man-sentenced 18-months-federal-
prison-hacking-apple-and-google-e-mail.
5. http://arstechnica.com/security/2015/09/new-stats-show-ashley madison-
passwords-are-tan-weak-as-all-the-rest/.
6. http://www.openwall.com/john/.
7. “MaryHadALLittleLamb123$” tal como lo presenta
http://www.danstools.com/md5-hash-generator/.
8. http://news.bbc.co.uk/2/hi/technology/3639679.stm.
9. http://www.consumerreports.org/cro/news/2014/04/smart-phone-thefts
subió a 3-1-millones-el-año-pasado/index.htm.
10. http://www.mercurynews.com/california/ci_26793089/warrant-chp
oficial-dice-robar-fotos-desnudas-de.
11. http://arstechnica.com/security/2015/08/new-data-uncovers-the sorprendente-
predictability-of-android-lock-patterns/.
12. http://www.knoxnews.com/news/local/official-explains-placeing-david
kernell-at-ky-facility-ep-406501153-358133611.html.
13. http://www.wired.com/2008/09/palin-e-mail-ha/.
14. http://fusion.net/story/62076/mothers-maiden-name-security-question/.
15.
http://web.archive.org/web/20110514200839/http://latimesblogs.latimes
.com/webscout/2008/09/4chans-half-hac.html.

16. http://www.commercialappeal.com/news/david-kernell-ut-student-in-palin-email-case-is-
released-from-supervision-ep-361319081-
326647571.html;
http://edition.cnn.com/2010/CRIME/11/12/tennessee.palin.hacking.case
/.

17. http://www.symantec.com/connect/blogs/password-recovery-scam-
Machine Translated by Google

trucos-usuarios-entrega-correo-acceso-cuenta.
18. https://techcrunch.com/2016/06/10/how-activist-deray-mckessons
twitter-account-was-hacked/.
Machine Translated by Google

Capítulo dos: ¿Quién más está leyendo su correo electrónico?

1. En caso de que se lo pregunte, las imágenes de abuso sexual infantil son identificadas y
etiquetadas por el Centro Nacional para Niños Desaparecidos y Explotados, que es la forma en
que el sistema de escaneo automatizado de Google y otras compañías de motores de búsqueda
distingue esas imágenes de las imágenes no pornográficas en sus redes Consulte http://
www.dailymail.co.uk/news/article 2715396/Google-s-email-scan-helps-catch-sex-offender-tips-
police indecent-images-children-Gmail-account.html. 2. http://www.braingle.com/brainteasers/
codes/caesar.php. 3. https://theintercept.com/2014/10/28/smuggling-snowden-secrets/.

4. Por ejemplo, vea la lista aquí:

https://en.wikipedia.org/wiki/Category:Cryptographic_algorithms.
5. Mailvelope funciona con Outlook, Gmail, Yahoo Mail y varios otros servicios de correo electrónico
basados en la Web. Consulte https://www.mailvelope.com/.

6. Para ver los metadatos en su cuenta de Gmail, elija un mensaje, ábralo y luego haga clic en la
flecha hacia abajo en la esquina superior derecha del mensaje.
Entre las opciones ("Responder", "Responder a todos", "Reenviar", etc.) está "Mostrar original".
En Apple Mail, seleccione el mensaje y luego elija Ver>Mensaje>Todos los encabezados. En
Yahoo, haz clic en "Más" y luego en "Ver encabezado completo". Opciones similares aparecen en
otros programas de correo.
7. http://www.bbc.com/future/story/20150206-biggest-myth-about-phone
privacidad.
8. https://immersion.media.mit.edu/. 9. http://

www.npr.org/2013/06/13/191226106/fisa-court-appears-to-be
sello de caucho para solicitudes gubernamentales.

10. Puede escribir "Dirección IP" en la ventana de búsqueda de Google para ver su
propia dirección IP en el momento de la solicitud.

11. https://play.google.com/store/apps/details?id=org.torproject.android. 12. http://www.wired.com/

threatlevel/2014/01/tormail/. 13. https://www.theguardian.com/technology/2014/oct/28/tor-users

aconseja-comprobar-computadoras-malware.

14. http://arstechnica.com/security/2014/07/active-attack-on-tor-network
intentó-desenmascarar-usuarios-durante-cinco-meses/.
Machine Translated by Google

15. Para la caja Tor en una Raspberry Pi, puedes usar algo como Portal:
https://github.com/grugq/PORTALofPi. 16.
https://www.skype.com/en/features/online-number/. 17. http://
www.newyorker.com/magazine/2007/02/19/the-kona-files.
18. Una vez más, probablemente sea mejor no usar Google ni grandes proveedores de correo electrónico.
pero por el bien de la ilustración lo estoy usando aquí.
Machine Translated by Google

Capítulo tres: escuchas telefónicas 101

1. Puede optar por no compartir sus datos personales con los servicios de transporte
en Android. Vaya a Configuración> Buscar y ahora> Cuentas y
privacidad>Viajes compartidos. Apple no proporciona un servicio similar,
pero las versiones futuras de iOS pueden ayudarlo a planificar viajes en función de dónde esté su
teléfono está en un momento dado.
2. http://www.abc.net.au/news/2015-07-06/nick-mckenzie-speaks-out
sobre-su-roce-con-la-mafia/6596098.

3. De hecho, compraría una tarjeta de recarga que usaría con el

teléfono en sí. Lo mejor es usar Bitcoin para hacerlo.
4. https://www.washingtonpost.com/news/the
switch/wp/2014/12/18/german-researchers-descubre-una-falla-que-podría-permitir-que-
cualquiera-escuche-sus-llamadas-celulares-y-lea-sus-textos/.
5. http://arstechnica.com/gadgets/2010/12/15-phone-3-minutes-all-thats need-to-eavesdrop-on-
gsm-call/.
6. http://www.latimes.com/local/la-me-pellicano5mar05-
story.html#navtype=storygallery.
7. http://www.nytimes.com/2008/03/24/business/media/24pellicano.html?
pagina buscada=todas.

8. https://www.hollywoodreporter.com/thr-esq/anthony-pellicanos-prison
sentencia-vacante-817558.

9. http://www.cryptophone.de/en/products/landline/.
10. https://www.kickstarter.com/projects/620001568/jackpair-safeguard
tu-teléfono-conversación/publicaciones/1654032.
11. http://spectrum.ieee.org/telecom/security/the-athens-affair.
12. http://bits.blogs.nytimes.com/2007/07/10/engineers-as-counterspys
cómo-se-intervino-el-sistema-de-teléfono-celular-griego/.
13. https://play.google.com/store/apps/details?
id=org.crimen de pensamiento.teléfono rojo.
Machine Translated by Google

Capítulo cuatro: si no cifra, no está equipado

1. http://caselaw.findlaw.com/wa-supreme-court/1658742.html.
2. http://courts.mrsc.org/mc/courts/zsupreme/179wn2d/179wn2d0862.htm.
3. http://www.komonews.com/news/local/Justices-People-have-right-to-privacy-in-
text-messages-247583351.html.
4.
http://www.democracynow.org/2016/10/26/headlines/project_hemispher
e_at_ts_secret_program_to_spy_on_americans_for_profit.
5. http://www.wired.com/2015/08/know-nsa-atts-spying-pact/.
6. http://espn.go.com/nfl/story/_/id/13570716/tom-brady-nueva-inglaterra
patriots-wins-appeal-nfl-deflategate.
7. https://www.bostonglobe.com/sports/2015/07/28/tom-brady-destroyed his-
cellphone-and-texts-along with/ZuIYu0he05XxEeOmHzwTSK/story.html.

8. DES fue descifrado en parte porque solo encriptó los datos una vez. AES
utiliza tres capas de cifrado y, por lo tanto, es mucho más fuerte, incluso
independiente del número de bits.
9. Diskreet ya no está disponible.
10. https://twitter.com/kevinmitnick/status/346065664592711680. Este enlace
proporciona una explicación más técnica del DES de treinta y dos bits utilizado:
https://www.cs.auckland.ac.nz/~pgut001/pubs/norton.txt.
11. http://www.theatlantic.com/technology/archive/2014/06/facebook
texting-teens-instagram-snapchat-most-popular-social-network/373043/.
12. http://www.pewinternet.org/2015/04/09/teens-social-media-technology
2015.
13. http://www.forbes.com/sites/andygreenberg/2014/02/21/whatsapp comes-
under-new-scrutiny-for-privacy-policy-encryption-gaffs/.
14. https://www.wired.com/2016/10/facebook-completely-encrypted messenger-
update-now/.
15. https://community.skype.com/t5/Security-Privacy-Trust-and/Skype-to
Skype-llamada-grabación/td-p/2064587.
16. https://www.eff.org/deeplinks/2011/12/effs-raises-concerns-about-new
aol-instant-messenger-0.
Machine Translated by Google

17. http://www.wired.com/2007/05/always_two_ther/. 18.

http://venturebeat.com/2016/08/02/hackers-break-into-telegram
revelando-15-millones-de-usuarios-números-
de-teléfono/. 19. http://www.csmonitor.com/World/Passcode/2015/0224/
Private-chat app-Telegram-may-not-be-as-secretive-as-advertised. 20.
https://otr.cypherpunks.ca/. 21. https://chatsecure.org/. 22. https://
guardianproject.info/apps/chatsecure/. 23. https://crypto.cat/. 24. https://
getconfide.com/.
Machine Translated by Google

Capítulo cinco: Ahora me ves, ahora no

1. https://www.techdirt.com/articles/20150606/16191831259/según-government-clearing-
your-browser-history-is-felony.shtml.
2. http://www.cbc.ca/news/trending/clearing-your-browser-history-can-be-considered-
obstruction-of-justice-in-the-us-1.3105222.
3. http://ftpcontent2.worldnow.com/whdh/pdf/Matanov-Khairullozhon indictment.pdf.

4. https://www.eff.org/https-everywhere%20.
5. http://www.tekrevue.com/safari-sync-browser-history/.
6. http://www.theguardian.com/commentisfree/2013/aug/01/government
seguimiento-google-búsquedas.
7. https://myaccount.google.com/intro/privacy.
8. http://www.fastcompany.com/3026698/inside-duckduckgo-googles
el competidor más pequeño y feroz.
Machine Translated by Google

Capítulo seis: cada clic que haga con el mouse, lo estaré observando 1. https://

timlibert.me/pdf/Libert-2015-Health_Privacy_on_Web.pdf.
2. Una prueba informal realizada mientras escribía este libro mostró que el
El complemento Ghostery en Chrome bloqueó hasta veintiuna solicitudes de socios
de la Clínica Mayo y doce solicitudes de socios de WebMD al devolver resultados para
"pie de atleta".
3. Para ver más detalladamente qué información filtra su navegador, consulte
fuera de http://browserspy.dk/.
4. https://noscript.net/. 5.

https://chrome.google.com/webstore/detail/scriptblock/hcdjknjpbnhdoa bbngpmfekaecnpajba?
hl=en. 6. https://www.ghostery.com/en/download?src=external-ghostery.com.

7. Por "entrega de correo" me refiero a equipos de buzones comerciales como el UPS

Store, aunque muchos requieren una identificación con foto antes de poder obtener una.
8. http://www.wired.com/2014/10/verizons-perma-cookie/. 9. http://
www.pcworld.com/article/2848026/att-kills-the-permacookie stop-tracking-customers-
internet-usage-for-now.html.
10. http://www.verizonwireless.com/support/unique-identifier-header-faqs/. 11. http://
www.reputation.com/blog/privacy/how-disable-and-delete-flash cookies; http://www.brighthub.com/
computing/smb security/articles/59530.aspx. 12. http://en.wikipedia.org/wiki/Samy_Kamkar.
13. https://github.com/samyk/evercookie. 14. http://venturebeat.com/2015/07/14/consumers-
want-privacy-yet demand-personalization/.

15. http://www.businessinsider.com/facebook-will-not-honor-do-not-track
2014-6.

16. https://chrome.google.com/webstore/detail/facebook
desconectar/ejpepffjfmamnambagiibghpglaidiec?hl=en.
17. https://facebook.adblockplus.me/. 18.
https://zephoria.com/top-15-valuable-facebook-statistics/. 19. http://
www.latimes.com/business/la-fi-lazarus-20150417-column.html.
Machine Translated by Google

20. https://www.propublica.org/article/meet-the-online-tracking-device
eso-es-prácticamente-imposible-de-
bloquear#. 21. https://addons.mozilla.org/en-us/firefox/addon/
canvasblocker/. 22
https://chrome.google.com/webstore/detail/canvasfingerprintblock/ipmj
ngkmngdcdpmgmiebdmfbkcecdndc?hl=en-US. 23. https://trac.torproject.org/
projects/tor/ticket/6253. 24. https://www.technologyreview.com/s/538731/how-ads-
follow-you
del-teléfono-al-escritorio-a-la-tableta/.
25. https://theintercept.com/2014/10/28/smuggling-snowden-secrets/.
Machine Translated by Google

Capítulo siete: ¡Pague o de lo contrario!

1. http://www.computerworld.com/article/2511814/security0/man-used
vecino-s-wi-fi-para-amenazar-vice-presidente-biden.html.
2. http://www.computerworld.com/article/2476444/mobile-security
comcast-xfinity-wifi-solo-di-no.html.
3. http://customer.xfinity.com/help-and-support/internet/disable-xfinity wifi-home-hotspot/.

4. BitTorrent es un servicio de transmisión de video para películas, algunas de las cuales son
proporcionada por fuentes distintas a los titulares de los derechos de autor.

5. http://blog.privatewifi.com/why-six-strikes-could-be-a-nightmare-for-your-internet-privacy/.

6. También existe el conjunto de servicios básicos (BSS), que proporciona los servicios básicos
elemento básico de una LAN inalámbrica 802.11 (red de área local). Cada
BSS o ESS (conjunto de servicios extendidos) se identifica mediante un conjunto de servicios
identificador (SSID).
7. http://www.techspot.com/guides/287-default-router-ip-addresses/.
8. http://www.routeripaddress.com/.
9. Es fácil averiguar la dirección MAC de los dispositivos autorizados usando un
herramienta de prueba de penetración conocida como Wireshark.

10. https://www.pwnieexpress.com/blog/wps-cracking-with-reaver.
11. http://www.wired.com/2010/10/webcam-spy-settlement/.
12. http://www.telegraph.co.uk/technology/internet security/
11153381/How-hackers-took-over-my-computer.html.
13. https://www.blackhat.com/docs/us-16/materials/us-16-Seymour-Tully Weaponizing-Data-
Science-For-Social-Engineering-Automated-E2E Spear-Phishing-On-Twitter. pdf.

14. http://www.wired.com/2010/01/operation-aurora/.
15. http://www.nytimes.com/2015/01/04/opinion/sunday/how-my-mom
fue-hackeado.html.
16. http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to see-your-data-again-
pay-us-300-in-bitcoins/.
17. https://securityledger.com/2015/10/fbis-advice-on-cryptolocker-just
pagar-el-rescate/.
Machine Translated by Google

Capítulo Ocho: Créelo todo, no confíes en nada

1. Es importante tener en cuenta que el Wi-Fi público no está abierto en todas las partes del
mundo. Por ejemplo, en Singapur, para usar Wi-Fi público fuera de su
hotel o un restaurante McDonald's, deberá registrarse. Los lugareños deben
tener un número de teléfono celular de Singapur, y los turistas deben presentar su
pasaportes a una autoridad local antes de obtener la aprobación.
2. https://business.f-secure.com/the-dangers-of-public-wifi-and-crazy-things-people-do-to-
use-it/.
3. http://dnlongen.blogspot.com/2015/05/is-your-home-router-spying-on
usted.html.
4. Hay muchas consideraciones que un usuario debe saber cuando

elegir un proveedor de VPN. Consulte https://torrentfreak.com/anonymous-vpn service-

provider-review-2015-150228/3/.
5. Una opción comercial de VPN es TunnelBear, una empresa canadiense de VPN.
Afirman: "TunnelBear NO almacena usuarios que originan direcciones IP
cuando está conectado a nuestro servicio y, por lo tanto, no puede identificar a los usuarios cuando
direcciones IP proporcionadas de nuestros servidores. Además, no podemos revelar
información sobre las aplicaciones, servicios o sitios web de nuestros usuarios
consumir mientras está conectado a nuestros Servicios; como TunnelBear NO
almacenar esta información.” https://www.tunnelbear.com/privacy-policy/.
6. http://www.howtogeek.com/215730/how-to-connect-to-a-vpn-from-your-iphone-or-ipad/.

7. http://www.howtogeek.com/135036/how-to-connect-to-a-vpn-on android/?
PageSpeed=noscript.
8. http://www.cbc.ca/news/politics/csec-used-airport-wi-fi-to-track canadian-travellers-
edward-snowden-documents-1.2517881.
9.

http://www.telegraph.co.uk/news/worldnews/northamerica/usa/9673429
/David-Petraeus-ordenó-a-la-amante-Paula-Broadwell-que-deje-de-enviar-correos-electrónicos-
a-Jill Kelley.html.
10. http://www.nytimes.com/2012/11/12/us/us-officials-say-petraeuss affair-known-in-
summer.html.

11. https://www.wired.com/2012/11/gmail-location-data-petraeus/.
Machine Translated by Google

12. http://www.howtogeek.com/192173/how-and-why-to-change-your-mac
address-on-windows-linux-and-mac/?PageSpeed=noscript.
Machine Translated by Google

Capítulo nueve: ¿No tienes privacidad? ¡Superalo!

1. http://www.wired.com/2012/12/ff-john-mcafees-last-stand/.
2. http://defensetech.org/2015/06/03/us-air-force-targets-and-destroys-isis hq-building-
using-social-media/.
3. http://www.bbc.com/future/story/20150206-biggest-myth-about-phone
privacidad.
4. http://www.dailymail.co.uk/news/article-3222298/Is-El-Chapo-hiding Costa-Rica-Net-
closes-world-s-wanted-drug-lord-hapless-son-forgets cambiar-ubicación-datos-Twitter-
imagen.html.
5. https://threatpost.com/how-facebook-and-facial-recognition-are-creating-
minority-report-style-privacy-meltdown-080511/75514.
6. http://www.forbes.com/sites/kashmirhill/2011/08/01/how-face-recognition-
can-be-used-to-get-your-social-security-number/2/.
7. http://searchengineland.com/with-mobile-face-recognition-google cruza-la-línea-
espeluznante-70978.
8. Robert Vamosi, Cuando los aparatos nos traicionan: El lado oscuro de nuestra
Infatuation with New Technologies (Nueva York: Basic Books, 2011).
9. http://www.forbes.com/sites/kashmirhill/2011/08/01/how-face-recognition-
can-be-used-to-get-your-social-security-number/.
10. https://techcrunch.com/2015/07/13/yes-google-photos-can-still-sync
tus-fotos-después-de-eliminar-la-aplicación/.
11. https://www.facebook.com/legal/terms.
12. http://www.consumerreports.org/cro/news/2014/03/how-to-beat
facebook-s-mayor-privacidad-riesgo/index.htm.
13. http://www.forbes.com/sites/amitchowdhry/2015/05/28/facebook security-
checkup/.
14. http://www.consumerreports.org/cro/magazine/2012/06/facebook-yourprivacy/
index.htm.
15. http://www.cnet.com/news/facebook-will-the-real-kevin-mitnick please-stand-
up/.
16. http://www.eff.org/files/filenode/social_network/training_course.pdf.
17. http://bits.blogs.nytimes.com/2015/03/17/pearson-under-fire-for
seguimiento-estudiantes-twitter-posts/.
Machine Translated by Google

18. http://www.washingtonpost.com/blogs/answer sheet/wp/

2015/03/14/pearson-monitoring-social-media-for-security brechas-durante-parcc-testing/.

19. http://www.csmonitor.com/World/Passcode/Passcode Voices/2015/0513/

Is-student-privacy-erased-as-classrooms-turn-digital.
20. https://motherboard.vice.com/blog/so-were-sharing-our-social-security-numbers-on-social-media-
now.

21. http://pix11.com/2013/03/14/snapchat-sexting-scandal-at-nj-high school-could-result-in-

child-porn-charges/.
22. http://www.bbc.co.uk/news/uk-34136388.
23. https://www.ftc.gov/news-events/press-releases/2014/05/snapchat settles-ftc-charges-
promises-disappearing-messages-were.
24. http://www.informationweek.com/software/social/5-ways-snapchat
violado-su-privacidad-seguridad/d/d-id/1251175.
25. http://fusion.net/story/192877/teens-face-criminal-charges-for-take
guardando-fotos-desnudas-de-ellos-mismos/.
26. http://www.bbc.com/future/story/20150206-biggest-myth-about-phone
privacidad.
27. http://fusion.net/story/141446/a-little-known-yelp-setting-tells-business-your-gender-
age-and-hometown/?
utm_source=rss&utm_medium=feed&utm_campaign=/author/kashmir hill/feed/.

28. En el iPhone o iPad, vaya a Configuración>Privacidad>Servicios de ubicación,

donde encontrará una lista de todas sus aplicaciones con reconocimiento de ubicación. por ejemplo,
es posible deshabilitar la geolocalización para la aplicación Facebook Messenger
por sí mismo. Desplácese hasta "Facebook Messenger" y asegúrese de que su ubicación
los servicios están configurados en "Nunca". En dispositivos Android, abra Facebook
aplicación Messenger, haga clic en el icono "Configuración" (con forma de engranaje) en la
esquina superior derecha, desplácese hasta "Los nuevos mensajes incluyen su ubicación por
predeterminado” y desmárquelo. En los dispositivos Android en general tendrás
para deshabilitar individualmente la geolocalización (si se ofrece como opción); hay
no hay una configuración única para todos.

29. https://blog.lookout.com/blog/2016/08/25/trident-pegasus/.
Machine Translated by Google

Capítulo Diez: Puedes Correr Pero No Esconderte

1. Puede desactivar el GPS en versiones posteriores de iOS como se describe aquí:

http://smallbusiness.chron.com/disable-gps-tracking-iphone
30007.html.
2. https://gigaom.com/2013/07/08/your-metadata-can-show-snoops-a-whole-lot-
solo-mira-los-mios/.
3. http://www.zeit.de/datenschutz/malte-spitz-data-retention.
4. https://www.washingtonpost.com/local/public-safety/federal-appeals court-that-
includes-va-md-allows-warrantless-tracking-of-historical-cell-site-records/
2016/05/ 31/353950d2-2755-11e6-a3c4-
0724e8e24f3f_historia.html.
5. http://fusion.net/story/177721/phone-location-tracking-google-feds/?
utm_source=rss&utm_medium=feed&utm_campaign=/author/kashmir hill/feed/.

6. http://www.forbes.com/sites/andyrobertson/2015/05/19/strava-flyby/?
ss=tecnología del futuro.

7. http://fusion.net/story/119745/in-the-future-your-insurance-company
¿saber-cuándo-tienes-sexo/?
utm_source=rss&utm_medium=feed&utm_campaign=/author/kashmir hill/feed/.

8. http://thenextweb.com/insider/2011/07/04/details-of-fitbit-users-sex-lives-
removed-from-search-engine-results/.
9. http://fusion.net/story/119745/en-el-futuro-su-compañía-de-seguros
¿saber-cuándo-tienes-sexo/?
utm_source=rss&utm_medium=feed&utm_campaign=/author/kashmir hill/feed/.

10. http://www.engadget.com/2015/06/28/fitbit-data-used-by-police/.
11. http://abc27.com/2015/06/19/police-womans-fitness-watch-disproved
informe de violación/.

12. http://www.theguardian.com/technology/2014/nov/18/court-accepts
datos-fitbit-health-tracker.
13. http://www.smithsonianmag.com/innovation/invention-snapshot-changed-
way-we-viewed-world-180952435/?all&no-ist.
Machine Translated by Google

14. https://books.google.com/books?
id=SlMEAAAAMBAJ&pg=PA158&lpg=PA158&dq=%22La+kodak+
ha+añadido+un+nuevo+terror+al+picnic%22&source=bl&ots=FLtKbY
Gv6Y&sig=YzE2BisTYejb1pT3vYhR2QBPAYM&hl=en&sa=X&ei=B
huwt7fvbotgialv2-
S3Cg&ved=0CCAQ6AEwAA#v=onepage&q=%22The%20koda&f=fal
se.
15. http://www.smithsonianmag.com/innovation/invention-snapshot-changed-
way-we-viewed-world-180952435/?no-ist=&page=2.
16. https://www.faa.gov/uas/media/Part_107_Summary.pdf.
17. https://www.faa.gov/uas/where_to_fly/b4ufly/.
18
http://www.slate.com/articles/technology/future_tense/2015/06/facial_re
cognition_privacy_talks_why_i_walked_out.html.
19. http://www.extremetech.com/mobile/208815-how-facial-recognition will-change-
shopping-in-stores.
20. http://www.retail-week.com/innovation/seven-in-ten-uk-shoppers-find facial-
recognition-technology-creepy/5077039.article.
21. http://www.ilga.gov/legislation/ilcs/ilcs3.asp?
ActID=3004&CapítuloID=57.
22. http://arstechnica.com/business/2015/06/retailers-want-to-be-able-to scan-
your-face-without-your-permission/.
23. http://fusion.net/story/154199/facial-recognition-no-rules/?
utm_source=rss&utm_medium=feed&utm_campaign=/author/kashmir hill/feed/.

24. https://www.youtube.com/watch?v=NEsmw7jpODc.
25. http://motherboard.vice.com/read/glasses-that-confuse-facial
los sistemas de reconocimiento están llegando a Japón.
Machine Translated by Google

Capítulo once: Oye, KITT, no compartas mi ubicación

1. http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/.
2. Esto es una tontería. Que algo esté prohibido no significa que no lo estará
suceder. Y esto crea un escenario peligroso en el que los autos pirateados pueden
todavía afectan al público conductor. Día cero para automóviles, ¿alguien?
3. http://keenlab.tencent.com/en/2016/06/19/Keen-Security-Lab-of Tencent-Car-
Hacking-Research-Remote-Attack-to-Tesla-Cars/.
4. http://www.buzzfeed.com/johanabhuiyan/uber-is-investigating-its-top-new-york-
executive-for-privacy.
5. http://www.theregister.co.uk/2015/06/22/epic_uber_ftc/.
6. http://nypost.com/2014/11/20/uber-reportedly-tracking-riders-sin
permiso/.
7. https://www.uber.com/legal/usa/privacy.
8. http://fortune.com/2015/06/23/uber-privacy-epic-ftc/.
9. http://www.bbc.com/future/story/20150206-biggest-myth-about-phone
privacidad.
10. http://tech.vijay.ca/of-taxis-and-rainbows-f6bc289679a1.
11. http://arstechnica.com/tech-policy/2014/06/poorly-anonymized-logs
revelar-nyc-cab-drivers-paradero-detallado/.
12. Puede ingresar a una oficina de la autoridad de tránsito y solicitar pagar en efectivo por
una tarjeta NFC, pero esto requiere más tiempo y sin duda resultará en
una conferencia sobre vincular su banco o tarjeta de crédito a la tarjeta en su lugar.
13
http://www.wsj.com/articles/SB10000872396390443995604578004723
603576296.

14. https://www.aclu.org/blog/free-future/internal-documents-show-fbi was-wrestling-

license-plate-scanner-privacy-issues.
15. http://www.wired.com/2015/05/even-fbi-privacy-concerns-license plate-readers/.

16. Cinco de las fuentes fueron la Oficina del Alguacil de la Parroquia de St. Tammany, la
la Oficina del Sheriff de la Parroquia de Jefferson y el Departamento de Policía de Kenner, en
Luisiana; el Departamento de Policía de Hialeah, en Florida; y el
Departamento de Seguridad Pública de la Universidad del Sur de California.
Machine Translated by Google

17. http://www.forbes.com/sites/robertvamosi/2015/05/04/dont-sell-that-connected-
car-or-home-just-yet/.
18. https://www.washingtonpost.com/blogs/the
switch/wp/2015/06/24/tesla-dice-que-sus-conductores-han-viajado-mil millones-
de-millas-y-tesla-sabe-cuántas-millas-ha-conducido/.
19. http://www.dhanjani.com/blog/2014/03/curosry-evalue-of-the-tesla model-s-we-
cant-protect-our-cars-like-we-protect-our workstations. html

20. http://www.teslamotors.com/blog/most-peculiar-test-drive.
21. http://www.forbes.com/sites/kashmirhill/2013/02/19/the-big-privacy takeaway-
from-tesla-vs-the-new-york-times/.
22. http://www.wired.com/2015/07/gadget-hacks-gm-cars-locate-unlock
comienzo/.

23. http://spectrum.ieee.org/cars-that-think/transportation/advanced cars/

researchers-prove-connected-cars-can-be-tracked.
24. http://www.wired.com/2015/10/cars-that-talk-to-each-other-are-mucho
más fácil de espiar/.
25. https://grahamcluley.com/2013/07/volkswagen-security-flaws/.
26. https://grahamcluley.com/2015/07/land-rover-cars-bug/.
27. http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/.
28. http://www.forbes.com/sites/robertvamosi/2015/03/24/asegurando
coches-conectados-un-chip-a-la-vez/.
29. http://www.nytimes.com/2016/07/30/business/tesla-faults-teslas-brakes
pero no-piloto-automático-en-accidente-fatal.html.
Machine Translated by Google

Capítulo Doce: La Internet de la Vigilancia

1. http://www.amazon.com/review/R3IMEYJFO6YWHD.
2. https://www.blackhat.com/docs/us-14/materials/us-14-Jin-Smart-Nest Thermostat-A-Smart-
Spy-In-Your-Home.pdf.
3. http://venturebeat.com/2014/08/10/hello-dave-i-control-your termostato-googles-
nest-gets-hacked/.
4. http://www.forbes.com/sites/kashmirhill/2014/07/16/nest-hack-privacy
herramienta/.

5. http://venturebeat.com/2014/08/10/hello-dave-i-control-your termostato-googles-
nest-gets-hacked/.
6. http://www.networkworld.com/article/2909212/security0/schneier-on-really-bad-iot-security-
it-s-going-to-come-crashing-down.html.
7. http://www.forbes.com/sites/kashmirhill/2013/07/26/smart-homes
cortar a tajos/.

8. http://www.dhanjani.com/blog/2013/08/hacking-lightbulbs.html.
9. http://www.wired.com/2009/11/baby-monitor/.
10. http://www.bbc.com/news/technology-31523497.
11. http://mashable.com/2012/05/29/sensory-galaxy-s-iii/.
12. http://www.forbes.com/sites/marcwebertobias/2014/01/26/here-how-easy-it-is-for-google-
chrome-to-eavesdrop-on-your-pc-microphone/.
13. http://www.theguardian.com/technology/2015/jun/23/google herramienta de
espionaje-instalado-ordenadores-sin-permiso.
14. Quizás la forma más fácil es abrir la aplicación Amazon Echo. Ir a tu
configuración, luego vaya a Historial>Toque Grabación individual>Eliminar.
15. Inicie sesión en su cuenta en Amazon, luego desde "Configuración de la cuenta", haga clic en
en Sus dispositivos>Amazon Echo>Eliminar.

16. http://www.theregister.co.uk/2015/08/24/smart_fridge_security_fubar/.
17. www.shodan.io.
Machine Translated by Google

Capítulo Trece: Cosas que tu jefe no quiere que sepas

1.
http://www.wsj.com/articles/SB10001424052702303672404579151440 488919138.

2. http://theweek.com/articles/564263/rise-workplace-spying. 3. https://
olin.wustl.edu/docs/Faculty/Pierce_Cleaning_House.pdf. 4. http://harpers.org/
archive/2015/03/the-spy-who-fired-me/. 5. https://room362.com/post/2016/
snagging-creds-from-locked-machines/.
6. Normalmente, los metadatos del documento están ocultos a la vista. Puede ver
los metadatos incluidos con su documento haciendo clic en Archivo> Información,
luego viendo las propiedades en el lado derecho de la ventana.
7. Si usa Document Inspector, primero haga una copia de su documento, ya que los
cambios realizados no se pueden deshacer. En la copia de su documento original,
haga clic en la pestaña "Archivo", luego haga clic en "Información". En "Preparar
para compartir", haga clic en "Buscar problemas" y luego haga clic en "Inspeccionar
documento". En el cuadro de diálogo Inspector del documento, seleccione las casillas
de verificación del contenido que desea inspeccionar. Haz clic en "Inspeccionar".
Revise los resultados de la inspección en el cuadro de diálogo Inspector de
documento. Haga clic en "Eliminar todo" junto a los resultados de la inspección para
los tipos de contenido oculto que desea eliminar de su documento.
8. http://www.infosecurity-magazine.com/news/printer-related-security
infracciones-afectan-63-de/.

9. http://www.wired.com/2014/08/gyroscope-listening-hack/. 10. http://

ossmann.blogspot.com/2013/01/funtenna.html. 11. http://cs229.stanford.edu/
proj2013/Chavez-ReconstructingNon
IntrusivelyCollectedKeystrokeDataUsingCellphoneSensors.pdf.
12. http://www.cc.gatech.edu/~traynor/papers/traynor-ccs11.pdf. 13. http://
samy.pl/keysweeper/. 14. http://www.wired.com/2015/10/stingray-government-
spy-tools-can
grabar-llamadas-nuevos-documentos-confirmar/.

15. http://phys.org/news/2013-07-femtocell-hackers-isec-smartphone content.html.

16. http://arstechnica.com/information-technology/2015/04/this-machine-
Machine Translated by Google

catches-stingrays-pwnie-express-demos-cell-threat-detector/.
17. http://www.guardian.co.uk/world/2013/jul/11/microsoft-nsa
collaboration-user-data.
18. http://www.computerworld.com/article/2474090/data-privacy/new
snowden-revelation-shows-skype-may-be-privacy-s-biggest
enemigo.html. 19

https://community.rapid7.com/community/metasploit/blog/2012/01/23/v
ideo-conferencing-and-self-selecting-targets.
20
http://www.polycom.com/global/documents/solutions/industry_solution s/
government/max_security/uc-deployment-for-maximum-security.pdf. 21

https://community.rapid7.com/community/metasploit/blog/2012/01/23/v
ideo-conferencing-and-self-selecting-targets.
22. Por ejemplo, https://www.boxcryptor.com/en.
Machine Translated by Google

Capítulo catorce: Obtener el anonimato es un trabajo duro

1. Que se trate de un registro y arresto en la frontera no es realmente relevante. tribunales estadounidenses

no han resuelto si una persona de interés tiene que renunciar a su
contraseñas, hasta ahora no. Sin embargo, un tribunal ha dictaminado que una persona de
el interés puede ser forzado a autenticar su iPhone usando
Touch ID (huella dactilar). Para eliminar el riesgo, siempre que pase
a través de la aduana en cualquier país, reinicie su iPhone o cualquier otro Apple
dispositivo con Touch ID y no ingrese su contraseña. mientras tu
no ingrese su código de acceso, Touch ID fallará.
2. http://www.computerweekly.com/Articles/2008/03/13/229840/us
el-departamento-de-seguridad-nacional-tiene-la-ciberseguridad-más-grande-de-la-historia.htm.
3. En iOS 8 o versiones más recientes del sistema operativo, puede restablecer
todas las relaciones de emparejamiento yendo a Ajustes>General>Restablecer>Restablecer
Ubicación y privacidad o Restablecer configuración de red. Investigador Jonathan
Zdziarski ha publicado una serie de entradas de blog sobre el tema. los
Las instrucciones están más allá del alcance de este libro, pero si usted es serio
sobre la eliminación de estos, ofrece una manera. Ver
http://www.zdziarski.com/blog/?p=2589.
4. http://www.engadget.com/2014/10/31/court-rules-touch-id-is-not
protegido-por-la-quinta-enmienda-bu/.
5. http://www.cbc.ca/news/canada/nova-scotia/quebec-resident-alain
philippon-to-fight-charge-for-not-dar-up-phone-password-at-airport 1.2982236.

6. http://www.ghacks.net/2013/02/07/forensic-tool-to-decrypt-truecrypt
bitlocker-y-pgp-contiene-y-discos-lanzados/.
7. https://www.symantec.com/content/en/us/enterprise/white_papers/b
pgp_how_wholedisk_encryption_works_WP_21158817.en-us.pdf.
8. http://www.kanguru.com/storage-accessories/kanguru-ss3.shtml.
9. https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html.
10. https://theintercept.com/2015/04/27/encrypting-laptop-like-mean/.
11. http://www.securityweek.com/researcher-demonstrates-simple bitlocker-bypass.

12. https://www.fbi.gov/news/speeches/going-dark-are-technology-privacy-
Machine Translated by Google

y-seguridad-pública-en-un-curso-de-colisión.
13. http://www.nytimes.com/library/tech/00/01/cyber/cyberlaw/28law.html. 14

https://partners.nytimes.com/library/tech/00/01/cyber/cyberlaw/28law.html.

15. https://www.wired.com/2015/10/cops-dont-need-encryption-backdoor
para-hackear-iphones/.
16. http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after truecrypt.html. 17. https://
blog.gdatasoftware.com/blog/article/hotel-safes-are-they-really

seguro.html.

18. http://www.snopes.com/crime/warnings/hotelkey.asp. 19. http://

www.themarysue.com/hotel-key-myth/. 20. https://shaun.net/posts/whats-
contained-in-a-boarding-pass-barcode.
21. Aparentemente, United es una de las pocas aerolíneas que solo da una parte
número de milla de viajero frecuente. La mayoría de las otras aerolíneas ponen el número completo en
el código de barras.

22. http://www.wired.com/2014/11/darkhotel-malware/. 23. https://

bitlaunder.com/launder-bitcoin.
Machine Translated by Google

Capítulo quince: El FBI siempre consigue a su hombre

1. https://www.wired.com/2015/05/silk-road-creator-ross-ulbricht
condenado-a-la-prision-de-vida/.

2. http://www.nytimes.com/2015/12/27/business/dealbook/the-unsung-tax
agente-que-puso-una-cara-en-la-ruta-de-la-seda.html?_r=0.
3. http://www.wired.com/2015/07/online-anonymity-box-puts-mile-away
dirección IP/.
4. https://samy.pl/proxygbit/.
Machine Translated by Google

Capítulo Dieciséis: Dominando el Arte de la Invisibilidad

1. Hay más. Aunque el FBI identificó mi complejo de apartamentos,
no sabían dónde estaba. Eso cambió cuando salí una noche. Esta historia
se puede encontrar en mi libro Ghost in the Wires.
2. Sitios como Weather Underground ponen la longitud y latitud del
visitante en la URL.
3. Por ejemplo, https://www.bitrefill.com. 4.
https://nakedsecurity.sophos.com/2015/07/30/websites-can-track-us-by
la-forma-que-escribimos-aquí-está-cómo-detenerlo/.
Machine Translated by Google

Gracias por comprar este libro electrónico, publicado por

Hachette Digital.

Para recibir ofertas especiales, contenido adicional y noticias sobre nuestros libros electrónicos y
aplicaciones más recientes, suscríbase a nuestros boletines.

Inscribirse

O visítenos en hachettebookgroup.com/newsletters