Seguridad informática y privacidad. Algunos antecedentes conceptuales

Seguridad informática y privacidad

Algunos antecedentes conceptuales

Artículo 16

Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal de procedimiento

[…]

Las comunicaciones privadas son inviolables. La ley sancionará penalmente cualquier acto que atente contra la libertad y privacía de las mismas.

[…]

La correspondencia que bajo cubierta circule por las estafetas estará libre de todo registro, y su violación será penada por la ley.

Constitución Política de los Estados Unidos Mexicanos

La privacidad es un derecho consagrado en varias legislaciones nacionales e internacionales:

Artículo 12

Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

Declaración Universal de los Derechos Humanos

El derecho a la privacidad

La privacidad informáticay el panóptico.

George Orwell

Introducción: George Orwell y el Gran Hermano: una referencia literaria.


¿Qué es el panóptico?


Panóptico.Jeremy Bentham (1748-1832) fue un economista y filósofo inglés, defensor del utilitarismo.

Propone un diseño carcelario que permitía un máximo de eficiencia en la vigilancia de los internos.


Panóptico.Sin embargo, es con Michel Foucault (1926-1984) con quien el término adquiere un sentido social mucho más amplio.

La vigilancia (o su presunción) es considerada como un sistema de control social.


En su libro “Nuevas Tecnologías de la Vigilancia”, Reg Whitaker nos lleva a reflexionar acerca del debate que existe entre privacidad y seguridad:

¿Qué tanto estamos dispuestos a ceder en nuestros derechos, a cambio de una mayor seguridad (real o supuesta)?

El debate entre privacidad - seguridad cambió de dinámica a raíz de los ataques del 11/septiembre.

La llamada “guerra contra el terrorismo” ha causado una pérdida significativa de derechos civiles en EEUU, Inglaterra y otros países.


Tecnoniñeras: Tecnologías devigilancia electrónica para el hogar. El panóptico doméstico. WebCams.


Vigilancia electrónica de espacios públicos.

Aumento en la cantidad de cámaras instaladas.

Mejora en los sistemas de reconocimiento facial.


Uso de tecnologías militares en la vigilancia.

Vigilancia de fronteras. Reconocimiento infrarrojo, aéreo y satelital.


Las aplicaciones tecnológicas van más allá de lo planeado por sus creadores. No hay ningún control en su venta.

Seguridad pública. Violaciones a la privacidad y los derechos

humanos (laborales). Uso por el crimen organizado.

La privacidad informáticay el panóptico.Satélites espía: herencia de la

guerra fría. Tecnología GPS.

Glonass: Versión rusa. Galileo: Versión europea.


Satélites espía: Tecnología GPS.Uso de la tecnología para el rastreo de

celulares. Localización de un aparato dentro de un radio de 100 m en emergencias (911). Captura de terroristas del 11/M a partir de esta tecnología.


Satélites espía: Fotografías desde el cieloVenta de fotografías satelitales:

Terraserver: Resolución de hasta 2 ft. Precio, entre $5 y $70 USD (dependiendo de la resolución).

Digital globe: No revelan maxima resolución ni precios.


Satélites espía: Google gratis.


Discusiones en torno a la privacidad en Google Maps.

Algunos antecedentes conceptuales


Micrófonos ocultos y líneas telefónicas intervenidas: dispositivos de bajo costo.

Micrófono miniatura Scanner celulares

Transmisor líneas telefónicas


Sistemas de vigilancia gubernamentales:

UKUSA: Desarrollado durante la guerra fría, inicia en paralelo a los satélites de comunicación.

ECHELON: Sistema automático de monitoreo de todo tipo de comunicación electrónica. La posición hegemónica de los EEUU en este tipo de sistemas se vio consolidada a partir del 11/S.


Sistemas de vigilancia gubernamentales: TEMPEST: Sistema de vigilancia desarrollado por

los EEUU, que es capaz de reconstruir a distancia la información desplegada por un monitor CRT de computadora.

Carnivore: Software del FBI usado para la vigilancia del correo electrónico, en colaboración con los ISP. En enero de 2005 se anunció que esta agencia abandonaba su uso para emplear software más potente, comercialmente disponible.

Herramientas de rastreo buscan palabras clave durante la transferencia de datos.

Internet

Servidor web Servidor web

Unidad de rastreo

Unidad de rastreo

Análisis de Inteligencia

Países considerados como “sociedades de la vigilancia”

Fuente: Daily Telegraph, 2 de noviembre, 2006

Sociedades de la vigilancia endémicas.

Sociedades de la vigilancia extensivas.


Riesgos a la privacidad a partir de la navegación por Internet. Sólo navegando, divulgamos:

Dirección IP: búsqueda inversa, servicios whois.

Tipo de navegador Tipo de pantalla /

resolución. Página predecesora. Cookies almacenados

Entidades privadas de todo tipo rastrean las actividades en línea de los usuarios de la WWW, con el fin de crear perfiles mercadológicos en los cuales basar sus estrategias de publicidad directa.

En otras ocasiones, los problemas de seguridad tienen lugar simplemente por ineptitud.

Problemas de seguridad en sus productos:Microsoft Is Pushing for Privacy?

http://www.wired.com/politics/security/news/2006/05/70804

Microsoft admits privacy problemhttp://news.com.com/2100-1040-222673.html

Microsoft Settles FTC Charges Alleging False Security and Privacy Promiseshttp://www.ftc.gov/opa/2002/08/microsoft.shtm

Microsoft and Privacyhttp://www.junkbusters.com/microsoft.html


Posición oficial de la industria: la autorregulación.

Tres grandes fuentes de vigilancia en el ciberespacio:

Los organismos gubernamentales. Los piratas informáticos. Las grandes corporaciones.

Herramientas usadas para la

recolección de datos personales

Herramientas usadas para la recolección de datos personales.

Software espía que es capaz de registrar todos los movimientos y acciones hechas desde una computadora infiltrada:

Correo electrónico Passwords Números de cuenta y claves de

transferencia bancarios. Datos personales completos: nombre,

dirección, teléfonos, etc.

Spyware:


Este software puede instalarse de manera inadvertida para el usuario:

• Abriendo adjuntos al spam.• Ejecutando archivos de dudosa

procedencia (bromas, animaciones, etc.).

• Dando click en ventanas emergentes (popups).

Spyware:


Spyware:

Mensaje con un archivo adjunto que contiene el spyware. Se instala sin que el usuario se dé cuenta.


Estas aplicaciones a veces pueden ser removidas mediante las más recientes versiones de varias marcas de antivirus.

Spyware:


Spyware:Muchas empresas ofrecen el servicio de escaneo en línea de tu computadora. En caso de detectar algún spyware, generalmente debes comprar una licencia para removerlo.


Spyware: Antivirus gratuitos:

Avast: http://www.avast.com/esp/download-avast-home.html

Dice que protege contra

spyware

Hay que registrar el

software 1 vez al año para mantenerlo actualizado

(gratis)



AVG: http://www.grisoft.com/ww.download-trial

Dice que protege contra

spyware

Sólo funciona completo por

30 días (trialware)



ClamWin: http://www.clamwin.com/content/view/18/46/

NO protege contra spyware,

pero da orientación

sobre software gratuito que sí lo

hace

Es software libre (GPL)


Spyware: Remoción.

• No todo el spyware puede ser removido de forma total, sin importar qué software se use para limpiarlo.

• Los sistemas de protección activos no siempre protegen contra todo spyware y virus.

• La única manera 100% segura de limpiar el disco duro es formateándolo y volver a instalar todo.

• Si se hace esto, los documentos personales deben ser escaneados antes de volverlos a instalar para evitar reinfecciones.


Spyware:

La mejor estrategia es la prevención:

• Evita navegar por sitios riesgosos.

• Nunca abras archivos adjuntos .exe, .com o cualquier otro ejecutable (videos, música, etc.), a menos que confies 100% en la fuente. Y aún así, escanea los archivos antes de abrirlos.

• Nunca abras correos de fuentes que no conozcas. Bórralos sin verlos siquiera, en especial si traen archivos adjuntos.


Spyware:

La mejor estrategia es la prevención:

• En el messenger, nunca aceptes archivos de fuentes desconocidas.

• Evita utilizar crakers, generadores de números de serie y software similar.

• Al navegar, nunca permitas la descarga e instalación automática de ninguna aplicación.


Pequeñas cadenas de texto que se utilizan para monitorear las actividades de un usuario, o para activar las características especiales de algunos sitios (carritos de compras, “recordar” passwords, ultima visita, etc.).

Cookies:


Las cookies de rastreo pueden ser eliminadas también por la utilería de scan de la barra de Yahoo.

O bien, pueden ser eliminadas manualmente...

Cookies:


Cookies:

Eliminar cookies


Se trata de porciones de código de rastreo que son insertadas como imágenes de un pixel, en el código HTML de una página o de un correo electrónico.

Pueden servir para verificar la validez de un correo spam, o para detectar la dirección IP del usuario.

Web bugs:


No se pueden evitar en la navegación, pero sí neutralizarlos mediante software como Internet Security.

En el correo electrónico, es posible evitar exponerse a ellas NO ABRIENDO MENSAJES DE GENTE QUE NO CONOZCAMOS (spam).

Web bugs:


Se trata de engañar a los usuarios para que revelen información confidencial:

• Passwords• Números de cliente.• Claves de transacción.• Números de tarjeta de crédito.• Números de cuenta.

Phishing:


Phishing:

Si te piden alguno de los datos anteriores,

aunque aparentemente sea

una fuente válida, desconfía


Phishing:

Revisa bien los datos de quien envía el mensaje:

¿Qué dominio es telkomsa.net?


Phishing:

Se trata de un fraude realizado

(aparentemente) por algún usuario de este servicio de acceso a

Internet (ISP)


Phishing:

Aplicaciones como Zmail (originalmente creado como herramienta de protección de la privacidad), pueden ser usadas también para crear campos From: falsos.

Zmail: https://sourceforge.net/projects/zmail


El popular navegador de Microsoft es particularmente vulnerable a códigos maliciosos que explotan sus debilidades y que pueden ser la puerta de entrada de ataques y robos de información.

Fallas de seguridad en el Internet Explorer:


Fallas de seguridad en el Internet Explorer:

Prácticas seguras en el ciberespacio

Prácticas seguras en el ciberespacio:

Al iniciar una sesión:

Elige un password que no pueda ser deducido fácilmente a partir de la ingeniería social, y que tampoco sea una palabra que se encuentre en el diccionario.


Al iniciar una sesión, recuerda:

Los proveedores de Internet tienen el derecho de revisar correos electrónicos privados si se sospecha que el emisor tiene la intención de agredir al sistema o a otro usuario.



Los proveedores de Internet tienen el derecho de tomar y divulgar los mensajes electrónicos sólo si el emisor o el receptor están de acuerdo en ello. Muchas de estas compañías solicitan el consentimiento de los usuarios cuando éstos contratan el servicio.


Siempre lee los Términos del Servicio



Toda compañía tiene el derecho de inspeccionar los mensajes electrónicos de sus empleados cuando éstos utilizan el sistema de correo electrónico de la empresa. Por lo tanto, los correos que se mandan desde el trabajo no son privados.



Las compañías proveedoras de Internet pueden ser obligadas a difundir información privada como resultado de un juicio o una orden judicial.



En los EEUU, gracias a la ley USA Patriot Act, las agencias gubernamentales policíacas y de inteligencia pueden solicitar a los ISP información privada de sus usuarios, sin orden judicial.


Grupos de discusión.

Hay que considerar que todo lo que escribamos queda registrado públicamente, incluyendo nombre, dirección electrónica, etc.

Antes de publicar nada (post), imagina que el mensaje va a ser leído por tu familia o tu empleador.

Usa un seudónimo, e-mail alterno o un

remailer.


Al registrarse en un sitio.

Nunca hay que proporcionar datos personales. En todo caso, se puede usar una cuenta de correo electrónico que sea usada sólo para este fin, por ejemplo: ([email protected]).


Al hacer compras en línea.

Investiga a quién le vas a dar tus datos personales.

Asegúrate que estás en modo “seguro”.

https://www.amazon.com/


Al hacer compras o usar servicios de banca en línea.

Nunca, nunca, nunca uses una computadora de acceso público (cibercafé, laboratorio de cómputo, biblioteca, e-México, etc.)


No instales software de dudosa procedencia.

Algunas aplicaciones intentarán instalarse simplemente al ingresar a una página.


Al chatear.

Aunque se ingrese a un área semi-privada por medio de un password, toda la información (incluyendo la conversación y los datos personales) es registrada y puede ser publicada en un momento dado.

“No digas nada que pueda ser utilizado en tu contra”


Encriptación.

Una manera de proteger la privacidad de la información que se envía por Internet, es usar sistemas de encriptación.

Esto es el equivalente a enviar por el correo una carta en un sobre de seguridad: si se abre, se nota.


Sistemas de encriptación:

PGP: Pretty Good Privacy: Es el más famoso y difundido sistema personal de encriptación. Licencia: $99.00 USD.

GNU Privacy Guard: La versión libre de PGP. Desarrollado a partir de los algoritmos de Zimmerman, puede ser usado sin restricción alguna.

[http://www.gnupg.org/]


Sistemas de llave pública de encriptación:


Remailers.

Se trata de sistemas de reenvío de mensajes, en los que el servidor remueve todos los encabezados del mensaje original, para que no pueda ser rastreado. El más famoso fue anon.penet.fi. Una buena referencia es:

[http://www.iec.csic.es/criptonomicon/remailers.html]

Sencillo remailer basado en web:

[http://www.gilc.org/speech/anonymous/remailer.html]

Remailer encadenado (Mixmaster):

[http://mixmaster.sourceforge.net/]

Prácticas seguras en el ciberespacio:Esteganografía.

Conjunto de técnicas que permiten ocultar un mensaje dentro de un medio aparentemente inocuo.

Hay software que permite ocultar información encriptada en archivos gráficos (JPG, GIF), de audio (MP3) o video (MPEG).


Esteganografía.

Algunos enlaces de software stego:

[http://home.earthlink.net/~emilbrandt/stego/software.html]

[http://www.programurl.com/software/stego.htm]

[http://www.hermetic.ch/hst/hst.htm]

Documents

Seguridad informática y privacidad. Algunos antecedentes conceptuales