Archivo de la etiqueta: privacidad

Facebook expuso…

acceder a fotos privadas de Facebook

Facebook parece atrapada en su día de la marmota particular en cuestión de seguridad; la diferencia es que el final feliz no parece estar cerca. Da la sensación de que justo cuando dejamos de hablar de su último problema de seguridad, aparece uno nuevo.

En este caso, ahora le toca el turno a la API de fotos; que tenía un bug que permitió acceder a las fotos de los usuarios sin su permiso durante casi dos semanas. Y todo apunta a que Facebook no podrá pasar página tan fácilmente como hasta ahora.

Un bug permitió acceder a fotos privadas de Facebook

La vulnerabilidad estuvo presente en Facebook entre el 13 de septiembre de 2018 y el 25 del mismo mes; unos 12 días durante los cuales los desarrolladores de apps tuvieron acceso a información de los usuarios sin necesidad de obtener su permiso. Por lo tanto, ese bug ocurrió mucho después del escándalo de Cambridge Analytica, y de que Facebook implementase medidas para evitar que las apps obtuviesen datos de los usuarios sin su permiso.

El bug estaba presente en la API, el sistema que usan los desarrolladores de apps para realizar peticiones a Facebook. Concretamente, el problema estaba en la API que permitía acceder a las fotos de los usuarios. Una app sólo tenía que pedir permiso a los usuarios para obtener las fotos públicas; pero en realidad la API le otorgaba muchos más permisos.

Entre la información que podían obtener las apps gracias a este bug se encuentran las historias de Facebook, las fotos subidas a Marketplace, y las fotos que habíamos subido a Facebook pero que no habíamos hecho públicas. Por lo tanto, cabe la posibilidad de que estas apps hubiesen obtenido fotos privadas de los usuarios.

Hasta 1.500 aplicaciones, creadas por 876 desarrolladores, se vieron afectadas; aunque Facebook no ha aclarado si alguna de estas apps se aprovechó del bug. En total, hasta 6,8 millones de usuarios podrían verse afectados. Facebook afirma que contactará con los desarrolladores para que borren las fotos que hayan obtenido de los usuarios.

Facebook puede enfrentarse a multas millonarias

Además, Facebook notificará a los usuarios con una alerta que veremos cuando entremos en Facebook. Sin embargo, aquí es donde Facebook podría meterse en más problemas. Y es que, en realidad, la compañía descubrió y solucionó el bug el pasado 25 de septiembre, y no ha avisado hasta hoy.

El GDPR, el reglamento de protección de datos europeo, establece un periodo de 72 horas desde que se descubre un bug para notificarlo a los usuarios. Por lo tanto, la compañía se arriesga a multas de hasta 20 millones de euros, o el 4% de los ingresos anuales de la empresa.

La explicación de la compañía por tardar tanto en notificar a los usuarios es que necesitó este tiempo para investigar qué apps y usuarios se habían visto afectados. En el pasado, Facebook ha sido crítica del GDPR y especialmente de la necesidad de notificar a los usuarios en el plazo establecido.

Por ahora, la única manera de saber si nuestras fotos han podido ser vistas por terceros es si recibimos la alerta cuando entremos en Facebook.

La entrada Facebook expuso las fotos privadas de 6,8 millones de usuarios por un bug aparece primero en Omicrono.


Seguir leyendo Facebook expuso…

La primera ley…

Vivimos tiempos difíciles para la privacidad. En los tiempos modernos nuestros datos más sensibles están encriptados, y diversas legislaciones impiden que incluso en casos extremos se puedan revelar dichos datos. Primero fue la ley de spam político española que no ha gustado a Bruselas y ahora un nuevo frente aparece: Australia aprueba la primera ley que obliga a empresas a dar datos encriptados a las autoridades.

Esta legislación permite que las agencias policiales obliguen a las empresas tecnológicas a aportar datos de esta índole bajo amenazas que van desde las multas hasta el encarcelamiento de representantes de estas empresas. Y esto es un peligro para la privacidad a nivel mundial por varios motivos.

Australia finaliza el año con una ley peligrosa y polémica

La primera ley que obliga a empresas a aportar datos encriptados a las autoridades es real

Este proyecto de ley que llevaba fraguándose desde hace un año ha sido aprobado por los políticos australianos. La legislación es simple: una agencia de policía, en caso de requerir los datos privados del propietario de un smartphone como un iPhone, podrá obligar a las empresas que puedan aportar esos datos a realizar este proceso. En caso de negación (como ha estado pasando hasta ahora) se multará a la empresa con hasta 7 millones de dólares, que si bien es una tontería en comparación al poder económico de estas empresas, no es lo máximo; se podrán encarcelar a las personas relacionadas con esta negativa.

La legislación, denominada The Assistance and Access Bill 2018, tiene un punto muy controvertido: el hecho de que esta vulnerabilidad de seguridad debe implementarse en secreto, sin conocimiento público, para acceder a los datos. Por lo tanto, el gobierno podrá tener acceso a esos datos más allá de la agencia policial que los solicite.

El senado australiano ha alargado la votación hasta el último día de sesiones del año. El principal partido de la oposición del país se ha rendido y apoyó el proyecto de ley, a pesar de las preocupaciones obvias que esto suscita con el líder de la oposición, Bill Shorten, convencido de que retrasar la legislación hasta el próximo año amenazaría la seguridad nacional del país.

Una ley que puede afectar al mundo entero

La primera ley que obliga a empresas a aportar datos encriptados a las autoridades es real

Es cierto que esta ley está aprobada en Australia, por lo que no debería tocarnos. Pero el problema reside en no sólo las cuestiones de privacidad y ética que plantea esta legislación, sino que puede ser totalmente incompatible con otras a nivel internacional. Recordemos que estas empresas tienen representación a nivel mundial y es imposible que esta ley no choque con otras que impidan tal tropelía. Un ejemplo es la GDPR de la Unión Europea, que garantiza la protección y privacidad de nuestros datos.

Ted Hardie, presidente de la Junta de Arquitectura de Internet, ha sugerido que esta ley podría incluso infringir las leyes en otros países si el gobierno australiano intenta obligar a las empresas a entregar datos confidenciales. Según Hardie:

“Nos preocupa que la legislación propuesta pueda hacer que estos proveedores de servicios violen los contratos o las leyes en otras jurisdicciones, dependiendo de la naturaleza exacta de las solicitudes. “Por ejemplo, las empresas con presencia europea deben manejar datos confidenciales de acuerdo con el GDPR, y al cumplir con un requerimiento australiano de datos que podrían estar ubicados en Europa, ese proveedor podría estar obligado a violar el GDPR para cumplir con la ley australiana”.

La primera ley que obliga a empresas a aportar datos encriptados a las autoridades es real

Recordemos que si bien las multas pueden ser completamente pasables, la ley contempla prisión para las personas relacionadas con esta negativa. Por lo tanto, si un representante traslada la negación de esta empresa a dar esos datos, podrían incluso encarcelar a ese representante. Algo totalmente inaudito y que dista mucho de pertencer a una democracia del siglo XXI.

Por no hablar de que esta ley podría afectar seriamente a la industria tecnológica australiana. Las empresas tecnológicas que quieren dar el salto a nivel internacional están claramente preocupados por esta normativa y la aplicación de esta podría suponer un severo golpe a su industria. James Turner, experto en ciberseguridad oriundo de Australia, escribe:

“Cualquier empresa de tecnología australiana que trate de abrirse camino en un mercado extranjero inevitablemente hará que sus competidores locales retengan esta legislación como Prueba A, por la que los proveedores australianos ahora deben ser tratados con cautela,si no se sospecha. Eso no es bueno para nuestro mercado de exportación, y sospecho que el impacto será bastante costoso. Habrá acuerdos que no obtengamos donde nuestra legislación pueda considerarse como el bloqueo”.

Pero el punto más álgido de preocupación reside en la implicación de Australia en los datos a nivel internacional. El país es parte de una alianza de inteligencia global llamada Five Eyes. Comprende Australia, el Reino Unido, los Estados Unidos, Canadá y Nueva Zelanda. La alianza es un acuerdo integral para compartir las operaciones de inteligencia y vigilancia. También posee la protección de derechos civiles más débil de todos los países de los Five Eyes. Es el único país de los cinco que no tiene una declaración de derechos singular, lo que significa que una legislación como esta es más fácil de aprobar. Es obvio pensar que al tener una puerta trasera en la que los datos se fugan, muchos más implicados que el gobierno puedan ver dichos datos.

Una ley con dudas que ha generado rechazo

La primera ley que obliga a empresas a aportar datos encriptados a las autoridades es real

Lo más sorprendente del asunto es que incluso la misma legislación tiene lagunas que son por ahora inexplicables. Por ejemplo, no se especifica la forma en la que las agencias pedirán esos datos a las empresas tecnológicas, dado que existen tecnologías como el cifrado de extremo a extremo. Este mismo cifrado impide a las mismas empresas (en teoría) ver los datos encriptados, como sería el ejemplo de WhatsApp. Para que la ley se cumpliera, dado este escenario, se debería crear una puerta trasera en la que los datos se fugarían, y dejarían al cifrado como algo inútil. Esto ha sido negado por el gobierno.

El propio proyecto de ley estipula que no puede exigir la creación de una herramienta que resulte en una “debilidad sistémica”. Por supuesto, muchos expertos sugieren que estos son juegos de semántica, ya que no hay forma de construir una función para acceder a la comunicación encriptada que no genere una “debilidad sistémica”.

La idea es que cualquier producto desarrollado en Australia podría estar sujeto a obligaciones que requieran modificaciones que permitan a las agencias gubernamentales acceder a los datos. Bajo las condiciones del proyecto de ley, estas modificaciones no se pueden revelar al cliente generando una desconfianza de los productos australianos en el mercado global por motivos más que lógicos. La encarcelación de las personas relacionadas con la negativa también genera dudas de hasta qué puntos el gobierno australiano llegaría en caso de problemas legales.

Está claro que esta medida ha provocado un gran rechazo entre los organismos y empresas implicados. Apple ha sido la primera en condenarla, considerándola “extraordinariamente amplia” y “peligrosamente ambiciosa”. Estas empresas han llegado a afirmar que la legislación socavaría la seguridad del cifrado de todo el mundo.

Múltiples organismos y empresas relacionadas con la privacidad auguran un desastre en torno a esta legislación. Lo cierto es que se desconoce lo que ocurrirá de aquí a 6 o 12 meses, ya que aún no hay datos suficientes.

El gobierno ha indicado que revisará el proyecto de ley en el 2019 para evaluar una gran cantidad de enmiendas recomendadas. Sin embargo, mientras tanto, la ley está esencialmente aprobada, lo que permite a los organismos encargados de hacer cumplir la ley una serie de nuevos poderes para poder realizar sus pesquisas a su antojo. Ahora, debido al carácter tan hermético que propone la ley en su ejecución, no sabremos si las empresas australianas están provocando puertas traseras de fugas de datos en sus productos. Nadie sabe qué pasará, pero es un durísimo golpe para la privacidad mundial.

La entrada La primera ley que obliga a empresas a aportar datos encriptados a las autoridades es real aparece primero en Omicrono.


Seguir leyendo La primera ley…

Todo lo que debes saber sobre la nueva ley europea de protección de datos

La Unión Europea ha aprobado la nueva ley de protección de datos, pero ¿En qué nos afecta?

Internet ha cambiado muchas cosas, principalmente la cantidad de información personal que se mueve de una empresa a otra. Los datos personales tienen un gran valor para anunciantes y otras compañías, de ahí la necesidad de leyes que los regulen.

Pese a la importancia de los datos personales, las leyes europeas eran pocas e insuficientes, eso cuando no lo dejaban todo en manos de los países. Hoy el Parlamento Europeo ha cambiado eso con la aprobación de nuevas reglas que tendrán que seguir todas las compañías que quieran hacer negocios en la Unión.

¿Por qué era necesaria la nueva ley de protección de datos?

Las leyes actuales datan de 1995, cuando buena parte de las empresas actuales de Internet no existían. El nuevo reglamento lleva preparándose desde 2011 pero hasta ahora los parlamentarios no han podido aclararse en los puntos más polémicos.

¿Qué países se ven afectados?

nueva ley de protección de datos

Los 28 países miembros de la UE tendrán que modificar sus leyes o presentar nuevas durante los dos años siguientes a la publicación de la ley europea, que está prevista para principios del año que viene.

¿Cuál es el principal cambio que trae la nueva ley?

A partir de ahora la ley afecta no sólo a la compañía que gestiona los datos, sino también a la que ofrece el servicio. Por ejemplo, si una compañía tiene una web y contrata a otra para que gestione los datos de sus usuarios (una práctica muy común), ambas serán responsables si se infringe la ley, no como hasta ahora.

¿Qué hay del derecho al olvido?

Derecho al olvido

El polémico derecho al olvido ha sido recogido en un nuevo texto que otorga el derecho a todos los ciudadanos europeos de eliminar cualquier información irrelevante o desactualizada sobre su persona.

Todos los usuarios ahora tienen el derecho de corregir información incorrecta, y de borrar todos sus datos personales si no hay “razones legítimas para guardarlos”. En otras palabras, los usuarios ahora podemos pedir a cualquier compañía que borre nuestros datos, incluyendo compañías de marketing por Internet.

¿Qué pasa si mis datos son robados por hackers?

terrorista hacker Seguir leyendo Todo lo que debes saber sobre la nueva ley europea de protección de datos