Acceso a información de usuarios sin tocar el terminal móvil
En estos días, resulta interesante pararse a ver las noticias sobre espionajes ejecutados a través de la instalación de malwares en terminales móviles y cómo despiertan la preocupación entre los ciudadanos.
Que alguien descubra que los teléfonos móviles o dispositivos electrónicos han sido manipulados para monitorizar — cuando no incluso para modificar— su comportamiento, levanta alarmas en la sociedad como si de algo insólito se tratara.
El espionaje forma parte de nuestra esfera vital, mal que nos pese. Está presente en todos los sectores de la sociedad y, de una u otra forma, cada uno de nosotros podemos ser víctimas de su explotación.
Nada que ocultar, nada que decir
Los ejemplos en el entorno empresarial y político son numerosos. En estos últimos días, quizás muchos tengan en la cabeza el caso de la compañía NSO y su software Pegasus, dada su relevancia mediática. Sin embargo, no es el único ejemplo. Los escándalos asociados a grabaciones y robo de audios que comprometen a terceros están de rabiosa actualidad.
Acceder a la vida privada de una persona es, de hecho, una práctica bastante común; más aún cuando la divulgamos en redes sociales. Por eso mismo resulta sugerente que descubramos con estupor las posibilidades que existen de que nuestras intimidades puedan quedar al descubierto.
Algunas personas podrían llegar a afirmar, por mor de un beneficio colectivo, que “no les preocuparía ser vigilados, entre otras cosas porque nada tienen que ocultar”. No se trata de una expresión inventada, créanme; seguro que más de uno la habrá oído más de una vez en estos días. Como también habrá escuchado su demoledora respuesta: “manifestar que no tiene importancia ser vigilado, porque nada tiene que ocultar, es como decir que no le preocupa la libertad de expresión porque nada tiene que decir”.
La privacidad es uno de los elementos fundamentales de la libertad de las personas. Por eso mismo, y volviendo al tema de los dispositivos electrónicos, conviene recordar que la intimidad de una persona no solo reside en lo que contienen nuestros teléfonos móviles. A menudo, y sin acceder físicamente a los dispositivos, es posible conseguir información sobre nuestras actividades simplemente consultando lo que hacemos en Internet.
Legislación norteamericana
Redes sociales y aplicaciones de mensajería son fuentes inagotables de información que mediante procedimientos legales pueden ser objeto de vigilancia y seguimiento. No hace demasiado tiempo, descubrimos que el FBI mostraba a sus empleados, a través de una guía, cómo se podía acceder a información de aplicaciones como WhatsApp o IMessage de forma más o menos permisiva. Una sencilla petición, fundamentada en cuestiones de emergencia o de seguridad nacional, permitía acceder a numerosos datos digitales de múltiples personas sin mucha dificultad: quiénes se interesaban por ciertos temas (keyword search), quiénes se encontraban en determinadas localizaciones (geofence search) o incluso cuál era el contenido de sus conversaciones —exceptuando aquellos casos en los que el cifrado extremo a extremo se encontraba habilitado y sin posibilidad de conocer la clave de descifrado.
Bien es sabido que la legislación norteamericana incorpora elementos que bordean los límites de la privacidad cuando se trata de hablar de seguridad nacional. El acceso a contenidos de los dispositivos móviles cuando se atraviesa la frontera de EE. UU. se convierte en una obligación para cualquier viajero que decide desplazarse al otro lado del Atlántico. De igual modo, las redes sociales y las aplicaciones de Internet están forzadas a cumplir con leyes que obligan a poner los datos de los usuarios a disposición de sus organismos de seguridad cuando estos los reclaman por procedimientos formales —incluso manteniendo el secreto de la solicitud durante al menos seis meses. Por ejemplo, solo Google recibió en 2020 más de 275.000 solicitudes gubernamentales de información sobre algunos de sus usuarios registrados. Y de modo análogo ocurre con Twitter, Facebook, WhatsApp, Telegram, Signal, etc.
Europa: Borrador de “Data Act”
En Europa, la legislación es bastante más restrictiva, sobre todo en lo que respecta a datos personales (RGPD); no así en otros casos. Un reciente borrador de la Comisión Europea sobre el uso de los datos electrónicos (Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data) recoge, en su Capítulo V, los elementos que autorizan a los organismos públicos de seguridad de instituciones de la Unión Europea a solicitar el acceso a información en situaciones de excepcionalidad. Cuando se apruebe definitivamente, fabricantes y proveedores de servicios estarán sometidos a la legislación europea cuando tengan presencia comercial en su territorio.
De este modo, y bajo petición fundada, cualquier operador de Internet se verá obligado a proporcionar información de los usuarios a cualquier organismo público de seguridad que así lo solicite. Los procedimientos para hacerlo, por el momento, están siendo recogidos en las políticas de uso de prácticamente todas las redes sociales e incluyen, llegado el caso, el derecho de los usuarios a ser informados de la petición recibida.
En definitiva, la privacidad de las personas en el mundo digital va mucho más allá de lo que contienen nuestros dispositivos móviles. Bien es cierto que, por lo que representan en cuanto a repositorio local de almacenamiento y como elemento de comunicación con terceros, su seguridad resulta una cuestión crítica. Sin embargo, no deja de ser menos importante pararse a pensar en esos otros elementos externos, repositorios de almacenamiento en la nube, proveedores de comunicaciones, dispositivos IoT, redes sociales o aplicaciones de mensajería que proporcionan servicios a los usuarios y que en sí mismos pueden ser vigilados sin que sea necesario “tocar” el terminal. También esos componentes forman parte de la privacidad de los usuarios.
Firmado: Juanjo Galán, Business Strategy de All4Sec
La entrada Acceso a información de usuarios sin tocar el terminal móvil es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico