💶¡Barato, baratito, oiga! Me lo quitan de las manos📡

face

Los números de teléfono de los usuarios de Facebook están a la venta a través de un bot de Telegram

A 20 dólares por número, a menos que compres al por mayor

lguien ha conseguido una base de datos llena de números de teléfono de usuarios de Facebook, y ahora está vendiendo esos datos usando un bot de Telegram, según un informe de Motherboard. El investigador de seguridad que encontró esta vulnerabilidad, Alon Gal, dice que la persona que dirige el bot afirma tener la información de 533 millones de usuarios, que provienen de una vulnerabilidad de Facebook que fue parcheada en 2019.

datitos

Con muchas bases de datos, se requiere cierta habilidad técnica para encontrar cualquier dato útil. Y a menudo tiene que haber una interacción entre la persona con la base de datos y la persona que intenta obtener información de ella, ya que el “propietario” de la base de datos no va a dar a otra persona todos esos valiosos datos sin más. Hacer un bot de Telegram, sin embargo, resuelve estos dos problemas.

forsalel bot permite a alguien hacer dos cosas: si tiene el ID de usuario de Facebook de una persona, puede encontrar el número de teléfono de esa persona, y si tiene el número de teléfono de una persona puede encontrar su ID de usuario de Facebook. Aunque, por supuesto, acceder a la información que buscas cuesta dinero: desbloquear un dato, como un número de teléfono o un ID de Facebook, cuesta un crédito, que la persona que está detrás del bot vende por 20 dólares. También hay precios por volumen, con 10.000 créditos que se venden por 5.000 dólares, según el informe de Motherboard.

compraEl bot lleva funcionando al menos desde el 12 de enero de 2021, según las capturas de pantalla publicadas por Gal, pero los datos a los que da acceso son de 2019. Eso es relativamente antiguo, pero la gente no cambia de número de teléfono tan a menudo. Es especialmente embarazoso para Facebook, ya que históricamente recopilaba números de teléfono de personas, incluidos los usuarios que activaban la autenticación de dos factores.

Por el momento se desconoce si Motherboard o los investigadores de seguridad se han puesto en contacto con Telegram para intentar que el bot sea retirado, pero esperemos que sea algo que se pueda controlar pronto. Sin embargo, esto no es para pintar un panorama demasiado halagüeño: los datos todavía están en la web, y han reaparecido un par de veces desde que fueron inicialmente desechados en 2019. Sólo espero que se corte el acceso fácil.

⚖️La Primavera la Judicatura altera. Repaso de algunos casos represivos recientes

🐃Dr. Richard Matthew Stallman:
#Cancel We The Web?
 

💩FLoC de Google no deja de ser una canallada💩

A woman being watched behind a one-way mirror

La cookie de terceros está muriendo, y Google está tratando de crear su reemplazo.

Nadie debería lamentar la muerte de la cookie tal y como la conocemos. Durante más de dos décadas, la cookie de terceros ha sido el eje de una industria de vigilancia publicitaria multimillonaria, oscura y sórdida en la web; la eliminación de las cookies de seguimiento y de otros identificadores persistentes de terceros debería haberse producido hace tiempo. Sin embargo, a medida que los cimientos se desplazan bajo la industria publicitaria, sus principales actores están decididos a caer de pie.

Google está liderando la iniciativa de sustituir las cookies de terceros por un nuevo conjunto de tecnologías para orientar los anuncios en la web. Y algunas de sus propuestas demuestran que no ha aprendido la lección correcta de la actual reacción contra el modelo de negocio de la vigilancia. Este artículo se centrará en una de esas propuestas, la FLoC, que quizá sea la más ambiciosa y potencialmente la más perjudicial.

FLoC pretende ser una nueva forma de hacer que tu navegador realice el perfil que los rastreadores de terceros solían hacer por sí mismos: en este caso, reducir tu actividad de navegación reciente a una etiqueta de comportamiento, y luego compartirla con sitios web y anunciantes. La tecnología evitará los riesgos de privacidad de las cookies de terceros, pero creará otros nuevos en el proceso. También puede agravar muchos de los peores problemas no relacionados con la privacidad de los anuncios comportamentales, como la discriminación y la segmentación predatoria.

El argumento de Google para los defensores de la privacidad es que un mundo con FLoC (🎻🎻y otros elementos de la “caja de arena de la privacidad“🎻🎻) será mejor que el mundo actual, donde los corredores de datos y los gigantes de la tecnología publicitaria rastrean y perfilan con impunidad. Pero ese planteamiento se basa en la falsa premisa de que tenemos que elegir entre el “viejo rastreo” y el “nuevo rastreo“. No es una cosa u otra. En lugar de reinventar la rueda del rastreo, deberíamos imaginar un mundo mejor sin los innumerables problemas de los anuncios dirigidos.

Nos encontramos en una bifurcación del camino. Atrás queda la era de las cookies de terceros, quizá el mayor error de la Web. Por delante tenemos dos futuros posibles.

en uno, los usuarios pueden decidir qué información compartir con cada sitio con el que deciden interactuar. Nadie tiene que preocuparse de que su navegación anterior se utilice en su contra -o se aproveche para manipularlo- la próxima vez que abra una pestaña.

en el otro, el comportamiento de cada usuario le sigue de un sitio a otro como una etiqueta, inescrutable a simple vista pero rica en significado para los conocedores. Tu historia reciente, destilada en unos pocos bits, se “democratiza” y se comparte con decenas de actores sin nombre que participan en el servicio de cada página web. Los usuarios comienzan cada interacción con una confesión: esto es lo que he hecho esta semana, por favor, trátenme como tal.

Los usuarios y los defensores de la web deben rechazar el FLoC y otros intentos equivocados de reinventar la segmentación por comportamiento. Le decimos a Google que abandone el FLoC y reoriente sus esfuerzos hacia la construcción de una Web verdaderamente amigable para el usuario.

Captura de pantalla de 2021-03-06 20-06-00 faculty

¿Qué es FLoC?

En 2019, Google presentó la Privacy Sandbox, su visión del futuro de la privacidad en la web. En el centro del proyecto se encuentra un conjunto de protocolos sin cookies diseñados para satisfacer los innumerables casos de uso que las cookies de terceros proporcionan actualmente a los anunciantes. Google llevó sus propuestas al W3C, el organismo que elabora los estándares de la web, donde se han debatido principalmente en el Grupo Empresarial de Publicidad en la Web (Web Advertising Business Group), un organismo formado principalmente por proveedores de tecnología publicitaria. En los meses transcurridos, Google y otros anunciantes han propuesto docenas de normas técnicas con temática de aves: PIGIN, TURTLEDOVE, SPARROW, SWAN, SPURFOWL, PELICAN, PARROT... la lista continúa. En serio, cada una de las propuestas de “pájaros” está diseñada para realizar una de las funciones en el ecosistema de la publicidad dirigida que actualmente realizan las cookies.

FLoC, que significa “Federated Learning of Cohorts” (Aprendizaje Federado de Cohortes), está diseñado para ayudar a los anunciantes a realizar la segmentación por comportamiento sin cookies de terceros. Un navegador con FLoC activado recopilaría información sobre los hábitos de navegación de su usuario y la utilizaría para asignarlo a una “cohorte” o grupo. Los usuarios con hábitos de navegación similares -por alguna definición de “similares“- se agruparían en la misma cohorte. El navegador de cada usuario compartirá con los sitios web y los anunciantes un ID de cohorte que indicará a qué grupo pertenece. Según la propuesta, al menos unos cuantos miles de usuarios deberían pertenecer a cada cohorte (aunque eso no es una garantía).

Si eso suena denso, piénsalo así: tu ID FLoC será como un resumen sucinto de tu actividad reciente en la web.

La prueba de concepto de Google utilizó los dominios de los sitios que cada usuario visitó como base para agrupar a las personas. A continuación, utilizó un algoritmo llamado SimHash para crear los grupos. SimHash puede calcularse localmente en la máquina de cada usuario, por lo que no es necesario un servidor central para recoger los datos de comportamiento. Sin embargo, un administrador central podría tener un papel en la aplicación de las garantías de privacidad. Para evitar que cualquier cohorte sea demasiado pequeña (es decir, demasiado identificada), Google propone que un actor central pueda contar el número de usuarios asignados a cada cohorte. Si alguna es demasiado pequeña, puede combinarse con otras cohortes similares hasta que haya suficientes usuarios representados en cada una.

Según la propuesta, la mayoría de los detalles están todavía en el aire. El borrador de la especificación afirma que el ID de cohorte de un usuario estará disponible a través de Javascript, pero no está claro si habrá alguna restricción sobre quién puede acceder a él, o si el ID se compartirá de alguna otra manera. FLoC podría realizar una agrupación basada en las URL o en el contenido de las páginas en lugar de en los dominios; también podría utilizar un sistema basado en el aprendizaje federado (como implica el nombre FLoC) para generar los grupos en lugar de SimHash. Tampoco está claro cuántas cohortes posibles habrá. El experimento de Google utilizó identificadores de cohortes de 8 bits, lo que significa que sólo había 256 cohortes posibles. En la práctica, ese número podría ser mucho mayor; la documentación sugiere un identificador de cohorte de 16 bits compuesto por 4 caracteres hexadecimales. Cuantas más cohortes haya, más específicas serán; los identificadores de cohorte más largos significarán que los anunciantes aprenden más sobre los intereses de cada usuario y tienen más facilidad para tomar sus huellas digitales.

Una cosa que se especifica es la duración. Las cohortes de FLoC se recalcularán semanalmente, utilizando cada vez los datos de navegación de la semana anterior. Esto hace que las cohortes FLoC sean menos útiles como identificadores a largo plazo, pero también las convierte en medidas más potentes de cómo se comportan los usuarios a lo largo del tiempo.

Nuevos problemas de privacidad

FLoC forma parte de un conjunto de medidas destinadas a llevar los anuncios dirigidos a un futuro en el que se preserve la privacidad. Pero el diseño central implica compartir nueva información con los anunciantes. Como es lógico, esto también crea nuevos riesgos para la privacidad.

Huellas digitales

El primer problema es la huella digital. La huella digital de los navegadores es la práctica que consiste en reunir muchos datos discretos del navegador de un usuario para crear un identificador único y estable para ese navegador. El proyecto Cover Your Tracks de la EFF demuestra cómo funciona el proceso: en pocas palabras, cuantas más formas tenga tu navegador de ser diferente al de los demás, más fácil será tomar una huella digital.

Google ha prometido que la gran mayoría de las cohortes de FLoC comprenderán miles de usuarios cada una, por lo que un ID de cohorte por sí solo no debería distinguirte de otros miles de personas como tú. Sin embargo, eso sigue dando a los rastreadores una enorme ventaja. Si un rastreador comienza con su cohorte FLoC, sólo tiene que distinguir su navegador de otros pocos miles (en lugar de unos cientos de millones). En términos de teoría de la información, las cohortes FLoC contendrán varios bits de entropía, hasta 8 bits, en la prueba de concepto de Google. Esta información es aún más potente dado que es poco probable que esté correlacionada con otra información que el navegador expone. Esto facilitará a los rastreadores la elaboración de una huella digital única para los usuarios de FloC.

Google ha reconocido que se trata de un reto, pero se ha comprometido a solucionarlo como parte del plan más amplio “Privacy Budget” que tiene para hacer frente a la toma de huellas digitales a largo plazo. Resolver el problema de las huellas dactilares es un objetivo admirable, y su propuesta es una vía prometedora. Pero, según las FAQ, ese plan es “una propuesta en fase inicial y aún no tiene una implementación en el navegador“. Mientras tanto, Google va a empezar a probar FLoC este mismo mes.

La huella digital es notoriamente difícil de detener. Navegadores como Safari y Tor han participado durante años en guerras de desgaste contra los rastreadores, sacrificando grandes franjas de sus propios conjuntos de características con el fin de reducir las superficies de ataque de las huellas digitales. La mitigación de las huellas digitales suele implicar la eliminación o la restricción de fuentes innecesarias de entropía, que es lo que es FLoC. Google no debería crear nuevos riesgos a la huella digital hasta que no haya averiguado cómo tratar los existentes.

Exposición cruzada de contextos

El segundo problema es menos fácil de explicar: la tecnología compartirá nuevos datos personales con los rastreadores que ya pueden identificar a los usuarios. Para que FLoC sea útil para los anunciantes, la cohorte de un usuario revelará necesariamente información sobre su comportamiento.

La página de Github del proyecto aborda esta cuestión desde el principio:

  • Esta API democratiza el acceso a cierta información sobre el historial de navegación general de un individuo (y, por tanto, a sus intereses generales) a cualquier sitio que opte por ella. … Los sitios que conocen la IPI de una persona (por ejemplo, cuando la gente se registra utilizando su dirección de correo electrónico) podrían registrar y revelar su cohorte. Esto significa que la información sobre los intereses de un individuo puede llegar a ser pública.

Como se ha descrito anteriormente, las cohortes FLoC no deberían funcionar como identificadores por sí mismas. Sin embargo, cualquier empresa que sea capaz de identificar a un usuario de otras maneras -por ejemplo, ofreciendo servicios de “inicio de sesión con Google” a sitios de Internet- podrá vincular la información que obtenga de FLoC al perfil del usuario.

Se pueden exponer dos categorías de información de esta manera:

  1. Información específica sobre el historial de navegación. Los rastreadores pueden ser capaces de aplicar ingeniería inversa al algoritmo de asignación de cohortes para determinar que cualquier usuario que pertenece a una cohorte específica probablemente o definitivamente visitó sitios específicos.

  2. Información general sobre datos demográficos o intereses. Los observadores pueden saber que, en general, los miembros de una cohorte específica tienen muchas probabilidades de ser un tipo específico de persona. Por ejemplo, una cohorte concreta puede tener una representación excesiva de usuarios jóvenes, mujeres y negros; otra cohorte, votantes republicanos de mediana edad; una tercera, jóvenes LGBTQ+.

Esto significa que todos los sitios que visites tendrán una buena idea de qué tipo de persona eres en el primer contacto, sin tener que hacer el trabajo de rastrearte a través de la web. Además, como tu cohorte FLoC se actualizará con el tiempo, los sitios que puedan identificarte de otras maneras también podrán seguir la evolución de tu navegación. Recuerda que una cohorte FLoC no es ni más ni menos que un resumen de tu reciente actividad de navegación.

Deberías tener derecho a presentar diferentes aspectos de tu identidad en diferentes contextos. Si visitas una web de información médica, puedes confiarle información sobre tu salud, pero no hay razón para que tenga que saber cuál es tu política. Del mismo modo, si visitas un sitio web de venta al por menor, no debería necesitar saber si has leído recientemente sobre el tratamiento de la depresión. FLoC erosiona esta separación de contextos y, en su lugar, presenta el mismo resumen de comportamiento a todas las personas con las que interactúas.

capitalismo cambridge

Más allá de la privacidad

fLoC está diseñado para evitar una amenaza muy específica: el tipo de perfil individualizado que permiten los identificadores entre contextos actualmente. El objetivo de FLoC y de otras propuestas es evitar que los rastreadores accedan a información específica que puedan relacionar con personas concretas. Como hemos demostrado, FLoC puede ayudar a los rastreadores en muchos contextos. Pero incluso si Google es capaz de repetir su diseño y evitar estos riesgos, los daños de la publicidad dirigida no se limitan a las violaciones de la privacidad. El objetivo principal FLoC está en contradicción con otras libertades civiles.

El poder de segmentar es el poder de discriminar. Por definición, los anuncios dirigidos permiten a los anunciantes llegar a algunos tipos de personas y excluir a otros. Un sistema de segmentación puede utilizarse para decidir quién ve los anuncios de empleo o las ofertas de préstamo con la misma facilidad que los anuncios de zapatos.

A lo largo de los años, la maquinaria de la publicidad dirigida se ha utilizado con frecuencia para la explotación, la discriminación y el daño. La posibilidad de segmentar a las personas en función de su origen étnico, religión, sexo, edad o capacidad permite la publicación de anuncios discriminatorios para el empleo, la vivienda y el crédito. La segmentación basada en el historial crediticio -o en las características asociadas sistemáticamente a él- permite la publicación de anuncios abusivos para obtener préstamos de alto interés. La segmentación basada en datos demográficos, ubicación y afiliación política ayuda a los proveedores de desinformación por motivos políticos y a la supresión de votantes. Todos los tipos de segmentación por comportamiento aumentan el riesgo de estafas convincentes.

Google, Facebook y muchas otras plataformas publicitarias ya intentan frenar ciertos usos de sus plataformas de segmentación. Google, por ejemplo, limita la capacidad de los anunciantes para dirigirse a personas en “categorías de intereses sensibles“. Sin embargo, estos esfuerzos a menudo se quedan cortos; los actores decididos suelen encontrar soluciones a las restricciones de toda la plataforma sobre ciertos tipos de segmentación o ciertos tipos de anuncios.

Incluso con un poder absoluto sobre la información que puede utilizarse para dirigirse a quién, las plataformas son a menudo incapaces de evitar el abuso de su tecnología. Pero FLoC utilizará un algoritmo no supervisado para crear sus clusters. Eso significa que nadie tendrá control directo sobre cómo se agrupan las personas. En el mejor de los casos (para los anunciantes), FLoC creará grupos que tengan comportamientos e intereses significativos en común. Pero el comportamiento en línea está vinculado a todo tipo de características sensibles: datos demográficos como el sexo, la etnia, la edad y los ingresos; los “5 grandes” rasgos de personalidad; incluso la salud mental. Es muy probable que FLoC también agrupe a los usuarios según algunos de estos ejes. Las agrupaciones de FLoC también pueden reflejar directamente las visitas a sitios web relacionados con el abuso de sustancias, las dificultades económicas o el apoyo a los supervivientes de traumas.

Google ha propuesto que puede supervisar los resultados del sistema para comprobar si existen correlaciones con sus categorías sensibles. Si descubre que una cohorte concreta está demasiado relacionada con un grupo protegido determinado, el servidor administrativo puede elegir nuevos parámetros para el algoritmo y decir a los navegadores de los usuarios que se agrupen de nuevo.

Esta solución parece tanto orwelliana como de Sísifo. Para controlar la correlación de los grupos FLoC con las categorías sensibles, Google tendrá que realizar auditorías masivas utilizando datos sobre la raza, el sexo, la religión, la edad, la salud y la situación económica de los usuarios. Cada vez que encuentre una cohorte que se correlacione demasiado a lo largo de cualquiera de esos ejes, tendrá que reconfigurar todo el algoritmo y volver a intentarlo, esperando que no haya otras “categorías sensibles” implicadas en la nueva versión. Se trata de una versión mucho más difícil del problema que ya está intentando resolver, y que a menudo fracasa.

En un mundo con FLoC, puede ser más difícil dirigirse directamente a los usuarios en función de la edad, el sexo o los ingresos. Pero no será imposible. Los rastreadores con acceso a información auxiliar sobre los usuarios podrán aprender qué “significan” las agrupaciones de FLoC -qué tipo de personas contienen- mediante la observación y la experimentación. Los que se empeñen en hacerlo podrán seguir discriminando. Además, este tipo de comportamiento será más difícil de controlar para las plataformas de lo que ya es. Los anunciantes con malas intenciones podrán negarlas, ya que no se dirigen directamente a las categorías protegidas, sino que se dirigen a las personas en función de su comportamiento. Y todo el sistema será más opaco para los usuarios y los reguladores.

Google, por favor, no hagas esto y vete a la mierda, una vez más.

Escribimos sobre FLoC y el otro lote inicial de propuestas cuando se presentaron por primera vez, llamando a FLoC “lo opuesto a la tecnología de preservación de la privacidad“. Esperábamos que el proceso de normalización arrojara luz sobre los defectos fundamentales de FLoC, haciendo que Google reconsiderara su impulso. De hecho, varias cuestiones en la página oficial de Github plantean exactamente las mismas preocupaciones que destacamos aquí. Sin embargo, Google ha seguido desarrollando el sistema, dejando los fundamentos casi sin cambios. Ha empezado a presentar el FLoC a los anunciantes, presumiendo de que el FLoC es un sustituto “95% efectivo” del targeting basado en cookies. Y a partir de Chrome 89, lanzado el 2 de marzo, está desplegando la tecnología para una prueba. Una pequeña parte de los usuarios de Chrome, probablemente millones de personas, serán (o han sido) asignados para probar la nueva tecnología.

No te equivoques, si Google lleva a cabo su plan de implantar FLoC en Chrome, probablemente dará “opciones” a todos los implicados. El sistema será probablemente opt-in para los anunciantes que se beneficien de él, y opt-out para los usuarios que se vean perjudicados. Seguramente, Google lo promocionará como un paso adelante hacia la “transparencia y el control del usuario“, sabiendo perfectamente que la gran mayoría de sus usuarios no entenderá cómo funciona FLoC y que muy pocos se esforzarán por desactivarlo. Te darán una palmadita en la espalda por marcar el comienzo de una nueva era privada en la web, libre de la malvada cookie de terceros, tecnología que Google ayudó a prolongar mucho más allá de su vida útil, ganando miles de millones de dólares en el proceso.

No tiene por qué ser así. Las partes más importantes de la caja de arena de la privacidad, como la eliminación de los identificadores de terceros y la lucha contra las huellas dactilares, cambiarán realmente la Web para mejor. Google puede optar por desmantelar el viejo andamiaje de la vigilancia sin sustituirlo por algo nuevo y singularmente perjudicial.

Rechazamos rotundamente el futuro de FLoC. Ese no es el mundo que queremos, ni el que los usuarios merecen. Google tiene que aprender las lecciones correctas de la era del rastreo de terceros y diseñar su navegador para que funcione para los usuarios, no para los anunciantes.

30effNota: Nos hemos puesto en contacto con Google para verificar ciertos hechos presentados en este artículo, así como para solicitar más información sobre la próxima prueba de Origin. No hemos recibido respuesta en el momento de publicar este artículo.

💜🖤El domingo #7M emitimos a través de @rojoynegrotv un especial previo a los actos de este #8M, Día Internacional de la Mujer Trabajadora.

Os esperamos a partir de las 17’00 horas: 📺👇

⛓Cárcel, asesinatos masivos y sin juicio, torturas, malos tratos, robos de bebés, trabajo esclavo… Los tribunales españoles continúan negando la justicia a las víctimas del franquismo.

¡¡Pedimos Justicia!!

 

🦆DuckDuckGo supera por primera vez los 100 millones de búsquedas diarias🦆

Captura de pantalla de 2021-01-23 12-11-01

DuckDuckGo ha alcanzado un hito histórico en una semana en la que tanto Signal como Telegram han visto una gran afluencia de nuevos usuarios.

El motor de búsqueda centrado en la privacidad DuckDuckGo ha alcanzado esta semana un hito importante en su historia de 12 años al registrar el lunes su primer día con más de 100 millones de consultas de búsqueda de usuarios.

Screenshot_20210123_124456El logro llega después de un período de crecimiento sostenido que la empresa ha experimentado durante los últimos dos años, y especialmente desde agosto de 2020, cuando el motor de búsqueda comenzó a ver más de 2.000 millones de consultas de búsqueda al mes de forma regular. Las cifras son pequeñas en comparación con los 5.000 millones de consultas de búsqueda diarias de Google, pero es una señal positiva de que los usuarios están buscando alternativas.

La popularidad de DuckDuckGo llega después de que el motor de búsqueda se haya expandido más allá de su propio sitio y ofrezca actualmente aplicaciones móviles para Android e iOS, pero también una extensión dedicada a Chrome.

Más de 4 millones de usuarios instalaron estas aplicaciones y la extensión, comenta la empresa en un tuit en septiembre de 2020.

ddgPero la creciente popularidad del buscador también se debe a su objetivo declarado de no recopilar datos de los usuarios y ofrecer los mismos resultados de búsqueda a todos ellos.

Como ya señalaron el año pasado, esta falta de datos granulares hace que a veces sea difícil para la empresa incluso estimar el tamaño de su propia base de usuarios.

Pero esta dedicación a la privacidad también ha ayudado a la empresa a ganar adeptos entre los que se preocupan por la privacidad. DuckDuckGo ha sido seleccionado como motor de búsqueda por defecto en el Navegador Tor y a menudo es el motor de búsqueda por defecto en los modos de navegación privada de varios otros navegadores.

Semana histórica para las aplicaciones con privacidad

El hito histórico de DuckDuckGo llega en una semana en la que tanto Signal como Telegram, otras dos aplicaciones centradas en la privacidad, también han anunciado importantes periodos de crecimiento.

Telegram anunció el lunes que había alcanzado los 500 millones de usuarios registrados, mientras que los servidores de Signal se cayeron el viernes después de ver “millones y millones de nuevos usuarios” en una afluencia repentina que, según la compañía, superó incluso sus previsiones más optimistas.

signalLos dos picos de nuevos usuarios de Signal y Telegram son el resultado directo de una gran chapuza de relaciones públicas en Facebook después de que la compañía anunciara la semana pasada que bloquearía el acceso a las cuentas de WhatsApp a menos que los usuarios aceptaran una nueva política de privacidad que permitiera a Facebook acceder a más datos de los usuarios de WhatsApp.

Ayer, viernes, Facebook retrasó tres meses la nueva política de privacidad, pero en ese momento, el daño ya estaba hecho, y cientos de millones de usuarios se acordaron de su derecho a la privacidad, acudiendo en masa a Signal y Telegram – pero tampoco sería descabellado pensar que muchos usuarios se acordaron de usar DuckDuckGo en lugar de Google.

🔪 January 1961: Assassination of Lumumba, Hero of Congo’s Independence

🪕 «Esta Tierra, es Tu Tierra»

Borrando el mensaje a la clase trabajadora.

🔐¿Qué es el Protocolo de Encriptación Signal?👣

proto

En tanto en cuanto que el protocolo Signal se ha convertido en el estándar de la industria, vale la pena entender qué lo diferencia de otras formas de mensajería encriptada de extremo a extremo.

La semana pasada, con no poca fanfarria, Google anunció un cambio que pronto podría hacer que sus 2 mil millones de usuarios de Android en todo el mundo fueran mucho más difíciles de vigilar: El gigante de la tecnología declaró que estaba lanzando una versión beta de su aplicación de mensajería para Android que ahora usaría una encriptación de extremo a extremo por defecto. Ese nivel de encriptación, aunque limitado a las conversaciones individuales, está diseñado para evitar que nadie más escuche a escondidas: ni las compañías telefónicas, ni las agencias de espionaje, ni un cracker que se haya apoderado del router Wi-Fi local, ni siquiera el propio Google tendría las claves para desencriptar y leer esos miles de millones de mensajes.

La noticia no es sólo una victoria para la privacidad global. También es una victoria para un sistema de encriptación en particular: el protocolo Signal, que está en camino de representar la mayoría de las conversaciones de texto en tiempo real del mundo. A medida que este protocolo se convierte en el estándar de facto para la mensajería encriptada en la mayoría de los principales servicios, vale la pena entender qué lo diferencia de otras formas de mensajería encriptada de extremo a extremo.

Puede que ya conozcas Signal gracias a la popular aplicación de mensajería de texto encriptado de extremo a extremo del mismo nombre, creada por el cypherpunk Moxie Marlinspike y que en los últimos años ha sido albergada por la fundación sin ánimo de lucro Signal Foundation. Signal, la aplicación, tiene una reputación sin parangón en cuanto a seguridad y privacidad, con el respaldo de Edward Snowden, denunciante de la NSA, y del fundador de WhatsApp, Brian Acton, que dejó WhatsApp en 2018 para trabajar como director ejecutivo de la Signal Foundation.

Pero el sistema criptográfico subyacente que diseñó Marlinspike y sobre el que está construida Signal, conocido como el protocolo Signal, se ha extendido mucho más allá de su homónima app. WhatsApp adoptó por primera vez el protocolo Signal en 2014 para cifrar de extremo a extremo todos los mensajes entre teléfonos Android, en lo que Marlinspike declaró como “el mayor despliegue de cifrado de extremo a extremo de la historia“. Dos años después, WhatsApp lo activó por defecto para todos los más de mil millones de usuarios. Poco después, Google desplegó el cifrado de extremo a extremo a través del protocolo Signal como una función opcional para su ahora desaparecida mensajería Allo y en su servicio de videoconferencia Duo. Facebook lo añadió como una función de “Conversaciones secretas” en el Facebook Messenger unos meses después. La decisión de Google de integrar el protocolo Signal en la aplicación de mensajería de Android de forma predeterminada representa la mayor colección de nuevos teléfonos que han adoptado el estándar en años, con cientos de millones de dispositivos más.

Entonces, ¿por qué los gigantes de la tecnología del mundo han elegido Signal como su protocolo de cifrado? Su característica más destacada, dice el profesor de informática de Johns Hopkins y criptógrafo Matthew Green, es cómo implementa lo que se conoce como “secreto perfecto de avance“. Con la mayoría de los sistemas de encriptación, cuando se instala una aplicación en un teléfono, crea un par de claves permanentes que se utilizan para encriptar y desencriptar los mensajes: una clave “pública” que se envía al servidor de mensajería y que se utilizará para identificar al usuario, y una clave “privada” que nunca sale del teléfono del usuario. Sin embargo, si esa clave privada se ve comprometida de alguna manera, como si alguien crackea o se apodera de su teléfono, eso deja potencialmente todos sus mensajes vulnerables a la desencriptación. Incluso si ha borrado mensajes de su teléfono, la clave puede descifrar cualquier mensaje encriptado que los fisgones hayan logrado grabar cuando viajaron originalmente a través de la red.

tiraecol-14

El protocolo Signal, sin embargo, utiliza un sistema llamado “trinquete” que cambia la clave después de cada mensaje. Lo hace generando una colección de pares de claves temporales para cada usuario, además de las claves permanentes. Cuando alguien envía un mensaje a un contacto a través de una aplicación que utiliza el protocolo Signal, la aplicación combina los pares temporales y permanentes de claves públicas y privadas para que ambos usuarios creen una clave secreta compartida que se utiliza para cifrar y descifrar ese mensaje. Dado que la generación de esta clave secreta requiere el acceso a las claves privadas de los usuarios, sólo existe en sus dos dispositivos. Y el sistema de claves temporales del protocolo de señales, que repone constantemente para cada usuario, le permite generar una nueva clave compartida después de cada mensaje.

Cada vez que envías un mensaje, tu clave se actualiza“, dice Green. “Eso significa que si te roban el teléfono en la hora X, cualquier mensaje que envíes antes de la hora X debería ser seguro“. Esa seguridad falta, señala Green, en iMessage de Apple, otra popular aplicación de mensajería que usa encriptación de extremo a extremo pero no ofrece un perfecto secreto de reenvío.

El secreto perfecto de reenvío es inútil, es importante señalar, si los usuarios no borran sus mensajes periódicamente. Si el teléfono de alguien es confiscado o robado con todos sus mensajes aún intactos, serán tan visibles para quien tenga el teléfono en la mano como lo fueron para el dueño original. La aplicación Signal ofrece mensajes que desaparecen y que se borran automáticamente después de un determinado límite de tiempo. WhatsApp también está implementando una función de borrado automático, después de años sin ella. Los usuarios de mensajería para Android, de forma crucial, tendrán que borrar manualmente los mensajes que quieran proteger para obtener todos los beneficios del perfecto secreto de reenvío del protocolo.

La popularidad de Signal no sólo se debe a su perfecta característica de secreto de reenvío, sino simplemente a su reputación como un protocolo bien diseñado y de código abierto. Cuando WIRED preguntó a Google sobre su elección de Signal, el jefe de productos de mensajería de la compañía, Drew Rowny, lo describió como un “protocolo de código abierto, transparente y auditado“. Ha existido durante suficiente tiempo -y su adopción en WhatsApp, Facebook Messenger y la propia aplicación Signal está tan fuertemente escrutada- que cualquier error grave habría sido detectado y solucionado hace años. “También podrías usar lo que se ha convertido en el estándar”, dice Green. Compara la elección de Signal con el viejo adagio informático: “Nunca se despidió a nadie por comprar IBM“.

Para los usuarios, también, no puede hacer daño cambiar de cualquier servicio de mensajería no encriptado que pueda estar usando a uno que implemente el protocolo de la señal. Muy pronto, puede ser difícil evitarlo incluso si lo intentas.

Una actualización que todos van a odiar: la publicidad llega a WhatsApp

🟣⚫️🔴 Los irreductibles y los grupos de acción transfronterizos – II parte

🎸Tariq Ali sobre John Lennon y Mick Jagger

⛵️ Comparativa de navegadores web en relación con la seguridad.⛵️

Screenshot_20201201_213853

El propósito de este artículo no es calificar cada navegador por simpatías. Es una clasificación basada en la cantidad de privacidad que ofrece un navegador por defecto, así como en la cantidad de privacidad que se puede obtener al configurarlo.

Mayor Privacidad

Estos cinco navegadores requieren muy poca configuración, pudiendo alcanzar el nivel de privacidad necesario para navegar por la web moderna -compatibilidad con un amplio conjunto de extensiones de bloqueo de contenidos que pueden bloquear los proveedores de spyware de forma correcta y completa. Tanto Iridium como Pale Moon están configurados de tal manera que filtran la información del usuario y por lo tanto requieren una configuración adicional.

Screenshot_20201201_214748

Navegador Tor

GNU IceCat

Ungoogle Chromium

Iridium

Pale Moon

Nivel Alto – Buena privacidad

Estos navegadores no tienen problemas de privacidad, pero tampoco tienen suficientes características de privacidad para llegar al nivel más alto. Estos navegadores tienen simples bloqueadores de anuncios y no tienen problemas de privacidad, sin embargo, estas herramientas no son tan buenas como las herramientas de privacidad integrales que ofrecen los navegadores de nivel superior.

  Screenshot_20201201_215643  
 

Navegador Otter

Falkon

 

Nivel Medio

Estos navegadores no tienen grandes fallas de privacidad, pero tampoco tienen suficientes protecciones de privacidad. El Qutebrowser tiene un bloqueador de acceso muy básico. Ambos navegadores tampoco tienen acceso a extensiones. Por lo tanto, no es suficiente con poder navegar por la web moderna de forma privada, a pesar de que los desarrolladores no ponen spyware en sus navegadores.

  Screenshot_20201201_221007  
 

Qutebrowser

Navegador Sphere

 

Nivel bajo – Poca privacidad

Estos navegadores no protegen tu privacidad, pero no están en el nivel más bajo ya que todavía tienen algo que ofrecer, aunque, no se deben utilizar en general. Vivaldi no permite deshabilitar todas las características del spyware, Brave hace un seguimiento de las listas blancas y ha forzado las actualizaciones, y Firefox y Waterfox están cargados de spyware, hasta el punto de que configurarlos no es tan trivial que bien podría utilizar una versión de Firefox que respete tu privacidad por defecto, en lugar de sumergirse en la incertidumbre de desenterrar todas las características del spyware (y repetir el proceso cada vez que el navegador se actualiza). Siempre va a ser mejor elegir un navegador de los que aparecen más arriba.

Screenshot_20201201_221700

Waterfox

Brave

Firefox

Vivaldi

Dissenter

Ninguna privacidad

Estos navegadores están diseñados descaradamente para recoger tanta información sobre el usuario como sea posible (clasificados EXTREMADAMENTE SOPLONES). Sólo SRWare Iron tiene su código fuente disponible, y todos los desarrolladores maltratan a sus usuarios (total indiferencia por la privacidad y/o falsa publicidad) durante mucho tiempo. Estos navegadores son activamente hostiles contra sus usuarios y por lo tanto no deben ser utilizados en absoluto.

Screenshot_20201201_222403

Google Chrome

Opera

Slimjet

WebDiscover

SRWare Iron

Esta no es la única guía sobre qué navegador web elegir, con énfasis en la privacidad. Otras personas, han escrito sus propias guías. No hay porque leer solo una guía para tomar una decisión, por lo que probablemente deberías leer algunas más, estas son algunas buenas.

Digdeeper — ¿Cómo elegir un navegador para cada uso?
Clarkycat — Navegadores recomendados y accesorios

❤️🖤 Denunciamos el desalojo del plantón de Apatlaco y nos solidarizamos con la lucha del Frente de los Pueblos en Defensa de la Tierra y el Agua FPDTA-MPT

🗽 A galopar: grandes y pequeñas victorias contra el capital, el imperio y el fascismo

💩Zoom ha mentido durante años a los usuarios sobre la encriptación de extremo a extremo, según la FTC 💩

Screenshot_20201120_132841

Los demócratas rompen el acuerdo FTC(Comisión Federal de Comercio)/Zoom porque los usuarios no serán compensados.

Zoom ha acordado mejorar sus prácticas de seguridad en un acuerdo provisional con la Comisión Federal de Comercio, donde se dice que Zoom ha estado mintiendo a los usuarios durante años al afirmar que ofrecía cifrado de extremo a extremo.

Desde al menos 2016, Zoom ha estado engañando a los usuarios afirmando que ofrecía ‘encriptación de extremo a extremo de 256 bits’ para asegurar las comunicaciones de los usuarios, cuando en realidad lo que ofrecía era un nivel de seguridad menor“, declaró la FTC en el anuncio de su denuncia contra Zoom y el acuerdo provisional. A pesar de prometer una encriptación de extremo a extremo, la FTC dijo que “Zoom mantuvo las claves criptográficas que podrían permitir a Zoom acceder al contenido de las reuniones de sus clientes, y aseguró las reuniones, en parte, con un nivel de encriptación inferior al prometido“.

En la denuncia de la FTC se dice que Zoom afirmó que ofrecía cifrado de extremo a extremo en sus guías de cumplimiento de la HIPAA en junio de 2016 y julio de 2017, que estaban destinadas a los usuarios del servicio de videoconferencia de la industria de la salud. Zoom también afirmó que ofrecía un cifrado de extremo a extremo en un libro blanco de enero de 2019, en una entrada de blog de abril de 2017, y en respuestas directas a las consultas de clientes y posibles clientes, según la denuncia.

De hecho, Zoom no proporcionó cifrado de extremo a extremo para ninguna Reunión de Zoom que se llevara a cabo fuera del producto ‘Connecter’ de Zoom (que están alojados en los propios servidores del cliente), porque los servidores de Zoom -incluidos algunos situados en China- mantienen las claves criptográficas que permitirían a Zoom acceder al contenido de las Reuniones de Zoom de sus clientes”, afirma la queja de la FTC.

El anuncio de la FTC decía que Zoom también “engañó a algunos usuarios que querían almacenar reuniones grabadas en el almacenamiento en la nube de la empresa, alegando falsamente que esas reuniones eran cifradas inmediatamente después de que terminara la reunión. En cambio, algunas grabaciones supuestamente fueron almacenadas sin cifrar hasta 60 días en los servidores de Zoom antes de ser transferidas a su almacenamiento seguro en la nube“.

Para resolver las acusaciones, “Zoom ha aceptado el requisito de establecer e implementar un programa de seguridad integral, una prohibición de declaraciones falsas sobre privacidad y seguridad, y otras medidas detalladas y específicas para proteger su base de usuarios, que se ha disparado de 10 millones en diciembre de 2019 a 300 millones en abril de 2020 durante la pandemia COVID-19“, dijo la FTC. (Las cifras de 10 millones y 300 millones se refieren al número de participantes diarios en las reuniones del Zoom).

Sin compensación para los usuarios afectados

El acuerdo está apoyado por la mayoría republicana de la FTC, pero los demócratas de la comisión se opusieron porque el acuerdo no proporciona compensación a los usuarios.

Hoy, la Comisión Federal de Comercio ha votado proponer un acuerdo con Zoom que sigue una desafortunada fórmula de la FTC“, dijo el Comisionado Demócrata de la FTC, Rohit Chopra. “El acuerdo no proporciona ninguna ayuda a los usuarios afectados. No hace nada por las pequeñas empresas que confiaron en las demandas de protección de datos de Zoom. Y no requiere que Zoom pague un centavo. La Comisión debe cambiar de rumbo“.

seguridadSegún el acuerdo, “Zoom no está obligado a ofrecer reparación, reembolsos o incluso a notificar a sus clientes que las reclamaciones materiales relativas a que la seguridad de sus servicios eran falsas“, declaró la comisionada demócrata Rebecca Kelly Slaughter. “Este fracaso del acuerdo propuesto perjudica a los clientes de Zoom y limita sustancialmente el valor disuasorio del caso“. Aunque el acuerdo impone obligaciones de seguridad, Slaughter dijo que no incluye ningún requisito que proteja directamente la privacidad del usuario.

Zoom se enfrenta por separado a demandas de inversores y consumidores que podrían desembocar en acuerdos financieros.

El acuerdo entre Zoom y la FTC no impone en realidad una encriptación de extremo a extremo, pero Zoom anunció el mes pasado que está desplegando la encriptación de extremo a extremo en una vista previa técnica para obtener comentarios de los usuarios. El acuerdo sí exige a Zoom que aplique medidas:

  1. exigiendo a los usuarios que aseguren sus cuentas con contraseñas fuertes y únicas

  2. utilizando herramientas automatizadas para identificar intentos de acceso no humanos

  3. limitando los intentos de acceso para minimizar el riesgo de un ataque de fuerza bruta

  4. implementando restablecimientos de contraseñas para credenciales comprometidas conocidas.

La FTC llama a ZoomOpener injusto y engañoso

La queja y el acuerdo de la FTC también cubren el controvertido despliegue de Zoom del servidor Web ZoomOpener que pasó por alto los protocolos de seguridad de Apple en los ordenadores Mac. Zoom “instaló en secreto” el software como parte de una actualización de Zoom para Mac en julio de 2018, dijo la FTC.

El servidor Web ZoomOpener permitió a Zoom iniciar automáticamente y unirse a un usuario en una reunión pasando por alto una salvaguarda del navegador Apple Safari que protegía a los usuarios de un tipo común de malware“, dijo la FTC. “Sin el servidor Web ZoomOpener, el navegador Safari habría proporcionado a los usuarios un cuadro de advertencia, antes de lanzar la aplicación de Zoom, que preguntaba a los usuarios si querían lanzar la aplicación“.

zoommacEl software “aumentaba el riesgo de los usuarios de que extraños vigilen por vídeo a distancia” y “sigue en los ordenadores de los usuarios incluso después de que éstos hayan borrado la aplicación Zoom, y reinstala automáticamente la aplicación Zoom -sin ninguna acción del usuario- en determinadas circunstancias“, dijo la FTC. También alegó que el despliegue del software de Zoom sin el aviso adecuado o el consentimiento del usuario violaba la ley estadounidense que prohíbe las prácticas comerciales injustas y engañosas.

Demandan a Google por recopilar datos en secreto de los usuarios de Android

🏛🚓El Constitucional desautoriza las devoluciones en caliente

🧕🏼 Voces de mujeres sobre la vida en Palestina (seminario web)

Screenshot_20201120_145343

🔍”Quién defiende tus datos”🔭

El último informe español “Quién defiende tus datos” muestra que las políticas de privacidad son sólidas, pero que hay que llenar lagunas cruciales.

Captura de pantalla de 2020-09-25 19-10-25

Por Karen Gullo

El segundo informe de la Fundación ETICAS ¿Quien Defiende Tus Datos? (¿Quién defiende tus datos?) sobre las prácticas de privacidad de datos en España muestra cómo los principales proveedores de Internet y de aplicaciones móviles de España están avanzando en la clarificación de cómo se están protegiendo los datos personales de los usuarios. Los proveedores están revelando qué información se está recogiendo, cuánto tiempo se mantiene y con quién se comparte. En comparación con el primer informe de Eticas sobre España en 2018, ha habido una mejora significativa en el número de empresas que informan a los usuarios sobre el tiempo que almacenan los datos, así como en la notificación a los usuarios sobre los cambios en la política de privacidad.

El informe que evalúa las políticas de 13 empresas españolas de Internet también indica que unas cuantas de ellas se están tomando en serio sus obligaciones en virtud del nuevo Reglamento General de Protección de Datos (RGPD), la ley de privacidad de datos de la Unión Europea que establece normas estrictas para la protección de la información privada de los clientes y ofrece a los usuarios más información y control sobre sus datos privados. La ley entró en vigor en diciembre de 2018.

Pero las buenas noticias para la mayoría de las compañías se detienen ahí. Todas, excepto los mayores proveedores de Internet en España, están muy atrasadas en lo que se refiere a la transparencia en cuanto a las peticiones del gobierno de datos de los usuarios, según el informe que Eticas ha publicado.

Mientras Orange se compromete a notificar a los usuarios las solicitudes del gobierno y tanto Vodafone como Telefónica establecen claramente la necesidad de una orden judicial antes de entregar las comunicaciones de los usuarios a las autoridades, otras empresas destacadas tienen mucho que mejorar. No están proporcionando información sobre la forma en que tramitan las solicitudes de los usuarios para que las fuerzas del orden les proporcionen datos, ya sea que requieran una autorización judicial antes de dar información personal a la policía o que notifiquen a los usuarios tan pronto como sea legalmente posible que sus datos fueron entregados a las fuerzas del orden. La falta de divulgación de sus prácticas deja abierta la cuestión con respecto a cómo se cubren las espaldas de los usuarios cuando el gobierno quiere datos personales.

El formato del informe de Eticas se basa en el proyecto de la EFF “Who Has Your Back“, que fue lanzado hace nueve años para arrojar luz sobre lo bien que las empresas estadounidenses protegen los datos de los usuarios, especialmente cuando el gobierno lo quiere. Desde entonces el proyecto se ha ampliado internacionalmente, y los principales grupos de derechos digitales de Europa y América han evaluado las prácticas de protección de datos de las empresas de Internet para que los usuarios puedan elegir con conocimiento de causa a quién deben confiar sus datos. La Fundación Eticas evaluó por primera vez a los principales proveedores de España en 2018, como parte de una iniciativa de ámbito regional centrada en las políticas y prácticas de privacidad de Internet en Iberoamérica.

En el informe de hoy, Eticas ha evaluado a 13 empresas, entre ellas seis proveedores de telecomunicaciones (Orange, Ono-Vodafone, Telefónica-Movistar, MásMóvil, Euskatel y Somos Conexión), cinco aplicaciones de venta y alquiler de viviendas (Fotocasa, Idealista, Habitaclia, Pisos.com y YaEncontré) y dos aplicaciones de venta de artículos de segunda mano (Vibbo y Wallapop). Las empresas fueron evaluadas en función de un conjunto de criterios que abarcaban las políticas de recopilación de datos, la entrega de datos a los organismos encargados de hacer cumplir la ley, la notificación a los clientes de las solicitudes de datos del gobierno, la publicación de informes de transparencia y la promoción de la privacidad de los usuarios. Se concedieron estrellas a las empresas en función de sus prácticas y su conducta. A la luz de la adopción de la GDPR, el informe de este año evaluó a las empresas en función de varios criterios nuevos, entre ellos, proporcionar información sobre cómo ponerse en contacto con un funcionario de protección de datos de la empresa, utilizar datos privados para automatizar la adopción de decisiones sin intervención humana y elaborar perfiles de usuarios, y prácticas relativas a las transferencias internacionales de datos. La Eticas también examinó si proporcionan directrices, adaptadas a la legislación local, para las fuerzas del orden que buscan datos de los usuarios.

El estudio completo está disponible en español, y esbozamos los principales hallazgos a continuación.

Una visión general de los compromisos y deficiencias de las empresas

qdtd-spain_tablas_finales_1-1

Telefónica-Movistar, la mayor compañía de telefonía móvil de España, fue la más valorada, ganando estrellas en 10 de las 13 categorías. Vodafone estuvo en segundo lugar, con nueve estrellas. Hubo una gran mejora en general en las empresas que proporcionan información sobre el tiempo que mantienen los datos de los usuarios – las 13 empresas informaron de ello este año, en comparación con sólo tres empresas que obtuvieron un crédito parcial en 2018. La implementación de la GDPR ha tenido un efecto positivo en las políticas de privacidad sólo en algunas empresas, según muestra el informe. Mientras que la mayoría de las empresas están proporcionando información de contacto para los funcionarios de protección de datos, sólo cuatro – Movistar, Fotocasa, Habitaclia, y Vibbo -proveen información sobre sus prácticas para el uso de datos basados en la toma de decisiones no humanas y la elaboración de perfiles, y seis- Vodafone, MásMóvil, Pisos.com, Idealista, Yaencontré, y Wallapop-proveen información sólo sobre la elaboración de perfiles.

Sólo Telefónica-Movistar y Vodafone informan a los usuarios sobre sus políticas de entrega de datos personales a los organismos de aplicación de la ley. Telefónica-Movistar es vaga en su política de protección de datos, sólo declara que entregará los datos de los usuarios a la policía de acuerdo con la ley. Sin embargo, el informe de transparencia de la empresa muestra que permite a la policía interceptar las comunicaciones sólo con una orden judicial o en situaciones de emergencia. En cuanto a los metadatos, la información proporcionada es genérica: sólo menciona el marco jurídico y las autoridades habilitadas para solicitarlos (jueces, fiscales y la policía).

La política de privacidad de Vodafone dice que los datos se entregarán “de acuerdo con la ley y de acuerdo con una evaluación exhaustiva de todos los requisitos legales“. Si bien su política de protección de datos no proporciona información de manera clara, hay un informe sobre el marco jurídico aplicable que describe tanto el marco como la manera en que la empresa lo interpreta, y afirma que se necesita una orden judicial para proporcionar el contenido y los metadatos a las fuerzas del orden.

Orange España es la única empresa que dice que se compromete a informar a los usuarios cuando sus datos sean entregados a las fuerzas de seguridad, a menos que exista una prohibición legal en contra. Debido a que la compañía no dejó claro que lo hará tan pronto como no haya una barrera legal, recibió un crédito parcial. Euskatel y Somos Conexión, ISPs más pequeños, se han destacado en la promoción de la privacidad de los usuarios a través de campañas o defendiendo a los usuarios en los tribunales. En este último caso, Euskatel ha impugnado una orden judicial que exige a la empresa revelar las direcciones IP en una demanda comercial. Tras entregarla finalmente una vez que la sentencia fue confirmada por un tribunal superior, Euskatel presentó una denuncia ante la autoridad española de protección de datos por la posible violación de las garantías de limitación de la finalidad teniendo en cuenta la forma en que el reclamante utilizó los datos.

El informe muestra que, en general, las cinco aplicaciones para el hogar (Fotocasa, Idealista, Habitaclia, Pisos.com, y YaEncontré) y dos aplicaciones de venta de artículos de segunda mano (Vibbo y Wallapop) tienen que aumentar considerablemente su juego de información sobre la privacidad. No recibieron ninguna estrella en nueve de las 13 categorías evaluadas. Esto debería dar a los usuarios una pausa y, a su vez, motivar a estas empresas a aumentar la transparencia sobre sus prácticas de privacidad de datos para que la próxima vez que se les pregunte si protegen los datos personales de los clientes, tengan más que mostrar.

A través de los informes ¿Quien Defiende Tus Datos?, las organizaciones locales en colaboración con la EFF han venido comparando los compromisos de las empresas con la transparencia y la privacidad de los usuarios en diferentes países de América Latina y España. A principios de este año, Fundación Karisma en Colombia, ADC en Argentina, y TEDIC en Paraguay publicaron nuevos informes. Las nuevas ediciones en Panamá, Perú, y Brasil también están en camino para descubrir qué compañías están al lado de sus usuarios y cuáles no lo están.

⛓ Continúa la emergencia Alimentaria en Granada

🔭El R.U y el reconocimiento facial🔭

El uso policial del reconocimiento facial viola los derechos humanos, sentencia judicial del Reino Unido

El uso de la tecnología debe estar limitado para cumplir con la legislación sobre derechos humanos, sostiene un tribunal.



Los defensores de la privacidad en el Reino Unido reclaman la victoria, ya que una corte de apelaciones dictaminó hoy que el uso policial de la tecnología de reconocimiento facial en ese país tiene “deficiencias fundamentales” y viola varias leyes.

Captura de pantalla de 2020-08-24 12-37-51Un primer plano de una cámara de reconocimiento facial de la policía en uso en el Cardiff City Stadium el 12 de enero de 2020 en Cardiff, Gales. La policía utilizó la tecnología para identificar a las personas que saltándose la prohibición de jugar fútbol en un intento por prevenir el desorden. Los críticos argumentaron que el uso de dicha tecnología es invasivo y discriminatorio.

Los defensores de la privacidad en el Reino Unido lo consideran una victoria, ya que una corte de apelaciones dictaminó que el uso policial de la tecnología de reconocimiento facial en dicho país tiene “deficiencias fundamentales” y viola varias leyes.

La policía de Gales del Sur comenzó a usar la tecnología de reconocimiento facial automatizado a modo de prueba en 2017, aplicando un sistema llamado AFR Locate descaradamente en varias docenas de actos importantes, como los partidos de fútbol. La policía comparó los escaneos con las listas de búsqueda de personas, con órdenes judiciales abiertas en su contra o eran de alguna otra manera personas de interés.

En 2019, el residente de Cardiff, Ed Bridges, presentó una demanda contra la policía, alegando que escanear su rostro en 2017 y 2018 fue una violación de sus derechos legales. Aunque fue respaldado por la organización de derechos civiles del Reino Unido Liberty, Bridges perdió su demanda en 2019, pero el Tribunal de Apelación acaba de anular esa decisión encontrando que el programa de reconocimiento facial de la Policía de Gales del Sur es ilegal.

Actualmente se deja demasiada libertad a los agentes de policía“, dictaminó el tribunal. No está claro a quién se puede apuntar en la lista de seguimiento, ni tampoco está claro que exista algún criterio para determinar dónde se puede desplegar la AFR“. La policía no investigó suficientemente si el software en uso muestra prejuicios de raza o género, agregó el tribunal.

En 2018, la Policía de Gales del Sur publicó datos en los que admitían que  de 2.300 de las casi 2.500 coincidencias, aproximadamente el 92 por ciento, el reconocimiento efectuado en un acto en 2017 resultaron ser identificaciones falsas.

Estoy encantado de que la Corte haya acordado que el reconocimiento facial, sin lugar a dudas, amenaza nuestros derechos“, dijo Bridges en una declaración escrita después del fallo. Esta tecnología es una herramienta de vigilancia masiva intrusiva y discriminatoria … Todos deberíamos poder usar nuestros espacios públicos sin estar sujetos a una vigilancia opresiva“.

El fallo no prohibe completamente el uso de la tecnología de reconocimiento facial dentro del Reino Unido, pero limita el alcance de lo que está permitido y lo que las fuerzas de orden público tienen que hacer para cumplir para respetar los derechos humanos.

Estoy seguro de que esta es una sentencia con la que podemos trabajar“, declaró un portavoz de la Policía de Gales del Sur, confirmando que no piensan recurrir el fallo.

¿Repercusión general?

Otras policías dentro del Reino Unido que utilizan tecnología de reconocimiento facial deberán cumplir con lo establecido por la sentencia en cuestión. Eso incluye a la Policía Metropolitana de Londres, que instaló un tipo similar de sistema a principios de este año.

Liberty elogió la victoria como “el primer desafío legal del mundo” al uso policial de la tecnología de reconocimiento facial, pero es casi seguro que no será el último. El uso policial de la tecnología de reconocimiento facial en los Estados Unidos es objeto de un mayor escrutinio en el contexto del movimiento nacional de protesta por los derechos civiles de este año en apoyo de las comunidades negras y contra la brutalidad policial.

⛓ Europa, apoya una Bielorrusia Libre

A los líderes de los 27 Estados miembro de la Unión Europea.

🔭Si crees que la legislación protege tu privacidad, te equivocas (I)🔍

privacidad

De hecho, pueden empeorar las cosas, especialmente si crees que tu privacidad la tienen que defender otros, la mayoría de los cuales están, más bien, incentivados a violarla.

Un ejemplo de lo mucho que pueden empeorar las cosas es el Reglamento General de Protección de Datos de la UE. En cuanto el GDPR entró en vigor en mayo del 2019, casi todas las empresas de internet publicaron un “aviso de cookie” que exigía la aceptación de los términos y políticas de privacidad que les permitiera seguir violando tu privacidad al recolectar, compartir, subastar y utilizar de cualquiera manera tus datos personales.

ambosEn el caso de los sitios web y los servicios del negocio de recolección (una fauna que ronda por toda la web comercial), estos avisos proporcionan una forma de adherirse con un solo clic a la letra de la RPI mientras se viola su espíritu.

También hay un gran negocio en el desacuerdo que produce. Para ver lo grande que es, busca GDPR+compliance en tu buscador. Recibirás 190 millones de resultados (más o menos, docenas arriba o abajo).

Ninguno de esos resultados son para ti, aunque se supone que eres a quien la GDPR debe proteger. Para la GDPR eres un mero “sujeto de datos” y no un participante independiente y plenamente funcional en el ecosistema técnico, social y económico que Internet apoya por diseño. Todas las protecciones de la privacidad en torno a tus datos son una carga para las otras partes.

O al menos esa es la interpretación que casi todos los legisladores, burócratas reguladores, abogados y proveedores de servicios hacen. (Una excepción es Elizabeth Renieris @hackylawyer. Sus escritos deberían ser de lectura obligatoria en el GDPR). Lo mismo ocurre con los que venden a la GDPR servicios de cumplimiento, que comprenden la mayor parte de esos 190 millones de resultados de la búsqueda de GDPR+compliance.

Los clientes de esos servicios incluyen casi todos los sitios web y servicio en el mundo que recolectan datos personales. Estas entidades no tienen incentivo económico para dejar de cosechar, compartir y vender datos personales de las maneras habituales, más allá del temor de lo que el GDPR les pudiera obligar, que hasta ahora (con pocas excepciones) no ha sucedido. (Ver Sin medidas coercitivas, el PIBR es un fracaso.

Peor aún, las herramientas para “gestionar” tu exposición a los recolectores de datos las proporcionan en su totalidad los sitios web que visitas y los servicios a los que te comprometes. Las “opciones” que presentan (si es que presentan alguna) son entre

  1. la aceptación de que hagan lo que quieran y
  2. un laberinto de menús llenos de casillas de verificación e interruptores de conmutación “controlando” tu exposición a amenazas desconocidas de las partes que nunca has visto, sin forma de registrar tus elecciones o de monitorear los efectos.

(continuará)

Aparece el mítico puerto de Gadir

El escarabajo verde – La segunda muerte de Lorca

A %d blogueros les gusta esto: