Browsing all articles tagged with WP2 Archives – Tu quiosco
jun
14
Compártelo en Facebook
Tweet esto!
votar
”Menéame”


El caso iPad y el caso Google Street View: inseguridad en las wifi

En este artículo de opinión vamos a explicar un poco “El Caso iPad” y el “Caso Street View” y la verdad que hay de trasfondo, la inseguridad en las redes wifi abiertas sin encriptación.

Es habitual que cuando encendemos nuestro ordenador portátil en cualquier lugar y buscamos redes wifi para poder conectarnos, nos salga una lista larga de opciones. El 80-90% de estas opciones son redes wifi seguras, se requiere una clave de autenticación para poder acceder, normalmente encriptada por uno de estos protocolos: WEP, WPA, WPA2,… Estas redes “son seguras”, lo ponemos entre comillas, porque actualmente casi nada es seguro, hay artículos por Internet donde se explica como crackear estas redes, con un sniffer y con muchas horas libres podríamos descifrar el código. En este artículo vamos a centrarnos en el 10-20% de redes que uno encuentra en cualquier lugar con libre acceso. ¿Cuántos de nosotros hemos usado alguna vez una de estas redes? Ya sea el generoso vecino de arriba, la empresa de abajo, el instituto o una biblioteca.

Aunque se sabe desde hace mucho tiempo que estas redes sin seguridad no son recomendadas, muchos de nosotros hacemos caso omiso a estas advertencias y seguimos navegando, incluso algunos trabajando.

“El caso iPad” que ahora comentaremos es una gota más que colma el vaso, un ejemplo más de cómo siempre hay alguien más listo que tu, alguien con conocimientos suficientes de las deficiencias tecnológicas para sacar un provecho.

Antes de comentar el caso iPad, nos centraremos en otro caso. Durante el año 2009 Google lanzó un proyecto muy ambicioso, Street View. Este proyecto consiste en recorrer con un coche y una cámara todas las calles de las principales ciudades del mundo, para tener así un callejero real. Este proyecto pretende dotar al servicio Google Maps de un contenido interactivo de primera mano. Para mi opinión una excelencia tecnológica, el único inconveniente su mantenimiento. Pues bien, resulta que este proyecto donde un coche con cámara y un software recorre las calles, no es del todo lo que parece. Varios países han exigido a Google que explique qué información recopila este software y cómo se procesa. Google el 27 de Abril del 2010 escribió una nota publicada en su blog oficial (http://googlepolicyeurope.blogspot.com/2010/04/data-collected-by-google-cars.html ), y remitida a las autoridades de protección de datos de varias naciones, que no sólo se registran imágenes sino que también se recopila información de los puntos de acceso Wifi detectados por los coches de Street View para que los usuarios de Google Maps tengan información de estas Wifis libres. ¿Os sorprende?. Esta nota oficial de Google, informa que “sólo” se registran de los puntos de acceso wifi la siguiente información: dirección MAC, el SSID, nivel del señal, canal y protocolo b/g/n usado, pero no se registra si la wifi está abierta o protegida por WEP/WPA. Google informa también en esta comunicación que los datos se obtienen de forma pasiva, sin que los equipos de Google intenten establecer comunicación con las redes detectadas, descartando así el payload de las tramas, de forma que nunca se accede al contenido de la comunicación. ¿Alguien se lo cree? Hay más. Google sigue comentando en esta notificación que de todos los datos almacenados, actualmente sólo se saca partido a dos de ellos; la dirección MAC y la posición del vehículo en el momento que fue detectada. Esta información nunca sale de sus servidores, ya que el funcionamiento de Google Location Services consiste en que el cliente (Firefox, Google Toolbar, etc.) envía un listado de las direcciones MAC detectadas por la tarjeta WiFi del usuario a geolocalizar y el servicio de Google devuelve las coordenadas aproximadas, calculadas a partir de su base de datos.

Coche de Google Street View

Nueve días más tarde de esta comunicación oficial de Google, el propio organismo publicó una nota rectificativa (http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html ), después que el gobierno alemán através de su agencia de protección de datos, exigiera una auditoría del servicio de Street View, en dicha nota la compañía reconoce que contrariamente con la nota publicada el día 27 de Abril, los coches de Street View sí han estado almacenando parte del contenido de las comunicaciones de puntos Wifi sin encriptar. Según Google, todo esto es debido a un error de software (siempre con la misma excusa) que se explica de la siguiente manera:

“Simplemente, fue un error. En 2006 un ingeniero que trabajaba en un proyecto WiFi experimental escribió un fragmento de código que muestrea todos los tipos de señales WiFi abiertas. Un año después, cuando nuestro equipo móvil comenzó un proyecto para recopilar los datos básicos de redes WiFi como la información SSID y las direcciones MAC desde los coches de Street View, incluyeron este código en el software, aunque los responsables del proyecto no tenían intención de utilizar el contenido de las comunicaciones.”

Google resta importancia a este hecho, ya que nunca se ha recopilado información completa de comunicación y mucho menos de las redes protegidas, e informa también que se ha suspendido completamente la recopilación de datos Wifis a través de Street View.

En mi humilde opinión, este hecho me parece de una gravedad muy grande, se ha vulnerado la privacidad, no sabemos hasta qué limites, y desconocemos los datos recopilados durante este año 2009 por Google. Probablemente en sus servidores hay información de todas las Wifis detectadas por Google Street View y del contenido de comunicación: contraseñas, e-mails, historial de accesos, datos personales, etc. Me parece este hecho una clara “patada en el trasero” a la ley de protección de datos, en lo que a nuestro país (España) nos atañe, creo que debería ser denunciado este hecho, ya que inflinge TOTALMENTE la LOPD (Ley Orgánica de Protección de Datos), dado que dudo que ningún usuario halla sido informado de estos hechos tan graves, por lo menos yo no he sido informado de la recopilación de los datos de la wifi de mi casa por parte de Google, ¿qué más pueden tener de mi?. Pero como siempre, todo esto se tapa. ¿Alguna noticia relevante del hecho en las noticias?¿Alguna denuncia publicada?

Siguiendo con este tema, vamos a hablar de otro caso, “el caso iPad”. Tal y como se publica en La Vanguardia (http://www.lavanguardia.es/internet-y-tecnologia/noticias/20100610/53943135530/100.000-direcciones-de-correo-electronico-de-usuarios-de-ipad-a-la-vista-apple-estados-unidos-franci.html ) en el artículo del 10 de Junio del 2010, la operadora de telecomunicaciones norteamericana AT&T ha comunicado que 100.000 direcciones de correo electrónico de usuarios del iPad podrían haber sido robadas por un fallo de seguridad en los sistemas de comunicación del nuevo iPad. Dicho fallo viene por las comunicaciones inalámbricas, exponiendo las identificaciones en las tarjetas de circuitos integrados de los iPads, que reconocen las tarjetas SIM de los dispositivos móviles. A través de este fallo según AT&T sólo se puede extraer la dirección de correo electrónica asociada a la tarjeta. Si AT&T dice que “sólo” se puede obtener esa información, hay que temblar, porque seguramente se puede obtener mucho más.

En otro artículo publicado en La Vanguardia (http://www.lavanguardia.es/internet-y-tecnologia/noticias/20100614/53945729496/ee.uu.-aumenta-la-seguridad-en-internet-tras-el-caso-ipad.html ) el día 14 de Junio del 2010, se informa que a causa del caso iPad, la Comisión Federal de Comunicaciones norteamericana ha tomado cartas en el asunto e intensificará el control de la seguridad y los problemas de privacidad en Internet tras las recientes violaciones de seguridad que involucran a Google con Street View y a Apple con iPad. Esta comunicación se hace 1 día después que el FBI halla abierto una investigación para aclarar los sucesos. Según la misma misiva la brecha de información en el iPad fue realizada por un grupo denominado Goatse Security que pirateó los datos de los abonados del iPad en AT&T.

Muchas preguntas quedan en el aire, y la verdad es que nada huele bien. Parece ser que Google y Apple están haciendo una campaña conjunta de violación de la privacidad, al parecer los han pillado, ¿habrá sanción?

La sociedad de la información ha llegado al extremo que lo más importante es eso, INFORMACIÓN. Las grandes compañías recopilan información de los clientes potenciales, sea legal o no, sin importar como hacerlo. Las grandes comporaciones luchan en la batalla de las tecnologías como referencia en la industria de futuro. Probablemente dentro de 10 años una empresa tecnológica sea la empresa más grande y con más poder del mundo, esta batalla se celebra ahora y el escenario es todo el mundo, incluso el virtual.

Switch to our mobile site