Firmas tecnológicas estadounidenses preocupadas por tensas relaciones Pekín - Washington

Firmas tecnológicas de EEUU temen respuesta de China ante acusación de ciberespionaje
Por Michael Martina y Matthew Miller para Reuters,

PEKÍN/SHANGHAI (Reuters) - Las firmas tecnológicas estadounidenses probablemente estén entre las compañías más afectadas por las tensas relaciones entre Pekín y Washington sobre la seguridad en Internet, después de que el Departamento de Justicia acusó a cinco altos mandos militares de la nación asiática de espionaje cibernético.

Los fabricantes de equipos y software como IBM o Cisco Systems ya han visto caer sus cifras de ventas en China después de que el año pasado el ex analista de la Agencia de Seguridad Nacional (NSA) Edward Snowden denunció al Gobierno estadounidense por espionaje.

Ejecutivos y analistas de la industria dijeron que ahora hacer negocios en China podría volverse más difícil, aunque cualquier represalia china por las acusaciones podría no ser tan obvia.

"El caldo de cultivo en China para las compañías de tecnología estadounidenses no es muy bueno ahora, y esto no lo va a hacer mejor", dijo James McGregor, presidente de la compañía de asesoría APCO China.

"Pero si están perdiendo su propiedad intelectual por el pirateo cibernético probablemente vean está acción tan necesaria como preocupante", sostuvo.

Las ventas de IBM en China han bajado en un 20 por ciento o más durante más de tres trimestres seguidos, dijo en abril la compañía con sede en Nueva York. Cisco afirmó la semana pasada que su negocio en China bajó un 8 por ciento en el trimestre.

"Siempre hay riesgo de represalias en China", dijo una compañía que trabaja de cerca con empresas de tecnología en Estados Unidos. "(Pero) el daño es tan general que ninguna compañía va a decir que el Gobierno (estadounidense) ha actuado de forma inapropiada", aseveró.

En diciembre, Google, Microsoft y otras seis compañías de tecnología estadounidenses con presencia global pidieron una revisión de las prácticas y las leyes que limitan cómo el Gobierno recoge información entre crecientes preocupaciones sobre la vigilancia online.

China ha negado insistentemente las acusaciones de espionaje por Internet y convocó a Max Baucus, embajador estadounidense en China, a una reunión con el ministro adjunto de Asuntos Exteriores chino, Zheng Zeguang, dijeron medios el martes.

"El Gobierno chino, el Ejército y su personal asociado nunca han llevado a cabo o participado en el robo de secretos a través de Internet, dijo Zheng a Baucus, de acuerdo al reporte de Xinhua.

REPRESALIAS

La decisión del Departamento de Justicia apunta a una nueva estrategia por parte de Washington, pero ha tomado con la guardia baja a las compañías que operan en China, lo que generó nuevas preocupaciones por posibles daños a su negocio.

Fuentes de compañías estadounidenses y del mercado dijeron que no habían sido avisados de que las acusaciones de espionaje fueran a hacerse públicas, y están preocupados porque pueden hacer la vida más difícil para las empresas estadounidenses.

"Fue muy sorprendente el día y el modo en el que salía", dijo una fuente de grupos de presión con sede en China. "Fue una táctica poco habitual por parte del gobierno de Estados Unidos hacerlo de ese modo", indicó.

"No creo que haya una represalia manifiesta, pero seguro habrá modos para que el Gobierno chino no permita la actuación de empresas extranjeras en ciertos sectores", añadió la fuente.- / Por Michael Martina y Matthew Miller para Reuters, (Reporte de Adam Jourdan; escrito por Paul Carsten. Traducido por Redacción de Madrid. Editado en español por Marion Giraldo).--

---.---

Imagen: Captura de pantalla del website del FBI que presenta información sobre el ciberespionaje desde China

Post relacionados:

• China presiona a los bancos para retirar servidores de IBM. 27/05/2014.
• El nuevo enemigo número uno de las ciberdefensas de EE.UU., la unidad china 61398. 20/05/2014.
• Estados Unidos inició acciones legales contra miembros del ejército chino acusados de ciberespionaje económico. 19/05/2014.
• Se espera una respuesta contundente a los ciberataques por parte de Estados Unidos. 20/02/2013.
• Cyberwar: En EE.UU. acusan a China como origen de los ciberataques. 19/02/2013.
• Hackers chinos en medios de EE.UU. 01/02/2013.

Más información en:

• Mandiant.
• Cyberwar.

Empresas en todo el mundo fortalecen su seguridad informática tras robo de información personal a sus clientes

Los datos de clientes se vuelven peligrosos tras repunte de la piratería
Por Peter Apps para Reuters.

WASHINGTON (Reuters) - Las empresas de todo del mundo están fortaleciendo su seguridad informática, después de que piratas cibernéticos robasen información personal de decenas de millones de clientes en los últimos meses, dejando a las compañías preguntándose quién será la siguiente víctima.

La realidad es, según los expertos en seguridad informática, que, gasten lo que gasten, incluso las compañías más grandes del mundo no pueden hacer mucho para evitar que su sistema sea atacado. La mejor defensa podría ser simplemente reducir la cantidad de información o encriptarla tan bien que resulte inútil si se roba.

No hace mucho tiempo, la mayor preocupación de la seguridad informática en las grandes corporaciones era el robo de discos y disquetes físicos con información de los clientes.

Ahora, los robos en línea son más comunes y más difíciles de detectar.

La semana pasada, Reuters reveló que empresas estadounidenses de la Fortune 500 buscaban contratar a expertos en seguridad cibernética, ofreciendo entre 500.000 y 700.000 dólares anuales, a veces incluso más.

Muchos de ellos tienen experiencia en puestos de alto nivel, pero peor pagados, en agencias de inteligencia o la Agencia Nacional de Seguridad estadounidense o la británica GCHQ -aunque algunos expertos dicen que las empresas europeas evitan contratar a ex empleados de la NSA tras las revelaciones de Edward Snowden.

"La información se ha vuelto tóxica para algunos minoristas, porque mientras más tienen, se convierten en un objetivo mayor", dijo Lamar Bailey, investigador de seguridad en la empresa de seguridad informática Tripwire. "La continua sucesión de ataques pone en cuestión qué información debería almacenar una organización", agregó.

La empresa estadounidense Target despidió a su CEO Gregg Steinhafel en mayo, después de que la firma anunció que piratas informáticos extranjeros habían robado hasta 70 millones de datos de usuarios, incluidos números de identificación personal (PIN, por sus siglas en inglés), a fines del año pasado.

Expertos de la industria dijo que las ventas desde su página web habían disminuido notablemente en los días antes de Navidad tras el ataque, y también se presentaron denuncias y abrieron investigaciones oficiales. Las consecuencias del mayor ataque corporativo registrado hasta ahora, la perdida de información protegida de 145 millones de clientes de eBay, no están claras.

Un ejecutivo de alto rango de eBay le dijo a Reuters la semana pasada que "durante mucho tiempo" la empresa no se había dado cuenta de lo comprometida que estaba la información de los clientes tras el ataque. / Por Peter Apps para Reuters. (Traducido por Francisco Pazos en la Redacción de Madrid; Editado por Ricardo Figueroa).--

---.---

Imagen:"He's watching you" ©Todos los derechos reservados

Post Relacionados:

• Nuestros datos tienen precio. El creciente problema del robo de identidad. 04/06/2014.
• En operación internacional contra el cibercrimen detienen a 80 personas tras 359 allanamientos en 16 países. 19/05/2014.

Más sobre Ciberseguridad en éste blog.

Argentina: Solicitan desestimar la boleta única electrónica.

Especialistas piden a Macri que cambie el voto eletrónico por la boleta única en papel.

Son organizaciones y especialistas en política electoral que proponen el uso de la boleta única en papel como alternativa al voto electrónico propuesto por el gobierno.

Por  Agencia DyN, publicado por La Nación.

Organizaciones y especialistas en política electoral cuestionaron la intención del gobierno nacional de avanzar hacia una reforma política sustentada en la boleta única electrónica , al tiempo que reclamaron mayor transparencia en el financiamiento de los partidos políticos y la transferencia de la organización de los comicios al Poder Judicial.

Imagen: Captura de pantalla de vídeo en YouTube
La imagen no pertenece a la nota de La Nación

Así lo expresaron en una carta enviada al presidente Mauricio Macri las organizaciones Poder Ciudadano, la Asociación Civil por la Igualdad y la Justicia (ACIJ), la Asociación Civil por los Derechos Civiles, Ageia Densi, Carrera de Ciencias Políticas de la Universidad de Buenos Aires, CEPPAS, Directorio Legislativo, Fundación Vía Libre y Salta Transparente.

"Estamos manifestando la necesidad de impulsar una serie de reformas normativas que garanticen la integridad del sistema electoral en Argentina", dijo Pablo Secchi, director Ejecutivo de Poder Ciudadano en declaraciones a DyN.

En la misiva presentada el 30 de octubre en la Casa de Gobierno a la que tuvo acceso esta agencia, las organizaciones transmitieron que "esa reforma debe tener un amplio consenso en la ciudadanía, la academia, las organizaciones de la sociedad civil y los partidos políticos".

"Pedimos el sistema de la boleta única en papel en clara oposición a la boleta única electrónica, porque entendemos que la acción del ciudadano no puede estar intermediaria por un sistema electrónico", precisó Secchi.

Al respecto fundamentó que desde Poder Ciudadano entienden que "el mundo vota con el sistema boleta única de papel" y aseguró que "la implementación de tecnología está yendo para atrás, sólo Brasil, India y Venezuela la mantienen para todo el país".

"No estamos a favor de la boleta electrónica porque no asegura el secreto del voto, puede ser que ese voto sea leído e informado a una autoridad", insistió Secchi, quien, además, alertó que es "muy difícil controlar el software".

En otro de los puntos de la misiva, las organizaciones plantean que "resulta imperioso para garantizar la equidad de la competencia, quitarle al Poder Ejecutivo Nacional cualquier tipo de facultad en la administración electoral y entregar al Poder Judicial de la Nación la organización total del proceso electoral".

"Es una discusión que tiene que dar el Congreso, si se le da la organización a la Cámara Nacional Electoral o se crea un organismo nuevo dependiente del Poder Judicial", explicó Secchi, quien consideró que el gobierno no puede ser quien organiza y compite en las elecciones.

Asimismo, las organizaciones consideraron necesario "reforma el sistema de financiamiento de los partidos políticos, buscando generar más transparencia en este componente tan sensible del proceso electoral".

Secchi puntualizó que desde Poder Ciudadano plantearon la necesidad de avanzar en una "bancarización" de las personas que quieren hacer donaciones a los partidos políticos. Además se mostraron a favor de que "se vuelva a permitir la donación de las empresas", que con la reforma de 2009 "se sacó ese permiso aunque las empresas siguen donando".

Como parte de los cambios exigidos por estas organizaciones también aspiran a una suerte de blanqueo de las campañas, porque "todo el financiamiento se analiza por los 30 días legales y no por la precampaña".

En este aspecto, las organizaciones también reclamaron "terminar con la utilización de los recursos públicos para la campaña". / Por  Agencia DyN, publicado por La Nación.-

Brasil planea reforzar la seguridad de sus comunicaciones y eludir espionaje

Brasil intenta eludir espionaje EEUU con nuevos cables y satélites
Publicado por Anthony Boadle para Reuters

BRASILIA (Reuters) - ¿Es posible que algún gobierno eluda la vigilancia de la Agencia Nacional de Seguridad estadounidense? Brasil va a intentarlo.

Enfurecido por recientes revelaciones de que Estados Unidos espió los correos y llamadas telefónicas hasta de la presidenta Dilma Rousseff, el Gobierno brasileño aceleró sus esfuerzos por mejorar la seguridad de sus comunicaciones y proteger mejor sus secretos.

¿Cómo? Mediante la compra de un nuevo satélite, imponiendo el uso de nuevas plataformas seguras de correo electrónico para los burócratas en Brasilia y tendiendo sus propios cables de fibra óptica para comunicarse con sus vecinos.

El énfasis en reforzar la seguridad de las comunicaciones era difícil de vender en un país relajado, sin una historia de terrorismo internacional y que no ha librado una guerra en más de un siglo.

Funcionarios brasileños admiten que enfrentan problemas parecidos a los de otros países molestos con las revelaciones sobre el vasto espionaje de la Agencia Nacional de Seguridad de Estados Unidos (NSA por su sigla en inglés): construir nueva tecnología es costoso y difícil, y no garantiza que los secretos estén a salvo del espionaje estadounidense.

Y sin embargo, Brasil está especialmente motivado a actuar.

La mayor economía de América Latina se siente especialmente humillada por los documentos filtrados por el ex contratista de la NSA, Edward Snowden.

Según un reporte el domingo del canal de televisión Globo, la agencia interceptó las comunicaciones de Rousseff con sus principales asesores y las usó como "caso de estudio" para mostrar sus herramientas de espionaje.

Rousseff está tan enojada que podría cancelar una visita de Estado a Washington programada para octubre, dijo el miércoles a Reuters un funcionario brasileño.

Antes de las denuncias de espionaje a la presidenta, Brasil ya estaba irritado con Estados Unidos. La prensa había reportado en julio que la NSA espió correos y recolectó datos de llamadas telefónicas en Brasil y otros países de América Latina.

Estados Unidos respondió que observaba apenas patrones de comunicación para detectar posibles amenazas a la seguridad, pero no espiaba a las personas.

Burócratas que trabajan en los edificios modernistas del Gobierno en Brasilia han usado durante años servicios de correo electrónico encriptado, incluyendo una plataforma local llamada "Expresso".

Pero es recién ahora que los funcionarios se dieron cuenta de su importancia, dice Marcos Melo, el gerente de Serpro, una empresa estatal de comunicaciones que desarrolló Expresso y que provee al Gobierno de bases de datos seguras.

"Ahora la gente entiende el riesgo que corre por no proteger las comunicaciones", dijo Melo. "Hace seis años, cuando empezamos a invertir en Expresso nos decían: '¿Para qué crear una nueva herramienta, si Gmail ya existe y es gratuito?'"

CONTROLANDO LOS CIELOS

Las primeras revelaciones sobre el espionaje incluyeron documentos que mostraban que la NSA y la Agencia Central de Inteligencia tenían una red de monitoreo vía satélite en 64 países, incluyendo una en un barrio residencial de Brasilia, la capital del país.

Coincidencia o no, en las últimas semanas Brasil tomó una serie de cruciales decisiones para ganar más independencia en sus cielos.

En cuestión de semanas escogió a Thales Alenia Space, un consorcio liderado por la mayor empresa europea de electrónica para defensa -la francesa Thales-, para construir un satélite que será compartido por el Gobierno y por las Fuerzas Armadas.

El satélite será operado por Visiona, creada por la empresa estatal de comunicaciones Telebras y el fabricante brasileño de aviones Embraer, que prevén construir otros aparatos en el futuro.

La elección de Thales en vez de un consorcio formado por empresas estadounidenses y japonesas sorprendió a diplomáticos en Brasilia, que se preguntaron si las revelaciones de la NSA tuvieron algo que ver.

El presidente de Telebras, Caio Bonilha, dijo a Reuters que el principal factor en la decisión fue el costo y no el temor a que un satélite fabricado en Estados Unidos fuera susceptible de espionaje.

Sin embargo, hablando en términos generales sobre acciones recientes de la compañía, reconoció que "ahora la seguridad se ha transformado en una preocupación principal".

Gran parte de las comunicaciones del Gobierno brasileño, incluyendo las militares, depende de satélites propiedad de una empresa controlada por el multimillonario mexicano Carlos Slim. Brasil no puede supervisar su ángulo y mucho menos la seguridad de sus canales.

El nuevo satélite de Thales será lanzado desde la vecina Guyana Francesa en el 2016. El costo total, incluyendo el lanzamiento y el seguro, será de entre 600 y 650 millones de dólares.

Brasil también empezó a tender conexiones directas de fibra óptica con sus vecinos sudamericanos -Uruguay ya fue conectado y Argentina será el próximo- para evitar que la información entre los gobiernos tenga que pasar a través de las redes en Estados Unidos.

"Cuanto menos viaja alrededor del mundo tu información, más segura está", dijo Bonilha.

Y Serpro, la empresa estatal que desarrolla comunicaciones seguras, prevé que sus productos sean adoptados por más partes de la administración pública.

Expresso, una plataforma que incluye correo electrónico, chat, conferencias de video, administración e intercambio de archivos, tiene 700.000 usuarios, aunque apenas 60.000 en el gobierno federal y sólo 1.000 en el palacio del Planalto, la sede de la presidencia. El software es también usado por otras empresas estatales y privadas.

Melo dijo que el desarrollo de la Expreso 3 es una prioridad para el Gobierno. La compañía estatal brasileña está trabajando junto con la alemana Metaways.

Expresso está basado en software de fuente abierta que, al contrario de lo que podría parecer, ofrece mayor seguridad pues el código es conocido y puede ser probado contra invasiones, a diferencia del software de propiedad privada de código secreto como Google que, según Melo, puede permitir el acceso a la información de los usuarios.

Google ha negado que el Gobierno de Estados Unidos tenga acceso o que exista una "puerta trasera" para la información almacenada en sus centros de datos.

Pero la Comisión de Relaciones Exteriores del Senado de Brasil convocó a ejecutivos de Google, Facebook y Microsoft a declarar en una investigación sobre su posible colaboración con la NSA.

Todos negaron que sus firmas hayan participado en esas actividades. (Reporte de Anthony Boadle; Editado en español por Esteban Israel) / Reuters.

Post relacionados:

• Brasil lanzará en 2016 un satélite de Defensa y Comunicaciones para proteger las redes de informaciones estratégicas. 06/09/2013.
• Brasil anunció suspensión de preparativos para viaje de Rousseff a EE.UU.. 05/09/2013.
• Pegan fuerte en Brasil los reportes de espionaje estadounidense. 04/09/2013.

La Unión Europea va a reformular acuerdos para transferencia de datos personales con Estados Unidos.

La Unión Europea UE va a presionar para reformular la transferencia de datos personales a Estados Unidos después de que la máxima corte de la UE resolvió que el acuerdo que permite a miles de empresas transferir datos desde Europa a Estados Unidos es inválido, consideran que el sistema actual es ilegal.

La Justicia europea dicta una sentencia histórica contra la entrega de datos digitales a EE.UU.

Publicado por La Nación.

La información privada de los usuarios europeos de servicios digitales (incluso si son de empresas estadounidenses) deberá quedarse en servidores situados en Europa.

European Flag Foto de Rock Cohen(CC) Algunos derechos reservados
Visto en Flickr. La imagen no corresponde a la nota de La Nación

El Tribunal de Justicia de la Unión Europea (UE) dictó hoy una sentencia histórica contra la transferencia de datos personales de ciudadanos europeos a EE.UU., que obligará a Bruselas a negociar con Washington un nuevo marco que garantice un mejor nivel de protección.

La máxima instancia judicial comunitaria invalidó hoy una decisión de la Comisión Europea (CE) que declaraba que EE.UU. garantiza una protección adecuada de los datos personales y avalaba la transferencia de esa información.

La Corte de Luxemburgo concluyó que el Ejecutivo comunitario no llevó a cabo un examen adecuado para determinar si EE.UU. garantizaba efectivamente un nivel de protección de los derechos fundamentales equivalente al de la UE en materia de transmisión de datos personales de sus ciudadanos.

El portavoz comunitario Margaritis Schinas afirmó que se trata de una "decisión importante que arroja una serie de cuestiones políticas" que serán abordadas por el colegio de comisarios hoy mismo en Estrasburgo (Francia), donde está reunido el pleno del Parlamento Europeo (PE).

El dictamen de la Corte responde a la larga batalla legal contra Facebook que inició en 2011 un estudiante austríaco de Derecho, Max Schrems, y puede acabar afectando a las firmas tecnológicas de EEUU con presencia en Europa, como Facebook, Apple, Google y Microsoft.

Brasil lanzará en 2016 un satélite de Defensa y Comunicaciones para proteger las redes de informaciones estratégicas

El satélite que Brasil lanzará en 2016 reducirá vulnerabilidad al espionaje

Publicado por Terra / EFE

Río de Janeiro, 5 sep (EFE).- El Satélite Geoestacionario de Defensa y Comunicaciones Estratégicas (SGDC) que Brasil lanzará en 2016 para sus comunicaciones militares y para universalizar el acceso a internet reducirá la vulnerabilidad de las comunicaciones brasileñas al espionaje, según uno de los responsables del proyecto.

"El sistema que estamos montando para el Ministerio de Defensa cuenta con estándares militares de seguridad", dijo hoy a Efe el ingeniero Nelson Salgado, presidente de Visiona, la empresa que se adjudicó la licitación del Gobierno para desarrollar el proyecto del que será primer satélite geoestacionario propio de Brasil.

Salgado, uno de los principales expositores este jueves en el XIII Congreso Latinoamericano de Satélites en Río de Janeiro, explicó que el Ministerio de Defensa está aprovechando la experiencia que ya tiene en criptografía y seguridad en el tráfico de datos para montar el sistema con el que operará los canales exclusivos que tendrá a su disposición en el nuevo satélite.

El interés del gobierno brasileño en contar con un sistema propio de comunicación por satélite creció en los últimos días tras las denuncias según las cuales la agencia estadounidense de seguridad NSA espió las comunicaciones telefónicas y electrónicas de la presidenta brasileña, Dilma Rousseff, y de sus principales asesores.

Los documentos que revelan esas supuestas operaciones fueron divulgados el domingo por el canal de televisión Globo y tienen como base archivos que el periodista Glenn Greenwald, columnista del diario The Guardian y residente en Río de Janeiro, obtuvo directamente de Edward Snowden, exanalista de la NSA y la CIA.

Brasil reaccionó con indignación a las revelaciones, convocó al embajador de EE.UU. en el país, Thomas Shannon, exigió explicaciones "rápidas y por escrito" al Gobierno de Barack Obama, y puso en duda la visita oficial a Washington que Rousseff tiene prevista para el 23 de octubre próximo.

Salgado admitió que, al menos en sus aplicaciones militares, el sigilo de las comunicaciones del satélite estará garantizado.

El presidente de la telefónica estatal Telebras, Caio Bonilha, dijo el miércoles que la intención del Gobierno es proteger las redes por las que pasan informaciones estratégicas.

"Vamos a trabajar con algoritmos y criptografía propios para que todos los datos sensibles que pasen por nuestro satélite sean inviolables", afirmó el presidente de Telebras, que será operadora del SGDC.

El Ministerio de Defensa de Brasil usa actualmente para sus comunicaciones por satélite los servicios de Star One, una subsidiaria de la brasileña Embratel, que es controlada por la multinacional América Móvil del millonario mexicano Carlos Slim.

Brasil contaba con satélite propio para sus comunicaciones militares hasta 1997, cuando la entonces estatal Embratel fue privatizada.

"Eso es incómodo para los militares. Genera un problema de seguridad en determinadas situaciones críticas", según Bonilha.

Para volver a tener control directo sobre sus comunicaciones estratégicas y garantizar el acceso a internet por banda ancha en todo el país, el gobierno brasileño inició hace dos años un proyecto para lanzar y operar su propio satélite geoestacionario.

La misión fue encomendada a la empresa Visiona Tecnología Espacial, un consorcio integrado por Telebras (49 %) y por el fabricante aeronáutico Embraer (51 %).

Y Visiona anunció el mes pasado que escogió al grupo europeo Thales Alenia Space para fabricar el aparato y a Arianespace para mandarlo al espacio.

El Gobierno planeaba lanzar su satélite en 2014 para atender parte de la demanda generada por el Mundial de fútbol que el país organizará ese año, pero ha tenido que postergarlo.

"La previsión más realista es que podremos estar operativos en unos 36 meses, es decir a mediados de 2016", según las declaraciones de Salgado a Efe. / Publicado por Terra / EFE

Post relacionados:

• Brasil anunció suspensión de preparativos para viaje de Rousseff a EE.UU.. 05/09/2013.
• Pegan fuerte en Brasil los reportes de espionaje estadounidense. 04/09/2013.

X-Keyscore un programa de espionaje de la NSA, alcanza a Latinoamérica

Visto en The Guardian

El diario ingles The Guardian, ha publicado hoy nueva información sobre X-Keyscore, como una "herramienta" de la NSA que recoge "casi todo lo que un usuario hace en Internet".

Desde hace un tiempo para ésta parte se conocía que X-Keyscore era un programa de vigilancia masiva ejecutado conjuntamente por la National Security Agency (NSA) de los Estados Unidos, la Defence Signals Directorate (DSD) de Australia y el Government Communications Security Bureau (GCSB) de Nueva Zelanda. Y se ejecutaría desde cuatro bases en Australia y una en Nueva Zelanda.

Su historia tiene que ver con el Terrorist Surveillance Program (Programa de Vigilancia de Terroristas), que era un programa de vigilancia electrónica implementada por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos a raíz de los ataques del 11 de septiembre 2001. El programa estaría bajo la supervisión judicial dispuesto por la Ley Foreign Intelligence Surveillance Act (FISA) (Vigilancia de Inteligencia Extranjera)

El 17 de agosto de 2006, el juez de distrito Anna Diggs Taylor determinó que el programa era inconstitucional e ilegal, pero el fallo fue apelado y la decisión fue anulada por motivos de procedimiento (1) . El 6 de junio de 2013, se reveló que el Programa de Vigilancia de Terroristas fue reemplazado por un nuevo programa de la NSA, conocida por su palabra en clave, PRISM.

Según la información publicada por The Guardian el programa permite a los analistas buscar a través de enormes bases de datos que contienen mensajes de correo electrónico, chats en línea y los historiales de navegación de millones de personas. La NSA cuenta, en los materiales de capacitación, que el programa X-Keyscore es su sistema de "mayor alcance" para el desarrollo de la inteligencia de internet.

La información señala que para realizar la recopilación de la información se utiliza una red de servidores, que actúan como "sondas de la red". Esta red de servidores, llamada Digital Network Intelligence, es un clúster distribuido de servidores Linux (no se dan más detalles en la presentación) que forman un grid de 500 máquinas ubicadas en 150 ubicaciones geográficas de todo el mundo (algunos de los países que están marcados en la presentación publicada son España, Brasil, México, Australia, Venezuela, Colombia o Ecuador).

El propósito de X-Keyscore es permitir a los analistas a buscar metadatos, así como el contenido de los correos electrónicos y otras actividades de Internet, tales como el historial del navegador, incluso cuando no hay ninguna cuenta de correo electrónico conocido, asociada con el individuo en la mira. Los analistas también pueden buscar por nombre, número de teléfono, dirección de IP, palabras clave, el idioma en que se realizó la actividad de Internet o el tipo de navegador utilizado.

La nota de The Guardian señala que los analistas advirtieron que la búsqueda de la base de datos completa para el contenido dará demasiados resultados para tamizar. En su lugar, se recomienda utilizar metadatos, que también se almacena en las bases de datos para reducir lo que debe revisar.

Desde ALT1040 señalan que "La capacidad de la NSA para correlacionar datos y trabajar en el ámbito del Big Data es tan impresionante que, realmente, llega a asustar puesto que según las revelaciones de Edward Snowden, un analista podría localizar usuarios que se están conectando a Internet en Pakistán pero que hablan alemán, cifran sus mensajes y, además, se conectan con una VPN".

The Guardian señala que más allá de los correos electrónicos, el sistema X-Keyscore permite a los analistas supervisar una variedad casi ilimitada de otras actividades de Internet, incluidos los de los medios sociales.

Una herramienta llamada DNI Presenter, se utiliza para leer el contenido de los correos electrónicos almacenados, también permite, a un analista con X-Keyscore, leer el contenido de Facebook, chat o mensajes privados. El analista puede controlar estos chats de Facebook introduciendo el nombre de usuario de Facebook, y un rango de fechas en una pantalla de búsqueda simple.

Los analistas pueden buscar en Internet las actividades de navegación utilizando una amplia gama de información, incluyendo los términos de búsqueda introducidos por el usuario o las páginas web visitadas.

El programa también permite al analista aprender las direcciones IP de cada persona que visita cualquier sitio web que el analista especifica.

La cantidad de las comunicaciones accesibles a través de programas como X-Keyscore es asombrosamente grande.

En declaraciones a The Guardian, el NSA dijo que sus actividades se concentran y despliegan específicamente contra - y sólo en contra - los objetivos de inteligencia extranjeros legítimos en respuesta a los requerimientos necesarios "para proteger a nuestra nación y sus intereses". También que "cada búsqueda de un analista NSA es completamente auditable, para asegurarse de que son correctas y dentro de la ley".

Fuente:

• XKeyscore: NSA tool collects 'nearly everything a user does on the internet'. The Guardian. 31/07/2013.

Más sobre el tema Prism y los programas de vigilancia en éste blog.

Argentina, la Cámara Nacional Electoral (CNE) señala riesgos en ciberseguridad

Advierten que peligra el sistema informático de la justicia electoral.
Por Gabriel Sued, publicado por La Nación.

La Cámara dijo que existe un temor de vulnerabilidad y pidió que se refuerce la seguridad.

El hackeo de la cuenta de Twitter de Patricia Bullrich y de casillas de mail del Ministerio de Seguridad agudizó una preocupación que inquieta a la justicia electoral desde hace algunos años. Ante el temor de que los ataques se extiendan a otras dependencias del Estado, la Cámara Nacional Electoral (CNE) volvió a advertir ayer que las vulnerabilidades del sistema informático del fuero ponen en riesgo determinadas instancias del proceso electoral.

Voto cadena electrónico con sistema de Boleta Única Electrónica
Imagen: Captura de pantalla de vídeo en YouTube.
Post relacionado: Sobre la "posibilidad" de crackear una elección
La imagen no pertenece a las notas de La Nación y Perfil

"En el estado actual de los sistemas en uso se requiere reforzar todos los aspectos de la gestión de la seguridad informática en los sistemas de la justicia nacional electoral, los que, de no ser abordados con suficiente anticipación y a través de medidas pertinentes, podrían incluso afectar su desempeño", dice el comunicado con el que el mayor tribunal electoral del país hizo sonar la alarma.

El escrito hace pública una batalla que la CNE viene dando hacia el interior del Poder Judicial para lograr mayores recursos destinados a renovar su sistema informático. De hecho, el miércoles pasado el tribunal envió un oficio a la presidenta del Consejo de la Magistratura, la abogada Adriana Donato, para reclamar que el cuerpo encargado de la administración del Poder Judicial garantice la seguridad de la información que circula en los sistemas que van a usarse en los próximos comicios legislativos.

El pedido se hizo después de que la CNE recibió un informe preliminar de una auditoría sobre la seguridad informática de los sistemas que usa el fuero. Ese estudio hizo hincapié en la vulnerabilidad de los servicios de consulta ciudadana que el tribunal ofrece en Internet. Lo que está en riesgo, advierten en la CNE, son las consultas online de padrones, la página de reclamos por datos de empadronamiento, el formulario de inscripción de los electores residentes en el exterior y la publicación de los resultados de los escrutinios provisorio y definitivo.

"El nivel de seguridad de nuestros servidores es muy deficiente. Puede pasar que el día de las elecciones nos hackeen la página donde se dan los resultados", explicó a LA NACION un funcionario de la cámara. El resto de los riesgos detectados tiene que ver con el proceso previo al acto electoral. "¿Cuál sería el efecto de que alteraran la página que le indica a la gente su lugar de votación? Puede pasar cualquier cosa", advierten en la CNE.

El reclamo del tribunal está en sintonía con la preocupación que vienen manifestando jueces electorales de todo el país. María Servini de Cubría, jueza federal con asiento en la Capital, analiza citar la semana que viene a los apoderados de todos los partidos para ponerlos al tanto de la situación, informó el diario Perfil.

En tribunales todos mencionan como antecedente preocupante el ataque cibernético que sufrió en octubre del año pasado el sistema informático del Poder Judicial. Durante horas permaneció inaccesible el sitio pjn.gov.ar. A raíz de ese episodio, el entonces presidente del Consejo de la Magistratura, Miguel Piedecasas, presentó una denuncia penal, que recayó en el juzgado de Luis Rodríguez.

Estados Unidos establece límites al uso de datos de la UE

EEUU pone límites a espionaje como parte de un nuevo pacto de datos con la UE.
Por Julia Fioretti, publicado en Reuters.

BRUSELAS (Reuters) - Estados Unidos ha establecido límites al uso que da a los datos de ciudadanos europeos, tras alcanzar este mes un nuevo pacto de intercambio de información, según documentos a los que tuvo acceso Reuters.

Imagen vista en "National Cyber Range: "Ciberguerra" al estilo Matrix" en FayerWayer
La imagen no pertenece a la nota de Reuters

Una explicación clara sobre qué información puede ser utilizada, para evitar su uso "indiscriminado" y "arbitrario", fue una condición clave del nuevo marco de protección de privacidad que permite a las empresas transferir fácilmente información personal hacia Estados Unidos.

Bajo el acuerdo, Washington acordó crear una nueva función específica dentro del Departamento de Estado para hacer frente a los reclamos y consultas enviadas por los organismos de protección de datos de la UE.

También habrá un mecanismo alternativo de resolución de conflictos para tratar las quejas y una revisión anual conjunta del acuerdo.

En una carta dirigida al Departamento de Comercio de Estados Unidos, Robert Litt, consejero general de la oficina del director de Inteligencia Nacional, dijo que los datos recolectados sólo pueden ser usados para seis fines específicos, entre ellos contra el terrorismo y la ciberseguridad.

Además las autoridades estadounidenses aplicarían las mismas medidas de protección contra la recopilación de datos indiscriminada sobre la información que se transmite a través de los cables transatlánticos.

Ésta era una de las principales preocupaciones europeas, en referencia a la baja protección que se daba a la información recopilada fuera de las fronteras de Estados Unidos.

El asunto de la privacidad se convirtió en un tema conflictivo entre la UE y Estados Unidos después de que el ex analista de inteligencia estadounidense Edward Snowden revelara en 2013 las prácticas de vigilancia masiva por parte del gobierno estadounidense. / Por Julia Fioretti, publicado en Reuters. 

(Reporte de Julia Fioretti.; Traducido por Ana Vicario en la Redacción de Madrid.; Editado por Lucila Sigal).--

Más noticias sobre ciberespionaje en éste blog.

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

El presidente Obama anunciará una nueva legislación en materia de ciberseguridad

Obama busca que empresas compartan información para detener ciberataques
Por Roberta Rampton para Reuters.

WASHINGTON (Reuters) - El presidente estadounidense, Barack Obama, anunciará el martes un renovado impulso legislativo en materia de ciberseguridad después de los recientes ataques informáticos contra compañías como Sony Pictures o Home Depot.

Obama expresará su apoyo a los esfuerzos para dar protección de responsabilidad a las empresas que compartan rápidamente información sobre los ataques, pero exigirá una protección estricta de la información personal, dijo la Casa Blanca en un comunicado.

La Casa Blanca propuso una nueva legislación en materia de ciberseguridad por primera vez en 2011. En el último Congreso, la Cámara de los Representantes, controlada por los republicanos, aprobó una norma, pero el Senado no llegó a sacarla adelante.

Los legisladores han luchado para equilibrar las preocupaciones corporativas sobre la responsabilidad con el miedo de los consumidores por su privacidad, especialmente después de que el ex analista de la NSA Edward Snowden filtrara información sobre los programas de espionaje del Gobierno.

El propio Gobierno no ha sido inmune a los ciberataques. El lunes, las cuentas de redes sociales del mando militar de Estados Unidos que supervisa las operaciones en Oriente Medio sufrieron un ataque cibernético por parte de supuestos aliados del Estado Islámico.

Obama se reunirá el jueves con importantes congresistas en la Casa Blanca el jueves y espera debatir sus propuestas en materia de ciberseguridad.

En un discurso en el centro neurálgico de ciberseguridad del Departamento de Seguridad Nacional, programado para las 2010 GMT, Obama también propondrá nuevos poderes para el cumplimiento de la ley con el objetivo de investigar y perseguir el cibercrimen, dijo la Casa Blanca.

Su propuesta incluye medidas para permitir la persecución legal de la venta de "botnets" -redes de robots informáticos que se ejecutan de forma automática y autónoma-, y podría dar a los juzgados el poder de desmantelar los "botnets" responsables de cometer ataques por denegación de servicios.

Los "botnets" se utilizan, normalmente, para robar información financiera, publicar mensajes 'spam' y dirigir ataques por "denegación de servicio" contra páginas web.

Otras medidas podrían estar destinadas a impedir la venta de "spyware", o programas espías, y podrían hacer que la venta de información de tarjetas de crédito robadas en el extranjero se convierta en un delito, dijo la Casa Blanca.

El presidente estadounidense también revelará detalles de una cumbre de ciberseguridad programada para el jueves 13 de febrero, una reunión que no tendrá lugar en la Casa blanca, sino en Silicon Valley, en la Universidad de Stanford.

Las propuestas legislativas de Obama forman parte de un avance de su próximo discurso del Estado de la Unión, que tendrá lugar el próximo 20 de enero. / Por Roberta Rampton para Reuters. (Editado por Rodrigo Charme).--

---.---

El presidente Barack Obama se reúne con el secretario de Comercio Penny Pritzker y CEOs para discutir los esfuerzos conjuntos por la Administración y la industria para desarrollar el Marco de Seguridad Cibernética para mejorar la ciberseguridad de la infraestructura crítica, en la Sala de Situación de la Casa Blanca, 29 de octubre de 2013. (Official White House Photo por Pete Souza)

Post relacionados:

• Cyberwar - Estados Unidos y Gran Bretaña acuerdan acciones conjuntas en materia de inteligencia y ciberdefensa. 16/01/2015.
• Cyberwar - Ciber ataque a la cuenta en Twitter del Comando Central de Estados Unidos. 12/01/2015.
• Cyberwar - Sobre como funcionó el back office de Sony Pictures tras el ciberataque. 05/01/2015.
• Cyberwar - Los ataques se vienen incrementando a un ritmo alarmante. 19/12/2014.
• Sobre los ciberataques a la Casa Blanca y a las empresas estadounidenses. 04/11/2014.
• Gran Bretaña obligará a compañías de telecomunicaciones retener datos de clientes durante un año, por seguridad. 10/07/2014.
• OTAN quiere un marco legal que regule la guerra en internet. 07/07/2014.
• 18% del sector Gobierno y Defensa fue ciberatacado en el último año. 01/07/2014.
• Ciberataque masivo contra empresas energéticas europeas y estadounidenses. 01/07/2014.
• La Casa Blanca planea acuerdo público-privado sobre la seguridad cibernética. 04/02/2013.

Sobre la soberanía de los datos

Más allá de Snowden: la soberanía de los datos.- "¿Los datos que una compañía o gobierno considera estratégicos, deben estar en una nube internacional o en servidores y data centers dentro del territorio nacional? La masiva adopción del cloud, desde el popular Gmail a sofisticadas plataformas empresariales, está provocando una ambigüedad geopolítica de datos en todos los frentes. "¿Crees que mi correo es seguro? Sería estúpido si pensara que sí", decía este lunes el secretario General de la Unión Internacional de Telecomunicaciones, Hamadoun Touré. La visión de Touré no es antojadiza y responde a un miedo generalizado tras el caso PRISM, que no dejó país, agencia, ni continente sin espiar. Por Pablo Albarracín para Ae tecno - AméricaEconomía.

Post relacionado:

• La guerra cibernética está declarada, según la ONU. 16/07/2013.

Más sobre el tema Prism y los programas de vigilancia en éste blog.

La respuesta de rusa

Rusia se pone a la defensiva por las acusaciones de EEUU en la ciberguerra.
Por Pilar Bonet, publicado por EL PAíS y La Nación.

Mientras niega interferencias en otros países, el Kremlin pone en marcha medidas de protección ante posibles ataques.

Imagen de ITAR-TASS. Visto en Russia Beyond The Headlines
Post relacionados: Para estar atentos, el oso se ha parado ofensivamente y Se niega que estamos ante una nueva Guerra Fría, pero...

Cállense o demuéstrenlo. A este dilema en esencia puede reducirse la respuesta pública de Rusia a los políticos y los jefes de los servicios de inteligencia estadounidenses, que la acusan de interferir desde el ciberespacio a favor de Donald Trump en las elecciones presidenciales. Barack Obama se sumó el viernes al coro acusador y dijo haber planteado el problema de los ataques de hackers a su colega ruso, Vladímir Putin, en septiembre durante la cumbre del G20 en China.

Yuri Ushakov, asesor de política internacional de Putin, confirmó que los dos dirigentes trataron el tema. “Por nuestra parte, se dio una respuesta muy precisa que puede ser que no encaje en lo que Obama intentaba explicarnos”, señaló Ushakov. Antes, Dmitri Peskov, el secretario de prensa de Putin, afirmó que “hay que dejar de hablar de eso o mostrar de una vez las pruebas”. “De lo contrario, esto parece ya bastante indecente”, agregó.

Siendo Hillary Clinton secretaria de Estado, Putin acusó a este departamento de alentar protestas contra su política. Entre los acontecimientos supuestamente instigados desde el exterior, las autoridades rusas incluyen las grandes manifestaciones contra las irregularidades en los comicios parlamentarios y presidenciales de 2011 y 2012, respectivamente. En opinión de Andréi Lipski, subdirector del diario crítico Nóvaya Gazeta, “las acusaciones a Rusia de inmiscuirse en las elecciones en EE UU y en las próximas en Alemania son el reflejo especular de la argumentación, para consumo interno, de los dirigentes rusos, que alegaban la existencia de unas fuerzas exteriores que interfieren en la normalidad de los procesos políticos en Rusia”.

Encontrar a los hackers en un ciberespacio, incontrolado y poblado de especulaciones no resulta fácil, afirma Lipski. Según el periodista, “la victoria de Trump y las de otros líderes que serán calificados de populistas se basan sobre todo en sentimientos, en mitos y en la comprensión virtual del mundo por parte del electorado, y no en hechos”.

Tras las narrativas sobre perpetradores y ejecutores de ciberataques, que los ciudadanos comunes no pueden verificar, hay problemas de confianza que se remontan a la Guerra Fría, ahora con nuevas dimensiones tecnológicas añadidas. La experiencia lleva al escepticismo sobre los argumentos esgrimidos por los políticos, supuestamente basados en datos de los servicios de inteligencia. Ejemplo de ello son las acusaciones norteamericanas no confirmadas contra Sadam Hussein por el supuesto intento de desarrollar armas de destrucción masiva en Irak, así como los señalamientos rusos a los líderes ucranianos para tratar de legitimar la ocupación de Crimea y la intervención en el este de Ucrania.

Twitter Inc intensifica su batalla con las agencias federales estadounidenses por la primera enmienda de la Constitución

Twitter demanda a Depto. Justicia EEUU por derecho a revelar pedidos de vigilancia
Por Alexei Oreskovic para Reuters.

SAN FRANCISCO (Reuters) - Twitter Inc demandó el martes al Departamento de Justicia de Estados Unidos, intensificando su batalla con las agencias federales en momentos en que el autoproclamado paladín de la libertad de expresión en internet busca lograr el derecho de revelar los alcances del programa de vigilancia gubernamental.

La demanda, que dijo Twitter se presenta tras meses de infructuosas negociaciones con el Gobierno, marca una escalada en la batalla de pesos pesados de internet por las órdenes gubernamentales de censura sobre la naturaleza y el número de pedidos de información privada de usuarios.

En la demanda, presentada en la Corte de Distrito de California Norte, Twitter dice que las normas actuales le impiden hasta aclarar que no recibió ningún pedido de seguridad nacional por información de los usuarios.

Twitter sostuvo que esas restricciones violan el derecho a la libertad de expresión establecido en la primera enmienda de la Constitución.

"Este es un tema importante para cualquiera que crea en una Primera Enmienda fuerte, y esperamos poder compartir nuestro reporte de transparencia entero", dijo Twitter en una publicación en su blog.

Las empresas de tecnología han buscado aclarar sus relaciones con las agencias estadounidenses de aplicación de la ley y de espionaje tras las revelaciones del ex contratista de la Agencia Nacional de Seguridad (NSA) Edward Snowden sobre el alcance de la vigilancia de Estados Unidos.

La demanda ocurre tras los acuerdos del Gobierno con compañías de internet como Google Inc y Microsoft Corp sobre mandatos judiciales que recibieron en relación con tareas de vigilancia.

El acuerdo dejó en libertad a las compañías para que divulguen el número de pedidos que recibieron, pero sólo en forma general.

Por ejemplo, una compañía que ofrece servicios de correo electrónico podría decir que recibió entre 0 y 999 pedidos del Tribunal de Vigilancia de Inteligencia Extranjera durante un período de seis meses para contenido de correo electrónico perteneciente a alguien fuera de Estados Unidos.

Twitter, que permite a sus 271 millones de usuarios mensuales publicar mensajes de 140 caracteres, ha tradicionalmente desafiado los pedidos de censura de gobiernos.

El Departamento de Justicia respondió a la demanda con un comunicado sobre cómo ha trabajado con otras compañías.

"Este año, el Gobierno abordó preocupaciones semejantes en una demanda presentada por varias empresas grandes de tecnología", dijo la portavoz Emily Pierce. "En esa ocasión, las partes trabajaron en colaboración para permitir que las empresas de tecnología brindaran amplia información sobre pedidos del Gobierno y al mismo tiempo proteger la seguridad nacional", agregó.

La demanda de Twitter dice que la compañía discutió el tema con el Gobierno durante meses. En una reunión con funcionarios del Departamento de Justicia y el FBI en enero, Twitter argumentó que no debería estar obligado por los límites de divulgación que el Gobierno dio a Google y a otras firmas.

La compañía señaló que entregó un borrador de un reporte de transparencia con datos más detallados al FBI en abril, pero que la agencia negó el pedido de la compañía para publicar el borrador cinco meses después.

"Tratamos de alcanzar el nivel de transparencia que merecen nuestros usuarios sin un litigio, pero no conseguimos resultados", dijo Twitter en el blog.

La empresa añadió que está "pidiendo a la corte que declare inconstitucional las restricciones a su capacidad para hablar sobre la vigilancia del Gobierno bajo la primera enmienda". / Por Alexei Oreskovic para Reuters. (Redacción de San Francisco; traducido por Javier López de Lérida y Patricia Avila, editado en español por Hernán García).-

El cuerpo humano ¿la nueva contraseña?

Nuevos sistemas de contraseñas transforman al cuerpo humano en un "escudo" de defensa contra los hackers.

Una muestra gigantesca de estos productos y servicios es la feria tecnológica CeBIT, que se realizó en la ciudad alemana de Hannover. Una sala entera está dedicada a la protección informática, con no menos de 500 empresas presentes. Las empresas tecnológicas le deben mucho al ex analista de la Agencia Nacional de Seguridad estadounidense (NSA, sigla en inglés), Edward Snowden, por sus revelaciones sobre el espionaje masivo realizado por el Gobierno norteamericano en las comunicaciones y los contenidos a través de Internet. Por Cesar Dergarabedian para iProfesional.com.

Post relacionado:

• Las contraseñas de Internet: ¿un oscuro fracaso?. 08/11/2013.
• ¿Se viene el adiós a las contraseñas?. 23/09/2013.

Sobre la seguridad del backdoor electrónico

¿El backdoor electrónico estaría ayudando, sin querer, a los hackers?
Publicado en Universia-Knowledge@Wharton.

Para las compañías de seguros globales, los ciberataques se han convertido en el mayor de todos los riesgos recientes, según una investigación realizada por Guy Carpenter & Co., especializada en riesgos y reaseguros. En los últimos dos años, los hackers se infiltraron en grandes compañías aéreas, empresas de energía y defensa, entre muchas otras.

Más recientemente, ha causado sensación la invasión por parte de hackers de los archivos personales de los ejecutivos de Sony Pictures y la amenaza al estudio de tomar otras medidas si no suspendía el lanzamiento de La entrevista, una comedia cuya trama gira en torno al asesinato del dictador norcoreano Kim Jong Un. El FBI confirmó que había pruebas suficientes para concluir que el Gobierno norcoreano estaba detrás de la invasión.

A medida que prosiguen los debates y la discusión sobre las maneras más eficaces de frustrar esos ataques en el futuro, empresas y gobiernos de todo el mundo reflexionan acerca de los esfuerzos de las autoridades públicas para crear backdoors en grandes redes de ordenadores y de datos que sortearían el sistema de seguridad del software permitiendo el acceso a los datos de los usuarios. ¿Ayudaría ese procedimiento a las autoridades en la investigación de ciberataques? ¿O, en lugar de eso, la medida acabaría debilitando la seguridad del sistema de maneras no previstas?

En un reciente panel de debates patrocinado por Wharton, “Backdoors, Ciberseguridad y Mantenimiento del Orden Público“, dos especialistas en ciberseguridad de la Universidad de Pensilvania comentaron acerca de las cuestiones jurídicas y técnicas poco comprendidas que rodean el tema. Los participantes en el debate —Jeffrey Vagle, profesor de la Facultad de Derecho de la Universidad de Pensilvania, y Matt Blaze, profesor de la Facultad de Ingeniería y de Ciencias Aplicadas de la misma universidad— coinciden en señalar que los backdoors, aunque bien intencionados, podrían acabar elevando los riesgos de seguridad. La discusión fue moderada por Howard Kunreuther, director adjunto del Centro de Gestión de Riesgo y de Procesos de Decisión de Wharton. El debate realizado por el panel formó parte de la Serie de Seminarios sobre Regulación de Riesgo copatrocinado por el Programa de Regulación de la Universidad de Pensilvania y por el Centro de Gestión de Riesgo y de Procesos de Decisión de Wharton.

Derechos frente a seguridad

Kunreuther, que es también profesor de Gestión de las Operaciones y de la Información de Wharton, resumió de la siguiente manera el dilema de las agencias encargadas de hacer cumplir la ley: “El FBI y otras agencias de seguridad quieren obtener datos de Google y de Apple, entre otras empresas, sobre sospechosos de crímenes, como traficantes de drogas, pero existe el temor de que las informaciones suministradas por esas empresas a través de backdoors faciliten la acción de hackers que comprometerían el sistema”.

Entre junio y septiembre del año pasado, Google y Apple anunciaron que nuevas versiones de sus sistemas operativos —Lollipop, de Google, e iOS 8, de Apple— empezarían a encriptar los datos a través de una frase de contraseña [más compleja] del usuario, lo que impediría a las empresas tener acceso a los datos de sus clientes. “Ese cambio de mercado se dio, en parte, en nuestra opinión, tras la revelación de Snowden de que el programa PRISM [de vigilancia electrónica clandestina masiva y prospección de datos] de la NSA [Agencia de Seguridad Nacional] estaba tomando datos de aparatos de Apple y de Google”.

Cuando Apple y Google anunciaron su nueva política, el entonces procurador general, Eric Holder, y James Comey, director del FBI, se opuso vehementemente diciendo que tal decisión contribuiría a que las redes “desaparecieran” de su vista.

En otras palabras, el cambio significaba que las agencias encargadas del cumplimiento de la ley en EEUU “se verían privadas de ciertas posibilidades de investigación porque las redes, o archivos, estarían encriptados y ellas no disponen de los medios de descifrado de esos archivos. Así, habría crímenes que quedarían sin solución. Los criminales podrían comunicarse con impunidad”.

En realidad, observó Vagle, la investigación muestra “que sólo un pequeño número de crímenes de los denunciados estaban asociados al encriptado”.

Vagle observó que los smartphones de hoy “son, sin exageración, tan poderosos como los supercomputadores de la década de 1980″. Ahora que los aparatos móviles están sustituyendo a los ordenadores de sobremesa como aparatos electrónicos básicos para gran parte de la población, “la mayor parte de nuestros datos acaba siendo transmitido por ellos. Esos aparatos nos atraen por su comodidad, pero son un problema porque generan un gran volumen de datos que pueden estar abiertos al análisis de los órganos de la ley”. “Tenemos conocimiento de parte de esos datos”, pero hay “gran parte de ellos que desconocemos”.

Además de los desafíos técnicos de protección de esos datos, hay también cuestiones de libre expresión, observó Vagle. Para él, existe una cuestión fundamental: “Si usted supiera que J. Edgar Hoover [el temido director del FBI entre 1935 y 1972] tenía esa tecnología, ¿cuál sería su reacción?”

“Ese es el argumento con que tenemos que volver a lidiar de nuevo hoy en día”, dijo Vagle. “Las autoridades podrían decir: ‘Necesitamos tener acceso a todo lo que usted transmite y almacena […] por eso el backdoor es imprescindible’. ¿Los órganos responsables del cumplimiento de la ley pueden realmente obligarlos a eso?”

Una superficie de ataque mayor

Blaze explicó a continuación por qué esos backdoors son tan problemáticos desde el punto de vista de la ingeniería. A principios de los años 90, cuando Internet estaba a punto de salir a escena, era evidente que sería importante desde el punto de vista comercial, pero era también igualmente claro que no contaba con “la seguridad intrínseca necesaria; era realmente imposible creer que es muy difícil ‘poner’ una escucha en una línea telefónica, ya que para eso sería necesario el acceso físico a la línea, etc. Con Internet, muchas cosas pueden realizarse de forma automática”. Mirando atrás, puede parecer extraño, pero “Internet no tenía ninguna seguridad prevista en su diseño y, de pronto, íbamos a comenzar a usarlo para una cantidad de cosas importantes, como sustituir el telegrama, el teléfono y las comunicaciones postales, además de las reuniones presenciales. Todo eso era inminente”.

En aquella época, dijo Blaze, “la criptografía, que es básicamente la tecnología subyacente que da seguridad a los mensajes en un medio inseguro, estaba comenzando a ser viable en forma de software […] Estábamos a punto de incorporar la criptografía al software, pero el Gobierno vino con una solución de hardware. Eso significaba que para introducir la criptografía usando la solución de backdoor del Gobierno, no sólo había que confiar en que el Gobierno no usaría el backdoor, sino también que tendría que adquirir hardware extra para todo producto que lo utilizara. En los años 90, era evidente que eso sería un desastre comercial, porque habría convertido una tecnología que no tenía coste marginal alguno […] en una tecnología cara. Se trataba de una iniciativa abocada al fracaso desde el inicio”. El Gobierno americano acabó perdiendo esa batalla y, alrededor del año 2000, abandonó la idea de backdoors en la criptografía quitando la mayor parte de los controles de exportación de la criptografía. Y, a pesar de la advertencia del FBI de que, un día, las consecuencias serían desastrosas, la criptografía proliferó.

Hoy, prácticamente toda llamada realizada por el móvil está encriptada. “Tenemos criptografía en muchos de las aplicaciones que, según la advertencia del FBI, si eran criptografiadas, impedirían la ejecución de la ley, dijo Blaze, queriendo decir con eso, en otras palabras, que la vigilancia electrónica se volvería imposible y los criminales cibernéticos escaparían de la justicia.

“Pero, por alguna razón”, resaltó, “el número de escuchas telefónicas de los órganos policiales, en realidad, ha aumentado —no de forma drástica, sin embargo no se ha reducido— y el número de casos en que la criptografía interfirió en una investigación es aproximadamente cero”.

Blaze advirtió que “el FBI necesita tener mucha cautela con aquello que desea. La introducción de mecanismos de vigilancia aumenta de forma significativa lo que nosotros en el campo de la seguridad llamamos ‘superficie de ataque’ del sistema. El backdoor de la vigilancia complica de forma significativa lo que un producto de seguridad tiene que ofrecer y aumenta tremendamente el número de posibilidades de ataque y de posibles ventajas en el transcurso de fallos”. (La superficie de ataque de un ambiente de software son todos los puntos a través de los cuáles el usuario no autorizado puede intentar invadirlo).

“Nosotros, científicos de la computación, no sabemos de hecho lo que estamos haciendo”, dijo Blaze. “Somos los peores de todos los ingenieros […] La manera en que hacemos software es muy mala. Después, dejamos que todo el mundo encuentre los errores; pasado algún tiempo, nosotros los hacemos más robustos. Los aspectos de la ingeniería de seguridad de los sistemas de información no son diferentes. No sabemos cómo hacer seguros y confiables sistemas complejos. No sabemos ni siquiera cómo hacer seguros y confiables sistemas sin grandes complejidades”.

La introducción de un backdoor complica la seguridad de cualquier cosa: la superficie de ataque aumenta y el número de componentes e interfaces a ser tomados en cuenta crece enormemente. En otras palabras: “El backdoor aumenta la probabilidad de que alguien encuentre un medio de sortear de forma explícita el backdoor y descubra los fallos de seguridad introducidos a través de él”.

Un segundo problema, añadió Blaze, es que el FBI quiere que ese proyecto sea aplicado a una serie enorme de productos y servicios; cualquier tecnología que procese información que pueda ser utilizada por criminales. “La serie de productos es inmensa. Forman parte de ella su móvil, su ordenador, los aparatos inteligentes de su casa y pequeños componentes que interaccionan con otros, muchos de los cuáles están siendo fabricados por empresas con equipos de seguridad mucho menores que empresas del tamaño de Google y de Apple”.

Por último, observó Blaze, “el FBI está empeñado en esas exigencias de diseño en el caso de funciones que, en la práctica, no agregan valor alguno al consumidor final”. Desde el punto de vista de la ingeniería, “es muy probable que veamos las cosas puestas de la forma más barata posible para atender las exigencias realizadas”, probablemente con un número de pruebas menos que suficientes, lo que contribuye a un enorme impacto negativo para la seguridad de la información. Desde esa perspectiva, Vagle dice que hay una razón fundamental para que la ejecución de la ley aún no haya desaparecido: “Cuando los criminales usan la criptografía o algún tipo de aparato de seguridad para ocultar su comunicación, ellos generalmente lo hacen de una manera precaria”.

Blaze, sin embargo, hace una advertencia: “Agradezco la confianza del FBI en mi campo, porque de cierta forma estamos en la antesala de hacerlo hermeticamente seguro contra las invasiones de todo aparato de sistema computacional, pero no sé cómo hacerlo […] y no creo que lleguemos a ese punto en el corto plazo. En realidad, lo que estamos discutiendo es el coste de esos ataques dirigidos. Sé cómo hacer que les resulte más caro y menos cómodo el proceso, pero no sé cómo evitar que ocurra”. / Publicado en Universia-Knowledge@Wharton.--

Software de seguridad, ¿enemigo intimo?

El software antivirus puede convertirse en una herramienta de espionaje con facilidad.
Por Nicole Perlroth, publicado por The New York Times.

Es un secreto conocido desde hace mucho por las agencias de inteligencia —pero rara vez revelado a los consumidores— que el software de seguridad puede ser una poderosa herramienta de espionaje.

Imagen de Jorge S. King ©Todos los derechos reservados

El software de seguridad está más cerca de las partes esenciales de una computadora y tiene acceso privilegiado a casi todos los programas, aplicaciones, exploradores web, correos electrónicos y archivos. Hay una muy buena razón para esto: los productos de seguridad tienen el propósito de evaluar todo lo que toca tu máquina en búsqueda de cualquier programa maligno o incluso vagamente sospechoso.

Al descargar el software de seguridad, los consumidores también corren el riesgo de que un fabricante de antivirus poco confiable —o un ciberatacante o espía con acceso a su sistema— pueda abusar de ese acceso profundo para dar seguimiento a todos los movimientos digitales de los clientes.

“En la batalla contra el código malicioso, los productos antivirus son básicos”, dijo Patrick Wardle, investigador en jefe en Digita Security, una empresa de seguridad. “Irónicamente, estos productos comparten muchas características con los implantes avanzados de ciberespionaje de recolección que buscan detectar”.

Wardle lo sabe, pues es un antiguo hacker de la Agencia de Seguridad Nacional (NSA, por su sigla en inglés) y hace poco logró subvertir un software de antivirus que vende Kaspersky Lab, y lo convirtió en una poderosa herramienta de búsqueda para documentos clasificados.

La curiosidad de Wardle aumentó con las noticias recientes de que espías rusos habían utilizado los productos antivirus de Kaspersky para extraer documentos clasificados de la computadora personal de un desarrollador de la NSA y pudieron haber desempeñado un papel esencial en una recolección rusa de inteligencia más extensa.

Durante años, las agencias de inteligencia sospecharon que los productos de seguridad de Kaspersky ofrecían una puerta trasera de entrada para la inteligencia rusa. Un borrador de un informe ultrasecreto filtrado por Edward Snowden, el antiguo contratista de la NSA, describió una iniciativa ultrasecreta de la NSA en 2008 que concluyó que el software de Kaspersky recolectaba información delicada de las máquinas de los clientes.

Los documentos mostraron que Kaspersky no fue el único blanco de la NSA. Sus siguientes blancos incluyeron casi dos decenas de fabricantes extranjeros de antivirus, entre ellos Checkpoint de Israel y Avast de la República Checa.

En la NSA, los analistas tenían prohibido utilizar el software antivirus de Kaspersky debido al riesgo de darle al Kremlin acceso extendido a sus máquinas y datos. Sin embargo, con la excepción de la sede de la NSA en Fort Meade, Kaspersky logró asegurar contratos con casi dos decenas de agencias gubernamentales en Estados Unidos a lo largo de los últimos años.

En septiembre, el Departamento de Seguridad Nacional les ordenó a todas las agencias federales que dejaran de utilizar los productos de Kaspersky debido a la amenaza de que “proporcionaran acceso a archivos”.

Rusia supervisará 'todas las comunicaciones' en los Juegos Olímpicos de Invierno

Rusia prepara su propio “Prisma” para los Juegos Olímpicos

Publicado en Diario Ti.

Investigación periodística revela que las autoridades rusas preparan un sistema de espionaje absoluto de todas las comunicaciones realizadas por atletas y visitantes a los juegos olímpicos de invierno a realizarse en Sochi.

El periódico británico The Guardian informa en exclusiva el domingo 6 de octubre que los atletas y espectadores que asistan a los Juegos Olímpicos de invierno a realizarse en febrero en la ciudad rusa de Sochi “serán objeto del espionaje más invasivo y sistemático de la historia de las Olimpiadas”.

Según la publicación, que cita documentación preparada por un equipo de periodistas rusos,la organización FSB (Servicio Federal de Seguridad de Rusia), procurará que ninguna de las comunicaciones realizadas durante las Olimpiadas escape al sistema de monitorización.

Para ello, recientemente se ha instalado infraestructura telefónica en Sochi, que proporciona al FSB la capacidad técnica de interceptar absolutamente todas las comunicaciones telefónicas y binarias, detectando palabras o frases de su interés, escritas o habladas, en correo electrónico, chat o medios sociales.

Los periodistas rusos Andrei Soldatov e Irina Borogan, ambos expertos en servicios de seguridad rusos, analizaron decenas de documentos técnicos y administrativos, constatando los preparativos infraestructurales y tácticos que se están realizando con el fin de vigilar las comunicaciones olímpicas mediante SORM, el sistema ruso de intercepción y monitorización de comunicaciones digitales (nuestro medio se refirió por primera vez a SORM en este artículo de 1998)

Los preparativos del caso implicarían el uso de una controvertida tecnología de “inspección profunda de paquetes de datos”, que permite a las agencias de inteligencia filtrar los usuarios que pronuncien, o digiten, determinadas palabras.

The Guardian entrevistó además a Ron Deibert, catedrático de la Universidad de Toronto y director de Citizen Lab, quien también participó en la investigación de los periodistas rusos. Deibert se refiere a los cambios realizados a SORM en el contexto olímpico como “Prism en esteroides”, en referencia al programa de espionaje estadounidense revelado en junio pasado por el ex contratista de la NSA, y ahora filtrador, Edward Snowden.

Según Deibert, “el espectro y alcance de la vigilancia rusa es similar a Prism, aunque hay diferencias sutiles en las regulaciones”. En tal sentido, se refiere a que mientras el sistema estadounidense ha sido reservado y algo más prudente, en Rusia se ha establecido, sin mayores rodeos, que “el acceso permanente para SORM es un requisito para instalar la infraestructura en sí”.

Los preparativos rusos habrían llevado al gobierno estadounidense a elaborar un folleto donde recomienda “extremar sus precauciones al comunicarse” a sus funcionarios que viajen a Rusia con motivo de los juegos olímpicos.

En el folleto se agrega: “los viajeros de negocios deben tener especialmente presente que los secretos comerciales, posiciones de negociación y otra información reservada podría ser intervenida y compartida con competidores, contrapartes, y/o organismos reguladores ilegales rusos”. El documento contiene una lista de precauciones para los visitantes que deseen asegurar la seguridad de sus comunicaciones, como por ejemplo extraer las baterías de los teléfonos cuando éstos no están siendo usados, y sólo viajar con dispositivos “limpios”.

La investigación también aborda un tema especialmente controvertido estos días, y que podría ocupar gran parte de la agenda mediática de los Juegos Olímpicos: los derechos de los homosexuales. Rusia ha aprobado una ley, objetada en todo el mundo, que prohíbe lo que denomina “propaganda gay”. En tal contexto, se espera que las autoridades rusas utilicen sus capacidades de vigilancia y espionaje para detectar y reprimir todo intento de protesta colectiva contra una ley anti-gay considerada retrógrada e inhumana. Así, las autoridades podrán identificar, etiquetar y seguir a todos los visitantes a los juegos olímpicos, rusos y extranjeros, que discutan la controvertida ley, quizás planeando organizar protestas públicas.

The Guardian dice haber solicitado infructuosamente al FSB referirse a las investigaciones y conclusiones de Soldatov y Borogan.

La conclusión, por lo tanto, sería la siguiente, en palabras de Andrei Soldatov a The Guardian: “Las autoridades rusas quieren asegurarse de que toda conexión, y todo movimiento online, realizados en Sochi durante los Juegos Olímpicos sean totalmente transparentes para los servicios secretos del país”. / Publicado en Diario Ti.

Nota relacionada:

• Russia to monitor 'all communications' at Winter Olympics in Sochi.- "Investigation uncovers FSB surveillance system – branded 'Prism on steroids' – to listen to all athletes and visitors. Athletes and spectators attending the Winter Olympics in Sochi in February will face some of the most invasive and systematic spying and surveillance in the history of the Games, documents shared with the Guardian show". Por The Guardian.

Más sobre el tema Prism y los programas de vigilancia en éste blog.