El director de la Agencia de Seguridad Nacional de Estados Unidos (NSA por sus siglas en inglés), el General Keith Alexander, estuvo presente durante la conferencia DefCon de la semana pasada para hablar ante la comunidad hacker sobre el trabajo que realiza su organización, y tratando de disipar las dudas sobre el control que realizan en internet indicó que la NSA no recopila y almacena datos de ciudadanos estadounidenses. Dicha aseveración fue desmentida al poco tiempo por William Binney, quien trabajó como Director Técnico de la NSA hasta 2001, diciendo casi, casi que Alexander es un mentiroso. De hecho, según Binney, la NSA estaba planeando usar los ataques terroristas del 11 de septiembre como una "excusa" para recolectar información de los ciudadanos sin una ley que lo permitiera.

La situación no es tan simple como un sí o no, porque Alexander explica que es cierto que recopilan búsquedas web, mensajes de Twitter, emails y otros datos de los ciudadanos, pero de manera indirecta, cuando por ejemplo algún ciudadano extranjero está siendo investigado.

Según Alex Abdo, abogado de la ACLU, vacíos legales permitirían que la NSA recopile información de ciudadanos sin que exista una ley que lo apruebe explícitamente, en tanto que estas personas no sean el objetivo directo de una investigación. Esto haría que sea posible almacenar de manera indefinida los datos de las personas para que puedan ser investigados en un futuro, cuando los ciudadanos vayan a ser investigados mediante una orden judicial.

El asunto, como prácticamente todo lo que tiene que ver con la captura de datos de internautas por parte de las autoridades, es algo es tan complejo que sus ramificaciones legales resultan incomprensibles sin estudios en derecho ni conocimientos exactos sobre qué y cómo se almacenan los datos, así que hasta que el Congreso estadounidense decida investigarlo, la NSA podrá continuar recolectando la información como hasta ahora.

La conferencia de hacking DefCon 2010 termina hoy en Las Vegas, y como todos los años, la información compartida ahí nos puede poner los pelos de punta. Chris Paget nos impresionó el año pasado con una demostración sobre la inseguridad de RFID, extrayendo información de pasaportes estadounidenses sin el conocimiento de sus propietarios. Esta vez demuestra el hackeo de un aparato aún más común: el teléfono móvil.

Con un sistema casero de tan sólo 1.500 dólares (la mayor parte del dinero corresponde al portátil), y software Open Source, Chris consiguió que alrededor de 30 teléfonos GSM de los asistentes se registraran con su equipo pensando que era una torre de operadora de redes móviles. Durante la demostración explicó que "en lo que a sus teléfonos respecta, no se me puede distinguir de AT&T", teniendo así la opción de desactivar la criptografía y grabar las llamadas. Según la especificación GSM, cuando la criptografía ha sido apagada los teléfonos tienen que informar al usuario, pero las operadoras han decidido deshabilitar esa opción en las tarjetas SIM.

Si acudes a la DEFCON y se te ocurre sacar dinero de uno de los cajeros instalados en las proximidades, te mereces todo lo que te pueda pasar. O casi. La conferencia sobre hacking más grande del mundo concluyó con varios expertos en seguridad "sisados", y es que alguien con muy mala baba instaló todo un cajero automático falso en el Hotel Riviera de Las Vegas, donde tuvo lugar el famoso congreso la semana pasada.

Nadie sabe cómo llegó la máquina al interior del edificio, que al parecer, fue detectada en las proximidades del centro de seguridad; una de las pocas zonas que no están cubiertas por las cámaras de vigilancia. Brian Markus, jefe de Aries Security, se percató de que había algo sospechoso en el cajero, y cuando iluminó con su linterna el cristal que normalmente protegería la cámara de seguridad, pudo ver el PC utilizado por los ladrones para robar la información de las tarjetas de crédito.

Ahora mismo la máquina descansa lejos de hackers incautos, pero nadie sabe cuántas personas fueron estafadas durante el transcurso de la conferencia.

[Artículo en inglés]