Nueve de las principales compañías de internet están caminando sobre ascuas después de que se supiera que colaboraron con el gobierno de los Estados Unidos para facilitar información privada sobre sus usuarios a través de un programa secreto de espionaje denominado PRISM. Desde entonces, han hecho lo posible para distanciarse de las autoridades y limpiar su imagen, alegando que sólo han entregado dicha información cuando mediaba una orden oficial amparada en la Ley de Vigilancia de Inteligencia Extranjera (FISA). Claramente, esto no es suficiente, dado que algunas de estas empresas han comenzado a publicar cifras de solicitudes de acceso. Microsoft y Facebook han sido las primeras. Dado que la propia FISA hace imposible revelar gran parte de la información exigida por el público, Microsoft y Facebook sólo han facilitado números brutos sin pormenorizar ni detallar.

El escándalo creado por el descubrimiento de PRISM ha generado no sólo una gran polémica por la forma en la que el gobierno de los EEUU tiene acceso a los datos de las principales empresas de internet, sino también una auténtica pesadilla para los departamentos de relaciones públicas de dichas compañías, sobre las cuales planea la sospecha de haber estado colaborando (con gusto o sin él) para suministrar información sobre sus usuarios.

Google es una de esas compañías que poner tierra de por medio lo antes posible, de forma que en un artículo publicado en su blog Public Policy, David Drummond, jefe del departamento legal, ha hecho público el envío de una carta pidiendo permiso al FBI y al Fiscal General de los EEUU para publicar el número y el alcance de las solicitudes realizadas por los servicios de seguridad nacional con el fin de obtener información de sus usuarios, incluyendo detalles relacionados con la aplicación de la Ley de Vigilancia de Inteligencia Extranjera (FISA).

Según Drummond, visiblemente preocupado por la imagen de que Google pueda estar abriendo sus servidores a los servicios de inteligencia de los EEUU, estos números "mostrarían claramente que nuestro cumplimiento de estas solicitudes están muy lejos de las afirmaciones que se han realizado", apostillando que "Google no tiene nada que ocultar". Ciertamente, sus informes de transparencia serían mucho más interesantes con estos datos...

Nunca hemos tenido la imagen de que las oficinas del FBI y la NSA sean un remanso de paz, pero en pocas ocasiones se han tenido que ver en una situación como en la que se han visto envueltas al conocerse que el gobierno de los Estados Unidos opera una de las redes de espionaje electrónico más densas del mundo. El nombre de este programa es PRISM, y sus tentáculos se extienden a los servidores de compañías como Google, Apple, Microsoft, AOL, Facebook y Yahoo entre otras empresas, proporcionando a los espías acceso a mensajes, fotos, audio y vídeo de sus usuarios.

Las preguntas sobre la legalidad de PRISM y cómo funciona exactamente llenan por igual los periódicos y los foros de discusión de internet, de forma que James Clapper, Director de Inteligencia Nacional de los Estados Unidos, ha desclasificado la existencia del programa para aclarar "impresiones indebidas" e "imprecisiones". Según Clapper, PRISM no es un "programa de recolección o minería de datos no divulgado", sino una herramienta para monitorizar las comunicaciones de ciudadanos no estadounidenses a través de sus metadatos (es decir, la información sobre quién envía una comunicación, a quién va destinada y cuándo se produce, sin llegar a acceder al contenido). Igualmente, PRISM es un programa englobado dentro de la legislación estadounidense, de forma que técnicamente todas esas empresas que decían que sólo ofrecen acceso a los datos de sus usuarios si así lo exige la ley no estaban mintiendo.

Esta es la descripción de PRISM en palabras del Director de Inteligencia Nacional:

El gobierno de los Estados Unidos está tratando de capear como puede uno de los mayores escándalos de espionaje de los últimos tiempos, después de que los diarios The Washington Post y The Guardian hayan revelado la existencia de PRISM, un proyecto diseñado para monitorizar y acceder a "audio, vídeo, fotografías, e-mails, documentos y registros de conexión" en los servidores de Microsoft, Yahoo, Google, Facebook, PalTalk, AOL (propietaria de Engadget), Skype, YouTube y Apple. Estos datos estarían siendo utilizados por el FBI y la Agencia de Seguridad Nacional (también conocida por las siglas NSA), pero también por el Cuartel General de Comunicaciones del Gobierno del Reino Unido (GCHQ), el servicio de inteligencia del Ministerio de Asuntos Exteriores británico encargado de la vigilancia electrónica. Adicionalmente, otro programa llamado BLARNEY estaría filtrando metadatos en puntos concretos de la red de redes para seguir recogiendo información en masa.

PRISM comenzó a funcionar en diciembre de 2007, bajo el mandato de George W. Bush, y sus operaciones fueron ratificadas por la administración Obama en diciembre de 2012. No está nada claro el origen de la filtración que ha servido para revelar su existencia; sólo un número muy reducido de legisladores estaban al corriente y se encuentran en un grupo de trabajo que requiere un juramento de confidencialidad.

Esta información, filtrada a la prensa a través de una presentación de PowerPoint, indica que analistas estadounidenses y británicos estarían utilizando las cadenas de búsqueda de los usuarios para determinar con una precisión de "al menos el 51%" si dicha persona es extranjera, tras lo cual se extraerían los datos del sospechoso, incluyendo las personas de su lista de contactos. En servicios como Facebook, las autoridades podrían monitorizar audio, vídeo, conversaciones de texto y transferencias de archivo. También sería posible acceder al correo electrónico de Google, así como a sus servicios de almacenamiento y de búsqueda.

La semana pasada fueron publicados en internet más de un millón de UDID (números de identificación únicos de dispositivos iOS) que supuestamente fueron sustraídos de un portátil del FBI. De forma casi inmediata la agencia del gobierno estadounidense negó de forma rotunda que la información hubiera salido de uno de sus equipos como se alegaba, y esto dejó la puerta abierta para que David Schuetz, un consultor de seguridad informática, inviertiera varias horas intentando descubrir el origen de los números. Después de analizar la base de datos con varios comandos de bash (cat, more, head), Schuetz descubrió que algunos UDID se repetían varias veces, y se le ocurrió que podían corresponder a dispositivos de desarrolladores. Desde ahí fue sencillo encontrar el origen de los números de identificación, porque los nombres de un par de los aparatos eran "Bluetoad iPad" y "Bluetoad Support".

BlueToad es precisamente una editorial digital que se dedica a crear revistas y aplicaciones de publicidad para dispositivos móviles. Los datos incluían la fecha de "marzo 14", que no de forma casual fue el día en que los hackers afirmaron que habían obtenido la base de datos del FBI.

Poco tiempo después, el CEO de la compañía, Paul DeHart, admitió que les habían robado la información, pero que ese orificio de seguridad ya había sido tapado. En todo caso, el investigador dice que todavía hay más información por descubrir, como el hecho de que todavía no ha encontrado las aplicaciones que habrían mal usado el número de identificación, ignorando las nuevas reglas establecidas por Apple.

Sea como sea, Schuetz escribió un interesante artículo con los detalles de su investigación, y te recomendamos leerlo simplemente porque se asemeja al guión de una entretenida película de espías.

[Vía The Verge]

Leer - La investigación de David Schuetz
Leer - Declaración de BlueToad

La próxima vez que visites Estados Unidos y veas una cámara de vigilancia, sonríe. O ponte peluca y nariz de payaso, porque el FBI está trabajando en el despliegue de un ambicioso sistema diseñado para identificar a "personas de interés" con un presupuesto de 1.000 millones de dólares. El proyecto NGI, de Next Generation Identification, suena letra por letra como la clase de programas que llenan los libros de espionaje y conspiraciones en la sombra: una nueva plataforma de identificación de personas que complementará la base de huellas dactilares nacional con datos de ADN, escáneres del iris e identificación por voz, aunque lo que realmente despertará suspicacias el uso de software de reconocimiento facial. Y no precisamente para animar muñequitas anime.

Según la publicación New Scientist, el FBI piensa utilizar la tecnología de NGI para crear una base de datos con los rostros de delincuentes, para después buscarlos en las grabaciones de cámaras de seguridad y dar con los sujetos entre la multitud con una elevada precisión. En un principio no hay mucha diferencia entre reconocer a un sospechoso mirando un vídeo de seguridad o dejar que un ordenador haga lo mismo a una velocidad muy superior a la posible usando un simple par de ojos (o varios cientos), pero organizaciones como la Electronic Frontier Foundation alertan de los riesgos de la automatización del reconocimiento de rostros a tal escala, como la posibilidad de que personas inocentes terminen mezcladas accidentalmente en la base de datos.

El FBI, que puso en marcha el programa piloto en el mes de febrero, indica que el sistema no viola las leyes que protegen la privacidad de los ciudadanos y que la base de datos utilizada en las pruebas sólo contiene imágenes de criminales conocidos, pero no está claro si este seguirá siendo el caso cuando el programa NGI entre oficialmente en funcionamiento en el año 2014.

[Vía The Next Web]

La privacidad en internet no es un problema, porque ya no existe; he aquí una afirmación que cada día se va acercando cada vez más a un axioma. CNET publica que la Oficina Federal de Investigación de los Estados Unidos (el famoso FBI) no está nada satisfecha con la idea de que redes sociales como Facebook o Google+ no incorporen una puerta trasera para facilitar el acceso a las cuentas de sus usuarios de forma secreta, por lo estaría tratando de impulsar una ley que actualizara este tipo de vigilancia electrónica al tiempo que pide a las compañías que no se opongan a su tramitación.

El texto, que sería introducido en forma de enmienda en el texto que regula desde 1994 las escuchas telefónicas, requeriría que redes sociales y páginas de comunicación vía e-mail y P2P incorporaran una entrada secreta a través de la cual pudieran acceder los investigadores del FBI. Para iniciar la vigilancia de las cuentas haría falta una orden judicial, pero eso no ha evitado que organizaciones dedicadas a velar por la privacidad de los internautas como la Electronic Frontier Foundation estén muy preocupadas por esta deriva.

Posiblemente se trate de una aplicación un tanto controvertida, pero sólo hay que ponerse en situación para encontrarle sentido rápidamente. Child ID es una aplicación creada por el FBI con la que los padres podrán crear perfiles de sus hijos de manera que si en algún momento uno de sus retoños acaba perdiéndose o, en el peor (y dramático) de los casos, secuestrado, puedan enviar la denuncia con toda la información necesaria con tan sólo pulsar un botón. El software incluye además una guía con pautas a seguir en el caso de perder un niño, pero no ofrece ningún tipo información adicional sobre niños en proceso de búsqueda con la que poder dar algún tipo de pista adicional en caso de avistamiento. De momento sólo está disponible para dispositivos iOS, aunque pretenden portarlo a otro tipo de dispositivos en el futuro. Por supuesto, esta aplicación sólo está disponible para los Estados Unidos, aunque no dudamos que otros países copien la iniciativa.

[Vía TUAW]

Si lo recuerdas, fue Lulz Sec quien levantó la liebre anunciando el ataque a Sony Pictures y en su día pusieron cifra al asalto: el número de afectados alcanzaba la friolera de un millón de usuarios. Pues bien, ni de lejos. Sony reconoce la brecha sin paliativos, pero aclara que ésta afecta a 'apenas' (las comillas son nuestras) 37.500 usuarios.

Los asaltantes se habrían hecho con cuentas de correo, números de teléfono y contraseñas, pero los japoneses aseguran que no ha afectado a los números de las tarjetas de crédito o de la seguridad social. Sony ha anunciado públicamente que está trabajando codo con codo con el FBI para dar con los asaltantes.

La conferencia de Sony en el E3 2011 está a punto de dar comienzo, pero antes de que Kaz Hirai tenga tiempo de hablar, Lulz Security ha querido aguarle la fiesta con la publicación del código fuente de su red de desarrolladores (Scedev.net). La red de recursos de Sony permite a los desarrolladores descargar código, librerías y APIs necesarias para la creación de juegos. Por el momento desconocemos si el código fuente es nuevo o viejo, así como las posibles consecuencias que podría tener (aparte del tremendísimo bochorno de Sony, que ya no sabe de dónde le vienen).

En caso de que todo esto no fuera suficiente, LulzSec ha publicado el mapa interno de la red de Sony BMG en el que afirma que es su sexto ataque con éxito a la multinacional japonesa.

Por otro lado, The Epoch Times indica que el FBI habría detenido a un miembro de LulzSec, cosa que el grupo hacker niega entre las risas y el jolgorio chanero del que suele hacer gala en su cuenta de Twitter. Verdad o mentira, lo único cierto es que la fiesta continúa.

[Vía PC Mag, The Epoch Times]

¿Alguna vez te has preguntado cómo era posible que algunos fabricantes de accesorios tuvieran listas las fundas para el próximo iPhone/iPod antes de su presentación? La respuesta lógica sería que Apple les facilita los planos 3D con antelación para que vayan trabajando en ellos, pero tal vez Paul Shin Devine tenía la culpa de ello.

Devine, un ejecutivo intermedio del departamento de suministros de Apple, fue detenido este viernes por agentes del FBI y la agencia tributaria de Estados Unidos bajo la acusación de fraude electrónico y blanqueo de dinero. Según las autoridades, el ya ex-empleado de Apple recibió transferencias procedentes de seis proveedores asiáticos de accesorios a cambio de información confidencial, lo que les facilitaba el desarrollo de componentes más competitivos que los de otras compañías interesadas en negociar contratos de suministro con Apple. El supuesto esquema, "utilizaba una elaborada cadena de cuentas bancarias en Estados Unidos y el extranjero, así como una sociedad pantalla a través de la cual recibía ingresos".

¿Y de cuánto dinero estaríamos hablando? Según la demanda que ya ha interpuesto Apple, Devine habría aceptado más de un millón de dólares (783.600 euros) en "pagos, comisiones y sobornos" a lo largo de varios años, que seguramente, no serán tantos como los que va a pasar a la sombra si se demuestran las acusaciones.

Cuando vemos películas de espías, y en especial las del 007, nos asombran con el uso de gadgets y tecnologías no disponibles para el normal de los mortales. En el caso de los agentes rusos recientemente capturados en la ciudad de Nueva York, las cosas no eran tan interesantes como queríamos imaginarnos, y es que ni siquiera tenían un zapatófono entre sus herramientas de trabajo.

En el SFGate cuentan que una de las espías, Anna Chapman, solía acudir a un café todos los miércoles, y desde ahí se conectaba a un portátil en una minivan para transmitir archivos usando una simple red WiFi (tenemos entendido que los datos eran cifrados, pero la red era visible). Como un ejemplo de la avanzada inteligencia de estos agentes rusos, nos cuentan que el FBI encontró la información de registro de uno de los teléfonos de Anna con la dirección "Calle Falsa 99". Este era un simple teléfono prepago, de los que se compran en cualquier esquina de la Gran Manzana. También se sabe que en una ocasión un par de los sospechosos se "toparon" para intercambiar una simple tarjeta de memoria, que no estaba preparada para autodestrucción, ni mucho menos.

En fin, esto nos demuestra que muchos de los espías actuales o no poseen la tecnología para ser los héroes de las películas de Hollywood a las que estamos acostumbrados, o simplemente lo que les falta es sentido común.

[Imágen cortesía de Matthew Oliphant]

Como recordarás, el operador norteamericano AT&T estuvo ayer contra las cuerdas al haber filtrado 114.000 direcciones de correo electrónico de propietarios del iPad, y parece que el FBI se ha interesado por el asunto con el objeto de anallizar "esta potencial cyber amenaza".

Por lo que podemos saber, los hackers se hicieron sólo con las direcciones de correo y por ello lo único filtrado es saber que los correos filtrados corresponden a propietarios de iPad 3G, pero no han trascendido datos más sensibles, como los que afectan a facturas. El operador ya ha entonado el mea culpa y ha tomado medidas para cerrar la susodicha brecha.

Broadcom nunca nos pareció una compañía muy interesante, a la final, el desarrollo de chips no es algo tan divertido, aunque su cofundador sí lo sea. Henry T. Nicholas está bajo custodia del FBI por haber dado bebidas alcohólicas a ejecutivos y por mantener una "bodega con éxtasis, cocaína y metanfetamina". Y eso no es todo, estas acusaciones vienen después de haber puesto cargos contra Nicholas y el CFO, William J. Ruehle por conspiración, fraude y cambio de fechas en los "securities". Dicen que los antes nombrados, el otro cofundador, Henry Samueli, y el consejero general, David Dull, falsificaron los reportes de ingresos. ¿Qué opinas? Ahora Broadcom ya no parece una empresa tan aburrida.

[Artículo en inglés]

Emplear carteles en lugares públicos para identificar y detener a maleantes es algo que nos viene desde antes de la edad media, así que no resulta extraño que el FBI haya querido modernizar el sistema con la última tecnología. Gracias a un acuerdo con el gigante de la publicidad Clear Channel Outdoor, los hombres G desplegarán 150 vallas digitales capaces de mostrar las caras de fugitivos buscados, niños perdidos, o simplemente información sobre seguridad en tiempo real, a lo largo y ancho de 20 grandes ciudades de Estados Unidos (Chicago, Los Ángeles, Las Vegas y Miami entre ellas). Ahora ya sabes dónde *no* quieres comenzar tu carrera criminal.

[Vía Slashdot]
[Artículo en inglés]