La globalización no se refiere solo a la globalización del comercio, porque determinadas amenazas pueden ser globales. Por tanto, un incidente de seguridad que afecta un lugar del mundo puede impulsar acciones, leyes o proyectos al otro lado del mundo. A continuación un resumen de los incidentes destacados de seguridad de 2015, por el impacto local o mundial sobre tecnología y los efectos sociales.
Neutralidad de la red
Internet.org/Free Basics llegó a la región:
Después de usar a Paraguay como conejillo de indias en la región, Internet.org (ahora convertido en Free Basics) anunció su llegada a América Latina en la Cumbre de las Américas. El proyecto de Facebook ha recibido diversas críticas desde la sociedad civil de la región, por presentarse como una falsa solución al problema de la conectividad en América Latina, atentar contra la privacidad de sus usuarios y no considerar la opinión de la sociedad civil, la comunidad técnica y otras partes interesadas en la gobernanza de internet.
No obstante, gobiernos, proveedores de internet y Facebook han continuado implementando sus planes en países como Colombia, Panamá, Brasil, Bolivia, Perú o Guatemala.
Ciberseguridad
– La Quinta Cumbre Latinoamericana de Analistas de Seguridad se realizó en Santiago de Chile este año y se dieron a conocer las cifras registradas por la compañía de ciberseguridad Kaspersky, expertos que trabajan en la materia junto a Interpol desde 2014: desde enero hasta finales de agosto de 2015, en la región se registraron 398 millones de incidentes o intentos digitales de comprometer la información de los usuarios. Brasil, México y Perú registraron el mayor número de amenazas.
– La OEA, a través del Comité Interamericano Contra el Terrorismo (CICTE), viene desarrollando un programa regional de seguridad cibernética que busca fortalecer la seguridad y mejorar la protección de la infraestructura de información crítica en todo el continente. Este año ha prestado apoyo a varios países de la región para sus políticas de ciberseguridad.
– BMW confirma la actualización del software de 2,2 millones de coches de las marcas BMW, Mini y Rolls Royce debido a una vulnerabilidad que podía facilitar a un atacante la apertura del automóvil.
– Se confirma que la firma Lenovo ha incluido un malware (conocido como Superfish) en sus ordenadores portátiles. Un adware que además de la molesta publicidad indeseada deja todos los computadores expuestos a ataques «hombre en el medio» al incluir un certificado raíz autofirmado.
– Dell Superfish. En noviembre, Dell hizo algo similar a lo realizado por Lenovo al agregar un certificado raíz al cliente PC para proporcionar una “mejor atención al cliente”. Pero ese certificado, junto con la clave privada correspondiente instalada en el PC, hizo posible para los hackers generar certificados de seguridad confiable de prácticamente cualquier sitio que deseaban. Una excelente herramienta para hacerse pasar por sitios importantes como Google o incluso su banco para robar las credenciales de inicio de sesión.
– Se confirma que una de las vulnerabilidades empleadas por Stuxnet en 2010, Malware destinado a sabotear el programa nuclear Iraní, y que se creía parcheada por Microsoft en agosto de 2010, realmente no estaba corregida. El problema, que incomprensiblemente ha pasado desapercibido durante casi cinco años, permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados queda corregido dentro del conjunto de boletines mensuales.
– Ashley Madison: Las violaciones de datos son una ocurrencia común y corriente estos días, pero cada tanto un incumplimiento alcanza el nivel de asombroso. Para el año 2015, fue sin duda el hack de Ashley Madison en agosto. Los hackers fueron capaces de romper el sitio y obtener nombres reales, números de tarjetas de crédito parcial, direcciones, números de teléfono y preferencias sexuales incluso para muchos usuarios el servicio de infidelidad, incluyendo algunas celebridades, personalidades y políticos.
– Cifrar todo, pero deja una puerta trasera abierta: Si la gente normal llega a cifrar sus comunicaciones personales, ganan los terroristas. Ese fue el punto de vista adoptado por muchos políticos y funcionarios del mundo después de los terribles ataques terroristas de noviembre en París. Sobre todo en los Estados Unidos, el jefe de la CIA John Brennan se quejó de que la falta de puntos de acceso a los servicios de comunicación cifrada impedido descifrar cualquier mensaje que le interesaban al gobierno. Por supuesto, la realidad es que si debilitaran cifrado con las puertas traseras, hace posible que los hackers y gobiernos extranjeros sean capaces de aprovechar las vulnerabilidades por sí mismo.
– Grupo Ecuación: En febrero, investigadores de seguridad de Kaspersky Lab descubrieron un grupo de avanzada en ciberespionaje bautizado como el Ecuation Group que se habían infiltrado en equipos de países como Irán y Rusia. El Grupo Ecuación tenía capacidades increíbles, incluyendo un tipo persistente de malware que sólo podría ser quitado destruyendo físicamente el disco duro de un PC. Este grupo era más más sofisticado incluso que el grupo denominado Duqu fue descubierto anteriormente también por Kaspersky.
– Tor de hacking: En noviembre, Tor Project hizo una acusación sorprendente. El grupo dijo que la Oficina Federal de investigaciones pagó a investigadores de Carnegie Mellon por lo menos US$ 1 millón para hackear usuarios en la red Tor para revelar su verdadera identidad.
Tor dice que el foco de desenmascaramiento de usuarios fue encontrar criminales, pero los usuarios normales también fueron atrapados en la redada. Tanto el FBI y Carnegie Mellon negaron las acusaciones. Curiosamente, los investigadores de Carnegie Mellon fueron a dar una charla en la Conferencia de seguridad Black Hat el 2014 sobre cómo desenmascarar a los usuarios de Tor. La charla fue retirada abruptamente de la Conferencia por razones que nunca fueron aclaradas.
Libertad de expresión
Persecución del anonimato. En Chile, una modificación a la ley de prensa incluía a las redes sociales como medios de comunicación con la naturaleza de “diario digital”, lo que implicaba que debían ser registrados con domicilio y responsable legal, entre otras exigencias que impactaban la libertad de expresión en internet. Luego de una gran polémica pública, el lenguaje de la modificación se rectificó.
Derecho de autor y propiedad intelectual
En Chile dos casos de nombres de dominio y libertad de expresión tuvieron gran notoriedad pública, aunque finalmente fueron desestimados en las sentencias que pusieron fin a los litigios. Uno fue el caso de opusgay.cl, de propiedad del Movimiento de Integración y Liberación Homosexual (MOVILH), el que fue disputado por el Opus Dei en Chile. Otro fue casopenta.cl, web que informa sobre un escándalo de corrupción que implica a políticos chilenos y a las empresas Penta, y que fue disputado por esta última en supuesta defensa de su propiedad intelectual
Chile, Perú y México son los tres países de América Latina que son parte de las negociaciones del Trans Pacific Partnership (TPP), tratado de libre comercio negociado en secreto con otros nueve países de la cuenca del Pacífico, recientemente finalizado y en proceso de aprobación en los países (a la fecha de cierre del informe publicado). Para los países del continente, el TPP representa un peligro en tanto se podrían importar las reglas de la DMCA norteamericana, fijando nuevas obligaciones para los proveedores de internet por contenidos supuestamente infractores, penalizando el desbloqueo de dispositivos y aumentando las reglas para perseguir las amenazas al copyright en internet.
Caso destacado: estudiante puede ir a la cárcel por compartir
El juicio a un estudiante de postgrado colombiano por compartir un artículo académico se reanudará en febrero del 2016. El autor del artículo académico presentó cargos por violación de derechos de autor contra Diego Gómez por publicar su investigación en el sitio web de intercambio de documentos Scribd, a pesar de que Gómez solo intentaba compartir las conclusiones del documento con sus compañeros de clase y que no obtuvo ningún beneficio al hacerlo. El joven de 27 años podría enfrentarse a una condena máxima de ocho años de cárcel.
Privacidad y datos personales
Varios países se encuentran en proceso de modificar sus leyes de datos personales. En Chile, el gobierno ha retrasado una y otra vez el ingreso del proyecto de una nueva ley al Congreso, lo que le ha valido una advertencia por parte de la OCDE.
Espionaje y vigilancia
Caso destacado: ¿cómo afectó Hacking Team a la región?
El hackeo a Hacking Team reveló que distintos gobiernos de América Latina son clientes de la empresa italiana: Brasil, Chile, Colombia, Ecuador, Honduras, México y Panamá. En tanto Argentina, Paraguay, Guatemala y Uruguay solo registrarían conversaciones con la empresa. Aunque todavía los alcances de estas herramientas no están 100% claros en los países afectados, muchos de ellos estarían vulnerando el derecho a la privacidad y la libertad de expresión y opinión. 16 organizaciones de la sociedad civil rechazaron la compra de este tipo de tecnología en la región.
La Policía de Investigaciones de Chile habría gastado USD 2,85 millones en la herramienta. Los correos deslizan que la policía usaría este programa de espionaje sin orden judicial, aunque la agencia afirmó lo contrario.
Para profundizar en cada una de estas noticias pueden seguir los enlaces que se entregan a continuación:
http://www.csoonline.com/article/3017740/security/more-security-highlights-from-2015.html#slide9
https://www.derechosdigitales.org/wp-content/uploads/glympse_2015_spa1.pdf
http://unaaldia.hispasec.com/2015/12/resumen-de-seguridad-de-2015-i.html
(*) Director Académico Information Systems Security Association – Chile
http://www.issachile.cl/
