Desglosamos el mecanismo más encubierto de vigilancia de teléfonos inteligentes con ejemplos de la vida real.

Probablemente hayas escuchado el rumor: nuestros teléfonos inteligentes siempre están escuchando. Pero la verdad es que no necesitan hacerlo. La información que comparten prácticamente todas las aplicaciones de tu teléfono inteligente, desde juegos hasta aplicaciones meteorológicas, con los agentes de datos es más que suficiente para crear un perfil detallado sobre ti. Durante mucho tiempo, el “seguimiento en línea” significó que los motores de búsqueda, los sistemas de publicidad y los anunciantes sabían qué sitios web visitabas. Pero desde que los teléfonos inteligentes aparecieron en escena, la situación ha empeorado mucho: ahora los anunciantes saben dónde vas físicamente y con qué frecuencia. ¿Cómo lo hacen?

Cada vez que una aplicación móvil se prepara para mostrar un anuncio, se produce una subasta ultrarrápida para determinar qué anuncio específico verás según los datos enviados desde tu teléfono inteligente. Aunque solo veas el anuncio ganador, todos los participantes en la subasta reciben datos sobre el espectador potencial, es decir, tú. Un experimento reciente ha demostrado cuántas empresas reciben esta información, con qué nivel de detalle y la ineficacia de funciones integradas en los teléfonos inteligentes, como “No rastrear” y “No permitir anuncios personalizados” para proteger a los usuarios. Sin embargo, todavía recomendamos algunos métodos de protección.

¿Qué datos reciben los anunciantes?

Cada aplicación móvil está diseñada de forma diferente, pero la mayoría comienza a “filtrar” datos a las redes publicitarias incluso antes de mostrar ningún anuncio. En el experimento mencionado anteriormente, un juego para móviles envió inmediatamente una gran cantidad de datos a la red Unity Ads después de su lanzamiento:

• Información sobre el teléfono inteligente, incluida la versión del sistema operativo, el nivel de batería, la configuración de brillo y volumen y la memoria disponible.
• Datos sobre el operador de red.
• Tipo de conexión a Internet.
• Dirección IP completa del dispositivo.
• Código de proveedor (identificador del desarrollador del juego).
• Código de usuario único (IFV): un identificador vinculado al desarrollador del juego que utiliza un sistema de publicidad.
• Otro código de usuario único (IDFA/AAID): un identificador de anuncios compartido por todas las aplicaciones en el teléfono inteligente.
• La ubicación actual.
• Consentimiento para el seguimiento de anuncios (sí/no).

Curiosamente, la ubicación se transmite incluso si este servicio está desactivado en el teléfono inteligente. Sin embargo, es una aproximación calculada en función de la dirección IP. Gracias a las bases de datos públicas que cotejan las direcciones físicas y las de Internet, esta aproximación puede ser sorprendentemente precisa, hasta el distrito de la ciudad o incluso el edificio. Si los servicios de ubicación están habilitados y permitidos para la aplicación, se transmiten datos de ubicación exactos.

En el mismo experimento, el consentimiento para el seguimiento de anuncios se marcó como “El usuario está de acuerdo”, aunque el autor del experimento no había proporcionado dicho consentimiento.

¿Quién obtiene los datos y con qué frecuencia?

El flujo de datos se envía a todas las plataformas publicitarias integradas en la aplicación. Suele haber varias plataformas de este tipo, y un algoritmo complejo determina cuál se utilizará para mostrar el anuncio. Sin embargo, algunos datos se comparten con todas las redes conectadas, incluso aquellas que actualmente no muestran anuncios. Además de la mencionada Unity (cuya plataforma publicitaria genera el 66 % de los ingresos de los desarrolladores que utilizan este motor de juegos), otras plataformas importantes son las de Facebook, Microsoft, Google, Apple, Amazon y decenas de empresas especializadas, como ironSource.

Después, la red publicitaria que actualmente muestra anuncios en la aplicación envía un gran conjunto de datos de usuario a un sistema de ofertas en tiempo real (RTB). Aquí, varios anunciantes analizan los datos y hacen ofertas para mostrar sus anuncios, todo a una velocidad ultrarrápida. El usuario ve el anuncio ganador, pero la información sobre tu ubicación, junto con la hora exacta, la dirección IP y todos los demás datos, se comparte con todos los participantes de la subasta. Según el autor del experimento, cientos de empresas oscuras recopilan estos datos, algunas de las cuales pueden ser empresas fantasma propiedad de agencias de inteligencia.

En este vídeo del experimento, se muestra cómo se realizaron conexiones a servidores de publicidad decenas de veces por segundo; incluso Facebook recibió datos a pesar de que no había ninguna aplicación Meta instalada en el teléfono inteligente del participante en el experimento.

La ilusión del anonimato

A los propietarios de las redes publicitarias les encanta afirmar que utilizan datos anónimos y despersonalizados para la segmentación publicitaria. En realidad, los sistemas de publicidad hacen grandes esfuerzos para identificar con precisión a los usuarios en diferentes aplicaciones y dispositivos.

En el conjunto de datos mencionado anteriormente, se enumeran dos códigos de usuario diferentes: IFV e IDFA/AAID (IDFA para Apple y AAID para Android). Cada desarrollador de aplicaciones le asigna un IFV individual a tu dispositivo. Si tienes tres juegos del mismo desarrollador, cada uno enviará el mismo IFV al mostrar anuncios. Mientras tanto, las aplicaciones de otros desarrolladores enviarán sus propios IFV. El IDFA/AAID, por otro lado, es un identificador publicitario único asignado al teléfono inteligente en su totalidad. Si aceptaste la “personalización de anuncios” en la configuración de tu teléfono, la totalidad de juegos y aplicaciones de tu dispositivo usará el mismo IDFA/AAID.

Si desactivas la personalización de anuncios o rechazas el consentimiento, el IDFA/AAID se reemplaza por ceros. Pero los IFV se seguirán enviando. Al combinar los datos transmitidos con cada anuncio, las redes publicitarias pueden elaborar un dosier detallado sobre los usuarios “anónimos”, para luego vincular su actividad en diferentes aplicaciones a través de estos identificadores. Tan pronto como el usuario introduce su dirección de correo electrónico, número de teléfono, detalles de pago o dirección de domicilio en cualquier lugar (por ejemplo, al realizar una compra en línea), el identificador anónimo puede vincularse a esta información personal.

Como comentamos en el artículo sobre la filtración de datos de Gravy Analytics, los datos de ubicación son tan valiosos que algunas empresas que se hacen pasar por agentes de anuncios se crean únicamente para recopilarlos. Gracias al IFV, especialmente al IDFA/AAID, es posible trazar los movimientos del “Sr. X” y, a menudo, desanonimizarle utilizando únicamente estos datos.

A veces, ni siquiera es necesario un análisis de movimientos complejo. Las bases de datos que vinculan identificadores de anuncios con nombres completos, direcciones particulares, correos electrónicos y otros datos altamente personales pueden venderse fácilmente por agentes inescrupulosos. En estos casos, los datos personales detallados y un historial de ubicación integral forman un dosier completo sobre el usuario.

Cómo protegerse del seguimiento de anuncios

En la práctica, ni leyes estrictas como el RGPD ni configuraciones de privacidad integradas ofrecen protección completa contra los métodos de seguimiento descritos anteriormente. El solo hecho de pulsar un botón en una aplicación para desactivar la personalización de anuncios no es ni siquiera una medida a medias, es más bien una décima parte de una medida. La realidad es que esto solo elimina un identificador de los datos de telemetría, mientras que el resto de los datos se siguen enviando a los anunciantes.

Casos como la filtración de datos de Gravy Analytics y el escándalo que involucra al agente de datos Datastream demuestran la magnitud del problema. La industria del seguimiento de anuncios es enorme y aprovecha casi todas las aplicaciones, no solo los juegos. Además, una amplia variedad de entidades adquiere los datos de ubicación, desde empresas publicitarias hasta agencias de inteligencia. A veces, los piratas informáticos obtienen esta información de forma gratuita si un agente de datos no protege adecuadamente sus bases de datos. Para minimizar la exposición de tus datos a este tipo de filtraciones, debes tomar algunas precauciones importantes:

• Solo concédeles acceso a tu ubicación a las aplicaciones que realmente lo necesitan para su función principal (por ejemplo, aplicaciones de navegación, mapas o servicios de taxi). Por ejemplo, los servicios de entrega o las aplicaciones bancarias en realidad no necesitan tu ubicación para funcionar, y mucho menos los juegos o las aplicaciones de compras. Siempre puedes introducir manualmente la dirección de envío.
• En general, concédeles a las aplicaciones los permisos mínimos necesarios. No les permitas que rastreen tu actividad en otras aplicaciones y no les concedas acceso completo a tu galería de fotografías. Se desarrolló malware que puede analizar datos de fotografías mediante inteligencia artificial, y los desarrolladores de aplicaciones sin escrúpulos podrían hacer lo mismo. Además, todas las fotos tomadas con tu teléfono inteligente incluyen geoetiquetas de manera predeterminada, entre otra información.
• Configura un servicio DNS seguro con funcionalidad de filtrado de publicidad en tu teléfono inteligente. Esto bloquea una cantidad significativa de telemetría publicitaria.
• Procura utilizar aplicaciones que no contengan anuncios. Por lo general, se trata de aplicaciones FOSS (software libre de código abierto) o aplicaciones pagas.
• En iOS, desactiva el uso del identificador de publicidad. En Android, elimínalo o restablécelo al menos una vez al mes (desafortunadamente, no se puede desactivar por completo). Recuerda que estas acciones reducen la cantidad de información que recopilan sobre ti, pero no eliminan por completo el seguimiento.
• Siempre que sea posible, evita utilizar “Iniciar sesión con Google” u otros servicios similares en las aplicaciones. Intenta utilizar aplicaciones sin crear una cuenta. Esto les dificulta a los anunciantes la posibilidad de recopilar tu actividad en diferentes aplicaciones y servicios en un perfil publicitario unificado.
• Minimiza la cantidad de aplicaciones que tienes en tu teléfono inteligente y elimina periódicamente las aplicaciones que no uses, ya que pueden rastrearte incluso si no las usas activamente.
• Utiliza soluciones de seguridad robustas en todos tus dispositivos, por ejemplo, Kaspersky Premium. Esto puede protegerte de aplicaciones más agresivas, cuyos módulos publicitarios pueden ser tan maliciosos como el spyware.

Si la vigilancia de los teléfonos inteligentes aún no te preocupa, aquí hay algunas historias escalofriantes sobre quién nos espía y cómo:

• Quiénes son los intermediarios de datos de geolocalización y qué sucede cuando se “filtran”
• Cómo descubren los anunciantes qué aplicaciones Android utilizas
• Correr sin que te rastreen: privacidad en las aplicaciones para correr
• Sé cómo condujiste el último verano

Fuente: www.latam.kaspersky.com

Uno de los objetivos de esta ley es que las baterías puedan sustituirse sin complicaciones.

Hace más de una década, lo común era que los teléfonos móviles tuvieran baterías extraíbles y que con solo retirar la tapa trasera, los usuarios podían quitar o cambiar la batería sin dificultad, lo que facilitaba alargar la vida útil del dispositivo. Pero con el tiempo, los fabricantes comenzaron a diseñar teléfonos más compactos y delgados, eliminando esta posibilidad en favor de diseños unibody que requerían herramientas especializadas para acceder a la batería.

Las baterías deberán ser fáciles de extraer en los dispositivos.Tyler Lastovich de Unsplash

En 2027, la situación cambiará nuevamente, ya que ley aprobada por la Unión Europea hace dos años obligará a los fabricantes a diseñar teléfonos en los que los usuarios puedan reemplazar la batería con facilidad. Aunque la normativa no especifica cómo debe implementarse esta medida, su objetivo es claro: permitir que las baterías puedan sustituirse sin complicaciones.

Algunas marcas ya lo están aplicando

Por ejemplo, Samsung ofrece el Galaxy XCover6 Pro, un modelo con una tapa trasera extraíble que facilita el acceso a la batería. Nokia, con su G22, opta por una carcasa trasera que se puede retirar haciendo palanca, permitiendo un cambio relativamente sencillo tras desconectar un cable flex. Por otro lado, CMF, la marca hermana de Nothing, con su modelo CMF Phone 1, del que ya hemos hablado en 20bits, permite una carcasa intercambiable, pero la batería sigue sin ser extraíble.

Queda por ver qué estrategia adoptará cada fabricante cuando la normativa entre en vigor en 2027. Ya sea con tapas traseras intercambiables, sistemas que requieran herramientas básicas o nuevas soluciones de diseño, lo importante será que estos cambios vayan acompañados de dispositivos modernos y bien equipados, como ocurría antes.

Fuente: www.20minutos.es

El SIM swapping permite a los criminales secuestrar números de teléfono. La evolución tecnológica que representan las eSIM no las deja fuera del alcance de los ciberdelincuentes, que se adaptaron para clonarlas también.

El SIM swapping —intercambio o clonado de tarjeta SIM— permite a los criminales secuestrar un número de teléfono al duplicar la tarjeta SIM.

Mediante técnicas de ingeniería social, o la complicidad de personas que trabajan dentro de la empresa de telefonía móvil, clonan la tarjeta y toman el control del número de teléfono de las víctimas.

A partir de este robo, es fácil para los ciberdelincuentes obtener códigos de acceso y autenticación de dos factores para varios servicios, incluidos la banca y la mensajería, lo que abre un abanico de oportunidades para que se implementen estafas.

Las eSIM también son clonables

Con la evolución de las eSIM, la versión digital de las SIM que no requiere de una tarjeta física, los atacantes debieron mutar sus técnicas de ataque, ya que esta tecnología tiene sus diferencias respecto a la tarjeta física.

Según alerta un informe de la empresa rusa de ciberseguridad F.A.C.C.T., SIM swapping fue en aumento durante 2023, aprovechando la transición a tecnolodía eSIM. Ese año se registraron más de un centenar de intentos de acceder a las cuentas personales de los clientes en servicios en línea en una sola institución financiera, este tipo de instituciones son las apuntadas principalmente luego del clonado de eSIM.

¿Cómo se clonan las eSIM?

A diferencia de las tarjetas SIM físicas convencionales, la eSIM es un chip integrado en el dispositivo. El sistema permite al usuario activar el servicio digitalmente iniciando sesión en una aplicación o escaneando un código QR, lo que hace que el proceso sea más ágil y cómodo.

También aporta otras ventajas: con menos espacio interno dedicado al cajón del chip del teléfono celular, los fabricantes pueden hacer espacio para otros componentes, como una batería más grande, y permite que los dispositivos sean aún más delgados y livianos, satisfaciendo las demandas de un diseño elegante y compacto.

A través, también de técnicas de ingeniería social, logran violar las cuentas móviles de los usuarios usando de credenciales robadas, forzadas o filtradas.

El ataque inicial comienza del mismo modo, mediante ingeniería social, phishing, y otros métodos de engaño, violan la cuenta del usuario y obtienen el código QR que les permite activar la eSIM en su propio dispositivo, secuestrando efectivamente el número de la víctima.

Mientras los datos de identidad residen en el teléfono del propietario, los ciberdelincuentes siguen explotando las vulnerabilidades de los sistemas y procesos relacionados con la autenticación y la protección de datos.

Cómo protegerse

Ser víctima del intercambio de eSIM puede tener graves consecuencias para la seguridad y privacidad de la persona. Algunas de las amenazas incluyen:

• Robo de identidad digital: Los ciberdelincuentes pueden obtener acceso a las cuentas digitales de la víctima, incluidos los correos electrónicos, las redes sociales y la banca, comprometiendo su identidad digital y exponiendo información personal y financiera.
• Fraude financiero: Con acceso a los servicios bancarios en línea de la víctima, los delincuentes pueden realizar transacciones, transfiriendo fondos ilegalmente y comprometiendo su estabilidad financiera.
• Extorsión y chantaje: Los ciberdelincuentes pueden utilizar el acceso a los mensajes y contactos de la víctima para llevar a cabo Extorsión o chantaje, amenazando con revelar información confidencial o comprometedora.
• Daño reputacional: En caso de que los ciberdelincuentes utilicen el acceso a la cuenta de la víctima para difundir información falsa o dañina, puede resultar en daños a la reputación personal y profesional.

Hay medidas que puedas tomar para protegerte y evitar que te roben tu número de teléfono:

• Nunca utilices la verificación en dos pasos a través de SMS: De todas las formas de proteger tu eSIM, tu cuenta de WhatsApp o tus redes sociales, la verificación por SMS es una de las peores. Con acceso al número, el ciberdelincuente podrá piratear sus otras cuentas con facilidad al recibir el código de seguridad por mensaje de texto. Utilice siempre aplicaciones de token de acceso para proteger sus cuentas.
• Habilite la verificación en dos pasos en WhatsApp: Abra WhatsApp; Toque «Menú» (los tres puntos) y luego en «Configuración»; Toca «Cuenta», «Verificación en dos pasos»; Establece un código PIN de seis dígitos, que se te pedirá cuando inicies sesión en WhatsApp. La aplicación solicita al usuario el código de vez en cuando, para asegurarse de que alguien más no lo esté usando; También puede configurar una dirección de correo electrónico para recuperar el PIN en caso de que lo olvide. En algunos casos, WhatsApp puede pedirte que agregues un correo electrónico de recuperación si olvidas el código. Es extremadamente importante que este correo electrónico también esté protegido por la verificación en dos pasos que no sea a través de SMS.
• Cuidado con el phishing: El intercambio de SIM se basa especialmente en estafas de phishing, como correos electrónicos y mensajes sospechosos. Dado que se trata de una estafa vinculada a la ingeniería social, es importante tener cuidado con los contactos extraños.

Fuente: www.welivesecurity.com/

La nueva ley china implementa reconocimiento facial obligatorio para todas las nuevas altas de teléfono y conexión móvil, a partir de este mismo diciembre.

A veces puede parecer que Internet es un «lugar sin ley», en el que cualquiera puede hacer lo que quiera; en realidad, nuestras acciones en la red tienen cada vez más consecuencias, y el mejor ejemplo en ese sentido lo tenemos en China.

El gobierno comunista no ha ocultado su interés en implementar más controles en Internet, con el objetivo de «garantizar los derechos e intereses» de sus ciudadanos; sin embargo, por el camino está tomando decisiones que pueden vulnerar otros, como el de la privacidad.

El reconocimiento facial, cada vez más extendido en China Los usuarios chinos ya están obligados a presentar la identificación personal y a compartir sus datos personales para obtener acceso a Internet; con la nueva ley, además tendrán que hacerse varias fotografías en diferentes ángulos.

No está claro si los datos obtenidos con el reconocimiento facial se guardan en bases de datos; la ley sólo especifica que este proceso se realiza para realizar comparaciones con los datos ya obtenidos.

Oficialmente, la ley se ha establecido para evitar robos de identidad, en los que un internauta podría usar una identificación falsa para conseguir una línea de teléfono y cometer posibles delitos.

Sin embargo, a nadie se le escapa que el gobierno chino ya usa el reconocimiento facial en otros proyectos más polémicos, como el llamado «crédito social», por el que las cámaras de seguridad de las ciudades reconocen actos como cruzar con el semáforo en rojo para asignar una puntuación a cada persona.

Fuente: omicrono

El famoso smartphone con Plasma Mobile será una realidad. O al menos eso indica la campaña de crowdfunding que se creó para tal fin y que finalmente ha conseguido el dinero propuesto. Librem 5, el smartphone con Plasma Mobile, ya tiene el millón y medio de dólares que necesitaba para su desarrollo y puesta en venta.

El smartphone de la empresa Purism ha conseguido el dinero a falta de dos semanas para terminar la campaña, hecho que muchos (me incluyo) pensábamos que no iba a tener lugar.

El smartphone de Purism no solo tendrá Plasma Mobile y será compatible con los entornos de Gnome sino que será además el primer smartphone que se base en tecnología IP. Además, al igual que muchos otros terminales, Librem 5 podrá ser utilizado como ordenador de sobremesa, solo habrá de conectarse el monitor y el resto de accesorios para obtener un entorno Gnu/Linux amigable.

Librem 5 ha conseguido toda la financiación necesaria pero aún tiene que esperar 2 semanas más para tenerlo

La seguridad de las comunicaciones será otro de los puntos fuertes de este terminal. Utilizando protocolos de encriptado, las comunicaciones entre el móvil Librem 5 y otro dispositivo estarán encriptadas, tanto en el inicio como en el final, haciendo que la seguridad de llamadas y envío de datos sean lo más seguras posibles. Sin olvidar que tendrá Plasma Mobile como sistema operativo, es decir, una distribución Gnu/Linux en toda regla y con el respaldo de la Comunidad KDE.

Aún quedan dos semanas para que termine la campaña de crowdfunding, dos semanas hasta que Purism consiga el dinero para desarrollar este smartphone que parece prometer ser la tercera alternativa dentro del mercado del smartphone. Es decir, que el usuario final tendrá que esperar al menos un año para que Librem 5 esté en su bolsillo, una espera tortuosa para algunos pero que si cumple con lo que promete, merecerá la pena.

Fuente: www.linuxadictos.com