BCS023 – Privacidad

La privacidad, tan valiosa y tan poco apreciada. Un concepto que atrae por igual a conspiranóicos y a ultra-protectores y que mucha gente no considera. Hablaremos un poco de ella y de lo mucho que puede hacerse si se está en la situación apropiada para recopilar datos como IMEI, IMSI, MAC, navegación web, etc.

La entrada BCS023 – Privacidad aparece primero en AVpodcast.

Cómo puede ser que vayamos por el episodio 23 del podcast y aún no hayamos dedicado un episodio a la privacidad. Bien, pues aquí está. Pero bueno, tened en cuenta que la privacidad es muy amplia, así que habrá muchas cosas que nos dejemos en el tintero, lo cual permitirá que volvamos en el futuro a hacer monográficos de este tema.

BCS023 – Privacidad

Este episodio lo apadrina con su presentación, el magnífico Eduardo Collado. Eduardo es podcaster y aún así, buena persona y un fantástico técnico de redes del que podéis aprender mucho. Para leerle y escucharle, no dudéis en pasaros por eduardocollado.com, donde encontraréis su blog y podcast. Por cierto, también es uno de los socios de Neodigit, la empresa de hosting donde se aloja el MP3 que estás escuchando.

Índice

00:00:00 – Introducción
00:01:36 – Noticias.log

00:01:48 – Filtración iBoot iOS9
00:04:33 – El servicio de VPN de Facebook
00:06:25 – Denunciado el hacker que publicó la vulnerabilidad de LexNET
00:10:31 – Grave error de seguridad en Skype

00:14:01 – Error 503: Privacidad
01:24:46 – El consejo del día: ¿Qué cuenta tu navegador?
01:33:27 – Contacto con oyentes
01:40:08 – Despedida

Noticias.log
Filtración iBoot iOS9 – 00:01:48

Un empleado de Apple filtró a la comunidad jailbreak el iBoot para la versión iOS9 y, aunque en 2018 eso ya no parece que vaya a ser un programa de seguridad para los iPhone, si destapa un problema de seguridad interna en la propia Apple (al menos hace 3 años).

Más información en faq-mac.com, mixx.io y seguridadapple.com.

El servicio de VPN de Facebook – 00:04:33

No nos sorprenderá a ninguno que Facebook quiera saberlo todo de sus sus usuarios, ¿no? Pues resulta que el servicio de navegación segura mediante VPN que nos ofrece en la propia app de la red social, es de una empresa propiedad de Facebook y que analiza todo nuestro tráfico para contarle nuestros chismes a la red social.

Podéis ver más información al respecto en la noticia de El Confidencial.

Denunciado el hacker que publicó la vulnerabilidad de LexNET – 00:06:25

La tragicomedia de LexNET continúa. En el nuevo episodio nos enteramos de que, en lugar de premiarle, el Ministerio de Justicia ha denunciado al hacker que denunció el grave fallo de seguridad que ¿afecta/afectaba? a la plataforma.

Más información disponible en el Observatorio CISDE y en La Sexta.

Grave error de seguridad en Skype – 00:10:31

Pues parece ser que Skype se ha convertido en una puerta de acceso con privilegios a equipos Windows. No es que un usuario con el que hablamos se meta en nuestro PC a través de la llamada. Se trata de que un usuario sin privilegios de administración, en un PC con Skype, puede escalar privilegios y hacerse el amo del calabozo. Todo por culpa del instalador de actualizaciones de esta popular aplicación de llamadas IP.

Puedes leer la noticia completa en tecnonucleous.com.

Error 503: Privacidad

A partir del 00:14:01

Este episodio lo hemos centrado en la privacidad como elemento fundamental a respetar tanto por particulares como por empresas.

Personal y legal

Empezamos definiendo la privacidad tal y como lo recoge la RAE. A continuación explicamos cómo debemos entenderla en nuestra vida personal y con los que nos rodea. E incluso nos adentramos en el mundo legal haciendo referencia al Código Penal. En concreto al Título X: «Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio». Aunque no puede faltar la mención al famoso artículo 197, que es el primero de ese título y de su primer capítulo: «Del descubrimiento y revelación de secretos».

Operadores de telefonía móvil

Superada la parte más filosófica y legal de la privacidad, nos metemos en cuestiones técnicas para hablar de lo que los operadores telefónicos pueden llegar a saber a través del IMSI y el IMEI. El primero es un dato de nuestra tarjeta SIM y se asocia a nuestra línea telefónica y el segundo es algo así como la matrícula de nuestro terminal telefónico. Asociado a estos dos números, los operadores telefónicos pueden obtener mucha información estadística o incluso de una persona específica.

También comentamos la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Esta ley indica todos los datos que deben recopilar obligatoriamente los proveedores de servicios de comunicaciones, sean telefónicos y/o de acceso a Internet, incluso los de correo electrónico o de servicios de chat.

Podéis obtener el IMEI de vuestro teléfono marcando *#06# en la aplicación de llamadas telefónicas.

Podéis probar a introducir un número IMEI en imei.info para comprobar cómo este número identifica perfectamente el modelo de terminal al que pertenece.

Redes WiFi

Pero no sólo los operadores pueden analizar el comportamiento de las masas en base a sus dispositivos móviles. Los centros comerciales, hoteles, centros de convenciones, etc. también pueden analizar cómo se mueve la gente por sus dominios. Para ello se basan en la dirección MAC de las interfaces WiFi y Bluetooth de nuestros teléfonos. Ni que decir tiene que la información que proporcionamos si nos conectamos a las redes WiFi gratuitas de estos comercios, la información que les regalamos es aún mayor.

Si queréis saber quien es el fabricante de un módulo de red, basta con poner la dirección MAC del mismo en macvendors.com.

Si queréis averiguar la dirección MAC de un PC Windows, escribid en la línea de comandos ipconfig/all. En Linux o Mac, escribid ifconfig. Para teléfonos móviles, en iPhone podéis entrar a Ajustes>General>Información y lo tenéis en Dirección Wi-Fi. En Android podéis ir a Ajustes>Acerca de>Estado.

Servicios DNS

También hablamos de los servicios DNS o de resolución de nombres de dominio. Estos servicios son agendas que traducen direcciones en lenguaje humano, a direcciones IP para que no tengamos que andar memorizando números. Cuando navegamos en una red que nos proporciona su servidor DNS, estamos diciéndole a ese servidor a qué servicios y páginas accedemos, así que hay que tener también cuidado con esto.

Esto ocurre cuando navegamos en la red de la empresa, en el WiFi de la hamburguesería, en el del aeropuerto o en el del centro comercial.

Y aquí enlazamos con la noticia del servicio VPN de Onavo Protect, que pertenece a Facebook. Y es que si usamos ese servicio, Onavo le contará a Facebook tooooooodos los servicios y webs a las que nos conectemos.

Podéis encontrar listas de servidores DNS para seleccionar el que más os interese en este post de adslzone.net. Entre otros, mencionamos los de OpenDNS y los de Google.

Y aquí una noticia de vozidea.com en la que comentan sobre la seguridad de los servicios DNS de IBM, que es de lo que hablaba Raúl. el servicio de DNS de IBM, en concreto, se denomina Quad9.

El consejo del día: ¿Qué cuenta tu navegador?

A partir del 01:24:46

Para tomar concienciación sobre la privacidad y de la cantidad ingente de información que podemos estar filtrando en cualquier momento, os invitamos a acceder a webkay.robinlinus.com. Ya nos contaréis en los comentarios qué os parece

Métodos de contacto

Twitter: @BitaCiber
Facebook: Bitácora de Ciberseguridad
Email: ciberseguridad @ avpodcast . net
Web: www.avpodcast.net/ciberseguridad
Canal de Telegram: t.me/bitaciber

Seguridad de la información y ciberseguridad.

El programa en el que tratamos la seguridad de la información desde un punto de vista práctico y asequible para concienciar sobre los peligros de no proteger adecuadamente nuestros recursos informáticos e información. Producido por Proyecto Albedo y presentado por Sergio R.-Solís y Raúl Fernández.

Un podcast 100% libre de virus y para todos los públicos.

SUSCRÍBETE en Apple Podcasts - Android - Ivoox - Spotify - RSS

La entrada BCS023 – Privacidad aparece primero en AVpodcast.