La privacidad, al desnudo
Descubiertos simultáneamente malos usos de datos personales en Uber, Google e Intel
Miércoles negro para la privacidad en la red. Entre el martes y ayer se supo que tres grandes tecnológicas –Uber, Google e Intel– han comprometido, aunque por hechos y causas diferentes, la privacidad de los datos de sus clientes y proveedores.
La noche del martes se hacía público que Uber había ocultado el robo, ocurrido en octubre del 2016, de los datos de 57 millones de personas, entre clientes y conductores. Y no sólo eso, sino que además había pagado a los hackers responsables del robo 100.00 dólares (85.000 euros), no tanto para que no usaran ni vendieran los datos como para comprar su silencio.
De momento, el incidente ya le ha costado el puesto a Joe Sullivan, responsable de seguridad de Uber, y al abogado de la compañía, Craig Clark. Además, Dara Khosrowshahi –director ejecutivo de Uber que remplazó a Travis Kalanick en agosto– ha publicado una carta de disculpa. Ahora también se ha sabido que Kalanick tuvo conocimiento de la fuga de datos un mes después de producirse.
Según un portavoz de la firma de seguridad Kaspersky, “al pagar dinero a los ciberdelincuentes Uber establece un precedente peligroso”, ya que cuando entre en vigor el Reglamento General de Protección de Datos –en mayo del 2018–, las multas por no revelar este tipo de sucesos subirán hasta el 4% de la facturación anual y “es posible que veamos más casos de chantajes a las empresas si el pago solicitado es considerablemente menor que la multa a la que tendrían que enfrentarse si reportan el incidente”.
Por otro lado, una investigación del portal de tecnología Quartz ha desvelado que los teléfonos con el sistema operativo Android –desarrollado por Google– localizaban los terminales y mandaban los datos a los servidores de Google, a pesar de que su usuario hubiera desactivado la función de localización, incluso si no había instalado siquiera una tarjeta SIM.
Google ha reconocido que llevaba realizando esta práctica desde hacía 11 meses para mejorar la rapidez en la entrega de las notificaciones de mensajería, pero que nunca ha almacenado las ubicaciones. “Para garantizar que los mensajes y las notificaciones se reciban rápidamente, los teléfonos Android modernos usan un sistema de sincronización de red que requiere el uso de códigos de país móvil y códigos de red móvil. En enero de este año comenzamos a ver la posibilidad de usar códigos de identificación celular como una señal adicional para mejorar aún más la velocidad y el rendimiento de la entrega de mensajes. Sin embargo, nunca los incorporamos a nuestro sistema de sincronización de red, por lo que los datos se descartaron inmediatamente”, ha dicho Google en un comunicado. La compañía también ha asegurado que este sistema dejará de funcionar a finales de este mes de noviembre.
Lo que hacía Android era registrar la ubicación basada en la antena de telefonía más cercana y enviarla a Google, para lo que sólo era necesario que el teléfono tuviera el wifi activado. El cálculo de la localización con este sistema no es tan preciso, pero es posible afinarlo mediante triangulación, sobre todo en ciudades donde hay una mayor concentración de antenas.
Por último, el fabricante de procesadores Intel confirmó un fallo de seguridad en varios modelos de sus procesadores, que presentaban hasta ocho vulnerabilidades en su firmware (un software interno), que ya han sido solucionadas, según la empresa. Los fallos posibilitaban a los atacantes acceder a información protegida, al hacerse pasar por el propio sistema de Intel, además de causar fallos e inestabilidad, y permitían cargar y ejecutar código sin que fuera detectado ni por el chip ni por el sistema operativo del ordenador. Para solucionarlo, el fabricante ha publicado una herramienta que permite detectar si el equipo en cuestión está afectado por el problema.