Nuevos delitos informáticos que atentan contra la privacidad

Los ataques evolucionan. Los delincuentes tienen a disposición cientos
de fuentes tales como almacenamiento y ancho de banda "infinito",
potencia de cálculo, "anonimicidad" y facilidades que dificultan su
seguimiento, por ejemplo, la falta de jurisdicción y leyes
específicas, solo por nombrar algunas de ellas.
Todo está servido para nuevos delitos, entre los que se destacan
algunos que no son específicamente técnicos sino que afectan al ámbito
de la privacidad personal.

El informe "Sherlock Holmes’s Evil Twin: On The Impact of Global
Inference for Online Privacy" [1] de la universidad de Berkeley define
algunos de estos nuevos abusos y faltas, que no pueden ser aún
llamados delitos porque la mayoría de ellos no han sido establecidos
como tales por ninguna ley o regulación.

A continuación se detallan algunos de estos abusos, con traducciones
libres ya que aún no existe versión en español.

* Cyberstalking (acoso cibernético). Hay una serie de razones por las
que alguien quiera perfilar detalladamente a otro, que van desde la
simple razón de "conocerlo mejor" o la investigación de sus
antecedentes antes de contratar algún servicio; a otros más
cuestionables a francamente ilegales que llegan al acoso real.
La RAE define acoso como "perseguir, apremiar, importunar a alguien
con molestias o requerimientos, sin darle tregua ni reposo".

Entonces, el acoso cibernético es el uso de algún medio tecnológico para
acosar a un individuo, un grupo de personas o una organización. El
acoso puede estar representado por la realización de una acusación
falsa, difamación, persecución, amenazas, robo de identidad, daños a
la propiedad del acosado o cualquier actividad que sea suficiente para
hacer que la persona sienta angustia razonable.

La realización de estas actividades se diferencian fundamentalmente
del acoso físico porque el acosador usa la tecnología como medio
potenciador del hecho, para ser anónimo e incluso para solicitar la
participación de terceros que desconocen los hechos reales y ayudan al
acosador sin saberlo.

* Cybercasing (ciber-seguimiento). Los atacantes usan información en
línea para violar la privacidad de una persona o para facilitar la
comisión de un delito en el mundo físico. El trabajo "Cybercasing the
Joint: On the Privacy Implications of Geo-Tagging" [2] profundiza en
estas herramientas.

El término "Cybercasing" se utiliza para describir el proceso por el
cual un criminal puede monitorear de forma anónima a una potencial
víctima, observando como esta sube secuencialmente datos valiosos
acerca de sus posesiones, ubicación geográfica, actividades, etc.

Las principales fuentes de información utilizadas en este caso son los
la obtención de metadatos [3] de fotos, videos o documentos y el
Geo-tagging [4].

Hay cientos de servicios basados en la localización con grandes
jugadores que invierten millones de dólares en el mercado para
mejorar sus servicios. Servicios de GPS y la triangulación WiFi son
hoy funcionalidades estándar para cualquier dispositivo móvil y el
geo-etiquetado de fotos, videos y mensajes de texto se ha vuelto
común, incluso sin que el usuario conozca que estas tecnologías
siquiera existen.

Sitios web como "Please Rob Me" [5] o "Whatsapp Voyeur" (ahora
discontinuados) o herramientas como Cree.py [6] ponen en relieve la
importancia de proteger la privacidad y de no publicar información que
podría ser utilizada en contra del usuario.

Quizás el caso más emblemático fue aquel en el que se detuvo a un
delincuente que publicaba fotos de los pechos de su novia en los
sitios web sobre los que realizaba defacing. Usando la información de
geolocalización de las fotos, fue posible dar con la dirección de su
casa [7].

* Ataques de preparación. Hay muchos ataques de este tipo, tales como
el phishing, la propagación de malware, y la ingeniería social. Esta
es la forma en que el atacante conoce mejor el perfil de su víctima
y/o instala alguna herramienta para controlarlo y aumentar la
efectividad de su ataque.

* Perfilamiento económico. Comprender las actividades y el desarrollo
económico de la víctima permite planificar ataques corporativos con la
esperanza de ganar dinero y obtener ventajas competitivas. La
inferencia global de datos permite crear la imagen de una organización
así como sus actividades, para luego aprovechar la información en
contra de su propietario.

Esta información se puede obtener desde "fugas simples e inadvertidas"
de datos aislados (por ejemplo un Twit de un empleado) hasta complejos
sistemas de robo de datos que involucren a múltiples jugadores y
miembros de la organización y que permiten fugas masivas de
información (por ejemplo la instalación de una APT-Advanced and
Persistent Threat).
Luego, la correlación y minado de datos permite la planificación de
ataques contra la imagen de la organización y la obtención de ventaja
competitiva y económica contra el adversario.

* Espionaje. En este caso, el espionaje se realiza contra
organizaciones e instituciones gubernamentales para conocer sus
debilidades y las de sus miembros individuales, tales como problemas
de dinero, hábitos de juego, vicios, ambiciones, etc.
En este tipo de ataques no se busca comprometer la institución
directamente sino que se explotan debilidades en algunos de sus
miembros. De esta manera el adversario podría construir una lista de
posibles objetivos y realizar perfilamiento de cada uno de ellos.

* Cybervetting (Investigación de antecedentes en línea) [8]. En este caso
no se trata de una acción fraudulenta sino que es una actividad
llevada adelante por las empresas para investigar información personal
y antecedentes de posibles candidatos a trabajar en la organización.
Es cada vez más utilizado por los empleadores para realizar
reclutamiento en línea y para conocer la reputación en Internet de los
candidatos.

* Cyberframing. Las compañías practican "cybervetting" para evitar
contratar a malos perfiles y defenderse del espionaje. Sabiendo esto,
un posible atacante podría crear información maliciosa que "envenene"
el perfil de un posible candidato a un puesto de trabajo. A esta
acción se la denomina "Cyberframing".
De esta manera la investigación del perfil del candidato podría
inferir datos erroneos, dañar su imagen y hacer que sea descartado
como postulante. Una forma de realizar este tipo de actividades por
ejemplo sería modificar fotos de la víctima y relacionarlas a
búsquedas de algún delito.

[1] Sherlock Holmes’s Evil Twin: On The Impact of Global Inference for
Online Privacy
http://www.icir.org/robin/papers/nspw11-inference.pdf

[2] Cybercasing the Joint: On the Privacy Implications of Geo-Tagging
http://www1.icsi.berkeley.edu/~fractor/papers/friedland_112.pdf

[3] Metadato
http://es.wikipedia.org/wiki/Metadato

[4] Geoetiquetado
http://es.wikipedia.org/wiki/Geoetiquetado

[5] Please Rob Me
http://pleaserobme.com/‎

[6] Cree.py
http://ilektrojohn.github.io/creepy/

[7] These Breasts Nailed a Hacker For the FBI
http://gizmodo.com/5901430/these-breasts-nailed-anonymous-hacker-in-fbi-case

[8] Online vetting
http://en.wikipedia.org/wiki/Online_vetting
http://www.ere.net/2011/09/14/cyber-vettings-usage-risk-and-future/