Skip to content

Anonymous Chile

¡Seguimos en la lucha, firmes como siempre, en pie de guerra!

  • Inicio
  • Manuales y Guías
    • Privacidad en Internet
    • En la calle
    • Medios confiables
  • Lectura
  • Acerca de
    • Anonymous Chile
    • Medios de contacto

Mes: marzo 2020

Fallo en WhatsApp permite hackear códigos 2FA

Posted on 31/03/2020 - 28/03/2020 by Anonymous Chile

Cualquier plataforma conectada a Internet está expuesta al hacking, incluso si se implementan las prácticas de seguridad más recomendadas, aseguran expertos de un curso para hackear celulares. Hace un par de años, WhatsApp lanzó un mecanismo de autenticación de dos factores (2FA) para proporcionar una capa de seguridad adicional para sus usuarios.

Un grupo de investigadores reveló recientemente el hallazgo de una nueva vulnerabilidad en las versiones de WhatsApp para iOS y Android que, de ser explotada, podría permitir a los actores de amenazas obtener el código de acceso 2FA enviado por la compañía, el cual está almacenado en texto sin cifrar.

Cabe mencionar que esta no es la primera ocasión en la que se descubre una seria falla en la seguridad de la plataforma de mensajería, empleada por cientos de millones de personas en todo el mundo.

Acorde a los instructores del curso para hackear celulares, la única protección con la que cuenta este código es que está almacenado en un entorno sandbox, por lo que no es posible que aplicaciones de terceros puedan acceder a esta información, además de que la compañía no almacena este código en las copias de seguridad. No obstante, el hecho de que el código se almacene en texto sin cifrar es una deficiente práctica de seguridad.

A continuación, se muestra cómo WhatsApp almacena la contraseña de 2FA en texto simple. También es posible apreciar que los archivos son almacenados en un contenedor privado.

Los expertos del curso para hackear celulares señalan que esta clave 2FA también es visible en dispositivos Android rooteados, por lo que otras aplicaciones con permisos de root podrían acceder a este código.

Una aplicación de terceros que pudiera acceder a este código aún requeriría de la obtención de un código PIN de seis dígitos enviado al número de teléfono del usuario para comprometer completamente su cuenta, por lo que la posibilidad de explotar esta falla de seguridad con fines maliciosos es reducida de forma considerable.

A pesar de que los usuarios no están ante un peligro inminente, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda a WhatsApp no almacenar esta información en texto sin cifrar para eliminar completamente cualquier riesgo para los usuarios y sus cuentas en la aplicación de mensajería.

Leave a comment

Whatsapp expone enlaces de grupos a los motores de busqueda

Posted on 31/03/2020 - 28/03/2020 by Anonymous Chile

Al igual que con otras plataformas de mensajería, los chats grupales de WhatsApp son una forma popular de comunicarse con la familia o grupos de amigos, colegas o extraños de Internet. Los usuarios pueden invitar a otros a grupos privados con la función «Invitar al grupo a través de un enlace» y luego compartir ese enlace de la forma que deseen. Si esos enlaces de invitación se comparten en línea, parece que es alarmantemente fácil encontrarlos con una simple consulta en un motor de búsqueda.

La función «Invitar a un grupo a través de un enlace» permite que Google indexe a los grupos y, por lo general, queden disponibles en Internet. Con algunos términos de búsqueda comodín (dorks), pueden encontrarse fácilmente algunos.

Este defecto de diseño fue reportado por primera vez por el periodista Jordan Wildon en Twitter. Descubrió que Google estaba indexando las URL de los grupos y que se podían encontrar con los términos de búsqueda correctos. Los enlaces de chat grupal utilizan la URL base «chat.whatsapp.com», que se puede encontrar en Google con el modificador «site:».

Jane Manchun Wong, conocida por sus aplicaciones de ingeniería inversa, atrajo más la atención sobre la situación. Encontró que Google tiene más de 470.000 resultados al hacer una simple búsqueda de «chat.whatsapp.com». Muchos de estos resultados son invitaciones para grupos privados. Una vez que un usuario se une a un grupo, puede ver a todos los participantes y sus números de teléfono. Obviamente, este es un problema de privacidad bastante grande, ya que algunos de los grupos que hay son personas con las que quizás no quiera asociarse públicamente.

Danny Sullivan, el enlace de búsqueda pública de Google, tuiteó sobre la situación y dijo: «Los motores de búsqueda como Google y otros enumeran páginas de la web abierta. Eso es lo que está pasando aquí. No es diferente a cualquier caso en el que un sitio permita que las URL se enumeren públicamente». Continúa diciendo que existen herramientas para los webmasters para evitar que el contenido aparezca en los resultados de búsqueda, lo que WhatsApp claramente necesita hacer para proteger a los usuarios de estos grupos.

Esto no es culpa de Google ni de ningún otro motor de búsqueda. Como señalaron Jane y Danny, esto se debe a la falta de previsión por parte de WhatsApp. Deberían estar usando la metaetiqueta «noindex» o «norobots.txt» para excluir las páginas de invitación de aparecer en los motores de búsqueda.

Un portavoz de WhatsApp ha publicado la siguiente declaración a Vice: Los administradores de grupo en los grupos de WhatsApp pueden invitar a cualquier usuario de WhatsApp a unirse a ese grupo compartiendo un enlace que han generado. Al igual que todo el contenido que se comparte en canales públicos de búsqueda, otros usuarios de WhatsApp pueden encontrar enlaces de invitación que se publican en Internet. Los enlaces que los usuarios desean compartir en privado con personas que conocen y en las que confían no deben publicarse en un sitio web de acceso público.

WhatsApp está diciendo que los enlaces compartidos públicamente en Internet efectivamente se pueden encontrar. Se pueden descubrir fácilmente miles de enlaces de invitación de chat grupal porque WhatsApp se niega a hacer algo para evitar que los motores de búsqueda los indexen. Las personas no deberían compartir estas URL en línea, pero WhatsApp podría resolver el problema para que no sean tan fáciles de encontrar.

Leave a comment

Piratería y Software Libre

Posted on 30/03/2020 - 26/03/2020 by Anonymous Chile

En “Por qué el software no debería tener dueños” (Stallman, 2010), Richard Stallman explica que, si un amigo te pide una pieza de software y la licencia de ese software te impide compartirlo, vas a tener que elegir entre ser un mal amigo o violar la licencia del software. Stallman sugiere que los usuarios tendrán que elegir el menor de dos males y elegirán violar la licencia. Enfatiza que es injusto pedir a un usuario que realice tal elección.

En los últimos años, los partidos piratas (Wikipedia, 2011) han crecido a través del mundo desarrollado. Por supuesto, la piratería es el medio principal de distribuir medios entre todos los demás. Los militantes del acceso a la información se han juntado y organizado bajo la bandera ’pirata’, representando la elección de compartir con amigos sobre el cumplimiento de los términos de las licencias.

Tanto el movimiento del Software Libre y Abierto como el de la Cultura Libre parecen tener reacciones confusas y contradictorias a esto. Por un lado, los mayores proponentes de varios partidos piratas (Partei, 2006, ppuk-copyright) son también militantes por el Software Libre y varios partidos piratas han hecho de la militancia por el Software Libre uno de los componentes de sus plataformas políticas. La clara oposición del Partido Pirata a las patentes del software y el DRM resuena junto a la de las comunidades del Software y de la Cultura libres. Por otro lado, líderes del movimiento del Software Libre, incluyendo a Stallman, nos han prevenido acerca de las políticas ’piratas’ anti-copyright (Stallman, 2009). Líderes de la Cultura Libre, como Lawrence Lessig, han repetida y vociferadamente denunciado la piratería (Lessig, 2008b, 2008a, 2010), hasta tratado la sugerencia de una asociación con la piratería como una afronta, y se han distanciado sistemáticamente de ella.

¿Deberían los militantes del Software y la Cultura libres aceptar a los piratas como camaradas de armas o condenarlos? ¿Debemos elegir entre estar con los piratas o contra ellos? Nuestras comunidades parecen no haber podido articular un consenso claro y consistente.

Se cree que, inintuitivamente, si se toma una fuerte posición de principios (Hill, 2009) a favor de la libertad de la información y se distingue entre los principios y las tácticas, es posible llegar a un ’término medio’ más matizado en respuesta a la piratería. A la luz de un convencimiento de que los usuarios deben poder compartir información podemos concluir que no hay nada éticamente malo con la piratería. Las licencias tienen el poder de la ley pero están protegidas por leyes de ’propiedad intelectual’ injustas. Habiendo dicho esto, los principios no son la única razón por la que los activistas deciden hacer las cosas. Muchos intentos políticos son malas ideas no porque estén mal, sino porque no van a funcionar y tienen efectos negativos. Las tácticas importan también. Aunque no haya nada éticamente malo con la piratería desde la perspectiva del software o la cultura libres, todavía puede ser una mala idea. Hay al menos tres razones tácticas que pueden motivar al software y la cultura libres a no apoyar la piratería o a participar en movimientos y políticas pro-piratería.

Primero, el sistemático no respeto al copyright mina el respeto por todas las licencias que tienen un enorme beneficio táctico para el Software Libre y un factor cada vez más importante para el éxito de la Cultura Libre. Las licencias copyleft como la GPL (Foundation, 2007) o CC-BY-SA (Corporation, s. f.-b) tienen poder sólo porque el copyright lo tiene. Como Stallman ha sugerido (Stallman, 2009), las acciones anti-copyright son también acciones anti-copyleft. Esto no tiene por qué ser un argumento contra los intentos para limitar el copyright. En efecto, pienso que debemos limitar y reducir el copyright. Pero debemos hilar cuidadosamente. En el clima actual del copyright, debemos sopesar los beneficios de promover la violación sistemática de las licencias propietarias con los beneficios de adherir al Software y la Cultura libres.

Segundo, la piratería es fundamentalmente reaccionaria. Parte de su resonancia como un símbolo político viene del hecho de que la piratería representa una manera en que los consumidores de medios pueden luchar contra un grupo de compañías que los han atacado –con demandas judiciales, sistemas DRM, y demonización y propaganda– por compartir en formas que los consumidores piensan como naturales y socialmente positivas. Pero la piratería se enfoca en la reacción antes que en la importancia fundamental de compartir que la conduce. Como resultado, muchos piratas no apoyan, o ni siquiera están familiarizados, con un acercamiento de principios al acceso a la información. Como resultado, muchos militantes piratas que hablan contra el DRM en DVDs estarían felices de usar NetFlix para descargar películas con DRM por US$5 al mes así como lo estarían por descargarlas gratuitamente. Los mejores gritos de guerra no siempre se traducen en los movimientos más robustos.

Tercero, en este foco sobre la reacción, un diálogo acerca de la piratería evita el compromiso con las preguntas difíciles sobre con qué vamos a reemplazar el actual sistema de copyright. Una posición de principios sugiere que es nuestra prerrogativa ética crear modelos alternativos. El movimiento del Software Libre ha triunfado porque creó tal prerrogativa y entonces, lentamente, proveyó ejemplos de alternativas funcionales. Una posición de principios sobre el Software Libre no requirió que se provea un nuevo sistema en funcionamiento inmediatamente, pero hace del desarrollo de acercamientos creativos y sostenibles una prioridad. Atacar al sistema sin siquiera tratar de hablar sobre modelos alternativos de producción no es sustentable. El Software y la Cultura libres piden una revolución. La piratería sólo pide una revuelta.

La piratería, en estos tres sentidos, puede verse como tácticamente imprudente, sin ser necesariamente anti-ética. Al tomar una posición de principios, uno puede construir e ir más allá, del comentario de Richard Stallman. En términos de software y cultura libres, podemos sugerir que la piratería no es éticamente mala, pero que es una manera imprudente de promover el compartir. Sin ser hipócrita, podemos decir “No pienso que la piratería sea anti-ética. Pero tampoco la apoyo”.

Leave a comment

Contra la vigilancia masiva: Hasta que la dignidad se haga costumbre

Posted on 25/03/2020 by Anonymous Chile

Frente a la represión que el Estado chileno ha ejercido sobre la legítima protesta social, nos oponemos a la implementación de tecnologías de vigilancia masiva y reconocimiento facial en el espacio público. Está demostrado que estas tecnologías no nos protegen: su implementación nos vulnera y entrega al Estado capacidades que menoscaban nuestros derechos.

Mientras que en mayo del año pasado la ciudad de San Francisco (cuna de este tipo de tecnologías) prohibió la utilización de tecnología de reconocimiento facial en espacios públicos, la Unión Europea pondera seguir este camino o al menos implementar una moratoria de cinco años a la utilización de estos mecanismos en espacios públicos; en Chile se ha anunciado por Mercado Público una licitación para la compra de equipamientos para un “Sistema de Teleprotección Nacional” por más de 14 mil millones de pesos que incluye tecnología de reconocimiento facial. Este sistema forma parte del programa “Calle Segura”, la iniciativa más ambiciosa para aumentar de capacidad de vigilancia del Estado desde la vuelta a la democracia.

En el contexto de protesta social en el que el país se encuentra sumido desde octubre del año pasado y ad portas de un proceso constituyente, donde las necesidades de expresarse públicamente y manifestarse pacíficamente mantendrán movilizada a parte importante de la población: ¿Qué podría salir mal?

Las razones que han llevado a la prohibición o moratoria de uso del reconocimiento facial en espacios públicos son claras y compartidas: este tipo de tecnologías entregan al poder político una capacidad ilimitada, desproporcionada e injustificada para identificar, perfilar y vigilar a sus ciudadanas; aún cuando la ejecución de estas actividades es incompatible con el Estado democrático de Derecho.

La paradoja del reconocimiento facial

Una de las principales críticas a las tecnologías de reconocimiento facial es su tasa de falsos positivos, es decir, el porcentaje de veces que el sistema reconoce de forma equivocada al afectado. La policía londinense reportó que un sistema de estas características identificó erróneamente a los individuos en un 92% de los casos, en Nueva York se obtuvo un 80% de falsos positivos y en nuestro país, el sistema del Mall Plaza resultó en un 90% de casos erróneos ¿Existe alguna otra industria que pueda mantenerse lucrativa con esos resultados?

Más allá de su efectividad -y la cuestionable justificación económica de esa inversión por el Estado, frente a las múltiples demandas sociales que requieren urgente atención- lo que resulta realmente espeluznante del reconocimiento facial, para aquellos que amamos y defendemos la libertad, es que estamos ante una tecnología que entrega una capacidad completamente desproporcionada al Estado y le permite ampliar su poder político para identificar a sus ciudadanas en el espacio público, un verdadero estado policial de control que trata a las personas como permanentes sospechosas. Este es el Estado del que nos habló Orwell en 1984.

Hoy estamos, entonces, ante una paradoja. El reconocimiento facial es una mala inversión para los recursos del Estado porque no sirve -ya se ha demostrado que es incapaz de entregar el resultado que promete- y el precio lo pagarán con sus derechos y libertades aquellos erróneamente identificados por el sistema. Aún si fuese capaz de alcanzar su objetivo, las consecuencias en el ejercicio de los derechos de las personas serían irreversiblemente más graves; es por esto que la implementación de este tipo de tecnologías resulta incompatible con un Estado de Derecho.

En el peor de los momentos

El anuncio de este sistema de vigilancia masiva ocurre en un momento particular, a la mitad de la revuelta social y política más importante que ha vivido Chile en los últimos 30 años. En un escenario en donde al menos tres organismos internacionales han constatado la existencia de gravísimas y generalizadas violaciones a los derechos humanos de la población.

La implementación de este sistema de vigilancia masiva se produce, entonces, en un contexto en el que se constata una progresiva criminalización al legítimo derecho de la población a la protesta social. El sistema propuesto entrega una herramienta tecnológica adicional para acrecentar la capacidad de control del Estado sobre la expresión y la manifestación, como un ejercicio de poder sin contrapesos ni obligación de rendición de cuentas en su uso. Si previo al estallido social vivimos situaciones como la Operación Huracán o la vigilancia policial revelada por el Paco Leaks ¿qué garantiza que un sistema de vigilancia masivo con reconocimiento facial no será utilizado para perfilar a dirigentes sociales, perseguir a activistas, medios independientes u hostigar a oponentes políticos?

Las bases de licitación son claras en entregar al sistema la mayor discrecionalidad y arbitrariedad posible, describiendo las cámaras como un mecanismo legítimo incluso para perseguir “incivilidades”. En otras palabras, se proponen como una solución para perseguir conductas que van desde cometer delitos hasta botar papeles en la calle, contraviniendo uno de los principios básicos de la disciplina jurídica de protección de datos personales: el principio de proporcionalidad.

Las bases de licitación son además ambiciosas, pero poco precisas. Se establece que el sistema de vigilancia tiene que ser capaz de reconocer rasgos faciales, patrones de comportamiento y contar con algoritmos de aprendizaje de máquinas (machine learning); sin embargo, no establece definición alguna de qué parámetros técnicos deberán cumplir ni provee información acerca de los datos que serán usados para su entrenamiento. Tampoco hay mención a cualquier mecanismo de control o resguardo de los derechos de las personas sujetas a este sistema de vigilancia masiva.

La pretensión del gobierno por generar mecanismos de vigilancia masivos en espacios públicos se basa en una premisa errada que nuestros tribunales superiores de justicia han sido claros en descartar: que “no existe” la privacidad en el espacio público. Claro que las personas no gozan del mismo nivel de privacidad en la calle que en la sala de estar de sus casas, pero eso no quiere decir que uno renuncie totalmente a la privacidad al cruzar el umbral de la puerta.

Y es que la privacidad y el anonimato son además condiciones necesarias para el ejercicio de otros derechos fundamentales, como la libertad de expresión, el derecho a reunión, petición, la libertad de culto y la no discriminación. De esta forma la implementación de sistemas de vigilancia masiva genera un efecto inhibidor donde, por miedo a represalias ulteriores, las personas podrían sentirse presionadas a no ejercer sus derechos o ejercerlos de forma limitada.

¿Podrán los chilenos seguir manifestándose con tranquilidad y libertad sabiendo que sus rostros están siendo identificados y que cada uno de sus patrones de comportamiento están siendo analizados por el mismo gobierno que los reprime? La respuesta es obvia.

Llamado a la acción

Desde Anonymous Chile nos oponemos a la implementación de este sistema de vigilancia incompatible con el Estado democrático de Derecho, que vulnera los derechos fundamentales de la población.

La Subsecretaría de Prevención del Delito debe rendir cuenta a las chilenas de su actuar, y es por eso que tal como lo hemos hecho nosotros, invitamos a todos nuestros lectores a utilizar el mecanismo de acceso a la información pública para requerir información de cómo este plan de vigilancia masiva pretende ser implementado y les afecta. Para ello les compartimos un modelo de solicitud que pueden bajar acá. La solicitud se debe ingresar en el portal de transparencia de la Subsecretaría de Prevención del Delito, de forma que exijamos al gobierno transparentar los detalles de este sistema de vigilancia masiva a todas sus ciudadanas interesadas en proteger el respeto de los derechos humanos que les hizo salir a la calle en 2019: para exigir que la dignidad se haga costumbre.

Leave a comment

Entradas recientes

  • Conectando con la red anónima de I2P (concepto y teoría)
  • Manifiesto Anarco-Hacker
  • [MÁXIMA DIFUSIÓN] Carabineros de Chile golpea mujeres inocentes en plena vía pública
  • Comunicaciones seguras y descentralizadas en Jabber/XMPP
  • La pandemia digitalizada

Comentarios recientes

  • https://asgenviagria.com/ en ‘RetroShare’: el sistema P2P y F2F anónimo, descentralizado y seguro
  • Antoniowhr en ‘RetroShare’: el sistema P2P y F2F anónimo, descentralizado y seguro
  • how to use viagra en ‘RetroShare’: el sistema P2P y F2F anónimo, descentralizado y seguro
  • is viagra over the counter en ‘RetroShare’: el sistema P2P y F2F anónimo, descentralizado y seguro
  • buy real viagra online en ‘RetroShare’: el sistema P2P y F2F anónimo, descentralizado y seguro

Archivos

  • julio 2020
  • mayo 2020
  • abril 2020
  • marzo 2020
  • diciembre 2019
  • noviembre 2019
  • junio 2019
  • octubre 2018
  • septiembre 2018
  • agosto 2018

Categorías

  • General

Páginas

  • Acerca de
  • Anonymous Chile
  • En la calle
  • Historia
  • Lectura
  • Manuales y Guías
  • Medios confiables
  • Medios de contacto
  • Privacidad en Internet
Proudly powered by WordPress | Theme: micro, developed by DevriX.