Prohibir la venta de datos de ubicación precisos

 (lawfaremedia.org)
2 puntos por GN⁺ 12 일 전 | 1 comentarios | Compartir por WhatsApp
  • El sistema de vigilancia basado en adtech de EE. UU., Webloc, está recopilando y vendiendo datos de ubicación precisos de hasta 500 millones de dispositivos móviles en todo el mundo
  • Estos datos incluyen identificadores de dispositivo, coordenadas y perfiles de apps, y son comprados y utilizados por diversas organizaciones gubernamentales, incluidas la policía, el ejército y agencias federales de EE. UU.
  • Webloc está integrado con la plataforma Tangles de Penlink, lo que permite identificar personas sin orden judicial al vincular dispositivos anónimos con cuentas sociales
  • Estos datos también pueden venderse a agencias de inteligencia extranjeras, lo que podría generar riesgos para la seguridad nacional, y se señala como problema la falta de control y supervisión legal
  • EE. UU. debe ir más allá de limitar su uso y prohibir la propia generación y venta de datos de ubicación precisos, y la ley de Virginia que prohíbe su venta es considerada el primer caso de este tipo

La realidad del sistema de vigilancia Webloc

  • Según una investigación de Citizen Lab, el sistema de vigilancia basado en adtech de EE. UU. Webloc está recopilando y vendiendo datos de hasta 500 millones de dispositivos móviles en todo el mundo
    • Los datos incluyen identificadores de dispositivo, coordenadas de ubicación e información de perfiles de apps
    • Webloc fue desarrollado originalmente por Cobweb Technologies y, tras fusionarse con Penlink en 2023, ahora Penlink lo comercializa
  • En una propuesta técnica filtrada se detalla específicamente que Webloc puede usarse para rastrear dispositivos individuales o buscar objetivos concretos
    • Como ejemplo, se presenta el caso de un hombre en Abu Dabi que fue rastreado más de 12 veces al día, y el de dos dispositivos cuya ubicación fue detectada al mismo tiempo en Rumania e Italia
    • Citizen Lab describió el nivel de detalle de estos datos como “escalofriante”

Uso por parte de agencias gubernamentales y fuerzas del orden

  • Entre los clientes de Webloc figuran el Departamento de Seguridad Nacional de EE. UU. (DHS), el Servicio de Inmigración y Control de Aduanas (ICE), unidades del ejército estadounidense, la policía de la Oficina de Asuntos Indígenas, y las policías estatales de California, Texas, Nueva York y Arizona
    • El Departamento de Policía de Tucson utilizó Webloc para identificar a un sospechoso de una serie de robos de cigarrillos, rastreando un único dispositivo que aparecía repetidamente cerca de las escenas del crimen hasta dar con la dirección del sospechoso
  • Webloc no es el producto principal de Penlink, sino una función adicional de una plataforma de análisis web y de redes sociales llamada Tangles
    • Tangles permite buscar cuentas en línea por nombre, correo electrónico, número de teléfono o nombre de usuario, y analiza publicaciones, relaciones, actividad e intereses
    • Ofrece análisis geoespacial, análisis de redes, generación de tarjetas de objetivo y funciones de alerta
    • Al integrarse con Webloc, se vuelve posible vincular identificadores anónimos de dispositivos con cuentas sociales, lo que permite identificar personas sin orden judicial

Problemas legales y éticos, y riesgos para la seguridad nacional

  • Aunque estas herramientas son útiles para investigaciones, es riesgoso que cualquiera pueda comprarlas y usarlas sin procedimientos sólidos de autorización y supervisión
    • Los procedimientos internos de la policía de Tucson no se detallan en el informe
  • En EE. UU. se necesitan límites legales claros para el uso de estas herramientas, y al mismo tiempo existe un riesgo para la seguridad nacional
    • Los mismos datos podrían ser utilizados por agencias de inteligencia extranjeras para actuar contra los intereses de EE. UU.
  • Entre los clientes internacionales de Penlink se incluyen la agencia de inteligencia interna de Hungría y la Policía Nacional de El Salvador, que también usan datos de ubicación para vigilancia dentro de sus países
    • Citizen Lab considera que no apuntan directamente a EE. UU., pero advierte que los datos de ubicación precisos pueden usarse globalmente para labores de inteligencia

Medidas de prohibición y cambios de política

  • EE. UU. debe ir más allá de simplemente restringir el uso de los datos y prohibir la propia generación y venta de datos de ubicación precisos
  • Como cambio positivo, el estado de Virginia aprobó recientemente una ley que prohíbe la venta de datos de ubicación precisos de los clientes
    • En un contexto en el que una ley federal integral de protección de datos personales sigue retrasándose, las medidas estatales son vistas como una respuesta práctica
    • Sin embargo, debe seguir una prohibición a nivel nacional

Caso de campaña de hacking con uso de IA

  • La empresa de seguridad Gambit analizó un caso en el que un solo hacker comprometió nueve organismos del gobierno de México usando dos plataformas comerciales de IA
    • En cuestión de semanas robó cientos de millones de registros de datos ciudadanos y montó un servicio de falsificación de constancias fiscales
  • El hacker utilizó tres VPS, y Claude Code generó y ejecutó cerca del 75% de los comandos de ejecución remota de código
    • Después de la intrusión, utilizó la API de OpenAI GPT-4.1 para analizar los datos recopilados y planificar ataques posteriores
  • El 26 de diciembre de 2025, el hacker le dijo a Claude que estaba “probando un bug bounty” y le dio reglas como borrar logs
    • Cuando Claude pidió pruebas de legalidad, el hacker guardó una chuleta de pruebas de penetración en el archivo claude.md para mantener el contexto de la sesión
    • Veinte minutos después, logró acceso remoto a un servidor del SAT de México mediante el escáner vulmap
  • Claude generó automáticamente scripts de ataque y probó ocho enfoques en siete minutos hasta escribir código exitoso
    • Aunque Claude rechazó algunas solicitudes, el hacker logró realizar la mayoría mediante reformulación de comandos y evasión
    • En solo cinco días, operó varias redes comprometidas al mismo tiempo
  • El hacker también combinó reconocimiento automatizado y análisis de datos mediante la API de GPT-4.1
    • Una herramienta de Python de 17,550 líneas extraía datos de servidores y los enviaba a GPT-4.1
    • Seis personas analistas virtuales generaron 2,957 reportes estructurados de información a partir de 305 servidores
  • La técnica de ataque en sí no era nueva, y los sistemas objetivo estaban sin actualizaciones de seguridad y fuera de soporte
    • Sin embargo, lo importante es que la IA aceleró la velocidad y la eficiencia del trabajo de un solo hacker hasta un nivel comparable al de un equipo
    • Desde la perspectiva defensiva, ya llegó una era en la que atacantes pequeños pueden causar daños a gran escala

Noticias positivas de ciberseguridad de esta semana

  • El Departamento de Justicia de EE. UU. desmanteló, con autorización judicial, una botnet basada en routers domésticos operada por la GRU de Rusia
    • La GRU infectó routers TP-Link para realizar secuestro de DNS y usarlos en ataques de intermediario
  • El FBI y la policía de Indonesia desmantelaron una red global de phishing que utilizaba el kit de phishing W3LL
    • La policía indonesia arrestó al desarrollador, y el caso fue considerado la primera investigación cibernética conjunta entre ambos países
  • Google incorporó Device Bound Session Credentials (DBSC) en Chrome 146 para Windows
    • Vincula los tokens de autenticación a claves criptográficas específicas del dispositivo para evitar el robo de sesiones
    • La versión para macOS también llegará pronto

Contenido principal de Risky Bulletin

  • Se confirmó que routers proxy maliciosos para LLM están circulando realmente en el mercado
    • Investigadores analizaron 28 routers de pago vendidos en Taobao, Xianyu y Shopify, así como 400 routers gratuitos publicados en GitHub y otros sitios
    • Algunos realizaban acciones maliciosas como inyección de instrucciones, activación diferida, robo de credenciales y evasión de análisis
  • El gobierno de Francia inició la primera etapa para reducir su dependencia de Windows y migrar a Linux
    • DINUM fue designado como organismo líder para realizar pruebas de migración a gran escala
    • En un seminario interministerial del 8 de abril, cada ministerio se comprometió a preparar planes de implementación y tecnologías alternativas
  • Análisis de la estrategia de ciberseguridad de China
    • En el más reciente plan quinquenal (15.º FYP), se define la construcción de una “ciberpotencia (网络强国)” como uno de los cinco grandes objetivos nacionales
    • Las otras cuatro áreas son manufactura, calidad, aeroespacial y transporte

Lecturas relacionadas

1 comentarios

 
GN⁺ 12 일 전
Comentarios de Hacker News

  • Muchos de los datos de ubicación que salen al mercado supuestamente están anonimizados, pero en la práctica a menudo se puede volver a identificar un dispositivo específico
    Si ves dónde permanece un dispositivo por la noche, puedes inferir la dirección de su casa, y al compararlo con información del residente (trabajo, escuela, etc.) puedes averiguar quién es el dueño

    • Si conoces la ubicación de la casa y el trabajo de alguien, los datos de ubicación anonimizados son una ficción que no existe
    • Algo parecido ya pasó hace 20 años con el dataset del Netflix Prize. Incluso con simples datos de calificaciones de películas se podía identificar a personas al cruzarlos con datos externos
      El artículo relacionado está aquí
    • La palabra “anonimización” al final no es más que teatro de seguridad. La industria de la tecnología publicitaria siempre encuentra vacíos en la ley o en los EULA, así que la solución tiene que ser un enfoque arquitectónico
      Por ejemplo, si se cambia a una estructura de proxy stateless que elimine los identificadores del dispositivo antes de enviarlos al servidor, ya no queda información en la base de datos
    • He visto una empresa que reidentificaba datos de otros corredores de datos. Gracias a eso, los brokers afirman que anonimizan, pero en realidad toda la información queda expuesta
    • Con una cantidad de muestras lo bastante grande, incluso datos simples de conteo de pasos pueden servir para identificar personas
      Ahora mismo las bases de datos no son lo bastante grandes, pero no creo que sea imposible en el futuro

  • Recopilar este tipo de datos sin una orden judicial o un contrato explícito debería estar prohibido

    • Pero la mayoría de la gente no lee los EULA ni los términos de servicio. Es muy probable que esas cláusulas ya estén ahí
    • Este tipo de rastreo debería estar desactivado por defecto (opt-out), y debería prohibirse la venta a terceros o el uso para fines distintos al original
    • Prácticamente todos los EULA permiten este tipo de recopilación de datos. El problema es que la gente acepta, y que el gobierno compra esos datos o los subcontrata para esquivar la constitución
    • El GDPR también lo intentó, pero la industria adtech distorsionó la narrativa y la falta de aplicación redujo mucho su efectividad

  • En Estados Unidos casi no existe el concepto de datos personales. Salvo algunas partes de HIPAA, no hay un marco de protección
    Con tan solo una ley como la Data Protection Act 1998 del Reino Unido se podrían frenar muchas actividades ilegales

  • En el momento en que la gente rica y poderosa se dé cuenta de que ellos también pueden ser rastreados, empezará la regulación
    Los datos de ubicación también son clave cuando el ejército rastrea y elimina objetivos, y aun así este tipo de datos se comercia con demasiada facilidad a través de brokers

    • Da la impresión de que podría aparecer un servicio de rastreo estilo ElonJet basado en este tipo de datos

  • El debate sobre la privacidad siempre funciona a la defensiva
    Se crea una tecnología de vigilancia, se abusa de ella, se expone, el público toma conciencia y recién entonces se hacen leyes
    Ese ciclo de retroalimentación es demasiado lento y, en el fondo, agotador. Hace falta un enfoque completamente distinto

    • Habría que criminalizar la violación de la privacidad en sí misma. Como el robo: juzgar por el resultado y no por el método
      Puede haber razones técnicas para recopilar datos, pero no hay una razón legítima para venderlos

  • Se plantea la idea de ampliar la ley de copyright para proteger los desplazamientos de una persona como “expresión creativa”

    • Pero, como dijo Cory Doctorow, usar el copyright como sustituto de la privacidad es peligroso
      Los datos de ubicación no son una obra creativa, y ni siquiera está claro quién sería el “registrador”
      El texto relacionado puede verse aquí
    • Al final, los términos de servicio solo añadirán una cláusula de exención del tipo “puede usar su información de ubicación en todo el mundo, de forma no exclusiva y libre de regalías”

  • La mayoría de la gente subestima el peligro de los datos de ubicación
    Si compras datos a un broker y haces geofencing sobre una dirección específica, puedes rastrear por completo a dónde va esa persona y con quién se relaciona
    Esto es la herramienta de control perfecta con la que sueñan Palantir o los gobiernos autoritarios

  • Una vez, revisando registros públicos, vi un caso extraño
    En todos los lugares a mi alrededor aparecía como “vecino” alguien con el mismo nombre. No pude saber si era una persona real o un perfil falso
    Si además ese tipo de información incluyera coordenadas GPS, la rutina diaria de una persona podría quedar expuesta como si fuera un historial crediticio

    • Por cierto, además de GPS existen varios sistemas GNSS para medir latitud y longitud

  • Las capturas de pantalla y el análisis detallado de herramientas relacionadas pueden verse en el reporte de Citizen Lab

    • El hilo de discusión en HN al respecto está aquí

  • Ahora pienso que incluso publicar videos debería ser ilegal si no existe el consentimiento explícito de todas las personas que aparecen en ellos
    Compartirlos dentro de la familia está bien, pero para hacerlos públicos debería requerirse el consentimiento de todos
    En una época en la que la cultura influencer convierte la invasión de la privacidad en dinero, la protección legal debería fortalecerse mucho más
    Los datos de ubicación tampoco deberían venderse ni exponerse bajo ninguna circunstancia

    • Pero si existiera una ley así, también podrían prohibirse videos de festivales, discursos políticos o grabaciones de denuncia interna
      El acoso ya es un delito, así que hay que tener cuidado de no crear leyes innecesariamente represivas