La vigilancia de redes y computadoras es el monitoreo de la actividad informática y de los datos almacenados localmente en una computadora o de los datos que se transfieren a través de redes informáticas como Internet . Este monitoreo se lleva a cabo a menudo de manera encubierta y puede ser realizado por gobiernos, corporaciones, organizaciones criminales o individuos. Puede ser legal o no y puede requerir o no la autorización de un tribunal u otras agencias gubernamentales independientes. Los programas de vigilancia de redes y computadoras están muy extendidos hoy en día y casi todo el tráfico de Internet puede ser monitoreado. [1]
La vigilancia permite a los gobiernos y a otras agencias mantener el control social , reconocer y monitorear amenazas o cualquier actividad sospechosa o anormal, [2] y prevenir e investigar actividades criminales . Con la llegada de programas como el programa Total Information Awareness , tecnologías como computadoras de vigilancia de alta velocidad y software biométrico , y leyes como la Ley de Asistencia en las Comunicaciones para la Aplicación de la Ley , los gobiernos ahora poseen una capacidad sin precedentes para monitorear las actividades de los ciudadanos. [3]
Muchos grupos de derechos civiles y de privacidad , como Reporteros Sin Fronteras , la Electronic Frontier Foundation y la Unión Estadounidense por las Libertades Civiles , han expresado su preocupación por que el aumento de la vigilancia de los ciudadanos dé lugar a una sociedad de vigilancia masiva , con libertades políticas y/o personales limitadas. Este temor ha dado lugar a numerosas demandas judiciales, como Hepting v. AT&T . [3] [4] El grupo hacktivista Anonymous ha pirateado sitios web del gobierno en protesta por lo que considera una "vigilancia draconiana". [5] [6]
Internet |
---|
Portal de Internet |
La gran mayoría de la vigilancia informática implica el seguimiento de datos personales y del tráfico en Internet . [7] Por ejemplo, en los Estados Unidos, la Ley de Asistencia en las Comunicaciones para la Aplicación de la Ley exige que todas las llamadas telefónicas y el tráfico de Internet de banda ancha ( correos electrónicos , tráfico web , mensajería instantánea , etc.) estén disponibles para un seguimiento sin obstáculos y en tiempo real por parte de las agencias federales encargadas de hacer cumplir la ley. [8] [9] [10]
La captura de paquetes (también conocida como "rastreo de paquetes") es el monitoreo del tráfico de datos en una red . [11] Los datos enviados entre computadoras a través de Internet o entre cualquier red toman la forma de pequeños fragmentos llamados paquetes, que se enrutan a su destino y se ensamblan nuevamente en un mensaje completo. Un dispositivo de captura de paquetes intercepta estos paquetes, para que puedan ser examinados y analizados. Se necesita tecnología informática para realizar análisis de tráfico y filtrar los datos interceptados para buscar información importante/útil. Bajo la Ley de Asistencia de Comunicaciones para el Cumplimiento de la Ley , todos los proveedores de telecomunicaciones de los EE. UU. deben instalar dicha tecnología de captura de paquetes para que las agencias federales de inteligencia y de cumplimiento de la ley puedan interceptar todo el tráfico de Internet de banda ancha y de voz sobre protocolo de Internet (VoIP) de sus clientes. Estas tecnologías pueden ser utilizadas tanto por la inteligencia como para actividades ilegales. [12]
Estos rastreadores de paquetes recopilan una cantidad de datos demasiado grande como para que los investigadores humanos puedan buscarlos manualmente. Por lo tanto, los ordenadores de vigilancia automática de Internet examinan la enorme cantidad de tráfico de Internet interceptado, filtrando y notificando a los investigadores aquellos fragmentos de información que son "interesantes", por ejemplo, el uso de ciertas palabras o frases, la visita a ciertos tipos de sitios web o la comunicación por correo electrónico o chat con un determinado individuo o grupo. [13] Agencias como la Information Awareness Office , la NSA y el FBI gastan miles de millones de dólares al año en el desarrollo, compra, implementación y operación de sistemas que interceptan y analizan estos datos, extrayendo solo la información que es útil para las agencias de inteligencia y de aplicación de la ley. [14]
El Departamento de Seguridad iraní utiliza ahora sistemas similares para distinguir con mayor facilidad entre ciudadanos pacíficos y terroristas. Toda la tecnología ha sido supuestamente instalada por la alemana Siemens AG y la finlandesa Nokia . [15]
El rápido desarrollo de Internet se ha convertido en una forma primaria de comunicación. Más personas están potencialmente sujetas a la vigilancia de Internet. Existen ventajas y desventajas para el monitoreo de la red . Por ejemplo, los sistemas descritos como "Web 2.0" [16] han impactado enormemente a la sociedad moderna. Tim O' Reilly, quien explicó por primera vez el concepto de "Web 2.0", [16] afirmó que la Web 2.0 proporciona plataformas de comunicación que son "generadas por el usuario", con contenido autoproducido, motivando a más personas a comunicarse con amigos en línea. [17] Sin embargo, la vigilancia de Internet también tiene una desventaja. Un investigador de la Universidad de Uppsala dijo que "la vigilancia de la Web 2.0 está dirigida a grandes grupos de usuarios que ayudan a producir y reproducir hegemónicamente la vigilancia al proporcionar contenido generado por el usuario (autoproducido). Podemos caracterizar la vigilancia de la Web 2.0 como autovigilancia masiva". [18] Las empresas de vigilancia monitorean a las personas mientras están concentradas en el trabajo o el entretenimiento. Sin embargo, los propios empleadores también monitorean a sus empleados . Lo hacen para proteger los activos de la empresa y controlar las comunicaciones públicas, pero lo más importante, para asegurarse de que sus empleados estén trabajando activamente y sean productivos. [19] Esto puede afectar emocionalmente a las personas, ya que puede provocar emociones como los celos. Un grupo de investigación afirma que "... nos propusimos probar la predicción de que los sentimientos de celos conducen a 'espiar' a una pareja a través de Facebook, y que las mujeres son particularmente propensas a participar en el seguimiento de su pareja como respuesta a los celos". [20] El estudio muestra que las mujeres pueden sentir celos de otras personas cuando están en un grupo en línea.
Los asistentes virtuales se han integrado socialmente en la vida de muchas personas. Actualmente, los asistentes virtuales como Alexa de Amazon o Siri de Apple no pueden llamar al 911 ni a los servicios locales. [21] Están constantemente escuchando órdenes y grabando partes de conversaciones que ayudarán a mejorar los algoritmos. Si se puede llamar a las fuerzas del orden mediante un asistente virtual, estas podrán tener acceso a toda la información guardada en el dispositivo. [21] El dispositivo está conectado a Internet en el hogar, por lo que las fuerzas del orden conocerían la ubicación exacta de la persona que llama a las fuerzas del orden. [21] Si bien los dispositivos de asistencia virtual son populares, muchos debaten sobre la falta de privacidad. Los dispositivos escuchan todas las conversaciones que tiene el propietario. Incluso si el propietario no está hablando con un asistente virtual, el dispositivo sigue escuchando la conversación con la esperanza de que el propietario necesite ayuda, así como para recopilar datos. [22]
La vigilancia corporativa de la actividad informática es muy común. Los datos recopilados se utilizan con mayor frecuencia con fines de marketing o se venden a otras corporaciones, pero también se comparten regularmente con agencias gubernamentales. Se pueden utilizar como una forma de inteligencia empresarial , que permite a la corporación adaptar mejor sus productos y/o servicios para que sean deseables para sus clientes. Los datos también se pueden vender a otras corporaciones para que puedan usarlos para el propósito mencionado anteriormente, o se pueden usar para fines de marketing directo, como anuncios dirigidos , donde los anuncios se dirigen al usuario del motor de búsqueda mediante el análisis de su historial de búsqueda y correos electrónicos [23] (si utilizan servicios de correo web gratuitos), que se guardan en una base de datos. [24]
Este tipo de vigilancia también se utiliza para establecer fines comerciales de seguimiento, que pueden incluir lo siguiente:
El segundo componente de la prevención es determinar la propiedad de los recursos tecnológicos. La propiedad de las redes, servidores, computadoras, archivos y correo electrónico de la empresa debe estar explícitamente establecida. Debe existir una distinción entre los dispositivos electrónicos personales de un empleado, que deben estar limitados y prohibidos, y aquellos que son propiedad de la empresa.
Por ejemplo, Google Search almacena información de identificación para cada búsqueda web. Una dirección IP y la frase de búsqueda utilizada se almacenan en una base de datos durante hasta 18 meses. [25] Google también escanea el contenido de los correos electrónicos de los usuarios de su servicio de correo web Gmail para crear publicidad dirigida en función de lo que las personas están hablando en sus correspondencias de correo electrónico personales. [26] Google es, con diferencia, la mayor agencia de publicidad de Internet: millones de sitios colocan los banners y enlaces publicitarios de Google en sus sitios web para ganar dinero de los visitantes que hacen clic en los anuncios. Cada página que contiene anuncios de Google añade, lee y modifica "cookies" en la computadora de cada visitante. [27] Estas cookies rastrean al usuario en todos estos sitios y recopilan información sobre sus hábitos de navegación web, haciendo un seguimiento de los sitios que visita y lo que hace cuando está en ellos. Google almacena esta información, junto con la información de sus cuentas de correo electrónico y los historiales de los motores de búsqueda, para utilizarla para crear un perfil del usuario y ofrecer publicidad mejor dirigida. [26]
El gobierno de los Estados Unidos suele obtener acceso a estas bases de datos, ya sea mediante una orden judicial o simplemente solicitándola. El Departamento de Seguridad Nacional ha declarado abiertamente que utiliza datos recopilados de agencias de crédito al consumo y de marketing directo para ampliar los perfiles de las personas que vigila. [24]
Además de monitorear la información enviada a través de una red informática, también existe una manera de examinar los datos almacenados en el disco duro de una computadora y de monitorear las actividades de una persona que usa la computadora. Un programa de vigilancia instalado en una computadora puede buscar datos sospechosos en el contenido del disco duro, puede monitorear el uso de la computadora, recopilar contraseñas y/o informar actividades en tiempo real a su operador a través de la conexión a Internet. [28] Un keylogger es un ejemplo de este tipo de programa. Los programas keylogger normales almacenan sus datos en el disco duro local, pero algunos están programados para transmitir automáticamente datos a través de la red a una computadora remota o un servidor web.
Existen múltiples formas de instalar este tipo de software. La más común es la instalación remota, utilizando una puerta trasera creada por un virus informático o un troyano . Esta táctica tiene la ventaja de someter potencialmente a vigilancia a varios ordenadores. Los virus suelen propagarse a miles o millones de ordenadores y dejan "puertas traseras" a las que se puede acceder a través de una conexión de red, y permiten a un intruso instalar software de forma remota y ejecutar comandos. Estos virus y troyanos a veces son desarrollados por agencias gubernamentales, como CIPAV y Magic Lantern . Sin embargo, con más frecuencia, los virus creados por otras personas o el software espía instalado por agencias de marketing pueden utilizarse para obtener acceso a través de las brechas de seguridad que crean. [29]
Otro método consiste en "craquear" la computadora para obtener acceso a través de una red. Un atacante puede entonces instalar software de vigilancia de forma remota. Los servidores y computadoras con conexiones de banda ancha permanentes son los más vulnerables a este tipo de ataque. [30] Otra fuente de craqueo de seguridad son los empleados que proporcionan información o los usuarios que utilizan tácticas de fuerza bruta para adivinar su contraseña. [31]
También se puede instalar físicamente un software de vigilancia en un ordenador accediendo al lugar donde se almacena el ordenador e instalándolo desde un disco compacto , un disquete o una memoria USB . Este método comparte una desventaja con los dispositivos de hardware, ya que requiere acceso físico al ordenador. [32] Un gusano conocido que utiliza este método de propagación es Stuxnet . [33]
Una forma común de vigilancia es crear mapas de redes sociales basados en datos de sitios de redes sociales , así como de información de análisis de tráfico de registros de llamadas telefónicas , como los de la base de datos de llamadas de la NSA [34] y datos de tráfico de Internet recopilados en el marco de CALEA . Estos "mapas" de redes sociales son luego analizados para extraer información útil, como intereses personales, amistades y afiliaciones, deseos, creencias, pensamientos y actividades. [35] [36] [37]
Muchas agencias del gobierno de los EE. UU., como la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) , la Agencia de Seguridad Nacional (NSA) y el Departamento de Seguridad Nacional (DHS), están actualmente invirtiendo fuertemente en investigaciones que involucran análisis de redes sociales. [38] [39] La comunidad de inteligencia cree que la mayor amenaza para los EE. UU. proviene de grupos descentralizados, sin líderes y geográficamente dispersos. Este tipo de amenazas se contrarrestan más fácilmente al encontrar nodos importantes en la red y eliminarlos. Para hacer esto se requiere un mapa detallado de la red. [37] [40]
Jason Ethier, de la Universidad Northeastern, en su estudio sobre el análisis moderno de redes sociales, dijo lo siguiente acerca del Programa de Análisis Escalable de Redes Sociales desarrollado por la Oficina de Concienciación sobre la Información :
El objetivo del programa de algoritmos de la SSNA es ampliar las técnicas de análisis de redes sociales para ayudar a distinguir entre células terroristas potenciales y grupos legítimos de personas... Para tener éxito, la SSNA necesitará información sobre las interacciones sociales de la mayoría de las personas en todo el mundo. Dado que el Departamento de Defensa no puede distinguir fácilmente entre ciudadanos pacíficos y terroristas, será necesario que recopile datos sobre civiles inocentes, así como sobre terroristas potenciales.
—Jason Ethier [37]
Se ha demostrado que, con equipos disponibles comercialmente, es posible monitorizar ordenadores a distancia detectando la radiación emitida por el monitor CRT . Esta forma de vigilancia informática, conocida como TEMPEST , consiste en leer las emanaciones electromagnéticas de los dispositivos informáticos para extraer datos de ellos a distancias de cientos de metros. [41] [42] [43]
Los investigadores de IBM también han descubierto que, en la mayoría de los teclados de ordenador, cada tecla emite un ruido ligeramente diferente al pulsarla. Las diferencias se pueden identificar individualmente en determinadas condiciones, por lo que es posible registrar las pulsaciones de teclas sin necesidad de ejecutar un software de registro en el ordenador asociado. [44] [45]
En 2015, los legisladores de California aprobaron una ley que prohíbe a cualquier personal de investigación en el estado obligar a las empresas a entregar comunicaciones digitales sin una orden judicial, llamándola Ley de Privacidad de las Comunicaciones Electrónicas. [46] Al mismo tiempo, en California, el senador estatal Jerry Hill presentó un proyecto de ley que obliga a las agencias policiales a revelar más información sobre su uso y la información del dispositivo rastreador de teléfonos Stingray . [46] Como la ley entró en vigor en enero de 2016, ahora requerirá que las ciudades operen con nuevas pautas en relación con cómo y cuándo las fuerzas del orden utilizan este dispositivo. [46] Algunos legisladores y aquellos que ocupan un cargo público han estado en desacuerdo con esta tecnología debido al seguimiento sin orden judicial, pero ahora si una ciudad quiere usar este dispositivo, debe ser escuchada en una audiencia pública. [46] Algunas ciudades se han retirado del uso del StingRay, como el condado de Santa Clara.
Y también se ha demostrado, por Adi Shamir et al., que incluso el ruido de alta frecuencia emitido por una CPU incluye información sobre las instrucciones que se están ejecutando. [47]
En los países de habla alemana, el software espía utilizado o creado por el gobierno a veces se denomina govware . [48] Algunos países como Suiza y Alemania tienen un marco legal que rige el uso de dicho software. [49] [50] Algunos ejemplos conocidos incluyen el MiniPanzer y MegaPanzer suizos y el R2D2 (troyano) alemán .
Policeware es un software diseñado para vigilar a los ciudadanos mediante el control de las discusiones e interacciones de sus ciudadanos. [51] Dentro de los EE. UU., Carnivore fue la primera encarnación de un software de monitoreo de correo electrónico instalado en secreto en las redes de los proveedores de servicios de Internet para registrar la comunicación informática, incluidos los correos electrónicos transmitidos. [52] Magic Lantern es otra aplicación de este tipo, que esta vez se ejecuta en una computadora específica al estilo de un troyano y realiza un registro de las pulsaciones de teclas. CIPAV , implementado por el FBI, es un spyware/troyano multipropósito.
El Clipper Chip , antes conocido como MYK-78, es un pequeño chip de hardware que el gobierno puede instalar en los teléfonos, diseñado en los años noventa. Su objetivo era proteger las comunicaciones y los datos privados mediante la lectura de mensajes de voz codificados y su descodificación. El Clipper Chip fue diseñado durante la administración Clinton para “…proteger la seguridad personal y la seguridad nacional contra una anarquía de la información en desarrollo que fomenta a criminales, terroristas y enemigos extranjeros”. [53] El gobierno lo presentó como la solución a los códigos secretos o claves criptográficas que creó la era de la tecnología. Por lo tanto, esto ha suscitado controversia en el público, porque se piensa que el Clipper Chip ha sido la próxima herramienta del “Gran Hermano”. Esto llevó al fracaso de la propuesta Clipper, a pesar de que ha habido muchos intentos de impulsar la agenda. [54]
La " Ley de Promoción de la Banda Ancha para el Consumidor y la Televisión Digital " (CBDTPA, por sus siglas en inglés) fue un proyecto de ley propuesto en el Congreso de los Estados Unidos. La CBDTPA se conocía como "Ley de Certificación de Normas y Sistemas de Seguridad" (SSSCA, por sus siglas en inglés) mientras estaba en forma de borrador y fue rechazada en el comité en 2002. Si la CBDTPA se hubiera convertido en ley, habría prohibido la tecnología que pudiera usarse para leer contenido digital protegido por derechos de autor (como música, video y libros electrónicos) sin gestión de derechos digitales (DRM, por sus siglas en inglés) que impidiera el acceso a este material sin el permiso del titular de los derechos de autor. [55]
La vigilancia y la censura son dos cosas distintas. La vigilancia puede llevarse a cabo sin censura, pero es más difícil ejercerla sin algún tipo de vigilancia. [56] Incluso cuando la vigilancia no conduce directamente a la censura, el conocimiento o la creencia generalizada de que una persona, su ordenador o su uso de Internet están bajo vigilancia puede conducir a la autocensura . [57]
En marzo de 2013, Reporteros sin Fronteras publicó un informe especial sobre la vigilancia de Internet , en el que se examina el uso de tecnología que vigila la actividad en línea e intercepta las comunicaciones electrónicas con el fin de detener a periodistas, periodistas ciudadanos y disidentes. El informe incluye una lista de "Estados enemigos de Internet": Bahréin , China , Irán , Siria y Vietnam , países cuyos gobiernos participan en una vigilancia activa e intrusiva de los proveedores de noticias, lo que da lugar a graves violaciones de la libertad de información y de los derechos humanos. La vigilancia de las computadoras y las redes está aumentando en estos países. El informe también incluye una segunda lista de "Corporaciones enemigas de Internet": Amesys (Francia), Blue Coat Systems (EE.UU.), Gamma (Reino Unido y Alemania), Hacking Team (Italia) y Trovicor (Alemania), empresas que venden productos que pueden ser utilizados por los gobiernos para violar los derechos humanos y la libertad de información. Ninguna de las listas es exhaustiva y es probable que se amplíen en el futuro. [58]
La protección de las fuentes ya no es sólo una cuestión de ética periodística. Los periodistas deberían equiparse con un "kit de supervivencia digital" si intercambian información sensible en línea, almacenándola en el disco duro de una computadora o en un teléfono móvil. [58] [59] Se insta a las personas asociadas con organizaciones de derechos humanos de alto perfil, grupos disidentes, grupos de protesta o grupos reformistas a que tomen precauciones adicionales para proteger sus identidades en línea. [60]
Parte de una serie sobre |
Vigilancia global |
---|
Divulgaciones |
Sistemas |
Agencias |
Lugares |
Leyes |
Cambios propuestos |
Conceptos |
Temas relacionados |
National Security Agency surveillance |
---|
{{cite journal}}
: CS1 maint: multiple names: authors list (link)Yan, W. (2019) Introducción a la vigilancia inteligente: captura, transmisión y análisis de datos de vigilancia, Springer.