Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eresSergio de los Santos 8 julio, 2019 En ocasiones, los gobiernos necesitan apoyarse en las grandes corporaciones para poder llevar a cabo su trabajo. Cuando una amenaza pasa por conocer la identidad o tener acceso a los datos de un potencial atacante o de una víctima en peligro, la información digital que almacenan estas empresas puede resultar vital para la investigación y evitar una catástrofe. Apple ha publicado un completo informe sobre qué datos le piden los gobiernos, cuáles y en qué medida las peticiones se satisfacen. Desde eliminación de apps del «Store» pasando por acceso a cuentas privadas. ¿Qué gobierno pide qué? Hemos elaborado unas gráficas para intentar identificar a través de esta publicación (que solo contiene tablas numéricas, qué les preocupa en mayor medida a los gobiernos). Peticiones basadas en dispositivos Esta tabla representa las peticiones de dispositivo. Por ejemplo cuando las fuerzas del orden actúan en nombre de clientes a los que han robado el dispositivo o lo han perdido. También recibe peticiones relacionadas con investigaciones de fraude, solicitan normalmente detalles de los clientes de Apple asociados a dispositivos o conexiones a servicios de Apple. Desde un IMEI hasta un número de serie. Petición de dispositivos por países Aquí, de lejos gana China solicitando datos de clientes asociados a dispositivos o conectados a servicios de Apple. Podemos también pensar que debido a la piratería del país y al fraude, los números pueden llegar a dispararse. Peticiones basadas en datos financieros Por ejemplo cuando las fuerzas del orden actúan en nombre de clientes que requieren asistencia relacionado con actividad fraudulenta de tarjetas de crédito o tarjetas regalo que se han usado para comprar productos de Apple. Peticiones de identificadores fiscales por países Estados Unidos y Alemania son los países con más peticiones de este tipo. Puede explicarse por la cantidad de fraude que se da en Estados Unidos relacionado con tarjetas de crédito (aunque no lo parezca, en EEUU es muy habitual todavía necesitar solamente la firma para validar un pago). Aquí se observa que son satisfechas las peticiones en menor medida que en el caso anterior. Peticiones basadas en cuentas Se realizan peticiones a Apple relacionadas con cuentas que pueden haber sido usadas en contra de la ley y términos de uso de Apple. Se trata de cuentas de iCloud o iTunes y su nombre, dirección e incluso contenido en la nube (backup, fotos, contactos…). Peticiones de cuentas por países Esta es quizás la medida más intrusiva, en la que se Apple proporciona contenido real privado. De nuevo China y Estados Unidos son los que más datos solicitan. Curiosamente, a China se le hace caso hasta en un 98% de las veces, mientras que a Estados Unidos “solo” en un 88%. Apple tiene la potestad de negarse si considera algún fallo en forma o fondo. Hay que tener en cuenta que Apple, además de ofrecer los datos, puede ofrecer “metadatos” no relacionados directamente con los datos, y esto no cuenta como petición “satisfecha” aunque también incluye ofrecer información. Peticiones relacionadas con la preservación de cuentas Bajo el contexto de la U.S. Electronic Communications Privacy Act (ECPA), se puede solicitar a Apple que “congele” una cuenta y los mantenga desde 90 a 180 días. Este es un paso previo a petición de acceso a la cuenta, en espera de que se obtenga el permiso legal para solicitar datos y para evitar que la cuenta sea borrada por el investigado. Peticiones de preservación de datos sobre cuentas Estados Unidos de nuevo es la que más peticiones de este tipo solicita. Es curioso como China desaparece en esta gráfica, a pesar de considerarse un paso previo a la petición de acceso a datos, en la que el país es bastante activo. ¿Es posible que China no tenga tantos problemas para obtener permisos legales? Peticiones de borrado o restricción de cuentas Peticiones de borrado de IDs de Apple, o restricciones de acceso. Estas son muy poco habituales. Estados Unidos solicitó 6 y se borraron 2. El resto, una o dos y nunca se cumplió. Peticiones de restricciones/borrado de cuentas por países Peticiones por emergencias También amparados bajo la U.S. Electronic Communications Privacy Act (ECPA), es posible solicitar a Apple que proporcione datos privados de cuentas si en situaciones de emergencia, cree que esto puede evitar un peligro de muerte o daño serio a individuos. Peticiones de emergencia por países Curiosamente aquí gana el Reino Unido con 198 cuentas pedidas, aunque no siempre se les satisface, seguido muy de cerca por Estados Unidos. El resto de países realizan apenas decenas de peticiones, casi siempre satisfechas. ¿Se preocupa más el Reino Unido por las emergencias y se limita a solicitar datos cuando se da ese caso? Peticiones relacionadas con la retirada de apps del market Habitualmente tiene que ver con apps que se supone violan la ley. Peticiones de eliminación de Apps China es, de largo, el país que más retiradas de apps solicita. Seguido curiosamente de Noruega, Arabia Saudí y Suiza. En esta ocasión, Estados Unidos, muy activo en la solicitud de acceso a datos en general, desaparece por completo.En el informe también se habla de datos requeridos por terceras partes privadas, bajo una petición legal. Hasta 181 peticiones en las que Apple ha satisfecho 53 accesos a información. Conclusiones Son complicadas. Podemos ver el vaso medio lleno o medio vacío: o sea, concluir que ciertos gobiernos solicitan “demasiado a menudo” acceso a datos, pero también argumentar que puede ocurrir que la justicia funcione de manera más ágil en ellos, o que el fraude se base más en estas localizaciones. La interpretación es libre. Lo que sí parece claras son algunas conclusiones basadas en los datos: El interés de China en la eliminación de aplicaciones que considera ilegales.La implicación del Reino Unido (y Estados Unidos, pero Reino Unido solo aparece en esta categoría) en las situaciones de emergencia.El carácter preventivo de Estados Unidos, que solicita congelación de cuenta mucho más a menudo que el resto.Alemania muy implicada (de nuevo, junto a Estados Unidos) en los fraudes financieros relacionados con productos de Apple.China, EEUU, Taiwán y Brasil, las naciones que más datos personales solicitan. Aclaración: en este ejercicio hemos representado en gráficas las tablas que publica la propia Apple. Es importante especificar que todas las peticiones se realizan por lotes. Por ejemplo, Apple contabiliza el número de peticiones de retirada de apps, y a su vez cada petición puede contener un número indeterminado de apps en ellas. Igual con las peticiones de cuentas y el número de cuentas en cada petición. Cuando Apple habla del porcentaje de peticiones satisfechas, habla de eso, de peticiones, pero no de cuentas concretas. Por ejemplo: Apple recibe 10 peticiones, con 100 cuentas entre todas las peticiones y luego dice que ha satisfecho el 90% de las peticiones, no sabemos cuántas cuentas individuales se le han proporcionado. Sin embargo en las gráficas hemos contrastado números totales contra ese porcentaje. Es un ejercicio que si bien no es exacto, puede aportarnos una idea aproximada de la cantidad real de datos proporcionados. Segunda parte ya disponible: Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres (II) Descubriendo el mundo del biohackingAsegurando la Transformación Digital de la mano de ElevenPaths y Microsoft
Nacho Palou Typosquatting: cómo detectarlo y protegerse El typosquatting es un tipo de ciberataque que consiste en crear un nombre de dominio que sea muy similar al de un sitio web conocido y legítimo con la...
Telefónica Tech El poder de la digitalización sostenible en la lucha contra el cambio climático El cambio climático es considerado el mayor desafío de nuestro tiempo. Sus efectos abarcan desde la desertización y sequías hasta inundaciones y aumento del nivel del mar. Algunas de...
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...