Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eresSergio de los Santos 8 julio, 2019 En ocasiones, los gobiernos necesitan apoyarse en las grandes corporaciones para poder llevar a cabo su trabajo. Cuando una amenaza pasa por conocer la identidad o tener acceso a los datos de un potencial atacante o de una víctima en peligro, la información digital que almacenan estas empresas puede resultar vital para la investigación y evitar una catástrofe. Apple ha publicado un completo informe sobre qué datos le piden los gobiernos, cuáles y en qué medida las peticiones se satisfacen. Desde eliminación de apps del «Store» pasando por acceso a cuentas privadas. ¿Qué gobierno pide qué? Hemos elaborado unas gráficas para intentar identificar a través de esta publicación (que solo contiene tablas numéricas, qué les preocupa en mayor medida a los gobiernos). Peticiones basadas en dispositivos Esta tabla representa las peticiones de dispositivo. Por ejemplo cuando las fuerzas del orden actúan en nombre de clientes a los que han robado el dispositivo o lo han perdido. También recibe peticiones relacionadas con investigaciones de fraude, solicitan normalmente detalles de los clientes de Apple asociados a dispositivos o conexiones a servicios de Apple. Desde un IMEI hasta un número de serie. Petición de dispositivos por países Aquí, de lejos gana China solicitando datos de clientes asociados a dispositivos o conectados a servicios de Apple. Podemos también pensar que debido a la piratería del país y al fraude, los números pueden llegar a dispararse. Peticiones basadas en datos financieros Por ejemplo cuando las fuerzas del orden actúan en nombre de clientes que requieren asistencia relacionado con actividad fraudulenta de tarjetas de crédito o tarjetas regalo que se han usado para comprar productos de Apple. Peticiones de identificadores fiscales por países Estados Unidos y Alemania son los países con más peticiones de este tipo. Puede explicarse por la cantidad de fraude que se da en Estados Unidos relacionado con tarjetas de crédito (aunque no lo parezca, en EEUU es muy habitual todavía necesitar solamente la firma para validar un pago). Aquí se observa que son satisfechas las peticiones en menor medida que en el caso anterior. Peticiones basadas en cuentas Se realizan peticiones a Apple relacionadas con cuentas que pueden haber sido usadas en contra de la ley y términos de uso de Apple. Se trata de cuentas de iCloud o iTunes y su nombre, dirección e incluso contenido en la nube (backup, fotos, contactos…). Peticiones de cuentas por países Esta es quizás la medida más intrusiva, en la que se Apple proporciona contenido real privado. De nuevo China y Estados Unidos son los que más datos solicitan. Curiosamente, a China se le hace caso hasta en un 98% de las veces, mientras que a Estados Unidos “solo” en un 88%. Apple tiene la potestad de negarse si considera algún fallo en forma o fondo. Hay que tener en cuenta que Apple, además de ofrecer los datos, puede ofrecer “metadatos” no relacionados directamente con los datos, y esto no cuenta como petición “satisfecha” aunque también incluye ofrecer información. Peticiones relacionadas con la preservación de cuentas Bajo el contexto de la U.S. Electronic Communications Privacy Act (ECPA), se puede solicitar a Apple que “congele” una cuenta y los mantenga desde 90 a 180 días. Este es un paso previo a petición de acceso a la cuenta, en espera de que se obtenga el permiso legal para solicitar datos y para evitar que la cuenta sea borrada por el investigado. Peticiones de preservación de datos sobre cuentas Estados Unidos de nuevo es la que más peticiones de este tipo solicita. Es curioso como China desaparece en esta gráfica, a pesar de considerarse un paso previo a la petición de acceso a datos, en la que el país es bastante activo. ¿Es posible que China no tenga tantos problemas para obtener permisos legales? Peticiones de borrado o restricción de cuentas Peticiones de borrado de IDs de Apple, o restricciones de acceso. Estas son muy poco habituales. Estados Unidos solicitó 6 y se borraron 2. El resto, una o dos y nunca se cumplió. Peticiones de restricciones/borrado de cuentas por países Peticiones por emergencias También amparados bajo la U.S. Electronic Communications Privacy Act (ECPA), es posible solicitar a Apple que proporcione datos privados de cuentas si en situaciones de emergencia, cree que esto puede evitar un peligro de muerte o daño serio a individuos. Peticiones de emergencia por países Curiosamente aquí gana el Reino Unido con 198 cuentas pedidas, aunque no siempre se les satisface, seguido muy de cerca por Estados Unidos. El resto de países realizan apenas decenas de peticiones, casi siempre satisfechas. ¿Se preocupa más el Reino Unido por las emergencias y se limita a solicitar datos cuando se da ese caso? Peticiones relacionadas con la retirada de apps del market Habitualmente tiene que ver con apps que se supone violan la ley. Peticiones de eliminación de Apps China es, de largo, el país que más retiradas de apps solicita. Seguido curiosamente de Noruega, Arabia Saudí y Suiza. En esta ocasión, Estados Unidos, muy activo en la solicitud de acceso a datos en general, desaparece por completo.En el informe también se habla de datos requeridos por terceras partes privadas, bajo una petición legal. Hasta 181 peticiones en las que Apple ha satisfecho 53 accesos a información. Conclusiones Son complicadas. Podemos ver el vaso medio lleno o medio vacío: o sea, concluir que ciertos gobiernos solicitan “demasiado a menudo” acceso a datos, pero también argumentar que puede ocurrir que la justicia funcione de manera más ágil en ellos, o que el fraude se base más en estas localizaciones. La interpretación es libre. Lo que sí parece claras son algunas conclusiones basadas en los datos: El interés de China en la eliminación de aplicaciones que considera ilegales.La implicación del Reino Unido (y Estados Unidos, pero Reino Unido solo aparece en esta categoría) en las situaciones de emergencia.El carácter preventivo de Estados Unidos, que solicita congelación de cuenta mucho más a menudo que el resto.Alemania muy implicada (de nuevo, junto a Estados Unidos) en los fraudes financieros relacionados con productos de Apple.China, EEUU, Taiwán y Brasil, las naciones que más datos personales solicitan. Aclaración: en este ejercicio hemos representado en gráficas las tablas que publica la propia Apple. Es importante especificar que todas las peticiones se realizan por lotes. Por ejemplo, Apple contabiliza el número de peticiones de retirada de apps, y a su vez cada petición puede contener un número indeterminado de apps en ellas. Igual con las peticiones de cuentas y el número de cuentas en cada petición. Cuando Apple habla del porcentaje de peticiones satisfechas, habla de eso, de peticiones, pero no de cuentas concretas. Por ejemplo: Apple recibe 10 peticiones, con 100 cuentas entre todas las peticiones y luego dice que ha satisfecho el 90% de las peticiones, no sabemos cuántas cuentas individuales se le han proporcionado. Sin embargo en las gráficas hemos contrastado números totales contra ese porcentaje. Es un ejercicio que si bien no es exacto, puede aportarnos una idea aproximada de la cantidad real de datos proporcionados. Segunda parte ya disponible: Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres (II) Descubriendo el mundo del biohackingAsegurando la Transformación Digital de la mano de ElevenPaths y Microsoft
Telefónica Tech Boletín semanal de ciberseguridad, 13—20 de mayo VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU
David García El nuevo final de las contraseñas Password, contraseña, clave, frase de paso… ¿Cuántos puedes recordar si no usas un gestor de contraseñas? Es más ¿Usas un gestor?
Marta Mª Padilla Foubelo Dark Markets, el concepto de mercado negro en la Internet actual ¿Que son los Dark Markets o Black Markets? Basta con traducirlo para hacernos una idea: es el mercado negro que también existe en internet