Tricking online tracking: la desinformación como método de protección

Periódicamente salen a la luz noticias sobre el espionaje al que son sometidas algunas personas mediáticas o de cierta relevancia. Una de las últimas noticias que ha salido a la palestra es el la del diario "Libération", uno de los medios de comunicación franceses que han revelado el supuesto espionaje estadounidense a los tres últimos presidentes de Francia entre 2006 y 2012, si bien existen muchas otras noticias similares.

• Equation: La Estrella de la muerte de la galaxia Malware
• Regin: Top-tier espionage tool enables stealthy surveillance
• The Duqu 2.0
• Operación Toohash

Al hilo de esto, se debe tener en cuenta que no únicamente la información de personas mediáticas, grandes empresas, instituciones gubernamentales, entidades de investigación, etc. es relevante, sino que la información de ciudadanos anónimos también es de gran interés y utilidad, que puede suponer un importante beneficio económico si se aprovecha y que por tanto es recopilada y explotada por las empresas que tienen acceso a la misma.

De manera general, en lo que hace referencia a su origen, esta información puede clasificarse es dos grandes grupos:

• Información obtenida a partir de fuentes abiertas, y por tanto accesible por todo el que quiera.
• Información recopilada y gestionada por compañías que ofrecen servicios o productos, en muchos casos para poder ofrecer a los usuarios una mejor experiencia de uso.

Con respecto a la información o inteligencia obtenida a partir de fuentes abiertas u «Open Source Intelligence» (OSINT) es posible consultar información detallada en el artículo OSINT - La información es poder. En dicho artículo se incluyen diferentes aspectos como la utilidad del proceso, las fases que lo componen, los problemas derivados del mismo y las principales herramientas que pueden ser de utilidad para llevarlo a cabo. Por norma general, esta información se puede obtener a partir de las publicaciones de multitud de servicios online como por ejemplo: medios de comunicación (revistas, periódicos, radio, etc.), foros, redes sociales, blogs, conferencias, simposios, «papers», bibliotecas online, etc.

Es muy importante tener en cuenta que cualquier información que publicamos en Internet o a la que permitimos acceso por parte de terceros, acaba escapando a nuestro control y que por tanto desconocemos el uso que se le va a dar y si puede volverse en nuestra contra. La responsabilidad de la protección de nuestra privacidad, si bien en algunos casos está medianamente cubierta, es fundamental ser conscientes de que debe empezar por nosotros mismos.

La información recopilada y gestionada por compañías que ofrecen servicios o productos se refiere a la obtenida principalmente por grandes empresas que recopilan multitud de datos de los usuarios para ofrecer un mejor servicio. Al hilo de esto, la Electronic Frontier Foundation (EFF), una entidad estadounidense centrada en la protección de los derechos de los ciudadanos en el mundo digital, ha publicado recientemente su informe anual sobre las prácticas de recolección de datos y su seguridad por parte de grandes empresas. El informe conocido como «Who has your back? Protecting your data from government requests» analiza empresas como Amazon, Apple, Facebook, Google, Microsoft, Twitter, etc. A continuación se indica una tabla a modo resumen donde se evalúan diferentes aspectos de privacidad y seguridad de las mismas:

De igual modo, existen páginas web como Terms of Service Din’t Read que catalogan los servicios online en base a diferentes parámetros y los clasifican en varias categorías. Partiendo del leitmotiv «"I have read and agree to the Terms" is the biggest lie on the web. We aim to fix that.» o «"He leído y aceptado las condiciones de uso" es la mayor mentira en la web. Nuestro objetivo es arreglar eso.» evalúan aspectos como mantener el control del copyright, no compartir información de los usuarios con terceros, poder modificar las condiciones de uso del servicio sin necesidad de informar a los usuarios, etc. derivando todo este análisis en una clasificación por categorías de muy buena «Class A» a muy mala «Class E».

Muchas de las técnicas que utilizan estas compañías para obtener la información son vistas como demasiado intrusivas por parte de cada vez más usuarios. La solución que proponen, en ocasiones obligadas por la legislación actual, consiste en notificar a los usuarios de que se va a recopilar determinada información, pudiendo estos últimos aceptar o rechazar las condiciones de uso. No obstante, en caso de rechazo, se limita enormemente la funcionalidad que los usuarios tienen disponible o incluso se imposibilita la utilización del servicio / producto.

Ante tal inconveniente o perjuicio para los usuarios, quizá sea el momento de evaluar la posibilidad de dificultar la explotación de la información que obtienen de nosotros mediante la desinformación. Para ello, introducimos el concepto de «Tricking online tracking», es decir, llevar a cabo diferentes acciones como por ejemplo: realizar periódicamente búsquedas aleatorias en Internet, proporcionar coordenadas GPS falsas a las aplicaciones de los dispositivos móviles o en las imágenes que publicamos en las redes sociales, simular conexiones a redes WIFI abiertas de otras partes del mundo, etc.

El concepto de desinformación no es algo novedoso; históricamente se ha aplicado especialmente en el ámbito militar, y consiste precisamente en la difusión deliberada de información engañosa o errónea en lo que concierne a las propias fuerzas armadas y/o planes de acción militar, con el fin de confundir al enemigo. Ya lo dijo Sun Tzu hacia el 500 a.C: "El arte de la guerra está basado en el engaño". La aplicación de este concepto al ámbito de la protección de la privacidad de los usuarios y empresas puede ser realmente útil e interesante.

En resumen, simular un comportamiento aleatorio que oculte los datos reales de forma que terceras partes no puedan distinguir estadísticamente entre información real e información falsa con el fin de que no puedan realizar, entre otras cosas, un perfil veraz y ajustado de nosotros, lo que se conoce como profiling de usuarios. Estas acciones, así mismo, dificultarían significativamente la posibilidad de que un delincuente nos utilizase como vector de entrada para realizar un ciberataque como por ejemplo: spear-phishings o, en general, cualquier ataque basado en ingeniería social, y aquellos que se basen en información obtenida a través de fuentes abiertas, y por tanto nos haría más resilientes; la desinformación como método de protección.