Autor: Marilín Gonzalo

Marilín Gonzalo, periodista enamorada de internet
Publicado el

Cómo hacer un deepfake nivel engañar a 5 alcaldes

Deepfake Felipe González

Cuando leí sobre el caso del impostor que había mantenido una llamada con el alcalde de Madrid me pregunté si estábamos ya al nivel en deepfakes como para engañar a 5 alcaldes europeos en tiempo real.

Como muchas veces, parece que el entusiasmo por la tecnología nos hace olvidar que la ingeniería social y la psicología son muy efectivas. Hablé con la alcaldía de Madrid para entender qué ha pasado, y con mi experto favorito en deepfakes para saber cómo se podría haber hecho. El momentazo fue cuando en vez de él, apareció el expresidente Felipe González en la videollamada. Evidentemente era una prueba para mostrarme en la práctica cómo funciona la tecnología. Lo he contado todo aquí para Newtral.

[Archivo]

Publicado el

Radar COVID, sancionada por incumplir protección de datos

Radar COVID, sancionada

¿Recuerdas Radar COVID? El caso de la app española basada en el protocolo más respetuoso con la privacidad terminó en un expediente de la Agencia de Protección de Datos por violar 8 artículos del RGPD. Una vulnerabilidad de la app permitía desanonimizar los datos e identificar a los contagiados. Afectaba a datos como localización, contactos, registros de llamadas, SMS y chats, historial de navegación, credenciales de autenticación, fotos y vídeos y datos biométricos. Esa vulnerabilidad fue reconocida por la misma SEDIA, en las alegaciones, que se incorporan a las 112 páginas del expediente. Afectó a 3.059 códigos a nivel nacional, durante el período que fue desde el 19 de agosto hasta el 8 de octubre de 2020.

El proyecto de Radar COVID había nacido con buenos presagios. Adoptó el protocolo DPT3, el más garante de los derechos de los usuarios. Pero el desarrollo e implementación de la app española careció de la transparencia necesaria. No hubo evaluación de impacto, un análisis obligatorio según la normativa europea cuando se realiza el tratamiento a gran escala de datos sensibles, como son los datos de salud. Sin ella resulta imposible cumplir con principios como la privacidad por diseño, como explica Sergio Carrasco, abogado representante de Rights International Spain.

Radar COVID detectó apenas el 1% de los positivos, y costó 4,2 millones de euros. De esa cantidad, la partida más cuantiosa, 2,1 millones, fueron destinados a una publicidad que evidentemente no funcionó.

No habrá multa, ya que las administraciones públicas están eximidas de sanciones económicas. Si el responsable de Radar COVID hubiese sido una empresa podría haber tenido que pagar entre 40.000 y 300.000 en multas sólo por la falta de la evaluación de impacto. El análisis de lo que sucedió y más detalles de la resolución en este reportaje para Newtral.

[Archivo]

Publicado el

Crear criptomonedas

A día de hoy hay casi 20.000 criptomonedas. Cuando te preguntas por qué tantas, la siguiente duda es cómo se crean. Y las dos preguntas están relacionadas: hay muchas porque es fácil crearlas. Pero parece que lo complicado es lo siguiente, listarlas.

Los mejores exchanges cobran por eso, y estas tarifas pueden ir de 100.000 hasta 1 o 2 millones de euros. Estas tarifas no están publicadas y los acuerdos suelen estar bajo acuerdos de confidencialidad. He hablado con dos directores ejecutivos de empresas que han creado criptomonedas que hoy están a la venta en exchanges: Koh Onozawa, de Bit2Me y Fran Villalba Segarra, de Internxt. Lo hemos publicado todo hoy en Newtral.

Cómo se crean las criptomonedas [Archivo]

Publicado el

Escaneo masivo con la justificación del abuso infantil

Escaneo masivo y vigilancia | Burst

La Comisión Europea ha presentado una propuesta que obligará a las plataformas al escaneo masivo de todos los mensajes interpersonales en internet. La razón es una a la que nadie puede oponerse: el abuso infantil. ¿Es necesario y proporcionado? ¿Y sobre todo, útil?

Decenas de organizaciones de la sociedad civil y expertos están preocupadas, entre ellas la EFF y EDRi. Algunos lo consideran el fin del cifrado en la UE y el mayor mecanismo de vigilancia colectiva establecido fuera de China.

La Agencia de Protección de Datos alemana ya ha dicho que la propuesta es incompatible con la Carta de Derechos Fundamentales. Este es su comisario:

https://twitter.com/UlrichKelber/status/1524738280171913218
Traducción: El «control de chat» planificado por la Comisión desde el punto de vista de la protección de datos: un hilo después de un primer examen: el borrador de la Comisión no es compatible con nuestros valores europeos y choca con la ley de protección de datos aplicable.

El hashing tiene varios problemas. Por un lado, los falsos positivos. La CE dice que son pocos, pero tanto PhotoDNA como el de Facebook han mostrado porcentajes altos de errores, con impacto en inocentes.

Por otro lado está el problema de la ciberseguridad: los atacantes podrían, por ejemplo, inyectar imágenes o documentos marcados como abuso infantil en los dispositivos de las personas a las que quieren desacreditar

Y luego está la cuestión del cifrado. No existe técnicamente la posibilidad de escanear algo que está cifrado. El escaneo del lado del cliente es un mensaje a los usuarios: aunque cifres, revisaremos todo. Lo que es básicamente una puerta trasera, una backdoor en relación al cifrado.

¿Te acuerdas de Chatcontrol? Ya existía una excepción a la privacidad de las comunicaciones privadas en tierras europeas. Una resolución de la UE permite actualmente a las compañías tecnológicas escanear comunicaciones electrónicas privadas de los usuarios, en busca de contenidos pedófilos.

Facebook, Google, y otras plataformas ya realizan voluntariamente este escaneo y reportan los resultados a las autoridades. Chatcontrol tiene una fecha límite: el 31/12/2022. La Comisión parece tener prisa para cerrar una cobertura legal para las plataformas

Otra directiva, la de la conservación de datos en relación con prestación de servicios electrónicos, ya intentó poner por delante la seguridad sobre la intimidad de las personas. Terminó siendo anulada por el TJUE por ser contraria a los derechos fundamentales de la UE. Habrá que seguir atentos.

El reportaje completo está en Newtral: La Comisión Europea propone obligar a las plataformas al escaneo masivo de mensajes privados en busca de abuso infantil

[Archivo]

Publicado el

Las nuevas leyes europeas de internet ya están aquí

Periodistas trabajando en la sala de prensa en Estrasburgo

Europa ha logrado ponerse de acuerdo y sacar adelante en poco más de un año dos grandes leyes que cambiarán mucho la forma en que usamos internet: la Digital Services Act (DSA) y la Digital Market Act (DMA). El movimiento es histórico y pionero: son las normativas más avanzadas que pueden poner un límite al poder hasta ahora casi ilimitado que tenían las grandes tecnológicas, como Amazon, Facebook, Google, Apple.

Una pandemia, el gran salto de digitalización que eso provocó, una infodemia mundial, y una guerra han sido el contexto que ha acelerado el consenso en torno a la necesidad que tenemos de garantizar los derechos fundamentales de quienes usamos internet.

Estuve en el Parlamento Europeo en Estrasburgo para el Pleno pasado, junto con un pequeño grupo de periodistas que se dedican a temas de desinformación, donde pudimos conversar y preguntar a varios eurodiputados involucrados en la negociación de estas leyes. Dos artículos que escribí donde cuento las claves de estas normativas:

DSA y DMA: Las grandes leyes que regularán las plataformas digitales en Europa echan a andar [Archivo]

Digital Services Act: claves de la gran ley europea para las plataformas de internet [Archivo]

Foto: Periodistas trabajando en la sala de prensa del Parlamento Europeo en Estrasburgo.

Publicado el

Siete servidores españoles con trazas de Pegasus

Pedro Sánchez, mandatario espiado por Pegasus, mira su móvil | PSOE

En 2018 Amnistía publicó una lista de dominios maliciosos que estaban relacionados con Pegasus. Siete de ellos se localizaban en servidores en España. Se podría haber seguido la pista, claro. Pero nadie lo investigó. He preguntado a la Audiencia Nacional, al Consejo General del Poder Judicial, al Ministerio del Interior.

Amnistía también nos dice que ninguna institución española les ha contactado con respecto a eso. Los dominios tenían indicadores de compromiso de Pegasus, como determinó la investigación de Amnistía. Cuatro años después, las únicas investigaciones son las de cargos del gobierno y del ámbito catalán. ¿Quién investiga el resto esos 1.483 prefijos españoles infectados? Esta semana hemos publicado esta historia. Por cierto, me ha parecido que no hay muchas fotos de Pedro Sánchez hablando en su móvil.

[Archivo]

Publicado el

Guerra informativa en Ucrania

El papel de internet en la primera ciberguerra global está más relacionado con la desinformación y la propaganda que con los ciberataques. Algunos analistas ya plantean que internet puede ser un elemento fundamental en esta guerra. Nunca tantas personas habíamos visto una guerra en tiempo real a través de las redes sociales: inteligencia militar debatida en Twitter, soldados bailando, una adolescente que hace un Tiktok desde un refugio para contar día a día cómo es su vida bajo el asedio ruso. Elon Musk ha batido a duelo a Vladímir Putin. Jeffrey Lewis, un experto en inteligencia en fuentes abiertas cree que puede haber sido el primero en ver la invasión, cuando detectó y tuiteó un «atasco», en un movimiento de vehículos en la frontera de Ucrania con Rusia. Fue a través de Google Maps.

El presidente ucraniano, Volodímir Zelenski, se ha convertido en el protagonista de esta guerra a golpe de vídeos desde el frente de batalla. Las imágenes y los vídeos que vemos en estas dos primeras semanas de guerra son tan inéditos, que los vídeos falsos o descontextualizados circulan fácilmente, y ya todo parece creíble. «El vídeo de Zelenski disparando en el parlamento no es de su campaña presidencial: es de una de sus películas», dice una de nuestras últimas verificaciones publicadas. ¿Qué ha pasado con esa ciberguerra que parecía que se nos venía encima en enero? Los expertos me dicen que no hay que subestimar, que las amenazas son persistentes porque se extienden en el tiempo y y que probablemente Rusia no ha sacado su mejor ciberarsenal por estrategia, que realmente no sabemos qué puede pasar más adelante. Lo que sí está funcionando es lo de siempre: censura, propaganda y relato. Y en esto internet siempre funciona si sabes cómo hacerlo.

He escrito sobre esto para Newtral: «El papel de internet en la invasión de Rusia a Ucrania: más guerra informativa que ciberguerra (por el momento)» [Archivo]