Redes sociales y personas atractivas

Ya hace unos meses comentábamos en Redes sociales: los expertos también caen sobre un experimento en el que algunos expertos en seguridad eran engañados por una presunta experta en seguridad de aspecto atractivo que conseguía más contactos e información de la que debería haber sido razonable.

Por eso cuando vi El 94% de los usuarios de Facebook aceptaría una solicitud de amistad de un desconocido atractivo, según demuestra un estudio de BitDefender pensé que sería bueno nombrarlo, aunque sea como referencia y porque, además, se abundaba en el mismo tema:

El “nivel de escepticismo” vs. Intereses/trabajos de los “nuevos amigos”, reveló resultados sorprendentes: más del 86% de los usuarios crédulos que aceptaron ser amigos del perfil de prueba provienen de la industria tecnológica, el 31% de ellos trabajan en la seguridad informática. Este resultado fue inesperado, ya que casi todas las compañías de seguridad hacen hincapié en las amenazas asociadas con las redes sociales.

¡Cuidadín!

Borrar las cookies, caché e historial de navegación

Una de las entradas de esta bitácora que recibe visitas casi todos los días es la de En internet es cada vez más difícil esconderse. En la línea de dar consejos para ser un poco más cuidadosos con nuestr intimidad, me parece interesante How to delete cookies, cache and history in all major browsers. También para recordarlo, cuando haga falta.

Básicamente, porque utilizar las facilidades que proporcionan los propios navegadores no siempre es suficiente. La lista es para Windows, pero se puede traducir de manera sencilla a otros sistemas.

Ataques a medida con hojas de cálculo

Hablábamos no hace tanto de Vigilancia en el Tibet y cómo se había atacado mediante documentos preparados a propósito, entre otras cosas.

Como continuación, en Targeted Attacks with Excel Files hablan de la alternativa utilizando hojas de cálculo apropiadamente preparadas.
Curioso.

En internet cada vez es más difícil esconderse

Arvind Narayanan ha estado publicando una serie de entradas a modo de divulgación de una revisión de la literatura existente muy interesantes sobre anonimato y cómo las empresas (y otros) pueden conocernos mejor de lo que nos gustaría, a veces.

En Cookies, Supercookies and Ubercookies: Stealing the Identity of Web Visitors empieza hablando de las viejas cookies, pero termina hablando de los sistemas de ‘desanonimización’ utilizando el historial de navegación (Día Internacional de la Privacidad) para tratar de averiguar quiénes somos.

En Ubercookies Part 2: History Stealing meets the Social Web profundizaba en estas cuestiones, con más detalles y diversas aproximaciones posibles.

En How Google Docs Leaks Your Identity comentaba un fallo de Google Docs ya solucionado (aunque luego lanzaron Buzz para terminar de desanonimizarnos).

En realidad, el mensaje está claro: deberíamos navegar por los sitios ‘sensibles’ (por supuesto, bancos, sitios de compras, …) en un navegador ‘sin historia’ (probablemente con un usuario diferente) para que nadie pueda saber cuál es nuestro banco, ni tratar de sacar partido de la información que nuestro navegador almacena y no nos imaginamos cómo alguien puede usar contra nosotros.

Sobre la desanonimización de la gente en internet

En la red no somos tan anónimos como nos gusta pensar. Y cada vez lo somos menos, a la luz de lo que vamos viendo. En Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization (pdf) habla de esos conjuntos de datos que se ‘liberan’ para favorecer el desarrollo de estudios y cómo han sido utilizados en el pasado para ‘desanonimizar’ (o sea, reconocer) a gente que presuntamente era anónima. Tiene mucho que ver con la actualidad porque se trataba de datos ‘anonimizados’ de los que se puede extraer información mezclándolos con otros datos públicos.

En realidad, por el simple hecho de conectarnos a una página web podemos estar ya dando suficientes pistas como probaba la entrada de Identificación cruzada u otros experimentos como el Panopticlick o el experimento en Social network deanonymization.

Los riesgos de utilizar el DNS de Google

A principios del mes pasado Google anunció Google DNS. Ellos lo proponen como un servicio más rápido y alternativo a los que nos proporcionan habitualmente las empresas que nos dan acceso a la red y además nombran unas cuantas alternativas más:

OpenDNS, a popular third-party DNS resolving service, offers more feature than Google Public DNS: web content filtering, stats, typo correction, shortcuts, but they’re available if you create an account and enter personal information like your name and address. When you type an invalid URL, OpenDNS redirects you to its own search engine to show suggestions and ads. Other free DNS resolution services: Comodo Secure DNS, OpenNIC, DNS Advantage.

Incluso una herramienta para comprobar la velocidad del nuestro: Domain Name Speed Benchmark.

De todas formas, no creo que a nadie le sorprenda que si apostamos por este sistema asumimos algunos riesgos. De eso hablan en Potential risks of using Google’s free DNS service?: más información para la empresa que, esperemos, utilicen adecuadamente y para mejorar sus servicios.

Más sobre los datos que se pueden conseguir en la red

Ya habíamos hablado de lo que pasa cuando se usan datos personales como clave y de las posibilidades que nos brinda internet como ayuda en Recogiendo información en la web.

Una variante de los datos personales como clave son las claves secundarias: las típicas preguntas del estilo del ‘nombre de la madre’ como ayuda para recuperar (o recordar) una clave con problemas. Encontré Messin’ with Texas: Deriving Mother’s Maiden Names from Public Records (pdf) donde se avisa de lo fácil que es conseguir en muchos casos el nombre de la madre (casi un estándar en muchos casos) de un texano cualquiera.

Opera. Cuidado con las ‘ventajas’

No me termina de convencer Opera mini (para el móvil) porque una de las cosas que creo que hace es cargar las páginas a través de sus servidores y adaptarlas al móvil: tiene la ventaja de que las páginas se ven mejor y cargan más rápido pero el inconveniente obvio de que el tráfico pasa por sus servidores, que no siempre es lo que a uno le apetece más.

Relacionado con eso leía el otro día Opera 10 Beta “Turbo Experience”… no, gracias donde Manuel Benet nos cuenta como Opera ‘grande’ también tiene la posibilidad de ofrecer esa ‘ventaja’:

No entro a valorar el beneficio de la tecnología; si funciona bien, mal, es útil o no. Lo que de verdad me molesta (quizá sea demasiado quisquilloso, no lo sé) es que no se indique, de manera clara y cristalina como el agua, que cuando utilizas esta tecnología Opera dispone de acceso a todo el tráfico que intercambies con el servidor web; lo considero casi un atentado contra mi privacidad y la de cualquier persona que decida utilizar el navegador; ¿a qué viene tanto secretismo? Me inclinaría a pensar que indicarlo claramente haría que muchos usuarios no utilizasen dicha “ventaja” de Opera, pero tampoco quiero ser mal pensado, y sin embargo…

De cualquier modo, a estas alturas mi recomendación debería estar clara… ¿no?

Recogiendo información en la red

La presentación de Christian Martorella, A fresh new look into Information Gathering (pdf) donde da pistas e ideas sobre toda la información que se puede conseguir de alguien en la red me da pié a presentar otro trabajo que iba un poco más allá y que me resultó bastante interesante. Más allá de la inferencia en bases de datos, Jessica Staddon, Philippe Golle y Bryce Zimny hablaban de Web-Based Inference Detection (pdf): si nos llega un documento ofuscado, donde algunos datos ‘sensibles’ han sido ocultados o suprimidos, es posible echar mano del amigo Google (o cualquier otro y alguno de sus complementos) para rellenar esos huecos con información libremente disponible en la red.

Aunque seamos anónimos y no haya documentos con partes ofuscadas, lo cierto es que, como contaba el otro día en El futuro ya está (casi) aquí ya hay servicios que son capaces de reunir, a partir del nombre de alguien, un ‘perfil’ internetero bastante completo.

La privacidad y los navegadores

En Cleaning Up After Cookies (pdf) un resúmen de Katherine McKinley sobre la privacidad y los navegadores: parece que no todos cumplen lo que prometen y, lo que es peor, ninguno es muy hábil con la privacidad controlada por los ‘elementos añadidos’ al navegador, como puede ser el Flash, Google Gears y otros.