A medida que los países trabajan para reabrir después de semanas de bloqueo, las aplicaciones de rastreo de contactos ayudan a comprender la propagación de la cepa mortal de coronavirus, COVID-19.
Mientras que la mayoría de los gobiernos se inclinan hacia aplicaciones centradas en la privacidad que usan señales Bluetooth para crear un perfil anónimo del paradero de una persona, otros, como Israel, usan la ubicación y los datos del teléfono celular para rastrear la propagación del virus.
Empresa de seguridad privada con sede en Israel NSO Group, conocido por haciendo herramientas de piratería móvil, lidera uno de los esfuerzos de rastreo de contactos de Israel.
El investigador de seguridad Bob Diachenko descubrió uno de los sistemas de rastreo de contactos de NSO en Internet, sin protección y sin contraseña, para que cualquiera pueda acceder. Después de contactar a la compañía, NSO retiró la base de datos desprotegida. Diachenko dijo que cree que la base de datos contiene datos ficticios.
NSO le dijo a Heaven32 que el sistema era solo para demostrar su tecnología y negó que estuviera expuesto debido a un lapso de seguridad. NSO todavía está esperando la aprobación del gobierno israelí para alimentar los registros celulares en el sistema. Pero los expertos dicen que, para empezar, el sistema no debería haber estado abierto, y que las bases de datos centralizadas de datos de ubicación de los ciudadanos representan un riesgo de seguridad y privacidad.
Nombre clave "Fleming"
NSO comenzó a trabajar en su sistema de rastreo de contactos con nombre en código Fleming en marzo.
Fleming está diseñado para "verter" datos confirmados de pruebas de coronavirus de las autoridades sanitarias y datos de ubicación del teléfono de las redes celulares para identificar a las personas que pueden haber estado expuestas a una persona con el virus. Cualquiera que se acercara a una persona diagnosticada con coronavirus sería notificado.
La base de datos desprotegida se alojó en un servidor de Amazon Web Services en Frankfurt, donde el régimen de protección de datos es uno de los más estrictos del mundo.
Contenía aproximadamente seis semanas de datos de ubicación, que abarcaban del 10 de marzo al 23 de abril. También incluía fechas específicas, horas y la ubicación de un "objetivo", un término que NSO utilizó en la base de datos para describir personas, que puede haber entrado contacto con una persona potencialmente infectada.
Los datos también incluyeron la duración del encuentro para ayudar a calificar la probabilidad de una infección transmitida.
La página de inicio de sesión para Fleming de NSO está protegida con una contraseña. Su base de datos back-end no estaba protegida. (Imagen: Heaven32)
"NSO Group ha desarrollado con éxito" Fleming ", un sistema innovador, único y puramente analítico diseñado para responder a la pandemia de coronavirus", dijo Oren Ganz, director de NSO Group. “Fleming ha sido diseñado para el beneficio de los tomadores de decisiones gubernamentales, sin comprometer la privacidad individual. Este sistema se ha demostrado en todo el mundo con gran transparencia para las organizaciones de medios y aproximadamente 100 países individuales ”, dijo.
Heaven32 también recibió una demostración de cómo funciona el sistema.
“Esta demostración transparente, la misma que se muestra para países individuales y organizaciones de medios, fue la que se encuentra en el servidor aleatorio abierto en cuestión, y la misma demostración observada hoy por Heaven32. Todas las demás especulaciones sobre este sistema abierto y abierto no son correctas y no se alinean con el hecho básico de que esta demostración transparente ha sido vista por cientos de personas en los medios y el gobierno en todo el mundo ", dijo Ganz.
John Scott-Railton, investigador principal del Citizen Lab, parte de la Escuela Munk de la Universidad de Toronto, dijo que cualquier base de datos que almacene datos de ubicación plantea un riesgo de privacidad.
"No asegurar un servidor sería una vergüenza para un proyecto escolar", dijo Scott-Railton. "Para que una compañía de mil millones de dólares no proteja con contraseña un proyecto secreto que espera manejar los datos de ubicación y salud, sugiere un despliegue rápido y descuidado".
"El caso de NSO es el precedente que prueba el problema: los apresurados esfuerzos de seguimiento de COVID-19 pondrán en peligro nuestra privacidad y seguridad en línea", dijo.
Los dos sistemas de rastreo de Israel
A medida que las infecciones mundiales por coronavirus comenzaron a aumentar en marzo, el gobierno israelí aprobó una ley de emergencia dando su servicio de seguridad doméstica Shin Bet "Acceso sin precedentes" para recopilar grandes cantidades de datos celulares de las compañías telefónicas para ayudar a identificar posibles infecciones.
A fines de marzo, el ministro de defensa israelí, Naftali Bennett, dijo que el gobierno estaba trabajando en un nuevo sistema de rastreo de contactos, separado del utilizado por Shin Bet.
Más tarde se reveló que NSO estaba construyendo el segundo sistema de rastreo de contactos.
Tehilla Shwartz Altshuler, experta en privacidad y miembro del Instituto de Democracia de Israel, le dijo a Heaven32 que a ella también se le dio una demostración de Fleming por una llamada de Zoom en los primeros días del brote.
Sin la autoridad para obtener registros celulares, NSO le dijo que usaba datos de ubicación recopilados de plataformas de publicidad, o los llamados corredores de datos. Medios israelíes también reportado que NSO utilizó datos publicitarios para "entrenar" el sistema.
Los corredores de datos acumulan y venden vastos tesoros de datos de ubicación recopilado de las aplicaciones instaladas en millones de teléfonos. Las aplicaciones que rastrean sus movimientos y su paradero a menudo también venden esas ubicaciones a corredores de datos, que luego revenden los datos a los anunciantes para que publiquen anuncios más específicos.
NSO negó haber usado datos de ubicación de un corredor de datos para su demostración de Fleming.
"La demostración de Fleming no se basa en datos reales y genuinos", dijo Ganz. “La demostración es más bien una ilustración de datos públicos ofuscados. No contiene ninguna información de identificación personal de ningún tipo ".
Desde que los gobiernos comenzaron a delinear sus planes para los sistemas de rastreo de contactos, los expertos advirtieron que los datos de ubicación no son precisos y pueden generar falsos positivos y falsos negativos. Actualmente, el sistema de NSO parece confiar en estos datos para sus funciones principales.
"Este tipo de datos de ubicación no le dará una medida confiable de si dos personas entraron en contacto cercano", dijo Scott-Railton.
La conexión de NSO con el Medio Oriente
Israel no es el único gobierno interesado en Fleming. Bloomberg reportado en marzo que una docena de naciones supuestamente estaban probando la tecnología de rastreo de contactos de NSO.
Una revisión de la base de datos desprotegida mostró grandes cantidades de puntos de datos de ubicación en Israel, pero también en Ruanda, Arabia Saudita y los Emiratos Árabes Unidos.
Los portavoces de los consulados de Arabia Saudita, Ruanda y Emiratí en Nueva York no respondieron a nuestros correos electrónicos. NSO no respondió nuestras preguntas sobre su relación, si la hubiera, con estos gobiernos.
Un mapa que muestra una muestra de aproximadamente 20,000 puntos de datos de ubicación en Israel (arriba a la izquierda); Abu Dhabi y Dubai, Emiratos Árabes Unidos (arriba a la derecha); Riad, Arabia Saudita (abajo a la izquierda) y Ruanda (abajo a la derecha). (Imagen: Heaven32)
Arabia Saudita es un conocido cliente de NSO Group. Expertos de las Naciones Unidas han pedido que se investiguen las denuncias de que el gobierno saudí utilizó el spyware Pegasus de NSO para piratear el teléfono del director ejecutivo de Amazon, Jeff Bezos. NSO ha negado los reclamos.
NSO también está envuelto en una batalla legal con WhatsApp propiedad de Facebook por supuestamente construyendo una herramienta de pirateo diseñado para ser entregado a través de WhatsApp, que se utilizó para piratear los teléfonos celulares de 1.400 usuarios, incluidos funcionarios gubernamentales, periodistas y activistas de derechos humanos, utilizando servidores AWS con sede en los EE. UU. y Frankfurt. NSO también rechazó las reclamaciones.
Preocupaciones sobre la privacidad
Los expertos han expresado su preocupación por el uso de datos centralizados, temiendo que pueda convertirse en un objetivo para los piratas informáticos.
La mayoría de los países están favoreciendo los esfuerzos descentralizados, como el proyecto conjunto entre Apple y Google, que utiliza señales anónimas de Bluetooth captadas de teléfonos cercanos, en lugar de recopilar datos de ubicación de la celda en una sola base de datos. El rastreo de contactos Bluetooth tiene ganó el apoyo de académicos e investigadores de seguridad sobre los esfuerzos de rastreo de contactos basados en la ubicación, que según ellos permitirían la vigilancia a gran escala.
Shwartz Altshuler le dijo a Heaven32 que el rastreo de contactos basado en la ubicación es una "gran infracción" de la privacidad.
"Significa que no puedes tener secretos", dijo. "No puedes tener ninguna reunión si eres periodista, y no puedes ir a lugares donde la gente quiera saber dónde estás".
Favoreciendo sus propios esfuerzos de búsqueda de contactos, Apple y Google tienen ya prohibido Los gobiernos que crean aplicaciones de seguimiento de contactos utilizando su API conjunta a partir del uso del seguimiento de ubicación, por temor a que los datos almacenados en un servidor centralizado puedan violarse.
Solo esta semana, los gobiernos de EE. UU. Y el Reino Unido prevenido que los piratas informáticos del estado-nación están apuntando a organizaciones involucradas en la respuesta del coronavirus.
Alan Woodward, profesor de la Universidad de Surrey, dijo que los datos de ubicación hacen que "sea posible construir gráficos sociales y comenzar a identificar quién conoció a quién, cuándo y dónde".
"Incluso si se trata solo de datos de prueba, sigue siendo sensible si se trata de personas reales", dijo.
