English [en]   Deutsch [de]   español [es]   français [fr]   italiano [it]   日本語 [ja]   русский [ru]  

Free Software Free Society

Together we have the opportunity to empower the world through the use of free software. The only way to counter proprietary software companies and the billions of dollars they use to strip user rights is through the power of your voice and your generosity.

103 Joined
600 New Members

Malware en el software privativo → Vigilancia

Esta es una traducción de la página original en inglés.

Vigilancia en el software privativo


El software que no es libre (privativo) a menudo es malware (diseñado para maltratar a los usuarios). El software que no es libre está controlado por quienes lo han desarrollado, lo que los coloca en una posición de poder sobre los usuarios; esa es la injusticia básica. A menudo los desarrolladores y fabricantes ejercen ese poder en perjuicio de los usuarios a cuyo servicio deberían estar.

Habitualmente, esto suele realizarse mediante funcionalidades maliciosas.


Viñeta de un perro mirando desconcertado tres avisos publicitarios que de
repente aparecieron en la pantalla de su ordenador...

«¿Cómo habrán descubierto que soy un perro?»

Una funcionalidad maliciosa muy común es la que permite espiar al usuario. En esta página se presentan ejemplos de casos claramente establecidos de software privativo que espía o rastrea al usuario. Los fabricantes incluso se niegan a decir si espían a los usuarios por cuenta del Estado.

Todos los aparatos y aplicaciones que están vinculados a un servidor específico son espías por naturaleza. No los incluimos aquí porque tienen su propia página: Subordinación a un servidor en el software privativo.

Si conoce algún otro ejemplo que debería mencionarse en esta página, escríbanos por favor a <webmasters@gnu.org>. Incluya la URL de una o más referencias confiables que justifiquen su inclusión.

Introducción

Durante décadas, la Free Software Foundation ha denunciado la máquina abusiva de vigilancia constituida por compañías de software privativo tales como Microsoft y Apple. En los últimos años, esta tendencia a vigilar a las personas se ha extendido a otras áreas de la industria, no solo del software, sino también del hardware. Es más, se ha alejado del teclado hasta alcanzar la industria de los ordenadores móviles, la oficina, el hogar, los sistemas de transporte y las aulas.

Datos agregados o anonimizados

Muchas compañías incluyen en su declaración de privacidad una cláusula en la que afirman que ceden a terceros/socios datos agregados sin información personal identificable. Tales afirmaciones carecen de valor, por varios motivos:

  • Podrían cambiar su posición en cualquier momento.
  • Pueden revirar las palabras distribuyendo un «agregado» de datos «anonimizados» que se pueden volver a identificar para atribuirlos individualmente a las personas.
  • Los datos sin procesar que normalmente no distribuyen se pueden obtener debido a una filtración de datos.
  • Los datos sin procesar que normalmente no distribuyen se pueden obtener por orden judicial.

Por lo tanto, no debemos dejarnos distraer por lo que las compañías afirman que harán con los datos que recogen, lo malo es el hecho mismo de que los recojen.

Añadidos recientes

Las entradas bajo cada categoría están en orden cronológico inverso, de según las fechas de publicación de los artículos a los que se enlaza. Las añadidas más recientemente están en la página principal de la sección Malware.

Código espía en ordenadores portátiles y de escritorio

(#OSSpyware)

Windows

(#SpywareInWindows)

El espionaje de Microsoft no empezó con Windows 10. Hay mucho más malware de Microsoft.

MacOS

(#SpywareInMacOS)

Hay mucho más código espía en las iCosas y malware en Apple.

Código espía en los móviles

(#SpywareOnMobiles)

Todos los teléfonos «inteligentes»

(#SpywareInTelephones)

Teléfonos Android

(#SpywareInAndroid)

Lectores de libros electrónicos

(#SpywareInElectronicReaders)

Código espía en las aplicaciones

(#SpywareInApplications)

Aplicaciones de escritorio

(#SpywareInDesktopApps)
  • El software para el tratamiento de gráficos de Foundry envía información para identificar a quien lo está utilizando. La consecuencia es a menudo una amenaza legal exigiendo una elevada suma de dinero.

    El hecho de que lo utilicen para reprimir la compartición no autorizada lo hace incuso más vil.

    Esto muestra que hacer copias no autorizadas de software que no es libre no es un remedio contra la injusticia de ese tipo de software. Puede evitar que se pague por algo malo, pero no lo hace menos malo.

Aplicaciones para móviles

(#SpywareInMobileApps)
  • La aplicación del Partido Comunista Chino Study the Great Nation requiere que los usuarios le permitan acceder al micrófono del teléfono, a las fotos, mensajes de texto, contactos e historial de navegación, y en la versión para Android se ha descubierto una puerta trasera que permite a los desarrolladores ejecutar en el teléfono, como «supeusuarios», el código que deseen. Descargarse y utilizar esta aplicación es obligatorio en algunos centros de trabajo.

    Nota: La versión del artículo en el Washington Post (en parte ocultada, pero legible si se copia y pega en un editor de texto) incluye una explicación en la que dice que las pruebas se han hecho únicamente en la versión de la aplicación para Android, y que, según Apple, «esta clase de vigilancia como "superusuario" no puede llevarse a cabo en el sistema operativo de Apple».

  • La aplicación de Facebook rastrea a los usuarios incluso cuando está cerrada, tras haberles embaucado para que den a la aplicación amplios permisos a fin de utilizar una de sus funcionalidades.

  • Algunas aplicaciones privativas para controlar el ciclo menstrual, incluidas MIA Fem y Maya envían a Facebook detalles íntimos de la vida de las usuarias.

  • Mantener un registro de quienes descargan un programa privativo es una forma de vigilancia. Existe un programa privativo para regular la mira de un cierto rifle telescópico. Un fiscal estadounidense ha solicitado la lista de las 10.000 o más personas que lo habían instalado.

    Con un programa libre no habría ninguna lista de personas que lo han instalado.

  • Muchos desarrolladores de aplicaciones para móviles faltos de escrúpulos siguen encontrando maneras de eludir las preferencias del usuario, las regulaciones y las características del sistema operativo que favorecen la privacidad, a fin de obtener la mayor cantidad de datos privados que les sea posible.

    De modo que no podemos confiar en las normas contra el espionaje. En lo que podemos depositar nuestra confianza es en tener el control del software que ejecutamos.

  • Muchas aplicaciones de Android pueden rastrear los movimientos del usuario incluso cuando este no les permite obtener datos de localización.

    Al parecer se trata de un defecto no intencionado de Android, aprovechado intencionalmente por aplicaciones maliciosas.

  • La aplicación de «fertilidad» Femm sirve subrepticiamente como instrumento de propaganda de cristianos natalistas. Siembra desconfianza con respecto a la contracepción.

    Además, espía a los usuarios, como cabe esperar de cualquier programa que no sea libre.

  • BlizzCon 2019 impuso el requisito de ejecutar una aplicación privativa en el teléfono para poder participar en el evento.

    Esta aplicación es un programa espía capaz de husmear en multitud de datos sensibles, incluida la localización del usuario y su lista de contactos, y que toma control casi total del teléfono.

  • Los datos recopilados por las aplicaciones de control menstrual y de embarazo se ponen a menudo a disposición de los empleadores y compañías de seguros. Aun cuando los datos son «anonimizados y agregados», se puede fácilmente seguir su rastro hasta llegar a la mujer que utiliza la aplicación.

    Esto tiene graves consecuencias para los derechos de las mujeres a la igualdad en el trabajo y a su libertad de elección con respecto a la maternidad. No utilice estas aplicaciones ni siquiera cuando le ofrezcan una recompensa por hacerlo. Puede obtener una aplicación de software libre que hace más o menos lo mismo en F-Droid, y hay una nueva en desarrollo.

  • Google rastrea los movimientos de los teléfonos Android y de los iPhone que ejecutan aplicaciones de Google, y a veces guarda los datos durante años.

    Un software privativo presente en el teléfono debe de ser el responsable de enviar los datos de localización a Google.

  • Muchos teléfonos Android vienen con gran cantidad de aplicaciones privativas que tienen acceso a datos sensibles sin el conocimiento de los usuarios. Estas aplicaciones ocultas pueden enviar los datos a sus desarrolladores, o bien pasárselos a aplicaciones instaladas por el usuario que tienen acceso a la red pero no acceso directo a los datos. El resultado es una vigilancia masiva sobre la que el usuario no tiene ningún control en absoluto.

  • Un estudio sobre 24 aplicaciones para la salud descubrió que 19 de ellas envían datos sensibles a terceras partes, que pueden luego utilizarlos para enviar publicidad intrusiva o discriminar a las personas en malas condiciones de salud.

    Cuando se solicita el «consentimiento» del usuario, se esconde en unos extensos Términos del servicio difíciles de entender. En cualquier caso, el «consentimiento» no es suficiente para legitimar el espionaje.

  • Facebook presentó una biblioteca privativa muy práctica para hacer aplicaciones para móviles, pero también enviaba datos personales a Facebook. Muchas compañías hicieron aplicaciones con ella y las publicaron, sin darse cuenta de que todos los datos personales que recogían acabarían también en manos de Facebook.

    Esto muestra que nadie puede confiar en un programa que no es libre, tampoco los desarrolladores de otros programas que no son libres.

  • La base de datos AppCensus ofrece información de cómo las aplicaciones de Android usan y abusan de los datos personales del usuario. Hasta marzo de 2019, se habían analizado casi 78.000, de las cuales 24.000 (el 31%) transmitían el identificador publicitario a otras compañías, y 18.000 (el 23% del total) enlazaban este identificador con identificadores de hardware, de modo que los usuarios no podían evitar el rastreo reiniciándolo.

    Recoger identificadores de hardware constituye una clara violación de las políticas de Google. Parece que Google no estaba enterada de ello, pero una vez informada tampoco se dio mucha prisa en actuar. Esto da prueba de que las políticas de una plataforma de desarrollo son ineficaces para evitar que los desarrolladores de software privativo incluyan software malicioso en sus programas.

  • Multitud de aplicaciones que no son libres cuentan con una funcionalidad de vigilancia que permite registrar todas las acciones del usuario en su interacción con la aplicación.

  • Ventinueve aplicaciones de retoque de fotos (beauty camera) que solían estar en Google Play tenían una o más funcionalidades maliciosas, tales como robar las fotos de los usuarios en lugar «embellecerlas», enviar publicidad indeseada y a menudo maliciosa a los usuarios, y desviarlos a sitios de phishing que robaban sus credenciales. Además, la interfaz de usuario de la mayoría de ellas estaba diseñada para dificultar la desinstalación.

    Por supuesto, los usuarios deberían desinstalar estas peligrosas aplicaciones si no lo han hecho ya, pero deberían también mantenerse alejados de las aplicaciones que no sean libres en general. Todas las aplicaciones que no son libres entrañan un riesgo potencial, ya que no es fácil saber qué hacen realmente.

  • En una investigación acerca de las 150 aplicaciones gratuitas de VPN más populares incluidas en Google Play, se descubrió que el 25 % no es capaz de proteger la privacidad de sus usuarios debido a la filtración de los DNS. Además, el código fuente del 85 % de ellas contiene permisos o funciones intrusivas (a menudo utilizadas para enviar publicidad invasiva) que podrían utilizarse para espiar a los usuarios. Se encontraron también otros fallos técnicos.

    Más aún, en una investigación anterior se descubrió que la mitad de las diez principales aplicaciones de VPN gratuitas tienen una política de privacidad deplorable.

    (Es una lástima que estos artículos hablen de «free apps». Estas aplicaciones son gratuitas, pero no son software libre.)

  • La aplicación meteorológica Weather Channel registra la geolocalización de los usuarios en el servidor de la compañía. Esta está siendo objeto de una demanda en la que se le exige que notifique a los usuarios qué va a hacer con los datos.

    Pensamos que esta demanda aborda un asunto colateral. Lo que la compañía haga con los datos es una cuestión secundaria. El principal daño aquí es que la compañía recoja esos datos.

    Otras aplicaciones de información meteorológica, incluidas Accuweather y WeatherBug, rastrean la ubicación de los usuarios.

  • Alrededor del 40 % de las aplicaciones gratuitas de Android informan a Facebook de las acciones del usuario.

    A menudo envían el «identificador publicitario» de la máquina, de modo que Facebook puede correlacionar los datos que obtiene de la misma máquina a través de diversas aplicaciones. Algunas de ellas envían a Facebook información detallada acerca de las actividades del usuario en la aplicación; otras solo informan de que el usuario está utilizando la aplicación, pero a menudo estos es ya bastante informativo.

    El espionaje se produce con independencia de que el usuario tenga cuenta en Facebook.

  • Algunas aplicaciones de Android rastrean los teléfonos de los usuarios que las han eliminado.

  • Algunas aplicaciones de Google para Android registran la ubicación del usuario incluso cuando este ha desactivado la opción de «seguimiento de la ubicación».

    Hay más formas de desactivar otros tipos de seguimiento de la ubicación, pero la mayoría de los usuarios acabarán confundidos por lo engañosos que resultan los menús de configuración.

  • La aplicación para la transmisión en directo del fútbol español rastrea los movimientos del usuario y escucha a través del micrófono.

    Esto hace que los usuarios actúen como espías al servicio de la aplicación de las licencias.

    Suponemos que también implementa el DRM, que no hay manera de guardar una grabación, aunque no se puede estar seguros a partir de lo que dice el artículo.

    Si aprende a dar menos importancia a los deportes, se beneficiará de muchas maneras. Esta es una más.

  • Se ha descubierto que más del 50 % de las 5.855 aplicaciones de Android estudiadas por investigadores espían y recopilan información de los usuarios, mientras que el 40 % de ellas los delatan. Además, solo han podido detectar algunos de los métodos de espionaje, ya que en estas aplicaciones privativas no se puede examinar el código fuente. Las demás podrían estar espiando de otras maneras.

    Esto prueba que las aplicaciones privativas, en general, operan en contra de los usuarios Para proteger su privacidad y libertad, los usuarios de Android han de deshacerse del software privativo: tanto del Android privativo, pasándose a Replicant, como de las aplicaciones privativas, instalando solo software libre del repositorio F-Droid, que advierte claramente al usuario si una aplicación contiene funcionalidades nocivas.

  • Grindr recoge información sobre qué usuarios son seropositivos, luego proporciona esa información a otras empresas.

    Grindr no debería tener tanta información sobre sus usuarios. Se podría diseñar de tal modo que los usuarios se comunicaran esa información entre ellos, pero no a la base de datos del servidor.

  • La aplicación MoviePass y su «servicio» espía a los usuarios aún más de lo que estos podrían esperar. Registra sus desplazamientos antes y después de ir a ver una película.

    No permita que lo rastreen, ¡pague con dinero en efectivo!

  • El software de seguimiento está muy extendido en las aplicaciones más populares de Android, y en ocasiones es muy ingenioso. Algunos rastreadores pueden seguir los movimientos del usuario dentro de una tienda física detectando las redes WiFi.

  • La aplicación Sarahah app transfiere todos los números de teléfono y direcciones de correo electrónico de la libreta de direcciones del usuario al servidor de los desarrolladores del programa.

    (Advierta que este artículo emplea mal las palabras “software libre” para referirse a gratuito.)

  • Veinte deshonestas aplicaciones de Android grababan llamadas telefónicas y las enviaban, junto con mensajes de texto y correos electrónicos, a husmeadores.

    Google no tenía intención de que estas aplicaciones espiaran; al contrario, procuró de diversas maneras evitarlo, y las borró cuando descubrió lo que hacían. De modo que no podemos culpar a Google por el espionaje de estas aplicaciones.

    Pero, por otra parte, Google redistribuye aplicaciones de Android que no son libres, y por tanto comparte la responsabilidad de la injusticia de que no sean libres. También distribuye sus propias aplicaciones que no son libres, como Google Play, que son maliciosas.

    ¿Podría Google haber evitado las trampas de estas aplicaciones de manera más eficiente? Ni Google ni los usuarios de Android cuentan con una manera sistemática de inspeccionar las aplicaciones privativas ejecutables para ver lo que hacen.

    Google podría pedir el código fuente de estas aplicaciones y estudiarlo para determinar si maltrata a los usuarios de una u otra manera. Si hiciera ahí un buen trabajo, podría evitar más o menos ese espionaje, excepto cuando los desarrolladores de la aplicación fueran lo bastante listos para burlar la inspección.

    Pero dado que el propio Google desarrolla aplicaciones maliciosas, no podemos confiar en que Google nos proteja. Hemos de exigir la publicación del código fuente, de modo que podamos contar los unos con los otros.

  • Las aplicaciones de la red de transporte de San Francisco (BART) espía a los usuarios.

    Con aplicaciones de software libre, los usuarios podrían cerciorarse de que nadie los espía.

    Con aplicaciones privativas, uno solo puede esperar que no lo hagan.

  • Un estudio descubrió 234 aplicaciones para Android que rastreaban a los usuarios al permanecer a la escucha de los ultrasonidos emitidos por programas de televisión o por balizas colocadas en las tiendas.

  • Faceapp parece ejercer una amplia vigilancia, a juzgar por la magnitud del acceso que pide a los datos personales presentes en el dispositivo.

  • Los usuarios están llevando a Bose a los tribunales por distribuir una aplicación espía para sus auriculares. Concretamente, la aplicación grabaría los nombres de los archivos de audio que se escuchan, asociándolos al número de serie individual de los auriculares.

    Se acusa a Bose de haberlo hecho sin el consentimiento de los usuarios. Si la letra pequeña de la aplicación dijera que los usuarios dan su consentimiento, ¿sería aceptable? ¡De ninguna manera! Debe ser completamente ilegal diseñar la aplicación para cualquier forma de espionaje.

  • En las aplicaciones de Android, una aplicación puede confabularse con otra para transmitir datos personales de los usuarios a los servidores. Una investigación ha descubierto decenas de miles de pares de aplicaciones que se confabulan.

  • Verizon ha anunciado una aplicación privativa opcional de búsqueda que preinstalará en algunos de sus teléfonos. La aplicación dará a Verizon la misma información acerca de las búsquedas del usuario que Google obtiene normalmente cuando se utiliza su motor de búsqueda.

    Actualmente la aplicación se está preinstalando solo en un teléfono, y el usuario ha de dar explícitamente su consentimiento antes de que la aplicación entre en funcionamiento. No obstante, la aplicación es software espía, y un software espía «optativo» sigue siendo software espía.

  • La aplicación para la edición de fotos Meitu envía datos del usuario a una compañía china.

  • La aplicación de Uber rastrea los movimientos del cliente antes y después del viaje.

    Este ejemplo muestra que «obtener el consentimiento del usuario» para ser rastreado no es una protección adecuada contra la vigilancia masiva.

  • Un trabajo de investigación que estudió la privacidad y seguridad de 283 aplicaciones de VPN para Android concluyó que «a pesar de las promesas de privacidad, seguridad y anonimato expresadas por la mayoría de las aplicaciones de VPN, millones de usuarios podrían, sin saberlo, estar depositando su confianza en falsas garantías de seguridad y siendo objeto de prácticas abusivas por parte de estas aplicaciones».

    A continuación presentamos una lista no exhaustiva de aplicaciones de VPN privativas, mencionadas en ese trabajo de investigación, que rastrean a los usuarios y vulneran su privacidad:

    SurfEasy
    Contiene bibliotecas de rastreo tales como NativeX y Appflood, pensadas para rastrear a los usuarios y mostrarles anuncios personalizados.
    sFly Network Booster
    Tras su instalación, solicita los permisos READ_SMS y SEND_SMS, lo que significa que tiene total acceso a los mensajes de texto de los usuarios.
    DroidVPN y TigerVPN
    Solicita el permiso READ_LOGS para leer los registros de otras aplicaciones y también los del núcleo del sistema. Los desarrolladores de TigerVPN lo han confirmado.
    HideMyAss
    Envía tráfico a LinkedIn. Además, almacena registros detallados que puede remitir al Gobierno británico si este lo solicita.
    VPN Services HotspotShield
    Inserta código JavaScript en las páginas HTML reenviadas a los usuarios. El propósito declarado de la inserción de JS es mostrar anuncios. Utiliza unas cinco bibliotecas de rastreo. Además, redirige el tráfico de los usuarios a través de valueclick.com (una página de publicidad personalizada).
    WiFi Protector VPN
    Inserta código JavaScript en las páginas HTML y utiliza también alrededor de cinco bibliotecas de rastreo. Los desarrolladores de esta aplicación han confirmado que la versión non-premium de la aplicación inserta código JavaScript para rastrear a los usuarios y mostrarles anuncios.
  • La nueva aplicación de mensajería vocal de Google registra todas las conversaciones.

  • La nueva aplicación de Facebook, Magic Photo, escanea la colección de fotos de su teléfono móvil en busca de rostros conocidos, y le sugiere compartir las fotos que toma según quién aparezca en la imagen.

    Parece que esta funcionalidad espía requiere el acceso online a alguna base de datos de rostros conocidos, lo que significa que las fotos son probablemente enviadas a servidores de Facebook para aplicarles algoritmos de reconocimiento de rostros.

    De ser así, todas las fotos de los usuarios de Facebook habrán dejado de ser privadas, aun cuando el usuario no las haya subido a ese servicio.

  • La aplicación de Facebook está a la escucha permanentemente, para espiar lo que la gente está escuchando o mirando. Además, puede estar analizando las conversaciones de los usuarios a fin de presentarles anuncios personalizados.

  • Una aplicación que controla los test de embarazo no solo puede espiar en muchos tipos de datos personales guardados en el teléfono o en servidores, también puede modificarlos.

  • Las aplicaciones que incluyen el software de vigilancia Symphony husmea para detectar qué programas de radio y televisión están pasando en las inmediaciones. También espían lo que los usuarios envían a varios sitios tales come Facebook, Google+ y Twitter.

  • «Comunicación críptica», no relacionada con las funcionalidades de la aplicación, se ha hallado en las 500 aplicaciones gratuitas más populares de Android.

    El artículo no debería haber descrito estas aplicaciones como «free», pues no son software libre. La manera correcta de decir que son a «precio cero» es «gratuitas».

    El artículo da por hecho que las herramientas de análisis habituales son legítimas, pero ¿es así? Los desarrolladores de software no tienen derecho a analizar lo que hacen los usuarios o cómo lo hacen. Las herramientas «de análisis» que fisgonean son tan malas como cualquier otra forma de fisgonear.

  • Más del 73% de las aplicaciones móviles para Android, y más del 47% para iOS, comparten con terceros información personal, de comportamiento y ubicación de los usuarios.

  • Como la mayoría de los antiservicios de transmisión de música, Spotify se basa en malware privativo (DRM y software espía). En agosto de 2015 exigió a los usuarios que aceptaran una mayor intromisión, y algunos están empezando a darse cuenta de que esto no es bueno.

    Este artículo muestra las retorcidas maneras en que presentan su espionaje como una forma de «servir» mejor a los usuarios, sin importar si es eso lo que quieren. Este es un ejemplo típico de la actitud de la industria del software privativo frente a aquellos a quienes ha subyugado.

    ¡Vade retro, Spotify!

  • Un estudio de 2015 desveló que el 90% de las principales aplicaciones de Android gratuitas y privativas contenían bibliotecas que rastrean a los usuarios. En el caso de las aplicaciones privativas de pago, la proporción era del 60%.

    Este artículo induce a confusión, ya que describe las aplicaciones gratuitas como «libres» ((free)), cuando la mayoría de ellas no son en realidad software libre. También emplea la fea palabra «monetizar». Un buen sustitutivo de esa palabra es «explotar»; casi siempre encajará a la perfección.

  • Las aplicaciones gratuitas (pero no libres) de Android se conectan de media a un centenar de URL especializadas en rastreo y publicidad.

  • Muchas de las muy difundidas aplicaciones privativas para leer códigos QR espían al usuario. Esto se suma al espionaje por parte de la empresa telefónica y, posiblemente, del sistema operativo del teléfono.

    No desvíe su atención pensando en si los desarrolladores de la aplicación solicitan o no que el usuario diga «acepto», esa cuestión no justifica el malware.

  • Muchas aplicaciones privativas para dispositivos móviles envían informes sobre cuáles otras aplicaciones el usuario tiene instaladas. Twitter lo hace de una manera que por lo menos es visible y opcional, no tan malo como lo que hacen los otros.

  • El teclado Simeji es una versión para teléfonos inteligentes del espía IME de Baidu.

  • El principal propósito de la aplicación privativa Snapchat es restringir el uso de datos en el equipo del usuario, pero también hace labores de vigilancia: trata de obtener la lista de números telefónicos de otras personas que tiene el usuario.

  • La aplicación de linterna Brightest Flashlight envía datos del usuario, incluida su geolocalización, para su utilización por empresas.

    La FTC (Comisión Federal de Comercio) ha criticado esta aplicación porque pregunta al usuario si autoriza el envío de datos personales al desarrollador de la aplicación, pero no dice nada acerca de su envío a otras empresas. Esto muestra la debilidad de la «solución» a la vigilancia del «diga no si no quiere que lo espíen»: ¿por qué una aplicación de linterna tendría que enviar información a nadie? Una aplicación de linterna con software libre no lo haría.

  • La FTC dice que la mayoría de las aplicaciones de móviles para niños no respetan la privacidad: http://arstechnica.com/information-technology/2012/12/ftc-disclosures-severely-lacking-in-kids-mobile-appsand-its-getting-worse/.

Skype

(#SpywareInSkype)

Juegos

(#SpywareInGames)

Código espía en los equipos conectados

(#SpywareInEquipment)

Televisores

(#SpywareInTVSets)

Emo Phillips contó este chiste. El otro día se acercó una mujer y me preguntó: «¿No te he visto en la televisión?». Le respondí: «No sé, no se puede ver hacia el otro lado». Evidentemente eso fue antes de que aparecieran los televisores «inteligentes» de Amazon.

Cámaras

(#SpywareInCameras)
  • Los dispositivos de «seguridad» Ring, de Amazon, envían la señal de vídeo que capturan a los servidores de Amazon, que la guardan por mucho tiempo.

    En muchos casos el vídeo muestra a cualquiera que se acerque o simplemente pase al lado de la puerta de entrada del usuario.

    El artículo hace hincapié en que Ring permitía a sus empleados ver libremente los vídeos. Al parecer Amazon ha tratado de evitar ese abuso adicional, pero espera que la sociedad se someta al abuso primordial (el hecho de que Amazon se hace con el vídeo).

  • Casi todas las «cámaras de seguridad domésticas» proporcionan al fabricante una copia no encriptada de todo lo que ven. ¡Deberían llamarse «cámaras de inseguridad doméstica»!

    Cuando Consumer Reports las sometió a examen, sugirió que los fabricantes prometieran no mirar el contenido de los vídeos. Eso no es seguridad para su hogar. Seguridad significa asegurarse de que no tienen acceso a lo que ve su cámara.

  • Más de setenta cámaras de vigilancia conectadas a la red tienen fallos de seguridad que permiten que cualquiera pueda mirar a través de ellas.

  • La cámara «inteligente» Nest Cam observa siempre, incluso cuando el «propietario» la apaga.

    Dispositivo «inteligente» significa que el fabricante lo utiliza para ser más astuto que usted.

Juguetes

(#SpywareInToys)

Drones

(#SpywareInDrones)
  • Cuando usted usa un drone DJI para espiar a la gente, en muchos casos el DJI lo espía a usted.

Otros aparatos

(#SpywareAtHome)
  • El «Asistente» de Google graba las conversaciones de los usuarios incluso cuando se supone que no está a la escucha. Así, cuando un subcontratista de Google divulgó un millar de grabaciones vocales confidenciales, a partir de ellas se pudo identificar fácilmente a los usuarios.

    Puesto que el «Asistente» de Google utiliza software privativo, no hay modo de saber o controlar lo que graba o transmite.

    En lugar de tratar de mejorar el control del uso de las grabaciones, lo que Google debe hacer es no grabar ni escuchar la voz de la gente. Solo debería captar las órdenes que el usuario quiere dar a algún servicio de Google.

  • Amazon Alexa recoge de los usuarios mucha más información de la necesaria para su correcto funcionamiento (hora, localización, grabaciones realizadas sin una orden explícita), y la envía a los servidores de Amazon, que la guardan indefinidamente. Aún más, Amazon la reenvía a otras compañías. De este modo, aun cuando los usuarios soliciten que se borren sus datos de los servidores de Amazon, esos datos permanecerán en otros servidores, quedando así al alcance de compañías publicitarias y agencias gubernamentales. En otras palabras, borrar la información recopilada no deshace el daño causado al recopilarla.

    Los datos recopilados por dispositivos como el termostato Nest, el sistema de iluminación Philips Hue, el controlador para puertas de garaje Chamberlain MyQ y los altavoces Sonos se guardan también más tiempo del necesario en los servidores a los que tales dispositivos están conectados. Más aún, esos datos quedan a disposición de Alexa. En consecuencia, Amazon tiene una precisa imagen de la vida del usuario en su hogar, no solo en el presente, sino también en el pasado (y, quién sabe si también en el futuro).

  • Algunas de las órdenes del usuario al servicio Alexa son grabadas para que los empleados de Amazon las escuchen. Los asistentes vocales de Google y Apple hacen cosas similares.

    Una parte del personal encargado de Alexa tiene acceso incluso a la localización y otros datos personales.

    Dado que el programa cliente no es libre, y que el procesamiento de los datos se hace «en la nube» (una expresión tranquilizadora que significa: «No te diremos cómo ni dónde se hace»), los usuarios no tienen forma de saber qué sucede con las grabaciones a menos que algún empleado rompa sus acuerdos de no divulgación.

  • Los cartuchos de HP «por suscripción» tienen un DRM que se comunica constantemente con los servidores de HP para asegurarse de que el usuario esté al día en el pago de la suscripción y no haya imprimido más páginas de aquellas por las que ha pagado.

    Si bien con el programa de suscripción la tinta puede resultar más barata en algunos casos, se espía a los usuarios, y conlleva restricciones totalmente inaceptables en el uso de cartuchos de tinta que normalmente podrían seguir utilizándose.

  • Unos crackers encontraron la manera de sortear las medidas de seguridad de un dispositivo de Amazon y convertirlo en un dispositivo de escucha a su servicio.

    Les costó mucho hacerlo. A Amazon eso le resultaría mucho más sencillo. Y si algún Gobierno, como China o EE. UU., le dijera a Amazon que lo hiciera, o que dejara de vender ese dispositivo en el país, ¿creen que Amazon tendría la suficiente integridad moral para negarse?

    (Estos crackers son probablemente también hackers, pero por favor no utilice la palabra «hackear» para referirse a «sortear medidas de seguridad».)

  • Una empresa de seguros médicos ofrece gratuitamente cepillos de dientes electrónicos que espían a los usuarios enviando datos de uso por Internet.

  • Muchos productos «inteligentes» están diseñados para escuchar a todas las personas de la casa todo el tiempo.

    El estado actual de la tecnología no ofrece ningún medio para hacer un dispositivo que pueda obedecer órdenes vocales sin la posibilidad de espiar al usuario. Aun si estuviese provisto de aislamiento (air-gapped), podría guardar los registros acerca del usuario para examinarlos después.

  • Los termómetros Nest envían multitud de datos sobre el usuario.

  • Unos ordenadores de alquiler con opción a compra fueron programados para espiar a quienes los alquilaban.

Indumentaria

(#SpywareOnWearables)
Relojes «inteligentes»

Vehículos

(#SpywareInVehicles)
  • Los vehículos Tesla recopilan multitud de datos personales, y cuando van al desguace, los datos personales del conductor van con ellos.

  • El sistema FordPass Connect de algunos vehículos Ford tiene acceso casi total a la red interna del vehículo. Está conectado permanentemente a la red del teléfono celular y envía multitud de datos a Ford, incluida la localización del vehículo. Funciona incluso cuando se ha retirado la llave de contacto, y los usuarios señalan que no lo pueden desactivar.

    Si posee un vehículo de este tipo, ¿ha conseguido interrumpir la conexión desconectando el módem del celular o envolviendo la antena con papel de aluminio?

  • En China, es obligatorio que los coches eléctricos estén equipados con un terminal que transfiere datos técnicos, incluida la localización del vehículo, a una plataforma gestionada por el Gobierno. En la práctica, los fabricantes recopilan estos datos para su propio espionaje, y luego los remiten a la plataforma gubernamental.

  • GM rastreaba los programas de radio sintonizados en los vehículos «conectados», minuto a minuto.

    GM no pidió consentimiento a los usuarios, pero podría haberlo obtenido fácilmente introduciéndolo furtivamente en el contrato que firman los usuarios para suscribirse a un servicio digital u otro. El requisito de consentimiento no constituye una protección efectiva.

    Los coches pueden recopilar multitud de datos diferentes: pueden escuchar, observar, seguir los movimientos o rastrear los móviles de los pasajeros. Toda recopilación de tales datos debe prohibirse.

    Pero si queremos estar verdaderamente a salvo, debemos asegurarnos de que el equipo del vehículo no puede recopilar ninguno de esos datos, o de que el software es libre, de modo que sepamos que no recopila esos datos.

  • Las aplicaciones de asistencia a la conducción de vehículos mediante inteligencia artificial rastrean todos sus movimientos.

  • Los automóviles computarizados con software privativo son dispositivos espías.

  • El Nissan Leaf contiene un módem integrado de teléfono móvil que permite a cualquiera acceder a distancia al ordenador del coche y hacer modificaciones en la configuración.

    Es fácil hacerlo porque el sistema no requiere autenticación cuando se accede a través del módem. Pero aunque fuese necesaria la autenticación, no se puede confiar en que Nissan no tenga acceso. El software del coche es privativo, lo que significa que a los usuarios se les pide que confíen ciegamente en él.

    Aun en el caso de que nadie se conecte al coche de forma remota, el módem del móvil hace que la compañía telefónica pueda rastrear los movimientos del coche en todo momento; no obstante, es posible quitar físicamente el módem del móvil.

  • Los automóviles Tesla permiten que la compañía extraiga datos de manera remota para determinar la ubicación del vehículo en cualquier momento (véase la Sección 2, párrafos b y c de la declaración de privacidad). La compañía afirma que no guarda esa información, pero si el Estado le ordena obtener los datos y entregarlos, el Estado los puede guardar.

  • El software privativo de los automóviles recoge información sobre los movimientos del usuario, información que está disponible para los fabricantes y las compañías de seguros, entre otros.

    El caso de los sistemas para el cobro del peaje que se menciona en ese artículo en realidad no es una cuestión de vigilancia en el software privativo. Esos sistemas constituyen una intolerable invasión de la privacidad y deben ser reemplazados por sistemas de pago anónimo, pero la invasión no se hace mediante malware. En los otros casos que allí se mencionan sí se hace mediante malware presente en el automóvil.

Realidad virtual

(#SpywareInVR)
  • Los equipos de realidad virtual, que registran cada mínimo movimiento, crean el potencial para una vigilancia lo más íntima posible. Todo lo que se necesita para hacer realidad ese potencial es software tan malicioso como muchos de los otros programas que se mencionan en esta página.

    Podemos apostar que Facebook implementará la máxima vigilancia posible en los dispositivos Oculus Rift. La moraleja es: no confíe nunca en un sistema de realidad virtual que contenga software que no es libre.

Código espía en la web

(#SpywareOnTheWeb)

Además, muchas páginas web espían a los visitantes. Los sitios web no son programas, por lo que no tiene sentido llamarlos «libres» o «privativos», pero de todos modos la vigilancia es un abuso.

JavaScript

(#SpywareInJavaScript)

Flash

(#SpywareInFlash)

Chrome

(#SpywareInChrome)
  • Google Chrome es un instrumento de vigilancia. Permite que miles de rastreadores invadan los ordenadores de los usuarios e informen de las páginas que visitan a empresas de publicidad y de datos, y en primer lugar a Google. Es más, si los usuarios tienen cuenta en Gmail, Chrome los conecta automáticamente a ella para mejorar la elaboración de su perfil. En Android, Chrome informa también a Google de su localización.

    El mejor modo de evitar la vigilancia es cambiarse a IceCat, una versión modificada de Firefox con algunos cambios para proteger la privacidad de los usuarios.

  • Los Chromebooks económicos para escuelas recopilan muchos más datos de los estudiantes que los necesarios, y los almacenan indefinidamente. Padres y estudiantes se quejan de la falta de transparencia por parte de los servicios educativos y las escuelas, de la dificultad de renunciar a esos servicios y de la falta de políticas de privacidad apropiadas, entre otras cosas.

    Pero quejarse no es suficiente. Padres, estudiantes y profesorado han de darse cuenta de que el software que Google utiliza para espiar al alumnado no es libre, de modo que no pueden comprobar qué hace realmente. La única solución es persuadir al equipo directivo de la escuela de que utilice exclusivamente software libre tanto en las aulas como para sus tareas administrativas. Si la escuela se gestiona de forma independiente, los padres y el profesorado pueden exigir a sus representantes en el Consejo escolar que rechacen el presupuesto a menos que la escuela ponga en marcha la transición al software libre. Si la gestión es de ámbito nacional, tendrán que persuadir a los legisladores (p. ej., a través de organizaciones de software libre, partidos políticos, etc.) de que los centros educativos públicos migren al software libre.

  • Google Chrome facilita que las extensiones fisgoneen la navegación del usuario, y muchas así lo hacen.

  • Google Chrome incluye un módulo que activa el micrófono y transmite el audio a sus servidores.

  • Google Chrome espía el historial de navegación, las afiliaciones, y otro software instalado.

  • Google Chrome contiene un registrador de teclas que envía a Google, tecla por tecla, todas las URL escritas en el teclado.

Código espía en las redes

(#SpywareInNetworks)
ARRIBA

[Logotipo de la FSF]«La FSF es una organización de ámbito mundial cuyo objetivo es promover la libertad de los usuarios de ordenadores. Defendemos los derechos de todos los usuarios de software.»

UNIRSE TIENDA