Esta es una traducción de la página original en inglés.

Vigilancia en el software privativo


El software que no es libre (privativo) a menudo es malware (diseñado para maltratar a los usuarios). El software que no es libre está controlado por quienes lo han desarrollado, lo que los coloca en una posición de poder sobre los usuarios; esa es la injusticia básica. A menudo los desarrolladores y fabricantes ejercen ese poder en perjuicio de los usuarios a cuyo servicio deberían estar.

Habitualmente, esto suele realizarse mediante funcionalidades maliciosas.


Viñeta de un perro mirando desconcertado tres avisos publicitarios que de
repente aparecieron en la pantalla de su ordenador...

«¿Cómo habrán descubierto que soy un perro?»

Una funcionalidad maliciosa muy común es la que permite espiar al usuario. En esta página se presentan ejemplos de casos claramente establecidos de software privativo que espía o rastrea al usuario. Los fabricantes incluso se niegan a decir si espían a los usuarios por cuenta del Estado.

Todos los aparatos y aplicaciones que están vinculados a un servidor específico son espías por naturaleza. No los incluimos aquí porque tienen su propia página: Subordinación a un servidor en el software privativo.

Existe un sitio web similar llamado Spyware Watchdog que ofrece una clasificación de programas y servicios y analiza la presencia de software espía, de manera que los usuarios puedan saber si están instalando software de ese tipo.

Si conoce algún otro ejemplo que debería mencionarse en esta página, escríbanos por favor a <webmasters@gnu.org>. Incluya la URL de una o más referencias confiables que justifiquen su inclusión.

Introducción

Durante décadas, la Free Software Foundation ha denunciado la máquina abusiva de vigilancia constituida por compañías de software privativo tales como Microsoft y Apple. En los últimos años, esta tendencia a vigilar a las personas se ha extendido a otras áreas de la industria, no solo del software, sino también del hardware. Es más, se ha alejado del teclado hasta alcanzar la industria de los ordenadores móviles, la oficina, el hogar, los sistemas de transporte y las aulas.

Datos agregados o anonimizados

Muchas compañías incluyen en su declaración de privacidad una cláusula en la que afirman que ceden a terceros/socios datos agregados sin información personal identificable. Tales afirmaciones carecen de valor, por varios motivos:

  • Podrían cambiar su posición en cualquier momento.
  • Pueden revirar las palabras distribuyendo un «agregado» de datos «anonimizados» que se pueden volver a identificar para atribuirlos individualmente a las personas.
  • Los datos sin procesar que normalmente no distribuyen se pueden obtener debido a una filtración de datos.
  • Los datos sin procesar que normalmente no distribuyen se pueden obtener por orden judicial.

Por lo tanto, no debemos dejarnos distraer por lo que las compañías afirman que harán con los datos que recogen, lo malo es el hecho mismo de que los recojen.

Entradas más recientes

Las entradas bajo cada categoría están dispuestas en orden cronológico inverso, según la fecha de publicación de los artículos a los que se enlaza. Las añadidas más recientemente están en la página principal de la sección Malware.

Código espía en ordenadores portátiles y de escritorio

(#OSSpyware)

Windows

(#SpywareInWindows)

El espionaje de Microsoft no empezó con Windows 10. Hay mucho más malware de Microsoft.

MacOS

(#SpywareInMacOS)

Hay mucho más código espía en las iCosas y malware en Apple.

Código espía en los móviles

(#SpywareOnMobiles)

Todos los teléfonos «inteligentes»

(#SpywareInTelephones)

Teléfonos Android

(#SpywareInAndroid)

Lectores de libros electrónicos

(#SpywareInElectronicReaders)

Código espía en las aplicaciones

(#SpywareInApplications)

Aplicaciones de escritorio

(#SpywareInDesktopApps)
  • 2020-11

    El conjunto de programas Office 365, de Microsoft, permite a los empleadores espiar a sus empleados. Tras las protestas públicas, Microsoft ha declarado que eliminaría esa funcionalidad. Esperemos que así sea.

  • 2019-12

    Se ha descubierto que algunas extensiones de Avast y AVG para Firefox y Chrome espían los hábitos de navegación de los usuarios. Mozilla y Google retiraron las extensiones problemáticas de sus tiendas, pero esto muestra una vez más lo inseguro que puede el software privativo: herramientas que se supone que protegen un sistema privativo, en vez de eso están infectándolo con software malicioso adicional (siendo el sistema mismo el primer software malicioso).

  • 2018-11

    El software para el tratamiento de gráficos de Foundry envía información para identificar a quien lo está utilizando. La consecuencia es a menudo una amenaza legal exigiendo una elevada suma de dinero.

    El hecho de que lo utilicen para reprimir la compartición no autorizada lo hace incuso más vil.

    Esto muestra que hacer copias no autorizadas de software que no es libre no es un remedio contra la injusticia de ese tipo de software. Puede evitar que se pague por algo malo, pero no lo hace menos malo.

Aplicaciones para móviles

(#SpywareInMobileApps)

Skype

(#SpywareInSkype)

Juegos

(#SpywareInGames)

Código espía en los equipos conectados

(#SpywareInEquipment)

Televisores

(#SpywareInTVSets)

Emo Phillips contó este chiste. El otro día se acercó una mujer y me preguntó: «¿No te he visto en la televisión?». Le respondí: «No sé, no se puede ver hacia el otro lado». Evidentemente eso fue antes de que aparecieran los televisores «inteligentes» de Amazon.

Cámaras

(#SpywareInCameras)
  • 2019-01

    Los dispositivos de «seguridad» Ring, de Amazon, envían la señal de vídeo que capturan a los servidores de Amazon, que la guardan durante largo tiempo.

    En muchos casos el vídeo muestra a cualquiera que se acerque o simplemente pase al lado de la puerta de entrada del usuario.

    El artículo hace hincapié en que Ring permitía a sus empleados ver libremente los vídeos. Al parecer Amazon ha tratado de evitar ese abuso adicional, pero espera que la sociedad se someta al abuso primordial (el hecho de que Amazon se hace con el vídeo).

  • 2018-10

    Casi todas las «cámaras de seguridad domésticas» proporcionan al fabricante una copia no encriptada de todo lo que ven. ¡Deberían llamarse «cámaras de inseguridad doméstica»!

    Cuando Consumer Reports las sometió a examen, sugirió que los fabricantes prometieran no mirar el contenido de los vídeos. Eso no es seguridad para su hogar. Seguridad significa asegurarse de que no tienen acceso a lo que ve su cámara.

  • 2016-03

    Más de setenta cámaras de vigilancia conectadas a la red tienen fallos de seguridad que permiten que cualquiera pueda mirar a través de ellas.

  • 2015-11

    La cámara «inteligente» Nest Cam observa siempre, incluso cuando el «propietario» la apaga.

    Dispositivo «inteligente» significa que el fabricante lo utiliza para ser más astuto que usted.

Juguetes

(#SpywareInToys)

Drones

(#SpywareInDrones)
  • 2017-08

    Cuando usted usa un drone DJI para espiar a la gente, en muchos casos el DJI lo espía a usted.

Otros aparatos

(#SpywareAtHome)
  • 2020-09

    Muchos empresarios están utilizando software privativo, incluido software de videoconferencia, para vigilar y monitorizar el trabajo de los empleados en casa. Si el programa informa de si la persona está «activa», esa es en efecto una característica maliciosa de vigilancia.

  • 2020-08

    Google Nest está tomando el control de la empresa de sistemas de seguridad ADT. Google, utilizando una puerta trasera, envió a sus altavoces una actualización de software que les permite escuchar cosas tales como la alarma de incendios para luego avisarle al usuario en caso de que suene la alarma. Esto significa que esos dispositivos están a la escucha no solo cuando reciben la señal para que lo hagan. Google dice que esa actualización se envió prematuramente, por accidente, y que la compañía se proponía comunicar esta nueva característica y ofrecérsela a sus clientes como servicio de pago.

  • 2020-06

    El «bossware» es software malicioso que los jefes obligan a los trabajadores a instalar en sus ordenadores, de manera que puedan espiarlos.

    Esto demuestra por qué requerir el «consentimiento» del usuario no es una medida adecuada para proteger la privacidad digital. El jefe puede obligar a los trabajadores a dar su consentimiento a casi todo, incluso a la probable exposición a una enfermedad contagiosa que pueda ser fatal. El software de este tipo debería ser ilegal y los jefes que lo impusieran deberían ser procesados por ello.

  • 2019-11

    El Amazon Ring, que está subordinado a un servidor, tiene una vulnerabilidad que permite a los atacantes acceder a la contraseña de la wifi del usuario y espiar en la casa a través de los dispositivos de vigilancia conectados a la red.

    Conocer la contraseña de la wifi no sería suficiente para llevar a cabo ninguna vigilancia significativa si los dispositivos dispusieran de medidas de seguridad adecuadas, incluido el cifrado. Pero muchos dispositivos con software privativo carecen de ello. Por supuesto, también sus fabricantes los utilizan para espiar.

  • 2019-07

    El «Asistente» de Google graba las conversaciones de los usuarios incluso cuando se supone que no está a la escucha. Así, cuando un subcontratista de Google divulgó un millar de grabaciones vocales confidenciales, a partir de ellas se pudo identificar fácilmente a los usuarios.

    Puesto que el «Asistente» de Google utiliza software privativo, no hay modo de saber o controlar lo que graba o transmite.

    En lugar de tratar de mejorar el control del uso de las grabaciones, lo que Google debe hacer es no grabar ni escuchar la voz de la gente. Solo debería captar las órdenes que el usuario quiere dar a algún servicio de Google.

  • 2019-05

    Amazon Alexa recoge de los usuarios mucha más información de la necesaria para su correcto funcionamiento (hora, localización, grabaciones realizadas sin una orden explícita), y la envía a los servidores de Amazon, que la guardan indefinidamente. Aún más, Amazon la reenvía a otras compañías. De este modo, aun cuando los usuarios soliciten que se borren sus datos de los servidores de Amazon, esos datos permanecerán en otros servidores, quedando así al alcance de compañías publicitarias y agencias gubernamentales. En otras palabras, borrar la información recopilada no deshace el daño causado al recopilarla.

    Los datos recopilados por dispositivos como el termostato Nest, el sistema de iluminación Philips Hue, el controlador para puertas de garaje Chamberlain MyQ y los altavoces Sonos se guardan también más tiempo del necesario en los servidores a los que tales dispositivos están conectados. Más aún, esos datos quedan a disposición de Alexa. En consecuencia, Amazon tiene una precisa imagen de la vida del usuario en su hogar, no solo en el presente, sino también en el pasado (y, quién sabe si también en el futuro).

  • 2019-04

    Algunas de las órdenes del usuario al servicio Alexa son grabadas para que los empleados de Amazon las escuchen. Los asistentes vocales de Google y Apple hacen cosas similares.

    Una parte del personal encargado de Alexa tiene acceso incluso a la localización y otros datos personales.

    Dado que el programa cliente no es libre, y que el procesamiento de los datos se hace «en la nube» (una expresión tranquilizadora que significa: «No te diremos cómo ni dónde se hace»), los usuarios no tienen forma de saber qué sucede con las grabaciones a menos que algún empleado rompa sus acuerdos de no divulgación.

  • 2019-02

    Los cartuchos de HP «por suscripción» tienen un DRM que se comunica constantemente con los servidores de HP para asegurarse de que el usuario esté al día en el pago de la suscripción y no haya imprimido más páginas de aquellas por las que ha pagado.

    Si bien con el programa de suscripción la tinta puede resultar más barata en algunos casos, se espía a los usuarios, y conlleva restricciones totalmente inaceptables en el uso de cartuchos de tinta que normalmente podrían seguir utilizándose.

  • 2018-08

    Unos crackers encontraron la manera de sortear las medidas de seguridad de un dispositivo de Amazon y convertirlo en un dispositivo de escucha a su servicio.

    Les costó mucho hacerlo. A Amazon eso le resultaría mucho más sencillo. Y si algún Gobierno, como China o EE. UU., le dijera a Amazon que lo hiciera, o que dejara de vender ese dispositivo en el país, ¿creen que Amazon tendría la suficiente integridad moral para negarse?

    (Estos crackers son probablemente también hackers, pero por favor no utilice la palabra «hackear» para referirse a «sortear medidas de seguridad».)

  • 2018-04

    Una empresa de seguros médicos ofrece gratuitamente cepillos de dientes electrónicos que espían a los usuarios enviando datos de uso por Internet.

  • 2017-06

    Muchos productos «inteligentes» están diseñados para escuchar a todas las personas de la casa todo el tiempo.

    El estado actual de la tecnología no ofrece ningún medio para hacer un dispositivo que pueda obedecer órdenes vocales sin la posibilidad de espiar al usuario. Aun si estuviese provisto de aislamiento (air-gapped), podría guardar los registros acerca del usuario para examinarlos después.

  • 2014-07

    Los termómetros Nest envían multitud de datos sobre el usuario.

  • 2013-10

    Unos ordenadores de alquiler con opción a compra fueron programados para espiar a quienes los alquilaban.

Indumentaria

(#SpywareOnWearables)
Relojes «inteligentes»

Vehículos

(#SpywareInVehicles)
  • 2021-05

    Ford prevé mostrar anuncios en el vehículo a los conductores, con la posibilidad de que el propietario pague adicionalmente para desactivarlos. Probablemente el sistema incluye también la vigilancia de los conductores.

  • 2020-08

    Los nuevos Toyota transmitirán datos a AWSpara contribuir a crear bonificaciones personalizadas en el seguro basadas en los hábitos de conducción del cliente.

    Antes de comprar un coche «conectado», asegúrese de que puede desconectar su antena celular y la del GPS. Si quiere utilizar el GPS, consiga un dispositivo aparte que funcione con software libre y utilice Open Street Map.

  • 2019-12

    Ahora la mayor parte de los coches registran y envían al fabricante diversos tipos de datos. Para el usuario, acceder a esos datos es casi imposible, ya que para ello es preciso introducirse en el ordenador del vehículo, que está siempre oculto y funciona con software privativo.

  • 2019-03

    Los vehículos Tesla recopilan multitud de datos personales, y cuando van al desguace, los datos personales del conductor van con ellos.

  • 2019-02

    El sistema FordPass Connect de algunos vehículos Ford tiene acceso casi total a la red interna del vehículo. Está conectado permanentemente a la red del teléfono celular y envía multitud de datos a Ford, incluida la ubicación del vehículo. Funciona incluso cuando se ha retirado la llave de contacto, y los usuarios señalan que no lo pueden inhabilitar.

    Si posee un vehículo de este tipo, ¿ha conseguido interrumpir la conexión desconectando el módem del celular o envolviendo la antena con papel de aluminio?

  • 2018-11

    En China, es obligatorio que los coches eléctricos estén equipados con un terminal que transfiere datos técnicos, incluida la localización del vehículo, a una plataforma gestionada por el Gobierno. En la práctica, los fabricantes recopilan estos datos para su propio espionaje, y luego los remiten a la plataforma gubernamental.

  • 2018-10

    GM rastreaba los programas de radio sintonizados en los vehículos «conectados», minuto a minuto.

    GM no pidió consentimiento a los usuarios, pero podría haberlo obtenido fácilmente introduciéndolo furtivamente en el contrato que firman los usuarios para suscribirse a un servicio digital u otro. El requisito de consentimiento no constituye una protección efectiva.

    Los coches pueden recopilar multitud de datos diferentes: pueden escuchar, observar, seguir los movimientos o rastrear los móviles de los pasajeros. Toda recopilación de tales datos debe prohibirse.

    Pero si queremos estar verdaderamente a salvo, debemos asegurarnos de que el equipo del vehículo no puede recopilar ninguno de esos datos, o de que el software es libre, de modo que sepamos que no recopila esos datos.

  • 2017-11

    Las aplicaciones de asistencia a la conducción de vehículos mediante inteligencia artificial rastrean todos sus movimientos.

  • 2016-07

    Los automóviles computarizados con software privativo son dispositivos espías.

  • 2016-02

    El Nissan Leaf contiene un módem integrado de teléfono móvil que permite a cualquiera acceder a distancia al ordenador del coche y hacer modificaciones en la configuración.

    Es fácil hacerlo porque el sistema no requiere autenticación cuando se accede a través del módem. Pero aunque fuese necesaria la autenticación, no se puede confiar en que Nissan no tenga acceso. El software del coche es privativo, lo que significa que a los usuarios se les pide que confíen ciegamente en él.

    Aun en el caso de que nadie se conecte al coche de forma remota, el módem del móvil hace que la compañía telefónica pueda rastrear los movimientos del coche en todo momento; no obstante, es posible quitar físicamente el módem del móvil.

  • 2013-06

    Los automóviles Tesla permiten que la compañía extraiga datos de manera remota para determinar la ubicación del vehículo en cualquier momento (véase la Sección 2, párrafos b y c de la declaración de privacidad). La compañía afirma que no guarda esa información, pero si el Estado le ordena obtener los datos y entregarlos, el Estado los puede guardar.

  • 2013-03

    El software privativo de los automóviles recoge información sobre los movimientos del usuario, información que está disponible para los fabricantes y las compañías de seguros, entre otros.

    El caso de los sistemas para el cobro del peaje que se menciona en ese artículo en realidad no es una cuestión de vigilancia en el software privativo. Esos sistemas constituyen una intolerable invasión de la privacidad y deben ser reemplazados por sistemas de pago anónimo, pero la invasión no se hace mediante malware. En los otros casos que allí se mencionan sí se hace mediante malware presente en el automóvil.

Realidad virtual

(#SpywareInVR)

Código espía en la web

(#SpywareOnTheWeb)

Además, muchas páginas web espían a los visitantes. Los sitios web no son programas, por lo que no tiene sentido llamarlos «libres» o «privativos», pero de todos modos la vigilancia es un abuso.

JavaScript

(#SpywareInJavaScript)

Flash

(#SpywareInFlash)

Chrome

(#SpywareInChrome)
  • 2021-09

    Chrome, el navegador privativo de Google , incluye ahora una API para detectar la inactividad que permite a los sitios web pedir a Chrome que les informe cuando un usuario permanece inactivo con una página web abierta.

  • 2019-06

    Google Chrome es un instrumento de vigilancia. Permite que miles de rastreadores invadan los ordenadores de los usuarios e informen de las páginas que visitan a empresas de publicidad y de datos, y en primer lugar a Google. Es más, si los usuarios tienen cuenta en Gmail, Chrome los conecta automáticamente a ella para mejorar la elaboración de su perfil. En Android, Chrome informa también a Google de su localización.

    El mejor modo de evitar la vigilancia es cambiarse a IceCat, una versión modificada de Firefox con algunos cambios para proteger la privacidad de los usuarios.

  • 2017-04

    Los Chromebooks económicos para escuelas recopilan muchos más datos de los estudiantes que los necesarios, y los almacenan indefinidamente. Padres y estudiantes se quejan de la falta de transparencia por parte de los servicios educativos y las escuelas, de la dificultad de renunciar a esos servicios y de la falta de políticas de privacidad apropiadas, entre otras cosas.

    Pero quejarse no es suficiente. Padres, estudiantes y profesorado han de darse cuenta de que el software que Google utiliza para espiar al alumnado no es libre, de modo que no pueden comprobar qué hace realmente. La única solución es persuadir al equipo directivo de la escuela de que utilice exclusivamente software libre tanto en las aulas como para sus tareas administrativas. Si la escuela se gestiona de forma independiente, los padres y el profesorado pueden exigir a sus representantes en el Consejo escolar que rechacen el presupuesto a menos que la escuela ponga en marcha la transición al software libre. Si la gestión es de ámbito nacional, tendrán que persuadir a los legisladores (p. ej., a través de organizaciones de software libre, partidos políticos, etc.) de que los centros educativos públicos migren al software libre.

  • 2015-07

    Google Chrome facilita que las extensiones fisgoneen la navegación del usuario, y muchas así lo hacen.

  • 2015-06

    Google Chrome incluye un módulo que activa el micrófono y transmite el audio a sus servidores.

  • 2013-08

    Google Chrome espía el historial de navegación, las afiliaciones, y otro software instalado.

  • 2008-09

    Google Chrome contiene un registrador de teclas que envía a Google, tecla por tecla, todas las URL escritas en el teclado.

Código espía en las redes

(#SpywareInNetworks)
Notas de traducción

[1] Narendra Modi, candidata a las elecciones presidenciales en India.