Qué hacer ante un ransomware, uso de datos biométricos en TikTok y Amazon Sidewalk: llega el 53º consultorio de Maldita Tecnología.

¡Hola, malditas y malditos! Llega otro martes y con él una nueva entrega del consultorio tecnológico: la mejor herramienta para solucionar tus dudas sobre el mundo digital que te rodea. Hoy hablamos sobre los datos biométricos que recoge TikTok, sobre la nueva función de Amazon para compartir conexión con nuestros vecinos y también damos algunas pautas para saber qué hacer si somos víctimas de un virus informático como el ransomware.

Ya sabéis que cada semana respondemos a las preguntas que nos mandáis, así que hacednos llegar todas las que queráis a nuestro Twitter o a Facebook o si no a través de este sencillo formulario. ¡Vamos allá!

¿Es cierto que TikTok ha cambiado su política de privacidad y ahora puede registrar mis datos biométricos? 

En los últimos días se han publicado algunos contenidos que afirman que TikTok ha cambiado su Política de Privacidad para autorizar la recogida de datos biométricos. Esto es, datos que permiten identificarnos solo a nosotros: nuestros rasgos faciales, nuestra huella dactilar, etc. De ahí que nos hayáis preguntado si es cierto y qué pueden hacer con este tipo de datos. La realidad es que sólo ha cambiado la política para usuarios estadounidenses y la política europea no hace referencia al uso de datos biométricos. En el caso de EEUU, se plantea la recogida de estos datos con el consentimiento de los usuarios.

¿Por qué hay dos políticas de privacidad diferentes? TikTok y muchas otras plataformas tienen políticas diferentes según donde residan sus usuarios porque no todos los países y regiones tienen la misma legislación de protección de datos. En Europa se aplica el Reglamento General de Protección de Datos (RGPD), una normativa bastante estricta que no afecta a usuarios de otros países. Por eso, el tratamiento que hace TikTok de nuestros datos no es el mismo para un usuario que vive en Grecia que uno que vive en el estado de Montana, en Estados Unidos. 

Es más, TikTok tiene hasta tres políticas diferentes: una para usuarios europeos, incluidos los residentes en Suiza y Reino Unido, otra para usuarios estadounidenses y otra para todos aquellos que no vivan en ninguna de esas regiones o paísesLas que han cambiado recientemente —el pasado 2 de junio— son las dos últimas y es en la política estadounidense donde ahora se menciona el uso de datos biométricos.

Este tipo de información entra en el conjunto de datos que recoge TikTok “de forma automática”, que así viene especificado en las políticas de privacidad. Es decir, datos que recoge la empresa sobre nuestra interacción con la aplicación, independientemente de que nosotros proporcionemos más o menos contenido o datos. Mucha de esa información registrada es la misma para todos los usuarios

¿Por ejemplo? En este apartado se incluyen datos de nuestra ubicación (más exacta si tenemos el GPS activado o menos si tiene que inferirla por nuestra dirección IP), de nuestro dispositivo (nuestra zona horaria, el idioma que usamos, qué tipo de móvil tenemos, si nos conectamos por wifi o por datos móviles y otro tipo de indicadores para identificarnos si usamos móvil u ordenador, entre otras), y también se indica que se analizan y escanean los mensajes que mandamos en la plataforma.

Ahora, con la actualización de la Política de Privacidad estadounidense se ha incluido un apartado llamado “Información de audio e imagen”, en el que se hace referencia a los datos biométricos de los usuarios: “Podremos recoger identificadores biométricos e información biométrica tal y como lo definen las leyes de Estados Unidos, tales como rasgos faciales y registros vocales, de tu contenido. Cuando lo requiera la ley, te pediremos los permisos requeridos para hacer la recolección”. Podemos comprobar que en las copias de archivo previas a junio de 2021 no aparece este párrafo.

Aquí también se especifica que desde la compañía usan reconocimiento de imágenes para analizar los contenidos que subimos y lo que aparece en ellos: nuestras caras, nuestra ropa, lo que decimos, los audios que usamos (si es uno ya existente o es uno propio) o el sitio en el que estamos grabando el vídeo (ya sea nuestra casa o un parque). TikTok dice que lo hacen, entre otras cosas, para moderar los contenidos y retirar vídeos que no se ajusten a sus políticas.

Sin embargo y como hemos dicho antes, esta recogida de datos no se podría aplicar legalmente no debería aplicarse para usuarios europeos porque no está incluida en la Política de Privacidad europea. Además, según confirma TikTok a Maldita.es, no ha habido cambios en la política europea en los últimos meses.

Los datos biométricos están considerados en el RGPD como una categoría de datos sensibles en su artículo 9, que prohíbe su uso y el de datos sobre nuestro origen étnico, nuestras preferencias sexuales o políticas, nuestros datos de salud o nuestra religión, salvo en causas debidamente justificadas. Por ejemplo, que necesiten tratarse para cuestiones de salud pública en un contexto como el de la pandemia de COVID-19 o porque nosotros directamente hayamos autorizado su uso. Lo que significa que TikTok (o cualquier otra red social) no puede tratar estos datos en Europa como le plazca. 

En Estados Unidos, por otro lado, no existe una legislación sobre datos biométricos general, sino que cada estado tiene sus normas. Algunos, como Illinois, California o Nueva York ya han regulado el uso de este tipo de datos. En Illinois incluso han emprendido acciones legales contra TikTok por supuestamente tratar datos biométricos de los usuarios y no especificarlo en su Política de Privacidad, en contra de lo que demanda su normativa

¿Qué pasos debo seguir si me piden un rescate por información robada a mi negocio?

Te levantas una mañana, vas hacia la oficina de tu pequeño negocio y, al encender el ordenador, descubres que no tienes acceso a la información más básica de la empresa y que en su lugar hay un documento de texto que te pide un rescate para recuperarla. Se trata de un ataque ransomware y aunque lo más habitual es que los objetivos de los ciberdelincuentes sean grandes empresas y administraciones (simplemente porque tienen capacidad para pagar más), cualquier persona o negocio podría convertirse en víctima. ¿Qué pasos hay que seguir si ocurre? ¿Se puede mejorar la seguridad de manera preventiva para no verme envuelto en este tipo de chantajes?

El primer paso a seguir ante un ataque ransomware es no pagar nunca el rescate. Nuestra maldita Mar Arribas, especializada en ingeniería informática y ciberseguridad, nos presta sus superpoderes para explicarnos que transferir el dinero “anima a estos criminales a seguir ejerciendo y no tenemos garantía de que tras pagar recuperemos la información”. Generalmente suelen pedirse bitcoins porque son más difíciles de rastrear.

A modo de ejemplo, Arribas añade que en uno de sus anteriores empleos la empresa fue víctima de uno de estos ataques y el responsable tomó la decisión de pagar a los ciberdelincuentes, que nunca llegaron a devolver la información encriptada

Desde el Instituto Nacional de Ciberseguridad (INCIBE) también desaconsejan pagar cualquier tipo de rescate. Según afirman a Maldita.es, transferir dinero a los delincuentes “no garantiza que la clave de descifrado que nos proporcionen vaya a funcionar o incluso que nos la vayan a entregar. También al pagar el rescate es posible que seas objetivo de ataques posteriores, ya que saben que estás dispuesto a pagar”.

Ejemplo de nota (en inglés) recibida tras un ataque ransomware. En este caso se trata de Ryuk, el virus que paralizó el SEPE el pasado marzo. Fuente: https://sensorstechforum.com/es/remove-ryuk-ransomware-ryk-extension/

El primer paso es llamar a la Policía Nacional y al 017 para notificar el ataque. Este último número es el de emergencias relacionadas con ciberseguridad, atendido por los expertos del INCIBE, y podrán ayudarte tanto para este caso como para cualquier otro relacionado con estafas y ataques online.

Una vez hecho esto, desde el INCIBE recomiendan aislar los dispositivos infectados para evitar que el ransomware “se propague por el resto de la red y, en caso de sospecha, hacer lo mismo con el resto de equipos, incluso apagarlos”.

Después de evitar que el virus se extienda, hay que clonar el disco duro infectado para mantener por un lado el dispositivo original y, por otro, intentar recuperar los datos desde la nueva unidad clonada. “Si no existiera solución a día de hoy, es posible que en el futuro sí la haya, por lo que podrías llegar a recuperar tus ficheros. Si fuera posible, recoge y aísla muestras de ficheros cifrados, así como la nota de rescate”, añaden desde el instituto.

Una vez iniciado el proceso de recuperación, surgen otras dudas. ¿Y sí entre la información secuestrada hay datos importantes de clientes? ¿Hay que avisarles? Para resolver esta duda hablamos con la Agencia Española de Protección de Datos (AEPD) desde donde recomiendan, lo primero de todo, realizar una autoevaluación sobre la gravedad de esta brecha de seguridad.

En esta autoevaluación debemos tener en cuenta qué tipo de datos se han visto afectados, el número de personas y registros alcanzados, la capacidad que tenemos para reestablecer estos datos y el riesgo real de que se pueda identificar a los clientes tras el robo de información.

Además, según el artículo 33 del Reglamento General de Protección de Datos, tienes la obligación de notificar el ciberataque a la AEPD y a los propios afectados “cuando sea probable que la brecha constituya un riesgo para los derechos y libertades de las personas”. Todo ello en un plazo máximo de 72 horas.

Una vez revisado todo el protocolo de actuación, es importante recordar que para evitar este tipo de situaciones vale más prevenir que curar. Sobre todo teniendo en cuenta que el impacto de los ataques ransomware puede minimizarse si se mantiene una rutina de guardado y copia periódica de todos nuestros datos (si hay una filtración en el caso que hemos comentado un poco más arriba habría que notificarla igualmente).

Mar Arribas nos pone un ejemplo muy gráfico: el de la pandemia. “No pensemos en qué hacer si nos contagiamos, sino en cómo evitarlo o minimizarlo de antemano. Es muy fácil hacer que un ataque de ransomware sea inútil: tan solo necesitamos hacer copias de seguridad periódicas y almacenarlas offline”, afirma.

Para una pequeña empresa, sería muy útil contar con un disco duro o un lápiz de memoria en el que podamos volcar toda la información sensible al final del día de trabajo. Así, en caso de ataque, ya sabríamos que esta información no se va a perder de manera irremediable. 

“La política de copias de seguridad recomendada para pequeñas empresas y usuarios en general es la siguiente: debemos tener tres copias de nuestros datos (incluyendo la copia con la que trabajamos) en al menos dos sitios distintos de los cuales al menos uno esté en una ubicación remota. Es más fácil de lo que parece: si por cada fichero tenemos una copia en un pendrive y en un sistema de almacenamiento en nube, ya cumpliríamos esta regla”, concluye Arribas.

Además, resulta clave estar alerta a los emails que nos llegan y poner mil ojos encima de los archivos adjuntos que vamos a abrir. Muchas veces este tipo de documentos son la puerta de entrada a los ciberdelincuentes en nuestras redes de trabajo. Y cuantas menos facilidades les demos, mejor.

Teniendo todo esto en mente, es importante ser conscientes de que un ataque con ransomware es en esencia un chantaje: o me pagas o no te doy la llave para que recuperes lo que te he robado. De ahí que muchas empresas opten por pagar para ver si así consiguen acceder a sus sistemas y evitar lo que consideran un mal mayor: que afecte a los datos de sus clientes, quedarse sin servicio, dañar su reputación, etc. Por eso la prevención es un arma mucho más eficaz que tratar de buscar una solución una vez ha ocurrido el ataque y no haya realmente un consenso sobre cómo arreglarlo más allá de no pagar a los ciberdelincuentes.

¿Qué significa que Alexa o las cámaras Ring de Amazon vayan a poder compartir conexión con las de mi vecino? 

Quizás más de uno hayáis visto que Amazon anunció una nueva función para sus dispositivos Echo y Alexa y los sistemas de cámaras Ring, de modo que pudieran compartir su conexión a internet con otros dispositivos cercanos. Por ejemplo, los de nuestros vecinos, y así mejorar la conectividad de todos ellos. Bien, ¿de qué va esto? ¿Es algo así como para compartir wifi por doquier o tiene más intríngulis la cosa?

Amazon lleva anunciando esta función desde 2019, llamada Sidewalk, pero lo primero que tienes que saber es que de momento solo está disponible en Estados Unidos. Es decir, que si lees esto desde otro país, aunque tengas un dispositivo Echo de última generación en casa o una cámara de seguridad Ring no se va a conectar automáticamente a esta nueva red.

Vale, ¿y en qué consiste? Básicamente, en crear una red de dispositivos conectados a corta distancia que amplifica la conexión a internet de aquellos que tienen menos señal y, por tanto, más dificultad para mantenerse conectados. La idea de Amazon es que esta red sirva para poder conectar ciertos dispositivos incluso si no tienes una conexión clara a una señal wifi (ya sea buena o mala), sino que puedas aprovechar la de los demás.

Así, si tienes un altavoz inteligente de Amazon conectado a la red wifi de tu casa y también tienes activado Sidewalk, este aprovechará un poquito de esa señal y buscará a dispositivos cercanos para pásarsela. ¿Cómo lo hace? Usando diferentes frecuencias para “enviar” esa señal y buscando dispositivos por medio del Bluetooth. Si la palabra “frecuencia” para hablar de una señal inalámbrica te suena a chino, te dejamos un artículo en el que explicamos en detalle qué son. Que use Bluetooth para la comunicación entre dispositivos es la razón por la que esta red funciona con aquellos que están cerca. 

No todos los dispositivos de Amazon podrán conectarse a esta red. La compañía ha recogido una lista de los que por el momento pueden actuar como “puentes” de esta conexión y casi todos los productos que la componen son los altavoces inteligentes Echo (donde escuchamos a Alexa) y las cámaras de seguridad Ring de las últimas generaciones. Solo se incluyen tres modelos de cámara Ring de 2019.

¿Cómo encaja este amplificador de conexión con los contratos que tienen los usuarios con las operadoras de telefonía? Todavía no se sabe cómo afectará a este punto concreto, porque en parte depende del contrato que los usuarios hayan firmado con su proveedor de internet y si este incluye mención a compartir la conexión. Amazon asegura que los dispositivos conectados a esta red pueden llegar a compartir un total de 500 MB al mes, que es el equivalente a pasarte un cuarto de hora por la Maldita Twitchería, por ejemplo.

¿Para qué sirve todo esto? Varios medios estadounidenses que han analizado esta función alertan de que Amazon quiere crear su propia red de dispositivos conectadosel llamado ‘Internet de las cosas’, y esta es una manera de lograrlo aprovechando la cantidad de productos que ha vendido. En 2019, el medio especializado The Verge ya anunciaba que se habían vendido 100 millones de dispositivos Alexa.

Por ejemplo, Amazon vende la función Sidewalk como una solución para “encontrar mascotas perdidas” y “ayudarse entre vecinos”. ¿Cómo? Usando otro dispositivo de rastreo que podrá seguir teniendo conexión si está conectado a Sidewalk porque se comunicará con dispositivos cercanos que revelen más o menos su ubicación. Y eso podrías pedírselo a tu Alexa. En teoría, a esos datos (aunque aproximados) de localización no accederá nadie salvo tú, según Amazon. 

Diversos grupos que trabajan en defensa de la privacidad de los usuarios, como la Fundación Mozilla o la Electronic Frontier Foundation (EFF) aseguran que extender una conexión entre dispositivos presenta el riesgo de que esta pueda ser interceptada, a pesar de que Amazon asegure haber instaurado protocolos de seguridad complementarios para Sidewalk al añadir más capas de cifrado para los datos que se compartirán de dispositivo a dispositivo. 

Eso y que los asistentes inteligentes ya han sido vulnerados antes, igual que las cámaras Ring de seguridad, que fueron hackeadas por ciberdelincuentes que tenían acceso a las imágenes que grababa el dispositivo. Además, denuncian el hecho de que Amazon active por defecto esta función y no dé antes a los usuarios la opción de no participar.

Enrique Dans, profesor de Innovación en el IE Business School, recuerda en este artículo sobre el tema en Medium que “la mayoría de las personas nunca cambian los ajustes que ya vienen por defecto configurados en sus dispositivos y tampoco leen noticias relacionadas con estos temas, de modo que implementar la red de Amazon Sidewalk en Estados Unidos será un éxito”.Por casualidad, ¿vives en Estados Unidos y te gustaría cambiar ese hecho? Puedes desconectar tus dispositivos de la red de Sidewalk desde la app de Alexa (si es para un altavoz inteligente) o la de Ring (en el caso de las cámaras de seguridad). En el primer caso, ve al menú con las tres rayitas llamado “Más” y ahí entra en “Configuración”. Una vez dentro, ve a “Configuración de la cuenta” > “Amazon Sidewalk” > “Desconectar”. Para Ring, presiona las tres rayitas en la esquina superior izquierda, ve a “Centro de Control” > “Sidewalk”, desconecta la opción y confirma la acción.

¡Un segundito más!

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:https://docs.google.com/forms/d/e/1FAIpQLSdJ2H2AkVULPnU2s0wlXCBNRvvrIvH5GLLgVppcGlUbywKdXA/viewform?embedded=true

En este artículo ha colaborado con sus superpoderes la maldita Mar Arribas.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Mándanos tus preguntas`ENVIARTU KIT DE PRIVACIDADServicios alternativos para tu día a día digitalCanal de TelegramHazte maldito, Hazte malditaÚnete y apóyanos en nuestra batalla contra la mentiraUsa tus superpoderes y ayúdanos en esta batalla contra la mentira

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *