Dígits i Andròmines

Les fuites de dades personals, sense aturador

Meta disposa d'un codi ocult que li permet captar informació sensible dels ciutadans dels Estats Units que fan la seva declaració de la renda amb aplicacions externes

Com ens podem protegir  dels ciberatacs en temps  de coronavirus
25/11/2022
4 min

BarcelonaLa ciberseguretat és un dels punts febles de la digitalització. No hi ha setmana que no tinguem coneixement d’algun ciberatac a empreses, organismes públics o entitats que ha resultat en l’extracció fraudulenta de dades personals de clients o ciutadans en general. Aquí encara tenim fresca la intrusió als sistemes del Consorci Sanitari Integral que gestiona diversos hospitals i centres d’atenció primària de Barcelona i el Baix Llobregat, arran del qual ja circula pels racons foscos d’internet un enorme volum d’informació confidencial del personal i dels pacients. Encara més recent, un ciberatac a la xarxa del Consell General del Poder Judicial que connecta els jutjats amb altres organismes de l’Estat va permetre als ciberdelinqüents accedir als arxius de l’Agència Tributària i arreplegar dades fiscals de mig milió de contribuents, i a la Direcció General de la Policia per endur-se'n informació personal d’uns 50.000 agents.

Però, a més d’aquestes extraccions massives de dades, clarament delictives, cada minut se’n produeixen al món moltes més a escala individual, en alguns casos per mala fe amb finalitat comercial i en uns altres per simple deixadesa.

Una de les últimes que han sortit a la llum també té a veure amb les dades fiscals dels ciutadans, en aquest cas dels EUA, i a l'origen –quina sorpresa!– hi ha Meta, el complex xuclador de dades encapçalat per Mark Zuckerberg,

La web The Markup i la Fundació Mozilla han descobert que milions de contribuents dels EUA estan facilitant sense saber-ho la seva informació fiscal a Meta quan fan la declaració de la renda. Allà es presenten cada any 150 milions de declaracions per internet, però a diferència d’aquí, on l’Agencia Tributaria ens proporciona un esborrany a partir de les dades nostres que ja té, allà molta gent fa servir aplicacions i webs com TaxAct, TaxSlayer, Intuit i H&R Block per calcular i introduir els ingressos, les deduccions i més conceptes. Moltes d’aquestes plataformes comptables contenen un codi ocult, l’anomenat Pixel de Meta, que captura informació del contribuent com el nom, l’adreça de correu electrònic, la situació fiscal, els ingressos que declara, el valor de la devolució si n’hi ha i l’import de les beques d’estudis de les persones que depenen del titular.

El Pixel de Meta, present en moltes altres webs, és el que fa possible que els anuncis digitals et segueixin per les pàgines i aplicacions que vas visitant, depenent de les que has visitat abans. Però en aquest cas Meta obté unes dades que només haurien de tenir l’interessat i Hisenda i que podria fer servir per vendre als anunciants, posem per cas, campanyes adreçades a persones que declarin ingressos alts o bé que tinguin diners disponibles perquè acaben de rebre una devolució d’impostos substanciosa. Les plataformes afectades diuen que no en sabien res i que s’ho miraran, però Meta no ha fet cap comentari.

La privadesa d’Apple, qüestionada

El fabricant dels iPhones ha fet de les seves funcions de privadesa un argument comercial. Fa pocs anys va arribar a anunciar-se a Las Vegas durant la fira d’electrònica CES amb un enorme cartell assegurant que "el que passa al teu iPhone es queda al teu iPhone" i la funció App Tracking Transparency del sistema iOS obliga els creadors d’aplicacions a demanar explícitament a l’usuari permís per rastrejar-lo i que pocs concedim. Això ha tingut conseqüències devastadores en el negoci de les empreses basades en aquest rastreig, com l'esmentada Meta.

Tot i això, ara hem sabut d’una esquerda en el blindatge de privadesa de què Apple presumeix tant. L’empresa, com tots els altres fabricants de mòbils, recull contínuament dades sobre l’ús de cada iPhone per fer-ne el control de qualitat. Quan configures el telèfon per primera vegada et demana si vols proporcionar-li aquestes dades, tècnicament denominades de telemetria. T’hi pots negar, però la majoria dels usuaris ho acceptem perquè ens diuen la informació és anònima i no es pot vincular amb la teva identitat.

El problema és que en realitat no és tan anònima com Apple diu. Els investigadors de l’empresa de software Mysk han descobert que les dades que la majoria dels iPhones envien a Apple contenen un número permanent que es diu identificador de serveis de directori (DSID). I justament aquest DSID coincideix amb el que fa servir el compte d’Apple de l’usuari del telèfon, de manera que Apple podria relacionar el teu ús de l’iPhone (quines aplicacions tens, quanta estona les tens obertes, a qui truques o quins anuncis has vist) amb les dades que proporciones per donar-te d’alta als serveis d’Apple com iCloud i l’App Store (el teu nom complet, el teu número de telèfon, la teva data de naixement i la teva adreça de correu electrònic), neutralitzant així el suposat anonimat. Per ser justos amb Apple, és possible que quan rep les dades de cada iPhone n’esborri el DSID abans de processar-les de manera agregada. Però no ho sabem, perquè l’empresa no s’ha manifestat.

També als videojocs

Roblox és una plataforma de videojocs en xarxa on els usuaris poden crear els seus propis mons virtuals. Té 200 milions de jugadors cada mes, molts dels quals amb edats entre els 8 i els 13 anys. Segons Bleeping Computer, 200.000 d’aquests jugadors de Roblox, un de cada mil, tenen instal·lada al navegador web Chrome l’extensió maliciosa SearchBlox, que diu que serveix per trobar altres jugadors, però al mateix temps et roba les credencials d’accés a Roblox i les envia als ciberdelinqüents.

Amb les credencials no només poden suplantar-te en les partides del joc, sinó també robar-te els béns virtuals, com personatges, accessoris i equipament que has anat comprant a la botiga Rolimons amb diners que, aquests sí, són ben reals. Google, responsable del catàleg d’extensions per a Chrome, assegura que ja ha retirat SearchBlox de les descàrregues. Però les dades dels afectats ja són en poder dels ciberdelinqüents.

Com més digital és la nostra vida, més exposats estem a intrusions, extraccions de dades i altres incidents d’aquesta mena. Cal, per tant, reforçar les inversions en ciberseguretat i aplicar la prudència. Però també convindria informar millor els ciutadans: en la majoria dels casos de ciberatacs massius, les víctimes i les autoritats acostumen a despatxar l’afer amb un simple "el problema ja està resolt" i els mitjans ho reprodueixen de manera acrítica. Però això només vol dir que "en el millor dels casos no ens tornaran a enxampar pel mateix lloc", no que s’hagin pogut recuperar les dades robades, que continuen circulant. Els clients i els ciutadans haurien de ser-ne conscients.

stats