La semana pasada en Malwarebytes Labs, analizamos el problema de cumplimiento legal de stalkerware , anunciamos nuestra cooperación con otros proveedores de seguridad y grupos de defensa para lanzar Coalition Against Stalkerware , publicamos nuestra revisión de otoño de 2019 de kits de exploits , observamos cómo Deepfake en LinkedIn hace campañas de interferencia maligna , resumimos nuestro conocimiento sobre los problemas de seguridad y servicio de Disney + , explicamos el consumo de zumos , analizamos cómo un skimmer web roba datos de tarjetas de crédito a través de una plataforma de servicio de pago fraudulenta y, por último, analizamos las próximas facturas y pautas de IoT .

Otras noticias de ciberseguridad

• Los delincuentes cibernéticos que golpean a los gobiernos de ciudades y estados de los Estados Unidos con ransomware se han vuelto cada vez más populares en los últimos tiempos. Nuevamente, Louisiana ha sido atacado. (Fuente: TechSpot)
• National Veterinary Associates fue golpeado por un ataque de ransomware a fines del mes pasado que afectó a más de la mitad de esas propiedades. (Fuente: KrebsOnSecuirty)
• Después de que se venció un plazo para recibir un pago de rescate, el grupo detrás de Maze Ransomware ha publicado datos y archivos robados de la firma de personal de seguridad Allied Universal . (Fuente: BleepingComputer)
• Una falla de WhatsApp que podría permitir a los piratas informáticos robar mensajes de chat, imágenes e información privada de los usuarios al permitir que los usuarios descarguen un archivo de video que contiene código malicioso. (Fuente: The DailyMail UK)
• Está activa una campaña maliciosa que falsifica un correo electrónico de actualización urgente de Microsoft para infectar los sistemas de los usuarios con el ransomware Cyborg . (Fuente: TechRadar)
• Microsoft ha invertido $ 1 mil millones en la empresa de inteligencia artificial fundada por Elon Musk que planea imitar el cerebro humano usando computadoras. (Fuente: Reino Unido independiente)
• La filtración de datos única contiene información personal y social de 1.200 millones de personas que parecen originarse en 2 compañías de enriquecimiento de datos diferentes. (Fuente: DataViper)
• La sucursal estadounidense del gigante de telecomunicaciones T-Mobile reveló una violación de seguridad que, según la compañía, impactó a un pequeño número de clientes de su servicio prepago. (Fuente: SecurityAffairs)
• Un hacker ha publicado más de 2 TB de datos del Banco Nacional de Caimán . Esto incluye más de 640,000 correos electrónicos y los datos de más de 1400 clientes. (Fuente: HeadLeaks)
• Un brote de ransomware ha asediado una empresa de TI con sede en Wisconsin que proporciona alojamiento de datos en la nube, seguridad y gestión de acceso a más de 100 hogares de ancianos en todo Estados Unidos. (Fuente: KrebsOnSecuirty)

Deepfakes no han bastante perdido la capacidad de sorpresa, pero dada su saturación de los medios al por mayor en el último año más o menos, hay una sospecha de que en algunos sectores que pueden haber perdido el autobús. Cuando la gente lanza un falso Boris Johnson o Jeremy Corbyn en línea en estos días, la respuesta parece estar bastante dividida entre «Wow, eso es gracioso» y apenas divertido .

Es muy probable que se ría de las personas que piensan que los videos populares de Bosstown Dynamics, falsos de Boston Dynamics, son reales, pero eso es exactamente lo que los ciberdelincuentes confían y dónde puede estar el verdadero potencial malicioso de los falsos profundos.

¿Qué sucede cuando un perfil de LinkedIn perfectamente común presenta una imagen generada de una persona que no existe? Todos creen la mentira.

¿Está cayendo el cielo? Probablemente no.

Los dos mercados principales  acorralados por las falsificaciones profundas en el momento de la escritura son los clips de pornografía falsos y una creciente industria de efectos digitales, que son una imitación razonable de las películas de televisión de bajo presupuesto. En algunos casos, ha surgido un esfuerzo local y se ha solucionado un intento fallido de Hollywood en la magia CGI . De alguna manera, en una era de personas terribles que pagan falsos desnudos de cualquiera que elijan, y la posibilidad de travesuras políticas a menudo prometidas pero aún no materializadas, el punto crítico ético actual es si traer o no a James Dean de la muerte .

A pesar de esto, la combinación de política y tecnología continúa a un segundo plano. En este punto, es extremadamente improbable que veas algún tipo de gran evento mundial (o incluso varios pequeños pero significativos) que se vean afectados por clips falsos de líderes mundiales que hablan como locos: serán desacreditados casi al instante. Ese barco ha navegado. El hecho de que las falsificaciones profundas se volvieron prominentes principalmente a través de subreddits de pornografía y personas sentadas en su casa sugiere que les cayó a cualquiera a nivel de estado-nación.

Cuando se trata de deepfakes, personalmente he sido de la persuasión «Es malo, pero en términos de ingeniería social, es mucho trabajo por poca ganancia». Ciertamente no me suscribo al modelo del cielo está a punto de derrumbarse. Las peores áreas de deepfakery que tiendo a ver son donde se usa como base para impulsar las estafas de Bitcoin . Pero eso no significa que no hay potencial para peor.

LinkedIn, deepfakes y campañas de influencia maligna

Con esto en mente, me fascinó ver » El papel de los deepfakes en las campañas de influencia maligna » publicado por StratCom en noviembre, que se centró principalmente en la forma más reservada pero potencialmente devastadora de travesuras de deepfakes. No es falso Trump, no es fingir que Boris Johnson declara que los extraterrestres están invadiendo; Es una interferencia de nivel de ruido de fondo diseñada para funcionar silenciosamente en una cadena de mando.

Me sorprendió especialmente el comentario de que las evaluaciones «pesimistas» de los expertos habían dado paso a un enfoque más moderado y escéptico. En otras palabras, a medida que los especialistas en marketing de momento, los fanáticos de los efectos visuales de YouTube y otros trataban de alejar la tecnología falsa de los impulsores de la pornografía, se volvió algo insostenible hacer falsificaciones grandes y llamativas con intenciones siniestras. En cambio, la batalla se libró detrás de escena.

Y ahí es donde Katie Jones se acercó al plato.

Quien es Katie Jones?

En el gran esquema de las cosas, nadie. Otra cuenta falsa en una ola interminable de cuentas falsas que se extiende a través de años de clones de Facebook y «sesiones de horneado» de trolls de Myspace, donde cientos de personas saldrían por la puerta sobre la marcha. La única diferencia clave es que la foto de perfil de Katie en LinkedIn era una obra de ficción generada por computadora.

Las personas a las que «Katie» se había conectado eran un poco inconsistentes, pero incluían a un montón de personas que trabajaban en y alrededor del gobierno, las políticas, la academia y … eh … una empresa de congeladores frigoríficos. No es un mal Rolodex para el espionaje internacional.

Nadie admitió haber hablado con Katie, aunque esto plantea la pregunta de si alguien que se enamoró de la artimaña levantaría la mano después del evento.

Si bien podemos especular sobre por qué se creó el perfil: campaña de ingeniería social, prueba de espionaje de estado-nación (rápidamente abandonado una vez descubierto, similar a muchas estafas de malware), o incluso algún tipo de broma práctica, lo que realmente me divierte es el posibilidad de que alguien haya seleccionado al azar una cara de un sitio como este y no tuviera idea del caos que seguiría.

Entrevista con un detective falso

De cualquier manera, aquí viene Munira Mustaffa, la analista de contrainteligencia que descubrió por primera vez la sensación de falsedad profunda de LinkedIn conocida como Katie. Mustafa se tomó un tiempo para explicarme cómo se desarrollaron las cosas:

Un contacto mío, un conocido experto británico en defensa y ejército de Rusia, sospechó inmediatamente de un intento de conexión con LinkedIn. Él escaneó su perfil, e hizo una búsqueda inversa en su foto de perfil, que arrojó cero resultados. Se volvió hacia mí para pedirme que la mirara, y yo tampoco encontré nada.

Esto es inusual para alguien que dice ser becario de Rusia y Eurasia para una organización como el Centro de Estudios Estratégicos e Internacionales (CSIS), porque es de esperar que alguien en su papel tenga al menos un historial de publicaciones. El mundo de la seguridad es pequeño para nosotros, especialmente si eres un experto en políticas trabajando en asuntos de Rusia. Los dos ya sabíamos que Katie Jones no existía, y esta sospecha se confirmó cuando verificó con CSIS.

Seguí volviendo a la foto. ¿Cómo podrías tener una foto como esa pero no tener ningún tipo de huella digital? Si hubiera sido robado de un recurso en línea, sería casi imposible. En este punto, comencé a notar las anormalidades: debes entender mi proceso de pensamiento como alguien que hace fotografías para un pasatiempo y usa mucho Photoshop.

Por un lado, había una mancha gaussiana en el lóbulo de la oreja. Inicialmente, pensé que se había retocado la oreja con Photoshop, pero eso no se verificó. ¿Por qué alguien Photoshop su lóbulo de la oreja? 

Una vez que comencé a notar las anomalías, fue como si todo de repente comenzara a encajar justo delante de mis ojos. Empecé a notar el halo alrededor de sus mechones de cabello. Cómo sus ojos no estaban alineados. Las extrañas estrías y el desenfoque. Luego había moldes y artefactos en el fondo. Para los observadores casuales, se verían como bokeh . Pero si tiene alguna experiencia haciendo fotografía, sabría instantáneamente que no eran bokeh.

Parecían tirados, como si alguien hubiera jugado con la herramienta Licuar en Photoshop, pero marcó el pincel al extremo. Inmediatamente me di cuenta de que lo que estaba mirando no era una foto de una mujer con Photoshop. De hecho, fue una combinación casi perfecta de una persona compuesta digitalmente y superpuesta a partir de diferentes elementos.

Ingresé a www.thispersondoesnotexist.com y comencé a generar mis propias falsificaciones. Después de examinar media docena más o menos, comencé a seleccionar patrones y anomalías, y volví a «Katie» para estudiarlo más a fondo. Todos estuvieron presentes.

¿Realmente importa?

De alguna manera, posiblemente no. El único beneficio real de utilizar una imagen de perfil falso es que las personas sospechosas no obtendrán un resultado en la búsqueda inversa de Google, TinEye o cualquier otro servicio similar. Pero cualquiera que haga eso por las conexiones de LinkedIn u otros puntos de contacto probablemente no estará derramando los granos sobre algo que no debería ser de todos modos.

Para todos los demás, el riesgo está ahí y es suficiente para que todo sea convincente. Siempre ha sido bastante fácil detectar a alguien usando fotografías de modelos de fotografía para fotos de perfil falsas. La amenaza de las instantáneas profundas proviene de su normalidad pura, completa y absoluta. Usar toda esa potencia de procesamiento y tecnología para tallar lo que esencialmente parece un ser humano no notable casi suena revolucionario en su mundanalidad.

Pero pregúntele a cualquier ingeniero social experimentado, y le dirán ventas mundanas. Creemos en la realidad que se nos presenta. Es más probable que ingreses a un edificio vestido como ingeniero, o llevando tres cajas y una taza de café, luego vestido como un payaso o con un abrigo de espía y gafas de novedad asombrosamente abiertas.

Descubriendo un falso

Una vez que pasa un poco de tiempo mirando a las personas falsas generadas en sitios como este, hay múltiples significantes reveladores de que la imagen ha sido construida digitalmente. Volvemos a Mustaffa:

Busque signos de manipulación en la foto comenzando con el fondo. Si parece ser algo neutral en apariencia, entonces es hora de buscar ruidos / perturbaciones extrañas como el pelo o los lóbulos de las orejas.

Decidí abrir  un sitio donde adivinas cuál de las dos caras es real y cuál es falsa. En mi primer lote de disparos, notarás el ruido / perturbación tan común con los disparos a la cabeza generados por IA: se asemeja al tipo de efecto de frotis de aspecto líquido que obtendrías en fotografías antiguas que no has desarrollado correctamente. Mira el cuello en la imagen de abajo:

En una nota similar, mire la deformación al lado de la línea del cabello del hombre generado por computadora:

Estos efectos también aparecen en fondos con bastante regularidad. Mira a la derecha de su oreja:

Los fondos son definitivamente una lucha para estas imágenes. Mire el extraño efecto peludo que corre por el borde de este árbol:

A veces, el técnico simplemente no puede manejar lo que está tratando de hacer correctamente, y terminas con … lo que se supone que es … a la derecha:

También son notables las líneas bien definidas en las caras alrededor de los ojos y las mejillas. No siempre es un regalo, pero es útil para observar junto con otros errores.

¿Recuerdas en los viejos tiempos cuando levantabas ciertos controles deslizantes en las herramientas de edición de imágenes como la nitidez al máximo y terminabas con efectos similares a los de este oído?

Los niños pequeños tienden a causar problemas, y también lo hacen cosas que involucran pliegues de piel, especialmente cuando se trata de hacer que una persona falsa se vea de cierta edad. Otra señal reveladora de que estás tratando con una falsificación son pequeños conjuntos de líneas verticales increíblemente rectas en o alrededor de las áreas de la mejilla o el cuello. Mientras tanto, aquí hay algunos pliegues de bebé completamente poco convincentes:

Hay casos extremos, pero en mi prueba no científica más reciente sobre Qué cara es real , pude adivinar correctamente no menos de 50 veces seguidas quién era real antes de aburrirme y rendirme. Una vez gané 50 juegos de Tekken seguidos en un bar de la universidad y déjame decirte que fue muchísimo más difícil. O soy una especie de maravilla imparable de detección de falsificaciones profundas, o realmente es bastante fácil detectarlos con un poco de práctica.

Eliminando a los falsificadores

Deepfakes, entonces, definitivamente están aquí para quedarse. Sospecho que continuarán causando la mayor cantidad de problemas en sus terrenos familiares: clips porno falsos de celebridades y clips pagados de no celebridades que también se pueden usar para amenazar / chantajear a las víctimas. Ocasionalmente, veremos a otro robot ingrávido que enciende a sus captores humanos y algunas personas caerán en él.

En otros lugares, en el terreno de los perfiles de redes conectadas, ocasionalmente nos encontraremos con perfiles falsos y luego nos corresponde a nosotros usar todo ese conocimiento de inteligencia de amenazas / OPSEC que hemos desarrollado para analizar el tipo de roles que esperaríamos ser. objetivo: gobierno, política, aplicación de la ley y similares.

No podemos deshacernos de ellos, y pronto llegará algo más para robar lo que queda del trueno, pero no debemos temerles. En cambio, para disminuir su impacto potencial, necesitamos entrenarnos para detectar lo ordinario de lo real.

La semana pasada en Malwarebytes Labs, ofrecimos estadísticas e información sobre un nuevo y astuto malware troyano para Android , inspeccionamos un grupo de estafas actuales de Facebook y explicamos la importancia de asegurar la infraestructura de alimentos y agricultura .

También publicamos nuestro último informe sobre tácticas y técnicas de cibercrimen , que ofrece una nueva telemetría sobre las numerosas amenazas de ciberseguridad que enfrenta la industria de la salud. Puedes leer el informe completo aquí .

Otras noticias de ciberseguridad

• Un banco europeo fue objeto de escrutinio por su práctica de cobrar a los usuarios una tarifa por cambiar las contraseñas de sus cuentas a través del servicio postal. Yikes (Fuente: placa base)
• Los investigadores de ciberseguridad encontraron 100,000 sitios web maliciosos haciéndose pasar por minoristas en línea legítimos , justo cuando aumentan las compras navideñas. (Fuente: Mensaje de amenaza)
• Las autoridades canadienses acusaron a un hombre de Toronto por supuestamente operar un esquema internacional de distribución de malware a través de su software desarrollado, Orcus RAT. (Fuente: Krebs sobre seguridad)
• Semanas antes de una elección nacional, el partido laborista del Reino Unido sufrió un ataque DDoS en los sitios web de su campaña . (Fuente: Lectura oscura)
• Investigadores de seguridad cibernética que fueron contratados explícitamente para evaluar la penetración en algunos juzgados del estado de Iowa fueron arrestados por hacer su trabajo . (Fuente: HackRead)
• Investigadores de Proofpoint descubrieron un nuevo actor de amenazas que usa el correo electrónico para hacerse pasar por varias agencias gubernamentales en los Estados Unidos, Alemania e Italia . (Fuente: Bleeping Computer)
• Activistas por los derechos digitales caminaron por las calles de Washington, DC, mientras estaban equipados con herramientas de vigilancia de reconocimiento facial en un esfuerzo por crear conciencia sobre la tecnología invasiva. (Fuente: placa base)
• La enorme cantidad de 93 millones de archivos de facturación para las tres instalaciones de adicción a las drogas y el alcohol de una compañía de California fueron expuestos en línea . (Fuente: Revista SC)

Recientemente destacamos nuevos pasos que Instagram está tomando para tratar de reprimir a los estafadores que envían mensajes falsos en su plataforma. Resulta que otros gigantes de las redes sociales están caminando por un camino similar para una variedad de anuncios falsos y otros ataques. Las estafas de Facebook en particular han despegado, a pesar de los esfuerzos de la compañía para eliminarlas.

Facebook ahora está extendiendo un despliegue de su herramienta de informes de anuncios falsos a Australia , después de que una variedad de celebridades australianas populares siguieran apareciendo en anuncios falsos. Los lectores habituales pueden recordar que la génesis de esta herramienta de informes es un incidente similar en el Reino Unido que involucra al popular experto en asesoramiento al consumidor Martin Lewis.

La herramienta de informes publicitarios de Facebook permitirá a los usuarios australianos marcar esquemas de inversión dudosos o pruebas de productos difíciles de cancelar, esto junto con las afirmaciones de la corporación de haber cerrado ya unos 2.200 millones de cuentas falsas en todo el mundo.

Si bien esta es una buena noticia para los usuarios de la plataforma de redes sociales, todavía hay una gran cantidad de anuncios malos actualmente en circulación fuera de estas ofertas y anuncios falsos. A continuación, lo guiaremos a través de algunas de las estafas más populares y actuales de Facebook, como los esfuerzos para secuestrar su cuenta de redes sociales, deslizar información personal y, por supuesto, separarlo de su dinero.

Campañas publicitarias rebeldes

Los estafadores comprometerán felizmente las cuentas de redes sociales y luego las usarán para comprar miles de dólares en espacio publicitario antes de que puedan cerrarse. En los ejemplos dados, una víctima solo tuvo que cerrar la campaña publicitaria porque su tarjeta de crédito venció; de lo contrario, temía haber sido golpeado por $ 10,000 en deuda de tarjeta de crédito. Otro tenía anuncios publicitarios por alrededor de $ 1,550 por día hasta que PayPal lo notificara. Irónicamente, una de las víctimas dirige un negocio centrado en anuncios con temas de privacidad.

Algunos de los anuncios falsos enumeran ciertos artículos a un precio barato para que parezca que tuvo que ser un error de precios de algún tipo. Esta es una táctica común que se remonta a muchos años, pero el giro aquí es que las páginas de destino contenían skimmers de tarjetas de crédito, por lo que cualquier persona que pagara una ganga tenía sus detalles de pago en su lugar.

Fakeouts de entradas para conciertos

Facebook es un lugar popular para algunos eventos sociales, especialmente en grupos dedicados y páginas de fans. Resulta que los mensajes falsos que anuncian boletos inexistentes también son, lamentablemente, bastante populares.

Así es como funciona: los estafadores de Facebook esperan a que se produzca un evento, cuanto más pequeño mejor volarán por debajo del radar. En este punto, cortan y pegan el mismo mensaje falso «Tengo entradas gratis pero no puedo» y esperan que lleguen las respuestas. Ellos enumerarán las razones típicas por las que no pueden ir: » Estoy fuera de la ciudad «,» Me someteré a una cirugía «o» hay una emergencia familiar «.

Si pasa suficiente tiempo cavando, probablemente verá la misma misiva de cortar y pegar publicada por varias cuentas supuestamente independientes. Una transferencia de dinero dudosa y rápida más tarde y se quedará sin dinero para comprar entradas. Hacer un seguimiento de las páginas del organizador del evento cuando busca entradas es imprescindible para asegurarse de no caer en la misma estafa.

Clones, estafas de subvenciones de mensajería y travesuras de lotería

El viejo problema de las cuentas «clonadas» vuelve a tener su fea cabeza . La clonación ocurre cuando un estafador no puede obtener el control de una cuenta genuina en las redes sociales, por lo que hace lo siguiente mejor: robar la foto, la biografía y cualquier otra información pertinente para replicar la cosa real. A partir de ahí, intentan hacer ingeniería social para llegar al saldo bancario de la víctima.

La parte más inteligente de estas estafas de Facebook es la clonación y el mapeo de contactos potenciales para intentar engañar. Después de eso, las tácticas vuelven a ser más mundanas. Los estafadores enviarán mensajes a los contactos con: «He estado en un accidente y necesito ayuda» o «Estoy en el extranjero y he perdido mi billetera» pidiendo ayuda. En este caso, «Una subvención está disponible» es una técnica común y bastante antigua. Las palabras clave actuales para activar las alarmas incluyen tarjetas de regalo, banco mundial y subvenciones. Si ves que alguno de esos se dejó caer de repente en una conversación, seguramente será una estafa.

En caso de duda, verifique que la persona que habla con usted esté realmente en su lista de amigos; los clones no lo estarán. Además, si es realmente tu amigo, eso no significa que el peligro haya pasado. Lo que realmente significa es que probablemente estaban comprometidos y no lo saben. En ambos casos, encuentre un medio alternativo para ponerse en contacto y verificar quién, qué, cuándo, dónde y por qué.

Las estafas de mensajería de lotería funcionan en líneas similares. Ellos afirman que has ganado un premio , pero una vez que haya contactado a un tercero para reclamar sus ganancias, encontrará lo que necesita para enviarlos dinero para una variedad de razones no del todo plausibles. A menudo, los perfiles que te dicen que has ganado imitarán a Mark Zuckerberg.

No te dejes engañar en Facebook

Volviendo a nuestro problema inicial falso de anuncios de Facebook, puede leer un poco más sobre cómo funcionan bajo el capó en BuzzFeed . Hemos cubierto muchas falsificaciones de Facebook a lo largo de los años, siendo la más reciente la ola de perfiles falsos de Ellen que impulsan los servicios de transmisión de películas.

La buena noticia es que la mayoría, si no todas, de estas estafas de Facebook se han hecho antes. Si no está seguro, una búsqueda rápida revelará ejemplos anteriores cubiertos en sitios de noticias, blogs de seguridad o publicaciones en foros.

Siempre tenga cuidado, recuerde la vieja rutina «si es demasiado bueno para ser verdad, probablemente lo sea», y manténgase libre de estafas en las redes sociales.

La semana pasada en Malwarebytes Labs, anunciamos el lanzamiento de Malwarebytes 4.0 , abordamos la legislación de privacidad de datos y exploramos algunas de las formas en que las llamadas automáticas vienen a buscar sus datos y su dinero . También presentamos los pasos involucrados en los ataques de compromiso de correo electrónico de proveedores populares .

Otras noticias de ciberseguridad

• Bonanza de recompensas de errores: Rockstar Games abre su programa de recompensas para incluir el recientemente lanzado Red Dead Redemption 2 para PC. (Fuente: The Daily Swig)
• El problema de las noticias falsas: un estudio muestra que son malas noticias para las personas que piensan que pueden evitar información falsa en los portales de redes sociales. (fuente: Ayuda Net Security)
• A juicio por hackear … ¿tú mismo? Una historia muy confusa que involucra a un juez, la computadora de su oficina y una lección aprendida en informática forense en el lugar de trabajo. (Fuente: The Register)
• ¿Quién está ahí? Una falla de seguridad: un timbre conectado a Internet causa dolores de cabeza a los propietarios . (Fuente: CyberScoop)
• Más anuncios falsos en Facebook: una vieja estafa vuelve a imitar a la BBC y engaña a los entusiastas clickers. (Fuente: Naked Security)
• Juegos de espionaje en redes sociales: un ex empleado de Twitter está acusado de espiar para Arabia Saudita. (Fuente: Reuters)
• El poder de las ciudades se apaga: Johannesburgo en funcionamiento después de un ciberataque . (Fuente: BusinessTech)
• Los ataques de sextortión siguen causando problemas: un nuevo informe afirma que estas estafas insidiosas todavía están causando dolor a las masas . (Fuente: noticias de Tricity)
• Infosec basado en el espacio: si se preguntaba cómo influye el espacio en la estrategia cibernética nacional de EE. UU., Este artículo probablemente será útil . (Fuente: Quinto Dominio)

La privacidad de los datos está de vuelta en la mira de los legisladores del Congreso, ya que una nueva propuesta legislativa se enfoca no en la recolección, almacenamiento y venta de datos, sino en la idea de que los estadounidenses deberían poder empacar más fácilmente sus datos de usuario y llevarlos a una competencia servicio, tal vez uno que respete mejor la privacidad de sus datos.

El nuevo proyecto de ley también requeriría que ciertas compañías tecnológicas, incluidas Facebook , Google y Twitter, introduzcan «interoperabilidad» en sus productos, permitiendo a los usuarios interactuar a través de diferentes plataformas de competidores directos.

Estas reglas, referidas en el proyecto de ley como portabilidad e interoperabilidad de datos, presumiblemente permitirían a los estadounidenses, por ejemplo, descargar todos sus datos de Facebook y transferirlos a la red social centrada en la privacidad Ello . O hable directamente con los usuarios de Twitter mientras usa el competidor más pequeño y descentralizado de la compañía con sede en San Francisco, Mastodon . O incluso, tal vez, inicie sesión en su cuenta de Vimeo para comentar en los videos de YouTube.

La portabilidad e interoperabilidad de los datos no son nada nuevo: los usuarios de teléfonos móviles pueden mantener su número de teléfono cuando cambian de proveedor de servicios inalámbricos; El software empresarial puede leer hoy los archivos creados en programas de la competencia, como los diversos documentos creados por Apple Pages, Microsoft Word y Google Docs.

Pero pocos, si alguno, ejemplos notables de portabilidad e interoperabilidad de datos llegaron a instancias de la legislación federal. Queda por ver si este nuevo proyecto de ley tendrá éxito, de paso, en mejorar la portabilidad e interoperabilidad de los datos, y en su propósito declarado de mejorar la seguridad de los datos.

Avery Gardiner, investigador principal de competencia, datos y poder del Centro para la Democracia y la Tecnología, dijo que el proyecto de ley tiene algunas buenas ideas, pero al tratar de mejorar la privacidad de los datos, extrañamente no se centra en el tema en sí.

«Si tenemos un problema de privacidad, que tenemos en Estados Unidos, arreglemos eso con la legislación de privacidad», dijo Gardiner.

Cory Doctorow, escritor, activista y afiliado de investigación del MIT Media Lab, agradeció el enfoque del proyecto de ley en la interoperabilidad, un tema que podría usar la formulación inteligente de reglas y que está recibiendo poca atención en el Congreso, en oposición a los intentos constantes y posiblemente inútiles. para regular estrictamente a los delincuentes de Big Tech, como Facebook.

«Esto tiene como objetivo arreglar Internet», dijo Doctorow, «para que el comportamiento de Facebook ya no sea tan estándar».

La Ley de acceso

El 22 de octubre, los senadores de los EE. UU. Mark Warner (D-VA), Josh Hawley (R-MO) y Richard Blumenthal (D-CT) presentaron la Ley de aumento de compatibilidad y competencia al habilitar la Ley de cambio de servicio o la Ley ACCESS.

El proyecto de ley regularía lo que llama «grandes plataformas de comunicaciones», que son productos y servicios en línea que hacen dinero con la recolección, procesamiento, venta o intercambio de datos de usuarios, y que tienen más de 100 millones de usuarios activos mensuales en los Estados Unidos. . El proyecto de ley llama a los propietarios de estos productos «proveedores de comunicaciones».

Claramente, el proyecto de ley se aplica tanto a las compañías de Big Tech como a las plataformas que poseen y operan, incluidas Facebook y sus plataformas Messenger, WhatsApp e Instagram, Google y su plataforma de YouTube, y los principales productos de LinkedIn y Pinterest.

Pero en lugar de imponer nuevas reglas a estos gigantes tecnológicos en un esfuerzo por romperlos, un grito de guerra para algunos candidatos presidenciales demócratas, el proyecto de ley apunta a abrir la competencia contra ellos, creando potencialmente un campo de juego nivelado donde los usuarios pueden dejar fácilmente un plataforma que traiciona su confianza , entra en conflicto con los acuerdos federales o simplemente deja de proporcionar una experiencia agradable .

«El dominio exclusivo de Facebook y Google ha desplazado a la competencia significativa que se necesita para proteger la privacidad en línea y promover la innovación tecnológica», dijo el senador Blumenthal, quien ayudó a presentar el proyecto de ley, en un comunicado preparado . «La Ley ACCESS bipartidista empoderaría a los consumidores para finalmente hacer frente a Big Tech y mover sus datos a servicios que respeten sus derechos».

La Ley ACCESS tiene tres puntos: portabilidad de datos, interoperabilidad y «delegabilidad», que discutiremos a continuación.

Primero, en cuanto a la portabilidad de datos, cualquier empresa que opere una gran plataforma de comunicaciones necesitaría desarrollar una forma para que los usuarios puedan obtener sus datos de usuario y transferirlos a un competidor en un formato seguro, «estructurado, de uso común y legible por máquina». «

Si bien algunas empresas ya ofrecen una manera para que los usuarios descarguen sus datos ( un reportero de Verge descargó 138 GB de sus propios datos luego de la aprobación del Reglamento General de Protección de Datos de la Unión Europea), el potencial de transferirlos sin problemas a un competidor podría reducir las barreras para dejando atrás las compañías de Big Tech que dominan el ecosistema de redes sociales de hoy.

Gardiner de CDT dijo que el intento del proyecto de ley de introducir la portabilidad de datos es bueno, pero si será efectivo depende de un panorama robusto y competitivo en el que los advenedizos puedan aceptar los datos de un usuario de manera significativa. En este momento, dijo, ese paisaje no existe.

«La forma en que sus datos serían útiles es bastante específica de la forma en que ya está en la plataforma de alguien», dijo Gardiner. «No vas a transferir tus datos de Facebook a Twitter porque no te ayudaría a hacer nada, como usuario».

Gardiner dijo que entendía lo que el proyecto de ley está tratando de lograr, pero cuestionó si era la ruta más efectiva.

«Cuando leo las declaraciones de prensa, creo que parte de lo que dicen es que las fallas de privacidad de algunas de las compañías de Big Tech se deben, en parte, a la falta de competencia, por lo que debemos facilitar la competencia por las plataformas de comunicaciones». Dijo Gardiner. «Tengo un enfoque más simple para resolver ese problema, y ​​eso es aprobar una legislación de privacidad».

Sobre las demandas de interoperabilidad del proyecto de ley, las empresas deben desarrollar una «interfaz de interoperabilidad» para cada gran plataforma de comunicaciones que posean. Para una empresa como Facebook, que significaría que permite la interoperabilidad con sus plataformas Messenger, WhatsApp, Instagram y, como CEO, Mark Zuckerberg prom i SED a principios de este año , así como con los competidores de fuera que quieren entrar en el campo.

Finalmente, en «delegabilidad», el proyecto de ley pide que los estadounidenses tengan la oportunidad de seleccionar un tercero para administrar su privacidad y la configuración de la cuenta en las diversas plataformas que utilizan. Esos terceros, que el proyecto de ley llama «agentes de custodia de terceros», deben registrarse en la Comisión Federal de Comercio de los EE. UU. Y cumplir con las normas que la Comisión necesitaría emitir después de la aprobación del proyecto de ley.

Los agentes de custodia de terceros podrían cobrar una tarifa por sus servicios, según el proyecto de ley, y deben proteger la privacidad y la seguridad de los datos de sus usuarios.  

Importancia de la interoperabilidad

La Ley ACCESS busca un tipo de interoperabilidad en el que los competidores puedan atraer nuevos usuarios a sus plataformas al hacer que sus servicios sean compatibles con un jugador dominante en el mercado. Si los usuarios no necesitan usar el Messenger de Facebook para mantenerse en contacto con sus amigos, por ejemplo, puede que les resulte más fácil dejar atrás Messenger por completo, aflojando el control de Facebook sobre los usuarios de hoy.

Este tipo de interoperabilidad ya ha ayudado a desalojar los casi monopolios de Microsoft e IBM de sus respectivos mercados: las aplicaciones de software empresarial Word, Excel y Powerpoint; y la PC en sí.

Pero la interoperabilidad podría hacer más que vigilar a las grandes empresas tecnológicas. De hecho, podría conducir a una Internet más segura para los usuarios, dijo Doctorow.

Doctorow contó una anécdota sobre su amigo, un escritor de cómics que recibe acoso selectivo de un grupo de usuarios predominantemente masculinos de Twitter. Las usuarias, enojadas por las opiniones feministas de la escritora, le envían mensajes directos amenazantes. Pero, después de que ella lee los mensajes directos, los eliminan.

Esto es por dos razones, dijo Doctorow. Uno, los usuarios no pueden informar un mensaje directo a Twitter a menos que ese mensaje directo todavía esté disponible y no se elimine. Twitter no acepta capturas de pantalla en informes de acoso debido a la posibilidad de reclamos falsos.

Dos, una vez que se ha eliminado el mensaje directo, los mismos acosadores comentarán públicamente en el feed de Twitter de la escritora de cómics, y a varias otras mujeres en su comunidad en línea. Estos comentarios públicos, dijo Doctorow, hacen referencia al mismo contenido de los mensajes directos amenazantes, retraumatizando al escritor.

Este es un ciclo de acoso en el que las amenazas directas sortean las consecuencias, solo para reaparecer en contenido similar, aumentando la sensación de impotencia para la víctima.

Curiosamente, dijo Doctorow, podría haber una oportunidad para que la interoperabilidad ayude.

La escritora de cómics y su pequeña comunidad de amigos podrían usar un competidor externo (o desarrollar uno ellos mismos) para continuar sus discusiones, que generalmente tienen lugar en Twitter, al tiempo que establecen reglas que evitarían que los mensajes directos y los Tweets de los acosadores aparecieran en sus alimentaciones y bandejas de entrada.

Es más que una lista de bloqueo, dijo Doctorow. Está dando poder a los usuarios para interactuar con comunidades significativas en línea que ya existen de una manera que los respalde y proteja.

La interoperabilidad, entonces, podría ofrecer una solución potencial para que los usuarios eviten el acoso en línea, hasta que los agresores los encuentren en una nueva plataforma. ¿Pero la interoperabilidad realmente servirá al objetivo declarado de la Ley ACCESS de mejorar la privacidad de los datos?

Cómo regular la privacidad de los datos.

La Ley ACCESS es al menos el sexto proyecto de ley federal propuesto en el último año que tiene como objetivo mejorar la privacidad de los datos de los estadounidenses.

Como ha informado Malwarebytes Labs, cada proyecto de ley federal busca mejorar la privacidad de los datos a través de diversos medios. Un proyecto de ley del Senador impondría una lista de «No rastrear», otro crearía un «deber de cuidar» los datos del usuario y otro requeriría acuerdos de términos de servicio claros y concisos.

La Ley ACCESS, por otro lado, es la primera ley de privacidad de datos que se enfoca en la portabilidad e interoperabilidad de datos. Ambos conceptos han proporcionado mejores experiencias comprobadas para usuarios de tecnología en múltiples sectores. Los estudiantes universitarios pueden llevar sus transcripciones a una nueva universidad cuando deseen transferir escuelas. Los pacientes de atención médica pueden llevar sus registros a un nuevo proveedor.

Pero con el Congreso tomando un receso de invierno en solo seis semanas, es esencialmente cero la posibilidad de que cualquiera de estos proyectos de ley de privacidad de datos se apruebe en 2019.

Quizás 2020 sea mejor para los usuarios y su privacidad de datos.