Seleccionar página

Securus Technologies es una empresa con sede en Texas que se especializa en brindar y monitorear llamadas a reclusos. Securus se convirtió en el centro de atención a principios de este mes, cuando se descubrió que un ex alguacil de Missouri usaba el servicio de la compañía para rastrear repetidamente a personas sin una orden judicial. The New York Times informa que entre 2014 y 2017, el ex alguacil Cory Hutcheson usó el servicio al menos 11 veces, supuestamente rastreando a un juez y miembros de la Patrulla de Caminos del Estado.

Securus obtiene información de seguimiento a través de una empresa llamada LocationSmart, que a su vez tiene acuerdos con la mayoría de los operadores estadounidenses. A principios de este mes, el Senador Ron Wyden de Oregón escribió una carta a varios transportistas pidiéndoles que verifiquen de forma independiente que estas solicitudes se realicen de manera legal. "Le escribo para insistir en que AT&T tome medidas proactivas para evitar la divulgación sin restricciones y el posible abuso de los datos privados de los clientes, incluida la información de ubicación en tiempo real, por parte de al menos otra compañía al gobierno".

ANDROIDPOLICE VÍDEO DEL DÍA

Escribió una carta adicional a la FCC, pidiendo a la agencia que "investigue de inmediato a Securus, el hecho de que los proveedores inalámbricos no hayan mantenido el control exclusivo sobre el acceso de las fuerzas del orden público a los datos de ubicación de sus clientes, y también lleve a cabo una investigación amplia sobre qué demostración del consentimiento del cliente, en su caso, cada operador inalámbrico requiere de otras compañías antes de que los operadores les proporcionen información sobre la ubicación del cliente y otros datos".

Captura de pantalla del sitio web de Securus (fuente: New York Times)

Solo unos días después de que se envió la carta, un pirata informático irrumpió en los servidores de la empresa. Proporcionó algunos de los datos a Motherboard, incluida una hoja de cálculo marcada como "policía" con más de 2800 nombres de usuario, direcciones de correo electrónico, contraseñas codificadas, números de teléfono y preguntas de seguridad de los usuarios de Securus.

Las contraseñas se cifraron con MD5, que se ha demostrado repetidamente que no es seguro. Ese no es el único error por descuido que cometió la empresa; un manual de usuario en línea de Securus muestra capturas de pantalla de uno de sus productos, pero en lugar de usar información falsa, las imágenes incluyen el nombre real, la dirección y el número de teléfono de una mujer específica.

Como se mencionó anteriormente, Securus obtiene información de seguimiento a través de otra empresa llamada LocationSmart. En su sitio web, LocationSmart cuenta con acceso al 95 % de todo el tráfico entre operadores, el 100 % de todos los tipos de dispositivos y un alcance total de 15 000 millones de dispositivos. La empresa se asocia con los principales operadores de EE. UU., así como con US Cellular, Virgin, Boost y MetroPCS para obtener datos. LocationSmart incluso tiene acuerdos con algunos operadores canadienses, como Bell, Rogers y Telus.

Captura de pantalla de la página de inicio de LocationSmart

Como resultado de estar asociado con Securus y proporcionar datos de seguimiento a la empresa sin prueba de consentimiento (o una orden judicial), LocationSmart también ha sido objeto de escrutinio. La política de LocationSmart dice que requiere el consentimiento explícito del usuario antes de que se puedan usar sus datos de ubicación, pero también permite que algunos clientes obtengan un consentimiento "implícito" caso por caso. Un ejemplo es obtener la ubicación de un automovilista varado cuando llama a la asistencia en carretera.

ZDNet contactó a los cuatro principales operadores de EE. UU. para obtener comentarios. Sprint dijo que su asociación con Securus se limita "a apoyar los esfuerzos para frenar el uso ilegal de teléfonos celulares de contrabando en las instalaciones penitenciarias" y "no incluye el intercambio de datos". Un portavoz de Verizon dijo: "Todavía estamos tratando de verificar sus actividades, pero si esta empresa, de hecho, está haciendo esto con los datos de nuestros clientes, tomaremos medidas para detenerlo". AT&T respondió: "Estamos al tanto de la carta y le daremos una respuesta". T-Mobile no respondió en absoluto.

Captura de pantalla de la página de demostración "pruebe antes de comprar" de Serecus. (fuente: ZDNet)

Como diría el difunto Billy Mays, "¡Pero espera, hay más!" El investigador de seguridad de CMU, Robert Xiao, descubrió que LocationSmart no impedía las solicitudes de API no autorizadas, lo que teóricamente permitía que cualquier persona accediera a los datos de la empresa de forma anónima. Reveló la vulnerabilidad a LocationSmart el 16 de mayo y se solucionó al día siguiente. La compañía proporcionó esta declaración a TechCrunch:

LocationSmart proporciona una plataforma de movilidad empresarial que se esfuerza por brindar eficiencias operativas seguras a los clientes empresariales. Toda divulgación de datos de ubicación a través de la plataforma LocationSmarts se basa en el consentimiento que se recibe primero del suscriptor individual. La vulnerabilidad del mecanismo de consentimiento identificado recientemente por el Sr. Robert Xiao, un investigador de seguridad cibernética, en nuestra demostración en línea se resolvió y la demostración se deshabilitó. Además, hemos confirmado que la vulnerabilidad no se aprovechó antes del 16 de mayo y no resultó en la obtención de información del cliente sin su permiso.

Ese día, el Sr. Xiao localizó hasta dos docenas de suscriptores a través de su explotación de la vulnerabilidad. Según las declaraciones públicas del Sr. Xiao, entendemos que esos suscriptores fueron localizados solo después de que el Sr. Xiao obtuviera personalmente su consentimiento. LocationSmart continúa sus esfuerzos para verificar que no se haya accedido a ninguna ubicación de suscriptores sin su consentimiento y que no existan otras vulnerabilidades. LocationSmart está comprometido con la mejora continua de sus medidas de seguridad y privacidad de la información y está incorporando lo que ha aprendido de este incidente en ese proceso.

En resumen, no solo hay empresas que venden sus datos de ubicación a terceros desconocidos, sino que dichas empresas tampoco están tomando las medidas adecuadas para garantizar que los datos no se utilicen indebidamente o se roben fácilmente. Con suerte, la FTC tomará medidas enérgicas contra LocationSmart y compañías similares por estas acciones, pero por el momento su prioridad es tomar medidas enérgicas contra la neutralidad de la red. Buenos tiempos.

Fuente: TechCrunch, ZDNet, Robert Xiao, placa base (1, 2), The New York Times

Video: