Correos electrónicos recopilados de Google Street View, contraseñas (números de la seguridad social, nombre de su perro …)

Los coches de Street View de Google que registraban ubicaciones de wifi también recopilaban información privada como mensajes de correo electrónico y contraseñas, según descubrió una agencia francesa de protección de datos. Adivina qué. Sin siquiera ver los datos yo mismo, puedo decirles que esos autos también registraron información privada como números de seguro social, números de teléfono, condiciones médicas y […]

Los coches de Street View de Google que registraban ubicaciones de wifi también recopilaban información privada como mensajes de correo electrónico y contraseñas, según descubrió una agencia francesa de protección de datos. Adivina qué. Sin siquiera ver los datos yo mismo, puedo decirles que esos autos también registraron información privada como números de seguro social, números de teléfono, condiciones médicas y más. Y nada de esto debería ser una sorpresa.

Transmisiones Wi-Fi registradas

En mayo, Google revelado que sus coches de Street View habían interceptado accidentalmente las comunicaciones inalámbricas mientras circulaban por las calles. Se suponía que los autos solo tomarían fotografías a nivel de la calle y registrar los nombres de los puntos de acceso wi-fi que encontraran. Pero debido a lo que Google dijo que fue un error de programación, los autos también registraron algunos de los datos que se enviaron en esas redes wi-fi.

Fue un gran error y sigue sin estar claro incluso para un tercero. auditoría (PDF) por qué el código diseñado para recopilar transmisiones de datos wi-fi se incorporó a un programa de registro de puntos de acceso wi-fi.

Correos electrónicos, contraseñas registradas

El sistema de Google solo recopilaba transmisiones wi-fi «no cifradas», por lo que cosas como transacciones entre una persona y su banco en una conexión segura y cifrada no deberían haberse registrado, ¿verdad? Entonces, ¿qué pasa con la noticia de que Google registró mensajes de correo electrónico y contraseñas?

Eso es lo que descubrió una agencia de datos francesa, CNIL, al investigar las acciones de Google. Dijo la semana pasada, según lo informado por Servicio de noticias IDG:

De hecho, Google registró las contraseñas de acceso al correo electrónico [and] extractos del contenido de los mensajes de correo electrónico

Hoy veo una serie de otros titulares desató ese informe inicial.

Las cosas privadas se envían sin cifrado

Aquí está la cosa. Es posible que Google haya registrado CUALQUIER COSA que se envió a través de una red inalámbrica no cifrada. ¿Incluso esa transmisión entre usted y su banco, que estaba utilizando una conexión segura y cifrada? Si salió de su computadora a través de una red inalámbrica no cifrada, es posible que los autos de Google Street View lo hayan registrado. Google no pudo decodificar la transmisión, pero el cifrado no impidió que se registrara.

Mientras tanto, la gente suele utilizar formularios que no están cifrados. Envían correos electrónicos a través de conexiones no seguras y no cifradas. Todo lo que se envíe de esa manera, desde el nombre de su perro hasta su número de seguro social, podría haber sido registrado «en claro» o en formato no codificado por Google.

De manera similar, todo lo que envíe a través de una conexión no cifrada está potencialmente registrado por su proveedor de servicios de Internet. Y si está utilizando una red inalámbrica abierta, entonces cualquier persona cercana a su casa potencialmente puede registrar toda esa información no cifrada con mucho más detalle que Google.

Así que no se sorprenda si ve más titulares en el futuro que Google registró más información privada más allá de los correos electrónicos y contraseñas. Por supuesto que lo hizo. Queda por ver si violó alguna ley al hacerlo. La grabación de comunicaciones inalámbricas no cifradas no es un delito en algunos países o estados de EE. UU. (Más de 30 estados de EE. UU. Anunciado una investigación conjunta hoy. Ver también aquí).

Donde podría estar, la intención real también podría entrar en juego. Los autos de Google no se estacionan durante largos períodos de tiempo frente a hogares o negocios para reunir «conversaciones» completas. En cambio, capturaron solo fragmentos breves.

Si el Wi-Fi fuera como la gente hablando …

Como expliqué anteriormente:

Imagine que las transmisiones que realiza en una red wifi a los sitios que visita son como tener una conversación de la vida real con alguien en el porche de su casa o en el patio delantero.

Los autos StreetView de Google conducían lentamente por la calle, grabando todas las conversaciones del patio delantero que podían escuchar a medida que pasaban.

Debido a que el automóvil se mueve constantemente, solo se grabó una pequeña parte de cada conversación. Eso es lo primero que debería ser tranquilizador en todo esto: no es como si Google hubiera escuchado minutos u horas de lo que estaba «diciendo» en la web.

En segundo lugar, Google no podía entender todas las conversaciones que estaba escuchando. Eso es porque mientras los datos salían por una red inalámbrica abierta, la conversación en sí estaba encriptada. Por lo general, esto es lo que sucede si visita el sitio web de un banco: se establece una conexión segura. También es lo que sucede si vas a Google para leer Gmail o usar otros servicios.

En la metáfora, es como si algunas personas estuvieran hablando en la calle y tuvieran una conversación en un idioma que solo ellos y la otra persona pudieran entender.

En tercer lugar, hubo algunas conversaciones que Google no pudo entender en absoluto, en redes wifi que tenían seguridad en funcionamiento. En estos casos, es como si Google pudiera ver que la gente estaba hablando en su jardín delantero, pero todo lo que podían escuchar era un murmullo, nada inteligible.

No hay duda de que Google ha recopilado una gran cantidad de datos. Las «conversaciones» wifi se han registrado desde 2007, según la publicación del blog de hoy. Pero solo se han almacenado fragmentos de esas conversaciones, lo que hace que la información sea bastante inútil si se extrajera, algo que Google no parece haber hecho ni planeado hacer, ya que busca destruir los datos.

Por su parte, Google se ha mostrado bastante arrepentido. El cofundador Sergey Brin dijo el mes pasado que «la cagamos» por el incidente. El CEO Eric Schmidt se hizo eco de eso a principios de este mes y agregó que Google no podía descartar que hubiera recopilado información privada.

Aún así, Schmidt dice que «no hay daño, no hay falta» afirmar hecho el mes pasado probablemente volverá a perseguirlo. Algunas personas se sentirán perjudicadas simplemente porque su información fue registrada, independientemente de si era legal hacerlo o no. Otros probablemente sentirán que hay una «falta» si parte de la información registrada es privada, incluso si, en última instancia, no se protegieron de las escuchas mediante el uso de conexiones abiertas.


Deja un comentario