Tal vez recuerde que el año pasado, Verizon (propietaria de Oath, propietaria de TechCrunch) fue sancionado por la FCC por inyectar información en el tráfico de sus suscriptores que permitía rastrearlos sin su consentimiento. Esa práctica parece estar viva y bien a pesar de haber sido rechazada en un fallo en marzo pasado: las empresas parecen poder solicitar su número, ubicación y otros detalles de su proveedor de telefonía móvil con bastante facilidad.
La posibilidad fue descubierta por Philip Neustrom, cofundador de Shotwell Labs, quien la documentó en una publicación de blog a principios de esta semana. Encontró un par de sitios web que, si se visitan desde una conexión de datos móviles, informan rápidamente con numerosos detalles: nombre completo, código postal de facturación, ubicación actual (como se deduce de los datos de la torre celular) y más. (Otros encontraron lo mismo con resultados ligeramente diferentes según el operador, pero los sitios de demostración se eliminaron antes de que pudiera probarlo yo mismo).
Parece ser similar al encabezado de identificador único que usa Verizon. La UIDH se agregó a las solicitudes HTTP realizadas por los clientes de Verizon, lo que permitió que los sitios web que visitaban vieran su ubicación, datos de facturación, etc. (si pagaron a Verizon por el privilegio, naturalmente). La práctica, de uso común por parte de los operadores durante una década o más, se destacó en los últimos años y, finalmente, la FCC exigió a Verizon (y, por extensión, a otros proveedores de telefonía móvil) obtener un consentimiento positivo antes de implementarla.
Ahora, esto no quiere decir que todo sea una gran estafa: esos datos podrían ser muy útiles, por ejemplo, para un administrador que quiere asegurarse de que el teléfono de un empleado esté realmente en la ubicación que parece indicar su IP. ¿Por qué molestarse con una contraseña de un solo uso basada en texto si un servicio puede verificar que usted es usted consultando a su proveedor de telefonía móvil? Es al menos una posibilidad razonable.
Y para eso lo están usando compañías como Payfone y Danal; además, los usuarios de sus servicios, por definición, optarían por este tipo de seguimiento, por lo que no hay problema. Para ser claros, no son sus servicios los que hacen que esta información esté disponible.
Le pedí al CEO de Payfone, Rodger Desai, una pequeña aclaración. Él respondió en un correo electrónico:
Existe un marco muy riguroso de seguridad y consentimiento de privacidad de datos. El problema principal es que, con todos los eventos de cambio de móvil legítimos, los estafadores entran… Por ejemplo, si descarga una aplicación de banca móvil hoy, el banco no está seguro de si es usted en su nuevo teléfono o alguien que actúa como usted, solo el estafador. necesita su contraseña bancaria. Las técnicas de PC, como los certificados y la impresión de dispositivos, no funcionan bien, ya que es un teléfono nuevo.
Abhishek Tiwari de Danal escribió para explicar la demostración que la compañía puso a disposición:
Para ser claros, la demostración solo funciona en el dispositivo asociado con el usuario/individuo luego de una autenticación exitosa. En la demostración, todavía verificamos el consentimiento para seguir adelante y tenemos una autenticación de segundo factor (en caso de que alguien tome su teléfono) para determinar que es usted, el usuario/individuo. De ninguna manera se permitió a nadie en el sitio de demostración tomar o verificar la información de una persona sin el consentimiento explícito y sin que se hiciera desde el teléfono identificado de ese usuario/individuo específico.
El problema es que, como descubrió Neustrom, los proveedores móviles no parecen estar trabajando muy duro para verificar ese consentimiento por su parte. Ambos sitios brindan demostraciones de su funcionalidad, haciendo ping a los proveedores móviles en busca de datos y presentándoselos.
Por supuesto, si desea que la demostración funcione, también puede optar por el seguimiento. Pero, ¿dónde está el mensaje de texto o el correo electrónico del proveedor de telefonía móvil que le solicita la verificación? Parece que este tipo de solicitudes se pueden realizar de forma fraudulenta por muchos medios, ya que los proveedores no las verifican de ninguna otra forma que no sean algunas programáticas (coincidencia de IP, etc.).
Sin estándares rigurosos de consentimiento, las compañías móviles también pueden vender los datos indiscriminadamente de la misma manera que lo hacían antes de que los grupos de defensa los criticaran. Por ahora, no parece haber una forma de excluirse oficialmente, pero tampoco parece haber un peligro claro y presente, como un estafador obvio o un mayorista que use esta técnica.
Le pregunté a T-Mobile, AT&T y Verizon si participan en este tipo de programa, proporcionando detalles de suscripción a cualquier persona que pague y que, a su vez, pueda proporcionar a otros. También le pregunté a la FCC si esta práctica les preocupa. Actualizaré esta publicación si recibo una respuesta.
Source link