La importancia de la seguridad del flujo de datos en un entorno abierto

OSINT Instagram

Mañana impartiré junto con mis compañeros de SocialBrains (ES) un taller sobre presencia digital a los directivos de una de las grandes compañías del IBEX 35, y como me suele gustar en estos casos, he estado esta última semana buscando temas de rabiosa actualidad que sirvan para hacer más amena la parte que me toca (comunicación en seguridad corporativa).

Tengo ya fichados 4 temas, y espero que a los chicos les acabe gustando el resultado, pero lamentablemente por falta de tiempo (hay que enviar la presentación varios días antes para que pase los controles habituales en estas grandes organizaciones) me he tenido que dejar fuera uno del cual me gustaría haber hecho mención en la misma (y que según cómo vea el asunto lo mismo unas palabras le dedico :)).

Hablo de cómo Ashley Feinberg, una periodista de Gizmodo (EN), conseguía hace unas cuantas semanas identificar las cuentas privadas de Twitter e Instagram del director del FBI, James Comey.

Los límites de una investigación OSINT

Como ya he explicado en alguna que otra ocasión, cuando queremos obtener información de una persona basta con ver qué datos identificativos tenemos de ella (nombre, cargo, teléfono, email, dirección postal, fotografías, documento de identidad…) y a partir de ello ir probando suerte con un poco de Google Hacking para ir engordando esa información (nombres de usuario que suele utilizar, esa foto con no se qué amigo o familiar…), hasta que consigamos tirar lo suficiente del hilo.

A veces funciona y podemos obtener muchísima información de alguien de una forma totalmente legítima (no estás haciendo nada ilegal, ya que toda la información a la que llegas está disponible de forma abierta), y otras acabarás en callejones sin salida que tiran por tierra la estrategia (o al menos, complican seguir con la investigación).

Bajo este prisma Ashley Feinberg hizo lo que todos hubiéramos hecho. Empezó a buscar en Internet con los datos públicos que todos podríamos tener sobre Comey y su familia, y gracias a ello llegó a un tweet público, que le guió hasta un comentario público en Instagram, que le llevó a su vez a la página protegida del hijo de Comey, Brien.

Hasta aquí todo ok. Y muchos pensaríamos que en efecto el OSINT había llegado a su límite. A fin de cuentas, ¿qué información podemos obtener de un perfil privado de Instagram? ¿Poca, verdad?

Pues más de la que piensa.

Feiberg le dio por enviar una solicitud a Brien, y al hacerlo, Instagram le recomendó que también siguiera a varios perfiles. Entre ellos, un tal “reinholdniebuhr (EN/imagen superior) cuyo perfil también estaba protegido, y que casaba con parte de los datos que Feinberg había conseguido minar en la investigación OSINT preliminar.

Probando suerte con ese nombre en Twitter, ¡voilà! (EN). Bajo el nombre de usuario @projectexile7, y con el nick Reinhold Niebuhr, se encuentra (presumiblemente) la cuenta privada del director del FBI.

Pero, ¿cómo ha sido esto posible?

El problema de los flujos implícitos

Este es un tema que generalmente se obvia, y que me parece crítico para entender el impacto que tiene hoy en día la dictadura hegemonía de los algoritmos de recomendación.

La investigación de Feiberg hubiera llegado a un callejón sin salida sino fuera porque los algoritmos de recomendación de amigos de Instagram le sugirieron que siguiera un perfil específico que curiosamente era el buscado.

Y esto ocurre así porque, aunque de cara al usuario las relaciones de amistad de un perfil protegido (en la red social que quiera) son datos privados e innacesibles, los algoritmos del servicio sí tienen la capacidad de acceder a dicha información, y por sus actos podrían, aunque sea de forma totalmente fortuita, exponerlas a un tercero.

Es decir, existe una incoherencia entre cómo una red social protege la información personal de un perfil de cara al resto de usuarios, y cómo la protege de cara a la explotación que esos usuarios pueden hacer de los sistemas internos (algoritmos). La información personal de un perfil privado es privada para el resto de usuarios, pero no para los algortimos que utilizarán estos usuarios.

Si una cuenta es privada y nosotros le enviamos solicitud de amistad, el algoritmo de recomendación no debería poder acceder al listado de amistades de esa cuenta, y en todo caso, debería sugerirnos nuevas amistades en base únicamente a las amistades e interacciones que ya tenemos con todos aquellos perfiles que son públicos. Como este nivel de privacidad no se respeta, surge esta incoherencia en el flujo de datos que puede exponer, como es el caso, información crítica para identificar a una persona que expresamente ha pedido que no sea identificable por terceros.

Y digo que es un gran problema porque todo el ecosistema tecnológico actual no ha sido diseñado bajo la premisa que los algoritmos de recomendación pueden ser tergiversados mediante flujos implícitos.

Es necesario que se implemente controles, ya sean antes o en tiempo de ejecución del algoritmo, para que éste respete la política de privacidad del propio servicio al que está asistiendo. En el momento en el que se crean dos o más niveles de permisos de seguridad, se abre la veda a que aquel que tiene en teoría menos permisos pueda tergiversar a los de arriba para obtener información a la que por definición no debería poder acceder.

Esto, de nuevo, afecta a la privacidad y seguridad de las cuentas de todos y cada uno de nosotros, directivos de una gran empresa incluidos. Y por ello, indirectamente, afecta a la seguridad corporativa.

El problema por tanto no es que el ecosistema digital esté roto. Es más, la seguridad de la mayoría de redes sociales del momento le da mil vueltas a la seguridad de los protocolos que utilizamos en un servicio tan antiguo y tan masificado como es el email, y que de hecho vemos que sigue siendo el principal vector de ataques a organizaciones.

El problema radica en que en la complejidad del ecosistema de servicios digitales que hemos creado, controlar los errores de flujo de datos y evitar los flujos implícitos se vuelve toda una odisea que para colmo entra en conflicto con el negocio de la compañía que desarrolla el servicio. 

Lo que no quita que sea algo que debe tomarse en su justa consideración, y que tarde o temprano tendrá que ser regulado por el organismo de turno.

A fin de cuentas, el deber de un servicio digital es cumplir la política de privacidad que implícitamente se ha firmado entre el gestor del servicio y el usuario. Una política que asegura proteger los datos del usuario según el usuario así dejó claro en la configuración de privacidad y seguridad de su cuenta… ¿Verdad?