Técnicas del cibercrimen como modelo de negocio en la industria

red shell

De una parte hasta aquí estoy viendo cómo los límites entre lo que podemos considerar ético y legal y lo que claramente se salta esta barrera, cada vez están más difusos.

Es algo, de hecho, de lo que ya hemos hablado. Los tiempos cambian, y lo que antes considerábamos inaceptable, pasa a serlo.

Lo he vivido en mis propias carnes. Si al Pablo de hace unos ¿cinco años? le hubiéramos dicho que tendría subidos a un servicio online pseudo-privado todas las fotos que saca desde su móvil (Google Photos), seguramente nos hubiera mandado a la mierda. Máxime a sabiendas de lo que podría llegar a suponer en el futuro un escenario semejante.

Si a ese mismo Pablo le hubiésemos dicho que en la actualidad, y por la conveniencia de poder trabajar desde cualquier lugar, tendría la amplia mayoría de documentos de trabajo subidos a un servicio de almacenamiento en la nube (Dropbox, Google Drive…), hubiera pasado más de lo mismo.

Pero esa es la realidad del día a día. Los límites se difuminan, y con ellos, unido a la esperable evolución en materia de privacidad y seguridad de todo el ecosistema tecnológico (aunque haya aún mucho trabajo que hacer, lo cierto es que el panorama de seguridad digital actual está a años luz de lo que teníamos apenas hace unos años), la ideosincrasia de la comunidad. Esa terna usabilidad/seguridad/privacidad de la que ya hemos hablado en más de una ocasión, y que tiende con el tiempo, y como cabría esperar, a posicionarse de parte del usuario en el primero de los criterios, en detrimento del resto.

Ahora bien, una cosa es esa y otra es aceptar cualquier medida de la industria. Algo que a todas luces están intentando llevar a cabo con el tratamiento masivo de datos con fines puramente comerciales.

Del checkbox al spyware

Lo vemos siempre que utilizamos un nuevo producto o servicio. Si navegamos hasta el menú de Ajustes, lo normal es que por algún lado encontremos una opción para aceptar que X compañía pueda utilizar la información obtenida de las acciones del usuario para sus propios intereses.

Cada una a su manera, y generalmente tirando hacia a la anonimización de los datos. Lo que de verdad interesa actualmente no es saber que Pablo ha hecho esto, sino que un usuario de 31 años, con un nivel adquisitivo medio, y un historial de acciones X, lo ha hecho.

El nombre, ergo, la identificación individual del usuario, carece cada vez más de valor en favor del profiling. A mejor profiling, mejor segmentación, y por ende, mejores campañas podremos hacer.

Una funcionalidad que de base suele venir activa, y que la GDPR europea está obligando a desmarcar por defecto.

Algo que, nuevamente, entiendo que es asumible. Cada usuario tiene la potestad de elegir si prefiere, por ejemplo, que la publicidad que la va a mostrar X servicio esté o no enfocada a sus intereses. Si dice que si, está permitiendo que se haga un profiling más intensivo de sus acciones, pero a cambio debería recibir impactos publicitarios acordes a sus intereses, lo que en la práctica debería ofrecerle una mejor experiencia de usuario.

Y lo mismo compete con el resto de servicios digitales:

No podemos esperar que Assistant de Google nos alerte media hora antes de que tenemos que salir de casa para coger ese vuelo ya que hay atasco en la M-30, si en efecto no aceptamos que pueda leer los metadatos del email de Ryanair donde está la información de vuelo, saber dónde vivimos y consultar el resto de información en tiempo real que están ofreciendo los millones de usuarios de Google Maps para darse cuenta del atasco y alertarnos.

¿Que preferimos que estos servicios sigan sin explotar nuestra información? No hay ningún problema, pero hay que ser conscientes de que, por dicha decisión, perderemos parte del atractivo que tienen a nivel de usabilidad.

El problema, no obstante, surge cuando pasamos de algo que en mayor o menor medida está informado dentro del propio servicio, a algo que se hace a escondidas, rezando para que nadie se de cuenta.

Y lamentablemente cada vez me encuentro más con situaciones de este tipo. Hace un par de añitos fue muy sonado el caso de AVG, este popular antivirus gratuito, que decidió un buen día incluir dentro de una suite de seguridad un servicio que les permitía tracear todo lo que el usuario hacía.

Y el mes pasado vivimos una situación semejante con Red Shell (EN), una herramienta disponible en cerca de una veintena de videojuegos de Steam, unos cuantos de ellos grandes títulos del año, y que ofrece a los desarrolladores una suerte de tracking de usuarios fuera de la propia plataforma.

En ambos casos la idea era hasta cierto punto loable: Saber cómo se comportaban los usuarios con el fin de optimizar el servicio y/o las campañas publicitarias. Y para ello se encarga de seguir sistemáticamente al usuario en base al historial de búsquedas, intentando conocer qué impactos (vídeos vistos en Youtube, publicidad in-web, artículos patrocinados y/o reviews) le llevaron a hacer la compra de dicho título.

El problema está, como decía, en que esto se ha estado haciendo sin pedir permiso al usuario. Al instalar el juego, con él venía la herramienta. Y también, por supuesto, que a fin de cuentas, y aunque le quieran poner el nombre que quieran, Red Shell o el propio AVG no eran más que un spyware que curiosamente no era reconocido como tal por el resto de suites de seguridad.

 Ver en Youtube (EN)

Un malware es un malware indistintamente del uso que vaya a tener

Lo que me jode de todo el asunto es el acuerdo implícito de la industria por aceptar como “herramienta de marketing” un spyware, y considerar malware a otro spyware, simplemente porque sus intereses difieren. Y si me apuras, porque quien lo firma es una entidad de renombre.

¿Algo es malware únicamente cuando su uso está supeditado al negocio de la industria del cibercrimen? ¿Si un servidor, por ejemplo, fuerza a los lectores de esta página a instalar un adware una herramienta de publicidad propia para financiar este proyecto, no estaría entonces utilizando un malware?

Si un servidor utiliza malware para infectar a mis lectores, entonces dicho malware debe considerarse como tal. Pero, ¿y si lo hacen las fuerzas de seguridad de un país?

Tan nocivo es que Red Shell esté espiándonos 24/7 para que unos desarrolladores puedan entender qué campañas publicitarias les han funcionado mejor, como que MacKeeper se acabe instalando en muchos ordenadores en base a anuncios fraudulentos, o que con la descarga de uTorrent nos intenten meter la barra de búsqueda de Yahoo, que de paso nos cambia sin nuestro consentimiento toda la configuración del navegador a sus intereses, incluyendo para colmo publicidad extra en las páginas que visitamos.

La única diferencia radica en que hay malware que las suites de seguridad marcan como tal, alertando al usuario de los riesgos que tiene en caso de instalarlo, y hay malware que curiosamente cuenta con el beneplácito de la industria. Una suerte de consentimiento a puerta cerrada que me saca de quicio.

¿Es aceptable lo que Red Shell está ofreciendo en Steam? Un servidor lo tiene muy claro.

Por aquí tienes la lista de títulos que hacen uso de dicho servicio (EN). Y esto sí es una razón de peso como para plantearse no comprarlo y ponerles a parir donde más duele, que es en la valoración que tienen dentro del market.