La tarcoteca

by Pablo Heraklio, PHkl/tctca. Contact at Tarcoteca@riseup.net

domingo, 2 de junio de 2013

Lo que la dirección IP puede revelar sobre nosotros

Resumen de un Informe elaborado por la Subdirección de Análisis Tecnológico de la Oficina del Comisionado de Privacidad de Canadá.

 Lo que la dirección IP puede revelar sobre nosotros
Mayo de 2013
En general, los resultados llevan a la conclusión de que, a diferencia del simple conocimiento del número de teléfono de una persona, los elementos aquí examinados se pueden utilizar para realizar un retrato muy detallado de esa persona, aportando información sobre sus actividades, gustos, inclinaciones y hábitos diarios.

Metodología: ¿Cómo llevamos a cabo nuestro trabajo?
Nuestra investigación supuso la determinación del tipo de información que se podía encontrar partiendo de la dirección IP:
1.- Utilizar la dirección IP del proxy web OPC, así como la dirección IP de un activo colaborador en la redacción de la Wikipedia;
2.- Comprobando la propiedad de la dirección IP, incluidas las entradas de registro, con herramientas como WHOIS ( un servicio en línea utilizado por ejemplo en la consulta de bases de datos por usuarios registrados…)
3.- Geolocalización mediante búsqueda y localización de la red a partir de la dirección IP;
4.- Utilizar la dirección IP como término de búsqueda en diferentes navegadores, por ejemplo, Google (entradas en el servidor de registros, contribuciones en foros en línea).
Mediante la combinación de todos estos pasos, fue posible construir el perfil de una persona o de un grupo asociado a una dirección IP.
Algunos de estos ejemplos se describen aquí
Una vez que la dirección IP, la dirección de correo electrónico o el número de teléfono han sido descubiertos, no se necesita de ningún equipo especial o de software para realizar estas pruebas. Hay una gran variedad de servicios disponibles en la web para obtener información a partir de los anteriores datos (dirección IP, correo electrónico o número de teléfono). También hay servicios que permiten la búsqueda de información a partir de estos datos, incluso información sobre geolocalización. Servicios como Google y Bing pueden ser una poderosa herramienta utilizando estos elementos de información para utilizarlos en los términos de búsqueda.

1.- Número de teléfono y dirección de correo electrónico
A partir de un teléfono fijo o móvil se puede obtener una gran variedad de información acerca de una persona:
- El nombre y la dirección asociada a ese número de teléfono (con herramientas comowww.411.com);
- Acceso a cualquier documento de acceso público que incluya ese número de teléfono, incluyéndose blogs, debates en foros, registros financieros o médicos, et;
- los registros de dominio asociados con ese número de teléfono.
Al igual que el número de teléfono, una dirección de correo electrónico también conduce a una variedad de información sobre una persona:
- Nombre real, si se utiliza en la dirección de correo electrónico o que aparezca asociado con él;
- El registro de servicios que utilizan esa dirección de correo. Para algunos servicios ( Por ejemplo, LinkedIn), la dirección de correo electrónico funciona como nombre de usuario;
- cualquier dominio que esté registrado utilizando esa dirección de correo electrónico;
- Las actividades de Internet o documentos, incluyendo correos electrónicos, que contenga la dirección de correo y que posteriormente sea indexada en los motores de búsqueda;
- Las amistades de las redes sociales;
- empresas en las que se ha trabajado (por ejemplo, si la dirección de correo electrónico aparece en un currículum publicado en línea).

Lo que encontramos
Los resultados de las pruebas llevada a cabo durante este análisis fueron bastante reveladores y podían conducir a la identificación de una persona. Para proteger la privacidad, y reducir el riesgo de identificación o identificación errónea de una persona, de los resultados presentados en los ejemplos que aparecen a continuación se han eliminado ciertos datos ( por ejemplo, la dirección IP, sitios web, temas específicos de búsqueda, direcciones URL, etc) en lo medida de lo posible.

Los resultados revelaron:
- El nombre real de la persona;
- El proveedor de los servicios de telecomunicaciones móviles de la persona;
- los sitios web personales y los registros de dominio;
- Datos de relación con una Universidad
- Contribuciones en los foros de discusión en Internet, conferencias…
- Participación en grupos de interés locales sobre cuestiones técnicas.

2.- Dirección IP: observaciones generales sobre la funcionalidad de la dirección IP.
El conocimiento de una dirección IP permite que un buscador obtenga información sobre una red, dispositivo o servicio. En concreto se puede:
- Determinar quién posee y opera la red. Búsqueda en la base de datos WHOIS usando la dirección IP puede proporcionar información sobre la persona, que a su vez puede poner de manifiesto sus afiliaciones a organizaciones) u organización, incluyendo nombre, número de teléfono y dirección.
- Realizando una búsqueda inversa ( una dirección IP asociada a un nombre de dominio) para obtener un nombre de equipo, que a menudo contiene pistas sobre la ubicación física o lógica;
- Realizar un Traceroute ( una herramienta de diagnóstico que permite la visualización de la ruta de paquetes a través de una red IP) para encontrar el camino lógico hasta el ordenador, que a menudo contiene pistas sobre la ubicación;
- Determinar la geolocalización del ordenador, con diversos grados de exactitud. Dependiendo de la herramienta, se puede obtener el país, región o estado, la latitud y longitud, el código telefónico del área y localización específica en un mapa;
- Búsqueda en Internet utilizando la dirección IP o el nombre del equipo. Los resultados de estas búsquedas pueden revelar las actividades per-to-peer (P2P) ( por ejemplo, el intercambio de archivos), los registros en los archivos de registro del servidor Web, o actividades en la red de la persona ( por ejemplo, la colaboración en Wikipedia). Todos estos datos pueden revelar información sobre la persona: inclinaciones políticas, estado de salud, sexualidad, sentimientos religiosos y una serie de características personales, preocupaciones e intereses.
- Buscar información de una dirección de correo electrónico utilizando la dirección IP, que a su vez podría servir para la obtención de más información.
Según la Electronic Frontier de Canadá, incluso la actividad no comercial en Internet, tales como la lectura de documentos en las páginas Web, ya que siempre se requiere de la transmisión de la IP permite saber lo que se lee en Internet.
Lo que encontramos
Para ilustrar el proceso, se realizó una sencilla prueba utilizando como punto de partida la dirección IP del proxy web de la propia Oficina del Comisionado de Privacidad de Canadá.
Una búsqueda mediante WHOIS reveló que la dirección IP estaba asignada a Obras Públicas y Servicios del Gobierno (PWGSC), con la dirección 350 KEDC, Ottawa, ON, K1A 0S5. La dirección de contacto aparecía en esta entrada, incluyendo el nombre completo, la dirección de correo y el número de teléfono.
Utilizando la dirección IP como término de búsqueda en el navegador se obtuvieron más de 240 entradas. Los resultados revelaron que las personas que trabajan bajo esta dirección IP visitaron sitios relacionados, por ejemplo, con:
Optimización de las búsquedas en Internet; Publicidad de Canadá y marketing; Gestión de la identidad; Cuestiones de privacidad; Asesoramiento legal en relación con la ley de seguros y litigios por lesiones personales; Información sobre un grupo religioso específico; Gimnasios Compartir fotos a través de la red; Información en la Wikipedia; Búsqueda de actores específicos, que a su vez revelaban una gran cantidad de nombres de usuarios.

3.- Dirección IP: Información sobre las personas
La información obtenida anteriormente es la de un grupo o equipo, no la de una persona en particular. Sin embargo, la información específica que se puede obtener de una persona depende de cómo se conecte esa persona a la red y cómo trate las direcciones IP el sitio Web en particular que visite ( Es decir, lo que recojan e indexen los motores de búsqueda).
Lo que encontramos:
Esta persona era colaboradora activa de la Wikipedia. Al realizar una búsqueda utilizando la IP encontrada, se obtuvo un detallado perfil de esa persona:
- Había editado cientos de páginas de la Wikipedia relacionadas con programas de televisión. Su interés específico era muy amplio, pero no se incluyen más datos por razones de privacidad;
- Decenas de páginas de historia editadas en Wikipedia;
- Participación en un foro de discusión sobre un canal de televisión;
- Visita a un sitio Web relacionado con la salud sexual, a raíz de una búsqueda para un tipo específico de persona.
El incidente de Petraeus muestra los detalles comprometedores que se pueden obtener
Otro ejemplo de la información que se puede obtener a partir de la IP es el caso de Petraeus, ampliamente divulgado en los medios de comunicación.
Este caso comenzó con una investigación de los correos electrónicos, que acabó resultando en la revelación de una relación extramatrimonial del Director de la CIA, David Petraeus, obteniéndose detalles comprometedores, lo que obligó a su renuncia. Los acontecimientos tuvieron la siguiente secuencia:
a) Una persona recibe una serie de correos anónimos y pide al FBI que lo investigue.
b) Aunque los correos se enviaron desde un servicio que mantenía el anonimato, las direcciones IP desde donde se habían enviado aparecían en la cabecera de los correos;
c) Sabiendo la dirección IP de origen, el FBI fue capaz de identificar la organización a la que pertenecían las IP;
d) Desde la recepción de las citaciones administrativas según establece la Ley y sin supervisión judicial, los proveedores de los servicios de Internet deben dan la información sobre las direcciones IP utilizadas para acceder a la cuenta de correo original, así como cualquier cuenta de correo a la que se haya accedido desde la misma dirección IP. Se ha informado de que Google dio la información al FBI de las direcciones IP que se habían utilizado para acceder a la cuenta.
e) La ISP asocia las direcciones IP a distintas localizaciones, incluyendo hoteles;
f) Conocer la ubicación física desde la que se envían los mensajes de correo electrónico, con lo cual el FBI fue capaz de obtener una lista de personas que se encontraban en esos lugares cuando los mensajes fueron enviados, a través de las citaciones administrativas.
g) Aparecía un nombre en las listas cuando los mensajes eran enviados, por lo que esta persona fue considerada la principal sospechosa;
h) En este punto, el FBI solicitó una orden judicial para poder acceder al contenido de la cuenta de correo electrónico anónimo.

El FBI fue capaz de obtener la información sin tener que emitir una orden sobre:
a) La dirección IP desde la que se enviaban  los correos electrónicos;
b) Los nombres de los proveedores de los servicios de telecomunicaciones que tenían asignadas esas direcciones IP;
c) Información de la persona asociada a la cuenta de correo electrónico utilizada para el envío de mensajes, junto con la información sobre otras cuentas de correo electrónico que también accedieron desde la misma dirección IP;
d) Las organizaciones, en este caso hoteles, a los que los proveedores de servicios de telecomunicaciones han asignado la dirección IP;
e) Lista de los clientes registrados en los hoteles durante el tiempo en que fueron enviados los correos electrónicos.
El FBI fue capaz de obtener esta información utilizando una citación administrativa. Pero también pueden haber utilizado Cartas de Seguridad Nacional, que no requieren de autorización judicial previa. Similar información podría obtenerse sin consentimiento judicial bajo las leyes federales de Canadá.

Para saber más: 
Ahora, la propuesta de CPP señala que:
Artículo 311 Identificación mediante número IP
1. - Cuando en el ejercicio de las funciones de prevención y descubrimiento de los delitos cometidos en internet, los agentes de Policía tuvieran acceso a una dirección IPcorrespondiente a un terminal que estuviera siendo utilizado para la comisión de alguno de los delitos a que se refiere el artículo 295 y no constara la localización del equipo ni los datos de identificación personal del usuario, lo pondrán en conocimiento del Fiscal.
2.- A la vista de la naturaleza de los hechos y siempre que resultare procedente, el Fiscal solicitará del Tribunal de Garantías que requiera de la operadora la cesión de los datos que permitan la localización del terminal y la identificación del sospechoso.
Primero defendieron la retención y conservación de todos los datos generados, pero para que eso fuese aceptable aseguraron que sólo se haría para supuestos específicos y muy graves (terrorismo, crimen organizado, etc.). Pasado ese momento, cuando ya nadie presta atención se hace para cualquier supuesto y así llegamos a 1984, pero no el año, sino la novela de Orwell. 

1 comentario:

Tu opinión es importante