Ciberseguridad 360 | NSA adquiere datos de navegación en internet sin permisos

La Agencia de Seguridad Nacional de Estados Unidos (NSA) ha admitido que compra registros de navegaci�n por Internet a intermediarios de datos para identificar los sitios web y las aplicaciones que utilizan los estadounidenses y que, de otro modo, requerir�an una orden judicial, seg�n declar� la semana pasada el senador estadounidense Ron Wyden.

"El gobierno de Estados Unidos no deber�a estar financiando y legitimando una industria turbia cuyas flagrantes violaciones de la privacidad de los estadounidenses no s�lo no son �ticas, sino que son ilegales", dijo Wyden en una carta a la Directora de Inteligencia Nacional (DNI), Avril Haines, adem�s de instar al gobierno a tomar medidas para "garantizar que las agencias de inteligencia de Estados Unidos s�lo compran datos sobre estadounidenses que se han obtenido de manera legal."

Los metadatos sobre los h�bitos de navegaci�n de los usuarios pueden suponer un grave riesgo para la privacidad, ya que la informaci�n podr�a utilizarse para obtener datos personales sobre un individuo bas�ndose en los sitios web que frecuenta.

Esto podr�a incluir sitios web que ofrecen recursos relacionados con la salud mental, asistencia a supervivientes de agresiones sexuales o abusos dom�sticos, y proveedores de telesalud que se centran en el control de la natalidad o la medicaci�n abortiva.

En respuesta a las preguntas de Wyden, la NSA dijo que ha desarrollado reg�menes de cumplimiento y que "toma medidas para minimizar la recopilaci�n de informaci�n de personas estadounidenses" y "sigue adquiriendo s�lo los datos m�s �tiles y relevantes para los requisitos de la misi�n".

La agencia, sin embargo, dijo que no compra ni utiliza datos de localizaci�n obtenidos de tel�fonos utilizados en EE.UU. sin una orden judicial. Tambi�n dijo que no utiliza informaci�n de localizaci�n obtenida de sistemas telem�ticos de autom�viles de veh�culos situados en el pa�s.

Ronald S. Moultrie, subsecretario de Defensa para Inteligencia y Seguridad (USDI&S), declar� que los componentes del Departamento de Defensa (DoD) adquieren y utilizan informaci�n disponible comercialmente (CAI) de una manera que "se adhiere a altos est�ndares de protecci�n de la privacidad y las libertades civiles" en apoyo de misiones legales de inteligencia o ciberseguridad.

La revelaci�n es un indicio m�s de que los servicios de inteligencia y las fuerzas del orden est�n comprando datos potencialmente sensibles a empresas que requerir�an una orden judicial para adquirirlos directamente de las empresas de comunicaciones. A principios de 2021, se revel� que la Agencia de Inteligencia de Defensa (DIA) estaba comprando y utilizando datos de localizaci�n nacional recogidos de tel�fonos inteligentes a trav�s de corredores de datos comerciales.

La revelaci�n sobre la compra de datos personales sin orden judicial llega despu�s de que la Comisi�n Federal de Comercio (FTC) prohibiera a Outlogic (antes X-Mode Social) e InMarket Media vender informaci�n precisa sobre la ubicaci�n a sus clientes sin el consentimiento informado de los usuarios.

A Outlogic, como parte de su acuerdo con la FTC, tambi�n se le ha prohibido recopilar datos de localizaci�n que podr�an utilizarse para rastrear las visitas de personas a lugares sensibles, como cl�nicas m�dicas y de salud reproductiva, refugios para v�ctimas de abusos dom�sticos y lugares de culto religioso.

Wyden se�al� que la compra de datos confidenciales a estas "empresas sospechosas" se ha desarrollado en una zona gris desde el punto de vista jur�dico, y a�adi� que los intermediarios de datos que compran y revenden estos datos no son conocidos por los consumidores, que a menudo no saben con qui�n se comparten sus datos ni d�nde se utilizan.

Otro aspecto notable de estas pr�cticas oscuras es que las aplicaciones de terceros que incorporan kits de desarrollo de software (SDK) de estos corredores de datos y proveedores de tecnolog�a publicitaria no notifican a los usuarios la venta y el intercambio de datos de localizaci�n, ya sea para publicidad o seguridad nacional.

Seg�n la FTC, no basta con que el consumidor d� su consentimiento para que una aplicaci�n o un sitio web recopilen esos datos, sino que debe ser informado y aceptar que sus datos se vendan a "contratistas del Gobierno con fines de seguridad nacional", dijo el dem�crata de Oreg�n.

"No conozco ninguna empresa que advierta de ello a los consumidores antes de recopilar sus datos. Por tanto, es probable que la infracci�n de la ley afecte a todo el sector y no se limite a este corredor de datos en particular."

Fuente: thehackernews.com