Por ahora Amazon no ha indicado nada de forma oficial, pero podríamos estar ante una de las noticias más importantes del año en el mundo tecnológico. Amazon ha accedido a los Kindle de algunos usuarios para borrar ciertos libros.

Concretamente parece que los títulos eliminados han sido ‘1984’ y ‘Animal Farm’, ambos de George Orwell, de las librerías de todos aquellos usuarios que los compraron con anterioridad. Aún no se sabe si ha sido algo generalizado, o si por el contrario sólo ha ocurrido con unos muy puntuales usuarios. Todo apunta a la primera opción.

El caso es que este problema ha levantado un gran revuelo: Amazon se ha introducido en un dispositivo propiedad de un usuario, de ámbito privado, y no solo eso, sino que por su propia cuenta (y riesgo) ha decidido borrar parte de su contenido, sin consentimiento de quien lo pagó: el usuario del Kindle.

En primer lugar tenemos la grave problemática que cada vez se está mostrando más en los dispositivos de electrónica de consumo: ¿Hasta qué punto el fabricante puede tener acceso a los datos que manejamos? Por ejemplo en el Kindle son libros, pero en un móvil puede ser una cuenta de correo electrónico, que puede llevar a una cuenta bancaria. ¿Hacemos bien en suponer que los fabricantes van a ser buena gente y no van a hurgar en nuestra información privada?

Y otro problema a mayores: ¿hasta qué punto las leyes defienden la privacidad de los usuarios en los productos tecnológicos? No sólo en Internet, sino también en todo tipo de dispositivos del mundo real. En el caso de Amazon y el borrado de esos dos libros, ¿hasta qué punto se penará por la ley americana?

En Ars Technica indican las razones por las que Amazon se vio obligado a retirar los libros, y es que parece ser que no existen los derechos para publicar exactamente esos dos títulos bajo unas determinadas circunstancias, entre las que se encuentra Amazon.

Sea como fuere, ¿por qué Amazon decidió empezar a vender esos dos libros? Y mucho más importante, ¿qué culpa tienen los usuarios que los compraron, y por qué finalmente han sido ellos los perjudicados?

Ésto me recuerda, en cierto modo, a un muy curioso error de Dell en Taiwan, donde publicitaron monitores por 15 dólares dando como resultado unos cuantos millones de dólares en perdidas.

Acerca del caso Amazon, Enrique Dans ofrece un punto de vista a mi parecer muy acertado y preciso.

En Xataka | Amazon Kindle

Solo hay que echar la vista atrás para comprobar como muchas afirmaciones son risibles desde el primer instante. Cuando se presentaron los pasaportes con RFID en Estados Unidos se dijo que el gobierno Estadounidense ha informado que está intentando todo lo posible para evitar ataques piratas y fraudes, algo que no han conseguido.

Ya existían una serie de ataques teóricos sobre estos pasaportes, pero desde luego una demostración práctica siempre impacta mucho más que una teoría que no todo el mundo es capaz de comprender. Así que el vídeo que muestra como se ha conseguido debería dejar clara la falta de seguridad de esta tecnología, al menos tal como se ha implementado.

El problema ya no es que sea posible clonar las tarjetas RFID, sino que se puede hacer por muy poco dinero y a bastante distancia. Lo que ha demostrado Chris Paget es que con 250 dólares ha podido montar un sistema con el que puede leer el identificador RFID de los pasaportes a una distancia de 10 metros. De todos modos, es posible, con hardware más potente, leer estas etiquetas desde mucha más distancia, incluso a más de 1.5 kilómetros.

En el caso de los pasaportes en Estados Unidos (y en muchos otros sistemas que usan RFID) no se almacenan datos personales en el propio chip, sino que este solo incluye un número de identificación que, al ser leído por el ordenador, permite obtener el resto de información de una base de datos.

Por tanto, leer ese número no permite obtener información personal, pero si clonar el pasaporte. Se me ocurren varias formas de hacer “malezas” con eso, pero tampoco hay que ir muy lejos, puesto que ya hemos visto ejemplos de como esta tecnología ha sido subvertida en otras ocasiones.

Ya hace tiempo vimos un caso mucho más grave, en el que se consiguió leer tarjetas de crédito a distancia, obteniendo tanto el número de estas como la fecha de caducidad o el nombre del propietario. Y estos datos son utilizables inmediatamente por un posible atacante, con un pérdida no ya de privacidad, sino de dinero.

Otro ejemplo famoso en el que está involucrado el RFID son las tarjetas de transporte utilizadas en muchas ciudades. Un equipo de una universidad holandesa demostró como era posible clonar las Oyster Card, la tarjeta que se utiliza en el transporte público de Londres.

Las autoridades minimizaron este problema indicando que son capaces de detectar tarjetas clonadas y que, por tanto, solo serviría para viajar durante un día. Pero teniendo en cuenta que son sencillas de reprogramar, yo sigo viendo fallos de seguridad bastante grandes en el sistema.

A los problemas de que nos clonen la tarjeta se le suman los de privacidad, pues en el caso del metro de Londres podemos ver los últimos viajes hechos acercando la tarjeta a las máquinas de venta de billetes, algo muy sencillo si disponemos de una tarjeta clonada.

En la gran mayoría de los casos, el problema no está tanto en la tecnología RFID sino en la implementación criptográfica que se hace de ella. Los investigadores aseguran que la implementación hecha en sistemas como Mifare Classic, utilizando mucho para accesos a edificios y locales, es de juguete y que cualquiera puede romperla sin problemas.

Haciendo un paralelismo con las redes Wi-Fi, es evidente que las tecnologías inalámbricas tienen mayores potenciales vulnerabilidades, al no requerir acceso físico al medio (ya sea el cable de red o la tarjeta), por ello es necesario una mayor seguridad lógica.

En Wi-Fi, tras descubrirse que WEP era vulnerable se ha pasado a usar, en la mayoría de las ocasiones, WPA y otros sistemas más seguros. Algo similar es necesario hacer con las tecnologías RFID, que reportan ventajas evidentes, como una mayor facilidad y rapidez de uso, pero que es necesario que también aportan una buena seguridad. Sobre todo si está en juego nuestra privacidad y nuestro dinero.

Más información | Wired.
Más información | The Register.

Gran avance en la seguridad se está dando estos días en Gran Bretaña. Una empresa de las islas, en colaboración con la Agencia Espacial Europea, ha desarrollado una cámara espía que es capaz de determinar qué objetos llevamos debajo de la ropa pero sin atentar contra la privacidad de los usuarios y sin desvelar aspectos de su cuerpo. Un gran paso decimos porque se elimina la gran barrera respecto a este tipo de cámaras espía, y que era que dejaban desnudo ante la cámara al usuario.

La nueva cámara T5000 ha sido desarrollada por la empresa ThruVision y hace uso de los denominados rayos T, que emitimos los humanos y también los objetos, y que tienen muy baja potencia. Además, la huella de cada objeto o material es distinta, por lo que podemos distinguir por ejemplo harina de cocaína, lo que facilita mucho el trabajo de seguridad en zonas conflictivas.

La cámara T5000 lo que hace es detectar y recibir esos rayos T que emiten los objetos y procesarlos para identificar de manera inequívoca, eso dice el fabricante, la materia y objeto que se busca o que se quiere evitar.

Las aplicaciones de esta cámara es muy clara: aeropuertos, centros muy concurridos y cualquier lugar en el que se requiera control sobre qué objetos se introducen en ella y que se puedan considerar peligrosos.

Vía | Slashdot.
Más información| Networkworld.