Video: ¿Cómo mejorar la seguridad de la casa? (Noviembre 2024)
Instalaste ese paquete de seguridad para proteger tu computadora y tu privacidad, pero ¿qué le está informando a su creador? ¿Podría su suite en sí misma ser un riesgo de seguridad? Un par de revistas informáticas alemanas encargaban a AV-Comparatives que lo descubrieran. Sus resultados ahora están disponibles públicamente, y el informe es una lectura interesante.
Fuentes de datos
Para comenzar, los investigadores cargaron 21 conjuntos de seguridad populares en las PC de prueba y analizaron el tráfico de su red, observando exactamente qué datos se enviaron. El informe señala que "en algunos casos" los datos se cifraron, por lo que no pudieron leerlos. Así es como debería ser, pero implica que en otros casos los datos no se cifraron. Por desgracia, el informe no identifica cuáles eran.
También examinaron el Acuerdo de licencia de usuario final (EULA) y la política de privacidad suministrada con cada producto. Estos documentos deben explicar exactamente qué datos puede enviar el programa a su creador.
Como paso final, enviaron un cuestionario detallado a cada proveedor, aunque dieron a las otras dos fuentes de datos más peso que los resultados del cuestionario. El informe señala que, en algunos casos, los proveedores no respondieron preguntas particulares, por varias razones. "Entendemos que demasiada transparencia podría ser útil para los delincuentes", señaló el informe. "Por lo tanto, aceptamos que los proveedores no pueden proporcionarnos ninguna información que pueda comprometer la seguridad".
Que comparten
Existe una gran variación en la cantidad y el tipo de información compartida por los distintos proveedores. Todos ellos necesariamente comparten la versión del producto, para mantenerse actualizados, y eso es perfectamente razonable. Casi todos asignan a cada instalación un identificador único, por lo que pueden agregar información de una máquina específica sin identificar necesariamente al usuario.
Y, sin embargo, la información del sistema compartida por muchos de los productos podría identificar al usuario. Casi la mitad de los productos comparten el nombre de usuario de Windows, que en muchos casos es el nombre completo del usuario. Más de la mitad transmiten el nombre de la computadora. Hmm, tal vez no debería haber llamado a la mía "Computadora de Neil".
Muchas funciones de seguridad deben enviar información adicional sobre el uso de su computadora. Un producto cuyas características incluyen un verificador de vulnerabilidad necesariamente enviará los números de versión de los programas de terceros instalados, por ejemplo. Los componentes de protección contra phishing y control parental pueden transmitir cada URL que visite. Y cualquier antivirus que incluya un componente de detección basado en la nube tendrá que enviar hashes de archivos, o en algunos casos, archivos completos sospechosos.
Preguntas ardientes
Es concebible que las agencias gubernamentales puedan exigir a un proveedor de seguridad que entregue los datos que han recopilado sobre un usuario en particular. Diferentes jurisdicciones tienen diferentes leyes en esta área, por lo que saber dónde se almacenan los datos puede ser bastante importante. Nueve de los proveedores probados almacenan sus datos en la Unión Europea, siete en los Estados Unidos. La UE tiene leyes de privacidad más estrictas, por lo que esto es significativo. También hubo uno en Rusia (Kaspersky) y uno en Corea del Sur (AhnLab). Tres proveedores se negaron a indicar dónde se almacenan sus datos.
Aquí hay algo en lo que no había pensado. Es concebible que, bajo una orden judicial, un vendedor podría verse obligado a entregar una actualización "especial" a identificaciones de usuario específicas, tal vez para monitorear a sospechosos de terrorismo. 13 de los vendedores dijeron que no, nunca hacen esto. El resto se negó a responder, lo que es un poco desconcertante.
En verdad, su suite de seguridad necesita enviar bastante información a su base de operaciones para hacer su trabajo. El informe ofrece detalles completos sobre la recopilación de datos de cada proveedor. Lo más importante es que en realidad debería leer el EULA y la política de privacidad de su suite de seguridad, y optar por no recibir ninguna recopilación de datos que no sea necesaria para la seguridad. Para simplificar la comprobación de EULA, el informe concluye con enlaces EULA para los proveedores que los ponen a disposición en línea.
