Algo que en nuestros días debe preocupar a los clientes de servicios de Internet, es la protección de sus datos personales y la información que manejan los proveedores de servicios de Internet. Actualmente, la venta de nuestros datos personales es algo que preocupa y debemos vigilar. Pero, si hay alguien de quien nunca sospecharíamos es de la empresa con la que tenemos contratado el servicio de acceso a la red de redes.
Desde hace ya algún tiempo, investigadores de ciberseguridad están estudiando en profundidad el tema y tienen material suficiente para poder afirmar que ISPs (Internet Service Provider) de todo el planeta, están distribuyendo a espaldas de sus clientes datos de flujo de red o Netflow.
Es un secreto a voces que los proveedores de servicios de acceso a Internet ceden, por no pensar que la venden silenciosamente, información detallada sobre qué computadora se comunica con otra a distintas empresas privadas, que a su vez luego venderán el acceso a esos datos a una amplia variedad de terceros, según múltiples fuentes de la industria de inteligencia en ciberamenazas.
Entre otras razones, la motivación principal es para poder rastrear el tráfico a través de una VPN. Sorprende, dado que hasta la fecha quienes contratan los servicios de un proveedor de VPN (Virtual Private Network), lo hacen para proteger la privacidad en sus comunicaciones, por lo que a partir de ahora, ya tenemos razón suficiente para mostrar recelo, al menos, respecto con qué empresas contratamos estos servicios.
La información manejada, conocida como datos de flujo neto, supone una herramienta muy útil para los investigadores digitales. Ya que pueden usarlo para identificar los servidores utilizados por los piratas informáticos o para el seguimiento de datos robados. Pero, la venta de esta información todavía pone nerviosas a aquellas personas a las que les preocupa en qué manos pueda caer.
A un alto nivel, los datos de flujo de red facilitan una imagen del flujo y volumen del tráfico en una red. Puede mostrar entre otros, qué servidor se comunicó con otro, información que normalmente sólo debe estar disponible para el propietario del servidor o el ISP que transporta el tráfico.
Principalmente, estos datos se pueden utilizar por ejemplo, para rastrear el tráfico a través de redes privadas virtuales, utilizadas como ya se ha dicho para enmascarar desde dónde se conecta alguien a un servidor y su ubicación física aproximada, entre otra información.
Team Cymru, es una empresa especializada en inteligencia sobre amenazas y que trabaja con distintos ISP a nivel global, para poder acceder a esos datos de flujo de red. Keith Chu, director de comunicaciones de la oficina del senador Ron Wyden de los Estados Unidos, ha estado llevando a cabo sus propias investigaciones sobre la venta de datos confidenciales y asegura que Team Cymru le dijo a su oficina que «obtiene datos de flujo de red de terceros a cambio de inteligencia sobre amenazas». Por ello, la agencia de contrainteligencia americana, ha decidido comprar la información del tráfico de internet a nivel mundial a una empresa privada para evitar así la burocracia y tener que hacerlo legalmente.
En los Estados Unidos de América, existe la Ley de Libertad de Información [Freedom of Information Act (FOIA)], ley que brinda el derecho a acceder a la información del gobierno federal. Se suele describir dicha ley, como la ley que mantiene a los ciudadanos informados sobre su gobierno.
Las empresas que obtienen datos facilitados por el Team Cymru, incluyen a empresas de ciberseguridad contratadas para responder a violaciones de datos o cazar piratas informáticos de forma proactiva. En su sitio web , Team Cymru asegura que trabaja con equipos del sector público y privado para «ayudar a identificar, rastrear y detener a los malos actores tanto en el ciberespacio como en el terreno».
Pero, la pregunta que debemos hacernos es: ¿qué empresas u organismos de todo el planeta contratan los servicios de Team Cymru para los fines explicados? La respuesta es bien clara, cualquiera que pague por dichos servicios.
La venta continua de datos confidenciales podría presentar problemas de privacidad y seguridad, y lo destacable es que los ISP están proporcionando estos datos a gran escala a terceros, probablemente sin el consentimiento informado de sus propios usuarios.
Sobre otras empresas, como la empresa de ciberseguridad Palo Alto Networks, se ha podido saber que también tienen acceso a los datos de Netflow.
Aquellos clientes que contratan los servicios de Team Cymru u otras, pueden recavar un conjunto de datos y llevar a cabo consultas de manera efectiva en prácticamente cualquier IP, para atraer los flujos de red hacia y desde esa IP en un momento determinado. Keith Chu, declaró además que Team Cymru dijo que «restringe la cantidad de datos que se devuelven, de modo que cualquier cliente sólo pueda acceder a una pequeña porción de los datos de Netflow en su base de datos», ¿y con el resto de la información qué ocurre?
Entre los productos que Team Cymru ofrece a los usuarios, se encuentra la posibilidad de seguir el tráfico a través de VPN, que los atacantes pueden utilizar para cubrir sus huellas o gente común y empresas, para navegar por Internet de forma más privada, por lo que la esperada privacidad ya lo es menos.
Joseph Cox, a través del medio digital Vice, ya abrió en su día la Caja de Pandora dedicando un artículo a este asunto, llegando a dirigirse a la DCSA (Departament Counterintelligence and Security Agency), de los E. E. U. U., solicitando información respecto al amparo de la anteriormente mencionada Ley de Libertad de Información (FOIA) y cuya respuesta se puede consultar en el siguiente enlace.
Además, Joseph Cox en su propia web, relata con mayor detalle su investigación y argumentos, que pone a disposición de los lectores como servicio público.
Por lo tanto, una vez abierto el delicado debate, podemos tener cierta confianza depositada en la empresa proveedora de acceso a Internet o el proveedor del servicio de VPN, pero no tenemos garantías por escrito de cómo se van a tratar nuestros datos e información que manejamos a través de la red, ni a quienes se facilitará dicha información o bajo qué pretexto.
Una cosa es que llamemos a nuestro proveedor del servicio y le preguntemos, otra es que nos hayamos leído las condiciones del contrato y las aceptemos, porque de lo contrario no se nos facilitaría el servicio y otra muy distinta es, que se nos garantice con claridad y por escrito el derecho a la privacidad y seguridad de la información a la que accedemos o facilitamos a través de Internet, teniendo claro que nuestro proveedor del servicio nos va a proteger, como hasta ahora pensábamos que lo hacía.
STI 2020 ® 
Deja un comentario