El descubrimiento de contactos móviles permite a los usuarios de mensajería móvil conectarse cómodamente con las personas de su libreta de direcciones: los usuarios recién registrados pueden empezar a enviar mensajes instantáneos a los contactos existentes basándose en sus números de teléfono sin intercambiar información adicional como nombres de usuario o direcciones de correo electrónico. Algunos de los mensajeros móviles más populares del mundo (con miles de millones de usuarios) como WhatsApp realizan la detección de contactos cargando y almacenando regularmente las libretas de direcciones completas de los usuarios, mientras que otros mensajeros más preocupados por la privacidad, como Signal, sólo transfieren pequeñas cantidades de números de teléfono o dependen de hardware de confianza. Lamentablemente, la baja entropía de los números de teléfono indica que es factible invertir estos valores de hash y, por lo tanto, aunque todas las buenas intenciones, no se gana en privacidad. En una colaboración de investigación entre la Universidad Técnica de Darmstadt, la Universidad Técnica de Graz y la Universidad de Würzburg, mostramos que los servicios de descubrimiento de contactos actualmente desplegados amenazan gravemente la privacidad de los usuarios. La filtración de gráficos sociales a través de proveedores de servicios "curiosos" o comprometidos Revelar esencialmente todos los contactos personales a un proveedor de servicios es un riesgo significativo para la privacidad y un desafío legal, ya que del gráfico social de los usuarios se puede inferir una variedad de información personal. Lo que es más importante, las relaciones de contacto sensibles pueden darse a conocer y podrían utilizarse para estafar, discriminar o chantajear a los usuarios, dañar su reputación o convertirlos en el blanco de una investigación. Los proveedores de servicios también podrían verse comprometidos o forzados por los organismos gubernamentales a entregar datos, lo que daría lugar a la exposición de esa información sensible. Al instalar un mensajero móvil, los usuarios también ponen en peligro la privacidad de las personas que ni siquiera están conectadas al servicio concreto al transmitir su información de contacto sin consentimiento. Un ejemplo ilustrativo de una grave violación de la privacidad puede verse en el caso de WhatsApp, que fue adquirido por Facebook en 2014 y compartió su base de datos con la empresa matriz: Los usuarios de Facebook recibieron recomendaciones de amigos de extraños que por casualidad veían a los mismos psiquiatras. Fuga de datos (meta) personales mediante ataques de rastreo Los usuarios maliciosos o los hackers también podrían estar interesados en extraer información sobre otros. Entre los ejemplos de datos personales (meta) que se suelen almacenar en el perfil de mensajero de un usuario figuran la(s) foto(s) de perfil, el apodo, el mensaje de estado y la última vez que el usuario estuvo en línea. Al hacer un seguimiento de esos datos a lo largo del tiempo, es incluso posible construir modelos de comportamiento precisos. Comparar las cuentas con otras redes sociales y fuentes de datos disponibles públicamente permite a terceros construir perfiles extremadamente detallados. Desde una perspectiva comercial, tal conocimiento puede ser utilizado para publicidad dirigida o estafas. Los individuos viciosos podrían además abusar de dicha información para discriminar, chantajear o planear un crimen, mientras que los estados nacionales podrían estar interesados en vigilar de cerca o perseguir a los ciudadanos. Incluso el mero hecho de que un número de teléfono específico esté registrado en un determinado servicio de mensajería puede ser delicado en muchos sentidos, especialmente cuando puede estar vinculado a una persona. Por ejemplo, en las zonas en que algunos servicios están estrictamente prohibidos, los ciudadanos que desobedecen pueden ser identificados y perseguidos. Las bases de datos exhaustivas de números de teléfono registrados en un servicio determinado pueden permitir a los atacantes causar daños a mayor escala, por ejemplo, distribuyendo mensajes comprometidos para explotar rápidamente las vulnerabilidades de seguridad en las aplicaciones de mensajería. Dado que no existen restricciones dignas de mención para registrarse en los servicios de mensajería, cualquier tercero puede crear un gran número de cuentas para rastrear la base de datos de usuarios de un mensajero en busca de información, solicitando datos de números de teléfono elegidos (al azar). Esos ataques de enumeración no pueden prevenirse totalmente, ya que los usuarios legítimos deben poder consultar la base de datos en busca de contactos. En la práctica, la limitación de las tasas es una medida bien establecida para mitigar eficazmente esos ataques en gran escala, y cabe suponer que los proveedores de servicios aplican límites razonables para proteger sus plataformas. Nuestro trabajo hacia el descubrimiento de contactos privados móviles En nuestra línea de trabajo, demostramos la gravedad de las amenazas a la privacidad descritas anteriormente en los métodos de descubrimiento de contactos actualmente desplegados. Además, proponemos contramedidas adecuadas para combatir eficazmente los ataques de rastreo y presentamos protocolos criptográficos eficientes para realizar de forma privada el descubrimiento de contactos móviles, revelando al mismo tiempo la menor cantidad de información posible. Abuso a gran escala del descubrimiento de contactos móviles [HWSDS21] Nuestro estudio de tres mensajeros móviles populares (WhatsApp, Signal y Telegram) muestra que, contrariamente a las expectativas, los ataques a gran escala son posibles. Utilizando una base de datos precisa de prefijos de números de teléfonos móviles y muy pocos recursos, hemos consultado el 10% de los números de teléfonos móviles de EE.UU. para WhatsApp y el 100% para Signal. En el caso de Telegram, descubrimos que su API expone una amplia gama de información confidencial, incluso sobre números no registrados en el servicio. Presentamos interesantes estadísticas de uso (cross-messenger), que también revelan que muy pocos usuarios cambian la configuración de privacidad predeterminada (que en la mayoría de los casos no es en absoluto respetuosa con la privacidad). En cuanto a las mitigaciones, proponemos técnicas novedosas para limitar significativamente la viabilidad de nuestros ataques de rastreo, especialmente un nuevo esquema de descubrimiento de contactos incrementales que mejora estrictamente el enfoque de Signal. Además, mostramos que los protocolos de descubrimiento de contactos basados en hash actualmente desplegados se rompen gravemente al comparar tres métodos para la inversión eficiente de hash de los números de teléfono móvil. Para ello, también proponemos una construcción de la mesa de arco iris significativamente mejorada para los insumos no distribuidos uniformemente que es de interés independiente. Todos nuestros métodos pueden invertir el hash de los números de teléfonos móviles en milisegundos. Divulgación responsable Demostramos métodos que permiten invadir la privacidad de miles de millones de usuarios de mensajería móvil utilizando muy pocos recursos. Por lo tanto, iniciamos el proceso oficial de divulgación responsable con todos los mensajeros que investigamos (WhatsApp, Signal y Telegram) y compartimos nuestros hallazgos para evitar la explotación por parte de imitadores malintencionados. Como resultado, WhatsApp ha mejorado sus mecanismos de protección de forma que se puedan detectar los ataques a gran escala, y Signal ha reducido el número de posibles consultas para complicar el rastreo. Telegram respondió a nuestra revelación responsable elaborando medidas adicionales de contramedidas de rastrillaje de datos más allá de los límites de la tasa detectada por nosotros. Supuestamente se activan cuando los atacantes utilizan las bases de datos existentes de números de teléfono activos y se producen tasas de conversión más altas que las nuestras. Intersección de conjunto privado eficiente (PSI) para descubrimiento de contacto móvil [KRSSW19] El enfoque actualmente más prometedor para realizar el descubrimiento de contactos en forma privada sin depender de hardware confiable se basa en protocolos criptográficos para la intersección de conjuntos privados (PSI). Esos protocolos permiten a los usuarios y a los proveedores de servicios encontrar contactos coincidentes sin revelar ninguna información sobre entradas no relacionadas en las libretas de direcciones de los usuarios o las bases de datos de usuarios de los proveedores de servicios. Lamentablemente, incluso en un modelo de seguridad débil en el que se supone que los clientes siguen el protocolo con honestidad, los protocolos y las implementaciones anteriores resultaron estar lejos de ser prácticos cuando se utilizaron a escala. Ello se debe a su gran complejidad de cálculo y/o comunicación, así como a la falta de optimización para los dispositivos móviles. En nuestra labor, eliminamos la mayoría de los obstáculos para el despliegue mundial a gran escala mejorando significativamente dos protocolos prometedores de Kiss y otros (PoPETS'17) y permitiendo al mismo tiempo la utilización de clientes malintencionados y proporcionando implementaciones optimizadas para los dispositivos móviles. Nuestro protocolo más rápido verifica en privado 1000 contactos de clientes contra una base de datos a gran escala con 250 millones de entradas en sólo 2,92s medidos en un smartphone a través de una conexión WiFi real y 6,53s a través de LTE. Resumimos las amenazas a la privacidad abordadas por el descubrimiento de contactos móviles y explicamos los detalles sobre nuestros protocolos PSI en un vídeo fácilmente comprensible e ilustrativo en YouTube. https://contact-discovery.github.io/ -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org