![[Índice de la sección]](/graphics/icons/side-menu.png "Índice de la sección"){kind=icon}
/ Malware en
el software privativo / Por producto /
/ Malware en
el software privativo / Por producto /
El software que no es libre (privativo) a menudo es malware (diseñado para maltratar a los usuarios). El software que no es libre está controlado por quienes lo han desarrollado, lo que los coloca en una posición de poder sobre los usuarios; esa es la injusticia básica. A menudo los desarrolladores y fabricantes ejercen ese poder en perjuicio de los usuarios a cuyo servicio deberían estar.
Habitualmente, esto suele realizarse mediante funcionalidades maliciosas.
Si conoce algún otro ejemplo que debería mencionarse en esta página, escríbanos por favor a <webmasters@gnu.org>. Incluya la URL de una o más referencias confiables que justifiquen su inclusión.
La mayoría de los dispositivos listados aquí están «conectados»: tratan de comunicarse a través de internet con alguien (normalmente una compañía) distinto del propietario nominal. Tales aparatos son intrínsecamente indignos de confianza. Sea cual sea la compañía en cuestión, nunca se le debería conceder tanta confianza.
Los aparatos de los que nos ocupamos contienen software, casi siempre software que no es libre. Es razonable considerar este software como equivalente a un conjunto de circuitos, siempre y cuando nunca se modifiquen (tampoco si al cambio se le llama «actualización»).
En un aparato conectado es difícil asegurar que el software no sufrirá ningún cambio. Normalmente, un aparato conectado suele tener una puerta trasera universal: un mecanismo que permite a la compañía sustituir a distancia, a través de internet, el software presente en él. Algunos aparatos pueden ser una excepción, pero nunca podemos verificar si un aparato lo es. De modo que nunca podemos estar seguros de que ese software no será modificado.
En la práctica, esas «actualizaciones» pueden considerarse sabotaje. Supongamos, por ejemplo, que su impresora admite cartuchos de terceros. No puede estar seguro de que cualquier día su fabricante no instale código malicioso para rechazarlos. Con un aparato conectado es lo que cabe esperar.
El fabricante puede tratar de justificar esas «actualizaciones» en nombre de la «seguridad». Usted puede replicarle: «¿La seguridad de quién? ¿Seguridad para mí o para el fabricante contra mí?». Si es el fabricante el que escribe el software, en la práctica aplicará la seguridad para sí mismo frente a los clientes.
Aun sin cambiar el código presente en el dispositivo, la compañía puede utilizar la «conexión» para hacerle cosas perjudiciales; por ejemplo, espiarle a usted, a su familia y a sus invitados, o hacer que deje de funcionar.
La manera segura de evitar abusos de este tipo consiste en bloquear la comunicación del aparato a través de internet con nada que no sea su propio ordenador. (Puede hacer su ordenador más seguro utilizando en él exclusivamente software libre).
En un mundo ideal, los aparatos contendrían exclusivamente software l00% libre, de manera que nuestra comunidad podría corregir cualquier problema que el software pudiera tener. El software libre nos obedecería a nosotros , no a las empresas. Ese software no permitiría a nadie modificarlo sin introducir la contraseña que eligiera el propietario.
Canon impide a sus clientes utilizar una de sus cámaras como webcam a menos que creen una cuenta en los servidores de la compañía y abonen una suscripción adicional. Esta práctica injusta podría eliminarse si el firmware de la cámara fuera libre.
La compañía que fabrica el moisés «inteligente» Snoo ha puesto bajo pago sus funciones más avanzadas. Este inesperado cambio afecta principalmente a los usuarios que recibieron el aparato como regalo o lo adquirieron de segunda mano suponiendo que dispondrían de todas esas funciones, como venía siendo hasta entonces. Este es otro ejemplo del comportamiento marrullero de ciertos desarrolladores de software privativo, que se aprovechan de su poder sobre los usuarios para cambiar las reglas a su antojo.
Otra característica perversa del Snoo es el hecho de que los usuarios se ven obligados a crear una cuenta en la compañía, que de ese modo tiene acceso a sus datos personales, ubicación (SSID), registros del aparato, etc., así como a las notas manuales acerca del historial del niño.
Las cámaras de vigilancia instaladas por el gobierno A para que vigilen para él, pueden estar también vigilando para el gobierno B. Esto se debe a que A instala un producto hecho por B con software no libre.
(Advierta que este artículo emplea mal la palabra «hack» cuando a lo que se refiere es a «romper las medidas de seguridad».)
En Australia, la gente da por sentado que «inteligente», con relación a un dispositivo, significa «vinculado a un servidor». Cuando el servidor se cae todos los dispositivos vinculados a ese servidor quedan inutilizables.
Esto se añade a las fechorías que los dispositivos vinculados cometen cuando «funcionan» normalmente, tales como registrar las órdenes enviadas al dispositivo y los resultados que arroja.
Los usuarios inteligentes saben bien que hay que evitar los dispositivos vinculados a un servidor.
El Grupo Chamberlain impide a los usuarios utilizar software de terceros con sus sistemas de apertura de puertas de garaje. Este es un ataque deliberado contra el uso de software libre. La aplicación móvil privativa oficial está ahora infestada de anuncios, que incluyen la venta dirigida de sus otros servicios y dispositivos.
Philips Hue, el producto de domótica más extendido en Estados Unidos, planifica obligar en breve a los usuarios a ingresar en el servidor de las aplicaciones para poder regular una bombilla o utilizar otras funciones, lo que equivale a un acaparamiento masivo de datos para rastrear a los usuarios.
Las cámaras de vigilancia/espionaje Google Nest están siempre vinculadas a servidores de Google, graban vídeo las 24 horas del día y son de suscripción, lo cual es una injusticia para quienes las utilizan. El artículo trata del aumento de precio de los «planes» que se pueden contratar con Google, que incluyen el almacenamiento de los vídeos en la «nube», una forma de referirse al ordenador de alguien diferente del usuario.
Se ha informado de que algunas impresoras 3D Bambu Lab comienzan a imprimir sin el consentimiento del usuario, debido a un mal funcionamiento de los servidores a los que están vinculadas. Esto ha ocasionado importantes daños.
Los coches autónomos de San Francisco graban vídeo continuamente utilizando cámaras internas y externas, y hay gobiernos que ya se han hecho clandestinamente con esos vídeos.
Como señala el Surveillance Technology Oversight Project (Proyecto de Control de la Tecnología de Vigilancia), «nos conducen directamente al autoritarismo». Debemos regular toda cámara que recoja imágenes que puedan utilizarse para rastrear a personas, a fin de asegurarnos de que no se utilizan con ese propósito.
HP vende impresoras que cuentan con una puerta trasera universal, y recientemente la utilizó para sabotearlas a distancia instalando software malicioso. Ese malware hace que la impresora no funcione con cartuchos de tinta que no sean de HP, e incluso con cartuchos HP viejos que la empresa ahora diga que han «expirado». HP llama a la puerta trasera «seguridad dinámica», y tiene la desfachatez de afirmar que esa puerta trasera protege a los usuarios del malware.
Si usted posee una impresora HP que aún funciona con cartuchos que no sean HP, le instamos a que la desconecte de internet. Así se asegurará de que HP no la sabotee «actualizando» su software.
Advierta que el autor del artículo del Guardian repite crédulamente la afirmación de que la llamada «seguridad dinámica» protege a los usuarios frente al malware, sin reparar en que el artículo demuestra lo contrario.
El control de los termostatos Honeywell mediante su aplicación específica se ha demostrado poco fiable a causa de repetidos problemas de conexión con el servidor al que estos termostatos están vinculados.
B-CAS [1] es el sistema de gestión digital de restricciones (DRM) utilizado por las emisoras de televisión japonesas, incluida la NHK (televisión pública). Lo vende la compañía B-CAS, que tiene el monopolio de facto de ese sistema. Al principio estaba pensado para la televisión de pago, pero su uso se ha extendido a las emisiones digitales abiertas como medio para hacer efectivas las restricciones impuestas a las obras con copyright. El sistema encripta las obras que permiten su libre distribución al igual que cualquier otra obra, negando así a los usuarios sus teóricos derechos.
En la parte cliente, B-CAS está habitualmente implementado mediante una tarjeta que se inserta en un receptor compatible, o bien mediante una tarjeta sintonizadora que se inserta en un ordenador. Además de aplicar drásticas restricciones de copia y visionado, este sistema otorga a las emisoras un poder total sobre los usuarios, mediante puertas traseras, entre otras cosas. Por ejemplo:
Estas inaceptables restricciones llevan a una especie de juego del gato y el ratón en el que algunos usuarios tratan de sortear el sistema mientras que las emisoras tratan de impedírselo, sin mucho éxito: las claves criptográficas se han podido extraer mediante la puerta trasera de la tarjeta B-CAS y se han confeccionado tarjetas ilegales, además de un sintonizador para ordenadores que desactiva la señal de control de copia, que luego se han puesto en venta en el mercado negro.
Mientras que las tarjetas B-CAS se siguen utilizando en los equipos viejos, los modernos televisores de alta definición tienen una versión aún peor de este DRM (llamada ACAS) implementada en un chip especial incorporado al receptor. El chip puede actualizar su software desde los servidores de la compañía, incluso si el televisor está desconectado de internet o apagado (pero enchufado a la red eléctrica). Esto se puede utilizar para desactivar programas de televisión guardados con las que las autoridades no estén de acuerdo, vulnerando así la libertad de expresión.
Al ser parte del receptor, se supone que el chip ACAS está a salvo de manipulaciones. El tiempo lo dirá...
[1] Queremos dar las gracias al defensor del software libre que ha traducido este artículo del japonés y ha compartido con nosotros su experiencia con B-CAS. (Lamentablemente el artículo presenta el DRM como algo bueno.)
Algunas impresoras Epson están programadas para dejar de funcionar una vez han imprimido un número predeterminado de hojas, con el pretexto de que las almohadillas de impresión quedan saturadas de tinta. Esto constituye una inaceptable vulneración de la libertad de los usuarios de utilizar sus impresoras como deseen, y de su derecho a repararlas.
Los televisores «inteligentes» actuales empujan a la gente a someterse al rastreo a través de internet. Algunos no funcionan a menos que tengan la oportunidad de descargar software privativo. Además, están diseñados con obsolescencia programada.
Hewlett-Packard está implementando el DRM en sus impresoras para que dejen de funcionar si se utiliza tinta que no sea de su propia marca.
El fabricante de impresoras Dymo está ahora embebiendo DRM en los rollos de papel de sus etiquetadoras para que esas impresoras rechacen rollos de papel fabricados por otras compañías. Esto se consigue mediante una etiqueta RFID que registra el número de etiquetas que quedan en el rollo y bloquea la impresión cuando el rollo está vacío. Es un modo eficaz de impedir la reutilización del mismo RFID con un rollo de terceros.
Los fabricantes de televisores «inteligentes» espian a la gente utilizando varios métodos, y recopilan sus datos. Recogen datos de audio, vídeo y uso del televisor para trazar perfiles de la gente.
NordicTrack, una compañía que vende máquinas de ejercicio que muestran vídeos restringe lo que la gente puede ver, y recientemente deshabilitó una funcionalidad antes operativa. Esto sucedió tras una actualización automática, lo que probablemente implica la presencia de una puerta trasera universal.
Los últimos televisores de Samsung tienen una puerta trasera que permite a Samsung inutilizarlos de forma remota.
La mayoría de los aparatos conectados a Internet que se encuentran en la lista «Privacidad no incluida» de Mozilla están diseñados para espiar a los usuarios, incluso cuando cumplen los «Estándares mínimos de seguridad» de Mozilla. El diseño inseguro del programa que se ejecuta en algunos de estos aparatos hace al usuario susceptible de ser espiado y también de ser presa de delincuentes informáticos.
Algunos enrutadores wifi Wavelink y JetStream contienen puertas traseras universales que permiten a usuarios no autentificados controlar no solo el enrutador, sino también cualquier dispositivo conectado a la red. Hay pruebas de que está vulnerabilidad está siendo aprovechada.
Si tiene intención de adquirir un enrutador, le exhortamos a que busque uno que funcione con software libre. Cualquier intento de introducir en él funcionalidades maliciosas (por ejemplo, mediante una actualización del firmware será detectado por la comunidad y corregido enseguida.
Si por desgracia posee un enrutador que funciona con software que no es libre, no se alarme. Puede sustituir su firmware con un sistema operativo libre como libreCMC. Si no sabe cómo hacerlo, puede pedir ayuda a algún grupo de usuarios de GNU/Linux cercano.
Las gafas «inteligentes» Focals, con micrófono a la escucha, han sido eliminadas. Google las ha eliminado al comprar al fabricante y hacerle cerrar. También ha cerrado el servidor del que dependían estos dispositivos, de modo que los que ya se habían vendido han dejado de funcionar.
Eliminar este dispositivo puede ser algo bueno (donde dice «inteligente», lea «espía»). Pero Google no lo ha hecho en aras de la privacidad, sino para acabar con un competidor de su propio producto espía.
El aparato de cocción al vacío Mellow está vinculado a un servidor. La compañía de improviso convirtió esa vinculación al servidor en una suscripción que prohíbe a los usuarios beneficiarse de las «funcionalidades avanzadas» del aparato a menos que paguen una tarifa mensual.
Los fabricantes de televisores pueden espiar lo que el usuario está mirando en cada segundo. Según la Video Privacy Protection Act (Ley de Protección de Privacidad de los Vídeos) de 1988, esto es ilegal, pero eluden la ley mediante acuerdos de licencia de usuario final.
Un desastroso fallo de seguridad afecta a millones de productos del Internet de las Trucosas.
A consecuencia de esto, cualquiera puede atacar al usuario, no solo el fabricante.
Wink comercializa un controlador «inteligente» para el hogar que está vinculado a un servidor. En mayo de 2020 exigió a los compradores que empezaran a pagar una cuota mensual por el uso de ese servidor. Debido a su vinculación con el servidor, sin él el controlador se vuelve inservible.
La aplicación del timbre de Amazon espía para Amazon y también para otras compañías.
A medida que la empresas tecnológicas añaden micrófonos a una amplia variedad de productos, incluidos frigoríficos y automóviles, crean también plantas de transcripción donde empleados humanos escuchan lo que la gente dice y corrigen los algoritmos de reconocimiento de voz.
El Amazon Ring, que está subordinado a un servidor, tiene una vulnerabilidad que permite a los atacantes acceder a la contraseña de la wifi del usuario y espiar en la casa a través de los dispositivos de vigilancia conectados a la red.
Conocer la contraseña de la wifi no sería suficiente para llevar a cabo ninguna vigilancia significativa si los dispositivos dispusieran de medidas de seguridad adecuadas, incluido el cifrado. Pero muchos dispositivos con software privativo carecen de ello. Por supuesto, también sus fabricantes los utilizan para espiar.
Best Buy produjo electrodomésticos controlables y luego cerró el servicio que permitía controlarlos.
Best Buy reconoció que al hacerlo estaba maltratando a los usuarios, y ofreció el reembolso de los aparatos afectados. No obstante, sigue siendo un hecho que vincular un dispositivo a un servidor es un modo de imponer restricciones y abusar de los usuarios. El software no libre en los dispositivos es lo que impide a los usuarios librarse de esa vinculación.
Los robots de juguete Jibo estaban conectados al servidor del fabricante. La empresa cerró el servidor e hizo que todos dejaran de funcionar.
Irónicamente, el cierre del servidor pudo ser beneficioso para los usuarios, ya que el producto estaba diseñado para manipular a la gente simulando emociones, y casi con toda seguridad los estaba espiando.
La cadena británica de supermercados Tesco vendía tabletas que tenían que conectarse a un servidor de Tesco para restaurar la configuración original. Tesco suspendió ese servicio para los viejos modelos, de modo que si alguien trata ahora de restaurar la configuración de fábrica, la tableta se vuelve inutilizable.
El protocolo de telemetría Conexus, de Medtronics, tiene dos vulnerabilidades que afectan a varios modelos de desfibriladores implantables y a los dispositivos a los que se conectan.
Este protocolo se ha estado utilizando aproximadamente desde 2006, y en 2008 se descubrieron vulnerabilidades similares en un protocolo de comunicaciones anterior de Medtronics. Es obvio que la compañía no hizo nada por solucionarlo. Esto significa que no se puede confiar en que los desarrolladores de software privativo arreglen los fallos de sus productos.
El videotimbre Ring está diseñado de tal modo que el fabricante (ahora Amazon) puede estar observando todo el tiempo. Ahora resulta que también cualquier otro puede observar e incluso falsear vídeos.
Es de suponer que la vulnerabilidad a terceros no es intencionada, e que Amazon lo solucionará. Pero contamos con que Amazon cambie el diseño que le permite observar.
Los cartuchos de HP por suscripción tienen un DRM que se comunica constantemente con los servidores de HP para asegurarse de que el usuario esté al día en el pago de la suscripción y no haya imprimido más páginas de aquellas por las que ha pagado.
Aun cuando con el programa de suscripción la tinta puede resultar más barata en algunos casos, se espía a los usuarios, y conlleva restricciones totalmente inaceptables con respecto al uso de cartuchos de tinta que de otro modo podrían seguir utilizándose.
Los dispositivos de «seguridad» Ring, de Amazon, envían la señal de vídeo que capturan a los servidores de Amazon, que la guardan durante largo tiempo.
En muchos casos el vídeo muestra a cualquiera que se acerque o simplemente pase al lado de la puerta de entrada del usuario.
El artículo hace hincapié en que Ring permitía a sus empleados ver libremente los vídeos. Al parecer Amazon ha tratado de evitar ese abuso adicional, pero espera que la sociedad se someta al abuso primordial (el hecho de que Amazon se hace con el vídeo).
Los televisores Vizio registran «todo lo que el televisor ve», palabras textuales del director técnico de la compañía, y estos datos se venden a terceros. Esto se hace a cambio de un «mejor servicio» (¿más anuncios intrusivos, quizás?) y ligeras rebajas de precios.
Lo que se supone que hace que este espionaje sea aceptable, según ellos, es que es una opción en los nuevos modelos. Pero dado que el software de Vizio no es libre, no sabemos qué sucede exactamente por detrás, y no hay garantía de que en las actualizaciones futuras no modifiquen la configuración del usuario.
Si ya posee un televisor Vizio «inteligente» (o cualquier televisor «inteligente», por cierto), la manera más sencilla de asegurarse de que no lo están espiando consiste en desconectarlo de Internet y utilizar una antena terrestre en su lugar. Otra opción, si tiene algunos conocimientos técnicos, es utilizar un enrutador propio (que podría ser un viejo ordenador que utilice únicamente software libre) y activar un cortafuegos que bloquee las conexiones a los servidores de Vizio. O, como último recurso, sustituir su televisor por otro modelo.
Casi todas las «cámaras de seguridad domésticas» proporcionan al fabricante una copia no encriptada de todo lo que ven. ¡Deberían llamarse «cámaras de inseguridad doméstica»!
Cuando Consumer Reports las sometió a examen, sugirió que los fabricantes prometieran no mirar el contenido de los vídeos. Eso no es seguridad para su hogar. Seguridad significa asegurarse de que no tienen acceso a lo que ve su cámara.
Los fabricantes de impresoras son muy innovadores a la hora de bloquear el uso de cartuchos de tinta no oficiales. Sus «actualizaciones de seguridad» imponen de vez en cuando nuevas formas de DRM. HP y Epson lo han hecho.
Los termostatos «inteligentes» Honeywell funcionan únicamente a través del servidor de la compañía. Poseen todas las características nocivas de ese tipo de dispositivos: vigilancia, y el peligro de sabotaje (contra un usuario en particular o contra todos los usuarios a la vez), como así también el riesgo de mal funcionamiento del servidor (que es lo que sucedió).
Además, para regular la temperatura deseada es necesario ejecutar software que no es libre. Con los termostatos tradicionales eso se puede hacer mediante teclas de control posicionadas en el termostato mismo.
Algunos investigadores han descubierto cómo ocultar las órdenes vocales en otras transmisiones de audio, de modo que resultan inaudibles para los seres humanos pero no para Alexa y Siri.
La pulsera de actividad Jawbone estaba vinculada a una aplicación telefónica privativa. En 2017 la compañía desapareció, haciendo que la aplicación dejara de funcionar. Todas las pulseras dejaron de funcionar para siempre.
El artículo hace hincapié en la perversa decisión de continuar vendiendo los dispositivos ya inutilizables. Pero creemos que esto es algo secundario: hizo que las consecuencias nocivas alcanzaran a algunas personas más. Lo realmente grave fue diseñar los dispositivos de manera que tuvieran que depender de algún otro que no respeta la libertad de los usuarios.
Una empresa de seguros médicos ofrece gratuitamente cepillos de dientes electrónicos que espían a los usuarios enviando datos de uso por Internet.
Algunos televisores «inteligentes» cargan actualizaciones regresivas que instalan una aplicación de vigilancia.
Enlazamos el artículo por los hechos que presenta. Es una pena que al final el artículo aconseje rendirse a Netflix. La aplicación de Netflix es también software malicioso.
Los dispositivos de Apple atan a los usuarios a los servicios de Apple en exclusiva, al estar diseñados para ser incompatibles con cualquier otra opción, sea ética o no.
Uno de los peligros del «Internet de las Trucosas» es que si se pierde la conexión a Internet, también se pierde el control de la casa y aparatos domésticos.
Por el bien de su seguridad, no utilice aparatos conectados a Internet.
Recientemente Amazon embaucó a los consumidores para que permitieran al personal de la compañía abrir la puerta de entrada de sus casas. Por si no lo sabía, el sistema tiene un grave fallo de seguridad.
Se descubrió que un juguete erótico de control remoto registraba la conversación entre los dos usuarios.
Logitech saboteará todos los dispositivos de control doméstico Harmony Link cerrando el servidor mediante el cual los supuestos propietarios se comunican con sus productos.
Los propietarios sospechan que es una forma de presionarlos para que compren un modelo más reciente. Si son sensatos aprenderán más bien a desconfiar de cualquier producto que requiera que los usuarios se comuniquen con él a través de algún servicio especializado.
Sony ha reintroducido su mascota robótica Aibo, esta vez incluyendo una puerta trasera universal y haciéndolo dependiente de un servidor que requiere suscripción.
La cámara de vigilancia doméstica Canary ha sido saboteada por su fabricante, desactivando muchas funcionalidades a menos que el usuario pagara una suscripción.
Con fabricantes como estos, ¡qué más intrusos puede haber!
Los compradores deberían aprender la lección y rechazar aparatos conectados que contengan software privativo. Cualquier producto de ese tipo es una tentación para cometer sabotaje.
Toda cámara de «seguridad doméstica» es un dispositivo de vigilancia si su fabricante puede comunicarse con ella. La cámara Canary es un ejemplo.
Ese artículo describe iniquidades cometidas por el fabricante, basadas en el hecho de que el dispositivo está subordinado al servidor.
Más ejemplos de subordinación a un servidor en el software privativo.
Pero también demuestra que el dispositivo otorga a la compañía la capacidad de vigilar.
Una bomba intravenosa «inteligente» para hospitales está conectada a internet. Naturalmente, su seguridad ya ha sido burlada.
(En ese artículo se utiliza erróneamente el término «hackers» para referirse a los «crackers».)
El sistema de seguridad deficiente de muchos de los aparatos que funcionan en el Internet de las Trucosas permite que los proveedores de los servicios de internet espíen a quienes los usan.
No sea ingenuo, rechace todas las trucosas.
(Lamentablemente, en al artículo se utiliza el término «monetizar».)
Sonos dijo a sus clientes que dieran su consentimiento para ser espiados o el producto dejaría de funcionar. Otro artículo señala que no cambiarán el software de manera forzosa, pero que así los clientes no podrán obtener ninguna actualización y al final el aparato dejará de funcionar.
Cuando usted usa un drone DJI para espiar a la gente, en muchos casos el DJI lo espía a usted.
Muchos modelos de cámaras conectadas a Internet son sumamente inseguras. Tienen cuentas de acceso con contraseñas codificadas de forma fija que no pueden cambiarse, y tampoco hay forma de borrar esas cuentas.
El código privativo que hace funcionar a los marcapasos, bombas de insulina y otros dispositivos médicos está repleto de graves fallos de seguridad.
Una empresa creó pájaros y conejos de compañía para Second Life e hizo que su alimento dependiera de un servidor. Cerraron el servidor y los animales murieron, o algo parecido.
Los usuarios están llevando a Bose a los tribunales por distribuir una aplicación espía para sus auriculares. Concretamente, la aplicación grabaría los nombres de los archivos de audio que se escuchan, asociándolos al número de serie individual de los auriculares.
Se acusa a Bose de haberlo hecho sin el consentimiento de los usuarios. Si la letra pequeña de la aplicación dijera que los usuarios dan su consentimiento, ¿sería aceptable? ¡De ninguna manera! Debe ser completamente ilegal diseñar la aplicación para cualquier forma de espionaje.
Anova saboteó los robots de cocina de los usuarios con una actualización regresiva que los vinculaba a un servidor. A menos que los usuarios crearan una cuenta en los servidores de Anova, los aparatos dejarían de funcionar.
Cuando el lavavajillas desinfectante Miele que se usa en los hospitales se conecta al Internet de las Trucosas, su seguridad es pura basura.
Por ejemplo, un delincuente informático puede acceder al sistema de archivos del lavavajillas, infectarlo con malware, y hacer que la máquina lance un ataque a los otros dispositivos conectados a la red. Dado que estos lavavajillas se usan en los hospitales, tales ataques podrían poner en riesgo las vidas de cientos de personas.
Un vibrador computarizado espiaba a los usuarios a través de la aplicación privativa de control.
La aplicación informaba de la temperatura del vibrador minuto a minuto (por lo tanto, si se encontraba o no cerca de un cuerpo humano), como así también la frecuencia de vibración.
La solución que se propone es totalmente inadecuada. Se propone una norma de etiquetado que obligaría a los fabricantes a hacer declaraciones sobre sus productos, en lugar de software libre que los usuarios podrían verificar y cambiar.
La empresa que fabricó el vibrador fue demandada por recoger gran cantidad de información personal de la gente que lo usaba.
La compañía declaró que anonimizaba los datos, y puede que sea cierto, pero eso no es lo realmente importante. Si los hubiese vendido a una empresa de datos, esa empresa podría haber descubierto la identidad del usuario.
Como resultado del juicio, se dispuso que la compañía pagara un total de 4 millones de dólares canadienses a sus clientes.
La CIA aprovechó vulnerabilidades existentes en teléfonos y televisores «inteligentes» para diseñar un software malicioso capaz de espiar mediante sus micrófonos y cámaras mientras parecían estar apagados. Puesto que este software espía capta las señales, sortea el encriptado.
Los juguetes «CloudPets» con micrófono revelan al fabricante las conversaciones de los niños. Y adivine qué... delincuentes informáticos encontraron la manera de acceder a los datos recogidos por el fabricante espía.
El hecho de que el fabricante y el FBI pudieran acceder a esas conversaciones fue de por sí inaceptable.
Si usted compra algo que supuestamente es «inteligente», como por ejemplo un automóvil, una casa, un televisor, un refrigerador, etc., por lo general los anteriores dueños siguen teniendo el control de manera remota.
Los televisores «inteligentes» Vizio informan de todo lo que se ve en ellos, no solo los programas de televisión general y de pago. Incluso si la imagen proviene del ordenador personal del usuario, el televisor informa sobre ella. El hecho de que exista una manera de desactivar la vigilancia, aun si esta opción no estuviera escondida como lo estaba en estos televisores, no legitima la vigilancia.
Un atacante podría convertir los sensores del Oculus Rift en cámaras de vigilancia, tras haber penetrado en el ordenador al que están conectadas.
(Desafortunadamente, el artículo emplea de forma impropia la palabra «hackers» para referirse a los crackers.)
Los equipos de realidad virtual, que registran cada mínimo movimiento, crean el potencial para una vigilancia lo más íntima posible. Todo lo que se necesita para hacer realidad ese potencial es software tan malicioso como muchos de los otros programas que se mencionan en esta página.
Podemos apostar que Facebook implementará la máxima vigilancia posible en los dispositivos Oculus Rift. La moraleja es: no confíe nunca en un sistema de realidad virtual que contenga software que no es libre.
El desarrollador de Ham Radio Deluxe saboteó la instalación de un cliente para castigarlo por publicar una reseña negativa.
La mayoría de las compañías de software privativo no utilizan su poder de manera tan hostil, pero es una injusticia que todas ellas tengan ese poder.
Los juguetes «inteligentes» My Friend Cayla y i-Que se pueden controlar a distancia con un teléfono móvil, no es necesario acceder físicamente. Esto permitiría a los delincuentes informáticos escuchar las conversaciones de los niños e incluso hablarles a través de los juguetes.
Esto significa que un ladrón podría, a través de los juguetes, pedirle al niño que abra la puerta de la casa mientras su mamá está distraída.
Una actualización regresiva del firmware de HP impuso el DRM en algunas impresoras, de modo que ahora dejan de funcionar con cartuchos de tinta de terceros.
Se ha desarrollado software para el secuestro de datos para un termostato que funciona con software privativo.
El sistema «Smart Home» de Samsung tiene un gran agujero de seguridad: puede ser controlado a distancia por personas sin autorización.
Samsung dice que se trata de una plataforma «abierta», por lo que los desarrolladores de aplicaciones son en parte los responsables del problema. Esto es claramente cierto en el caso de aplicaciones privativas.
Todo lo que incluye la palabra «inteligente» (smart) en el nombre con toda probabilidad está diseñado para engañar.
Se ha encontrado malware en las cámaras de seguridad que se venden en Amazon.
Si una cámara registra localmente en un soporte físico y no está conectada a una red, ésta no constituye peligro de vigilancia, ni por el hecho de que observa a las personas ni por la presencia de malware en la misma.
Revolv es un dispositivo que controlaba las operaciones de una «casa inteligente»: encender las luces, poner en funcionamiento los sensores de movimiento, regular la temperatura, etc. Su software privativo depende de un servidor remoto para llevar a cabo esas tareas. El 15 de mayo de 2016, Google/Alphabet lo dejó intencionadamente fuera de uso al cerrar el servidor.
Si fuera software libre, los usuarios tendrían la posibilidad de ponerlo de nuevo en funcionamiento, de manera diferente, y entonces tendrían una casa que respeta la libertad en lugar de una casa «inteligente». No permita que el software privativo controle sus dispositivos y los convierta en ladrillos de 300 dólares sin garantía. ¡Exija ordenadores autónomos que utilicen software libre!
Más de setenta cámaras de vigilancia conectadas a la red tienen fallos de seguridad que permiten que cualquiera pueda mirar a través de ellas.
La impresora 3D «Cube» fue diseñada con gestión digital de restricciones (DRM): no acepta consumibles de terceras partes. Es la Keurig de las impresoras. Esta impresora ha dejado de fabricarse, lo que significa que a la larga los consumibles autorizados no estarán disponibles, por lo que puede volverse inutilizable.
Con una impresora etiquetada como «Respeta Tu Libertad» (RYF), no existe la menor posibilidad de que esto suceda.
Es lamentable que el autor de ese artículo diga que no había «nada de malo» en diseñar el dispositivo con restricciones de uso. Es como ponerse en el pecho un cartel que diga «engáñame y maltrátame». Ya deberíamos saber que es necesario repudiar a todas las empresas que se aprovechan de las personas como él. De hecho, es esa aceptación de la injusticia lo que lleva a las personas a dejarse pisotear.
Las bombillas «inteligentes» de Philips fueron diseñadas al principio para interactuar con las bombillas inteligentes de otras compañías, pero posteriormente la compañía actualizó el firmware para anular la interoperabilidad.
Si un producto es «inteligente» y no lo ha hecho usted mismo, estará astutamente al servicio de su fabricante contra usted.
Algunos enrutadores D-Linktienen una puerta trasera que les permite cambiar las Preferencias.
La cámara «inteligente» Nest Cam observa siempre, incluso cuando el «propietario» la apaga.
Dispositivo «inteligente» significa que el fabricante lo utiliza para ser más astuto que usted.
El módem de cable ARRIS tiene una puerta trasera en la puerta trasera.
Algunos avisos publicitarios de la televisión y la web reproducen sonidos inaudibles que son capturados por el malware instalado en otros dispositivos que se encuentran en las mediaciones. Una vez que vuestros dispositivos conectados a Internet estén emparejados con vuestros televisores, los anunciantes pueden correlacionar los avisos con la actividad en la web, y también hacer el rastreo cruzado en diversos dispositivos.
Vizio va más allá que otros fabricantes de televisores en el espionaje de los usuarios. Sus televisores «inteligentes» analizan en detalle lo que usted tiene por costumbre mirar y lo vincula a su dirección IP, de modo que los anunciantes puedan rastrearlo en todos los dispositivos que usted usa.
Es posible desactivar esa función, pero el hecho de que esté habilitada en la configuración original es de por sí una injusticia.
La unión de Tivo con Viacom añade 2.3 millones de hogares a los 600 millones de perfiles de los medios sociales que la compañía ya monitoriza. Los clientes de Tivo no saben que los anunciantes los están vigilando. Combinando la información de lo que se mira en la televisión con la participación en los medios sociales, Tivo ahora puede relacionar los avisos televisivos con las compras en Internet, exponiendo así a todos los usuarios a una nueva vigilancia combinada de manera predefinida.
Los medidores de actividad física FitBit tienen una vulnerabilidad de Bluetooth que permite a un atacante enviar a un dispositivo malware que sucesivamente se puede propagar a otros medidores FitBit con los que interactúa.
Los discos duros «autoencriptables» encriptan los datos con firmware privativo, de modo que no se puede confiar. Los discos «My Passport" de Western Digital' tienen una puerta trasera.
Los televisores «inteligentes» de Vizio reconocen y rastrean lo que la gente mira, incluso cuando no se trata de un canal televisivo.
Debido a fallos de seguridad en una bomba de infusión en los hospitales, los delincuentes informáticos podrían utilizarla para matar a los pacientes.
La televisión por cable de Verizon husmea los programas que la gente mira, e incluso lo que quisieron grabar.
Un investigador de seguridad calificó a las bombas de infusión Hospira, que se usan para suministrar medicamentos a los pacientes, como los dispositivos IP menos seguros que jamás haya visto.
Dependiendo del tipo de medicamento que se administra, esta inseguridad podría permitir la perpetración de asesinatos.
Vizio utilizó una «actualización» de firmware para hacer que sus televisores espiaran lo que los usuarios veían. Los televisores no lo hacían cuando se vendieron.
Barbie espiará a adultos y niños.
El televisor «inteligente» Samsung transmite la voz de los usuarios en Internet a la compañía Nuance. Nuance la puede guardar, y luego tendría que entregarla a los Estados Unidos o algún otro Gobierno.
No se debe confiar en el reconocimiento vocal a menos que se haga con software libre en el propio ordenador del usuario.
En su declaración de privacidad, Samsung confirma explícitamente que los datos vocales que contienen información sensible serán transmitidos a terceros.
El televisor «inteligente» de Amazon espía todo el tiempo.
Casi todos los televisores «inteligentes» espían a los usuarios.
El informe es de 2014, pero nada nos hace suponer que esto haya mejorado.
Esto muestra que las leyes que requieren que los productos soliciten el consentimiento formal antes de recoger los datos personales son totalmente inadecuadas. ¿Y qué pasa si un usuario se niega a dar el consentimiento? Probablemente el televisor dirá: «Sin tu consentimiento para el rastreo, el televisor no funcionará».
Leyes adecuadas serían aquellas que impusieran que los televisores no puedan informar de lo que el usuario mira, ¡sin excepción!
Los termómetros Nest envían multitud de datos sobre el usuario.
LG deshabilitó funciones de red en televisores «inteligentes» adquiridos previamente, a menos que los compradores aceptaran que LG empezara a espiarlos y distribuir sus datos personales.
Código espía en los televisores «inteligentes» LG informa de lo que el usuario mira, y no se puede desactivar. (El hecho de que la transmisión devuelva un error 404 en realidad no significa nada, porque el servidor podría guardar los datos de todos modos).
Peor aún, husmea en los otros dispositivos de la red del usuario.
Luego LG declaró que había instalado un parche para solucionarlo, pero cualquier producto podría espiar de esa misma manera.
Sea como fuere, los televisores LG espían mucho de todos modos.
Muchos de los equipos en los hospitales tienen una seguridad deficiente que puede llevar a la muerte.
Algunas memorias flash contienen software modificable, lo que las hace vulnerables a los virus.
No consideramos esto como una «puerta trasera» porque es normal que se pueda instalar un nuevo sistema en un ordenador cuando se tiene acceso físico a él. Sin embargo, las tarjetas de memoria y los USB no deben admitir este tipo de modificación.
Unos terminales de puntos de venta que funcionan con Windows han sido atacados y convertidos en una botnet con el propósito de obtener los números de las tarjetas de crédito de los clientes.
Código espía en los televisores «inteligentes» LG informa de lo que el usuario mira, y no se puede desactivar. (El hecho de que la transmisión devuelva un error 404 en realidad no significa nada, porque el servidor podría guardar los datos de todos modos).
Peor aún, husmea en los otros dispositivos de la red del usuario.
Luego LG declaró que había instalado un parche para solucionarlo, pero cualquier producto podría espiar de esa misma manera.
Los DVD y los discos Blu-ray tienen DRM.
En esa página usan la misma cantinela de siempre a favor del DRM, como gestión digital de los «derechos» y «proteger», y afirman que los «artistas» (no las empresas) son los principales responsables de la inclusión del DRM en estos discos. No obstante, sirve de referencia a los hechos.
Todos los discos Blu-ray (salvo muy pocas, raras excepciones) tienen DRM; ¡no use los discos Blu-ray!
La FTC (Comisión Federal de Comercio, para la tutela del consumador) ha sancionado a una empresa por haber construido cámaras web con seguridad deficiente que permiten a cualquiera mirar a través de ellas.
Un programa privativo permite reescribir el software privativo reemplazable de algunos discos duros. Esto hace que cualquier sistema sea vulnerable a ataques persistentes que las herramientas de escaneo normales no detectarán.
Es posible matar a personas tomando el control de los implantes médicos por radio. Para más información, véase BBC News y el blog de IOActive Labs Research.
Las «casas inteligentes» resultan ser estúpidamente vulnerables a la intrusión.
Los «dispositivos de almacenamiento» de HP que utilizan el sistema operativo privativo «Left Hand» tienen puertas traseras que permiten a HP iniciar sesión de forma remota y acceder a ellos. HP sostiene que eso no le da acceso a los datos del cliente, pero si la puerta trasera permite la instalación de cambios en el software, podría instalar un cambio que diera acceso a los datos del cliente.
Los teléfonos VoIP TNP de Cisco son dispositivos para espiar.
Los televisores «inteligentes» de Samsung han convertido Linux en la base para un sistema tirano a fin de imponer el DRM. Lo que permite a Samsung hacer esto es que Linux está publicado bajo la versión 2 de la GPL de GNU, no la versión 3, interpretando además de manera laxa la versión 2 de la GPL.
Algunos delincuentes informáticos encontraron la manera de quebrar la seguridad de un televisor «inteligente» y, a través de la cámara, observar a la personas que miran la televisión.
Algunos televisores LG son tiranos.