¿Dónde estaríamos sin una buena historia del cibercrimen de Bollywood? Esta semana es solo la punta del iceberg. Los estudiantes de Minnesota y los trabajadores públicos de California se tambalean después de los grandes ataques de ransomware, el Departamento de Justicia está rechazando a los demócratas que quieren echar un vistazo a su investigación sobre Donald Trump, y el FBI admite que ha estado comprando los datos de ubicación de los estadounidenses.
Aquí está el video destacado de esta semana de los momentos más importantes, exasperantes y completamente extraños en la política tecnológica.
Los gigantes tecnológicos y sus abogados están levantando las cejas del techo esta semana luego de un fallo de la Corte Suprema de Illinois. White Castle, sí, ese White Castle, hogar de las hamburguesas microscópicas conocidas como “deslizadores”, podría estar en el gancho por el sumo realmente alarmante de $ 17 mil millones por recopilar datos biométricos de los trabajadores.
La Ley de privacidad de la información biométrica (BIPA) de Illinois ha sido una ley modelo para los activistas que buscan responsabilizar a las principales plataformas web por la recopilación y el intercambio fortuitos de información personal de los usuarios. Desde 2008, la BIPA, asediada por la industria, se ha convertido en el objetivo de los esfuerzos de desregulación, al tiempo que ha provocado casi 1600 juicios contra empresas de todos los tamaños. Permite a los residentes demandar por $1,000 por infracción (y $5,000 si fue intencional).
Entra en el Castillo Blanco. El proveedor de Crave Case obligó a casi 9500 trabajadores a escanear las huellas dactilares de la empresa cada vez que un trabajador marcaba el reloj o recogía un talón de pago, sin obtener el consentimiento de esos empleados. El tribunal superior de Illinois falló en contra de White Castle el mes pasado, poniéndolos en el gancho por daños y perjuicios. BIPA no contiene un estatuto de limitaciones, y después de una aclaración de la corte esta semana de que cada instancia de toma de huellas dactilares cuenta como una violación, el cargo total podría ascender a $ 17 mil millones en daños, una suma que un juez disidente llamó ” responsabilidad aniquiladora”.
Un grupo católico de derecha llamado Catholic Laity and Clergy for Renewal gastó $ 4 millones en la compra de datos de aplicaciones para rastrear y vigilar a los sacerdotes homosexuales en los EE. UU., y luego apuntó a uno para sacarlo. El grupo compró datos de intercambio de anuncios de corredores, que se originaron en sitios de “citas” o encuentros como Grindr, Scruff, Growlr, Jack’d y OKCupid. Luego, “cotejaron los datos de ubicación de las aplicaciones y otros detalles con las ubicaciones de las residencias de la iglesia, los lugares de trabajo y los seminarios para encontrar clérigos que supuestamente estaban activos en las aplicaciones”. Todas las aplicaciones le dijeron al Washington Post que ya no comparten el tipo de datos de ubicación específicos que adquirieron los grupos.
Los datos de salud de cientos de miembros del Congreso y del personal del Capitolio quedaron expuestos en un hackeo masivo el miércoles cuando se violó el mercado de seguros de salud de Washington, DC. La Policía del Capitolio de EE. UU. y el FBI alertaron al director administrativo de la Cámara de Representantes en una carta, informa NBC News, aunque el ataque también afectó a las oficinas del Senado. Los datos robados incluían “los nombres completos, la fecha de inscripción, la relación (propio, cónyuge, hijo) y la dirección de correo electrónico, pero ninguna otra información de identificación personal (PII)”. El FBI está investigando.
Un pirata informático llamado Medusa ha amenazado con divulgar documentos confidenciales si las escuelas públicas de Minnesota se niegan a pagar $ 1 millón en rescate antes del Día de San Patricio. Hace dos semanas, el ciberdelincuente cerró el sistema de TI de la burocracia escolar y esta semana reapareció en un video de 51 minutos, recorriendo un tesoro de datos personales robados de las escuelas: formularios de impuestos de empleados, retiros de HSA, contratos con proveedores, currículos de solicitantes de empleo, una carta a los padres de un estudiante sobre la suspensión de su hijo. Mientras tanto, miles de empleados y residentes de Oakland, California, tuvieron datos personales expuestos en un ataque de ransomware no relacionado esta semana que cerró temporalmente los sistemas del gobierno municipal.
Después de desenterrar los detalles fiscales y falsificar documentos financieros, un equipo de estafadores ahora está bajo arresto en India por dar un paseo financiero con tarjetas de crédito falsas obtenidas a nombre de varias estrellas de Bollywood. La empresa defraudada logró atrapar a los cinco estafadores, quienes rápidamente detallaron el método del hackeo, pero no antes de que lograran gastar aproximadamente $26,000.
El FBI afirma que ha habido una “disminución significativa” en la cantidad de veces que se ha dirigido a los datos de los estadounidenses con registros e incautaciones sin orden judicial en virtud de sus poderes FISA de la Sección 702. Pero no hay forma de verificar esa afirmación, que se vuelve más difícil de acreditar cuando el Departamento de Justicia amordaza a Twitter, como lo hizo esta semana con un fallo de la corte de apelaciones que impide que el sitio informe al público cuando los federales exigen datos de los usuarios.
Un fallo judicial aparentemente insignificante, que impide que Twitter revele cuándo los federales exigen datos de los usuarios, podría dar el golpe de gracia a la privacidad digital de los estadounidenses.
No pierda el foco aquí: este fallo aparentemente insignificante, a menos que se apele con éxito, da el silencioso golpe de gracia a la privacidad digital de los estadounidenses. Establece un precedente peligroso que podría socavar los informes anuales de transparencia de todos los sitios web y aplicaciones. Esos informes, que generalmente detallan el número de demandas de agencias de espionaje que recibió un sitio y el número al que respondió, representan una victoria duramente ganada por los activistas de la privacidad y, a menudo, son el único ojo de la cerradura que permite al público ver si un sitio en particular (y el propio datos individuales) está siendo atacado en secreto.
Empresas enteras detrás de aplicaciones y servicios web centrados en la privacidad en los EE. UU., como VPN, administradores de contraseñas, plataformas de mensajería segura y proveedores de correo electrónico privado, pueden vivir y morir según estos informes anuales de transparencia. Estos informes también son los que permitieron a Alfred Ng de Politico informar esta semana sobre el fuerte aumento en las solicitudes de las fuerzas del orden público de imágenes de vigilancia de Amazon Ring:
Después de las preocupaciones de activistas y legisladores sobre el papel de Ring en la vigilancia comunitaria, la empresa comenzó en 2020 a publicar un informe de transparencia sobre las solicitudes de aplicación de la ley que recibe.
El informe muestra que el número de órdenes de allanamiento que recibe ha crecido significativamente cada año. Recibió 536 órdenes de registro en 2019, el primer año cubierto por el informe. En el primer semestre de 2022 recibió 1.622 solicitudes.
Esto en cuanto a “disminuciones significativas”.
Si el Congreso renovará o no la Sección 702 de FISA está actualmente en debate. Pero esta semana, el senador Mark Warner, D-Va., ató su destino a si el DOJ estaba dispuesto o no a entregar información sobre los archivos encontrados en las casas de Donald Trump y Mike Pence. Pero esa información, como dijeron los funcionarios de la administración a Gang of Eight, está protegida como parte de una investigación abierta. Esa es la misma línea que el DOJ les está dando a los republicanos de la Cámara de Representantes pro-Trump que están ansiosos por ver las tarjetas de los investigadores a través de las citaciones del Comité de Supervisión.
“Esta relación de confianza tiene que ir en dos sentidos”, dijo Warner, según informó el New York Times. “Ese no es el tipo de colaboración y cooperación que esperamos, y atará y restringirá nuestra capacidad para establecer el tipo de relación de confianza con los que no son miembros de este comité en temas como el 702”.
Pero, ¿quién necesita la autoridad secreta de búsqueda e incautación de la Sección 702 cuando simplemente puede comprar los datos sin una orden judicial? Después de todo, eso es exactamente lo que el FBI admitió haber hecho esta semana.
Entonces: “Disminuciones significativas” en qué ¿exactamente?
Tenemos un empate para el momento tecnológico más atroz de la semana, y los odio a ambos por igual.
El martes pasado, la pandilla rusa de ransomware BlackCat publicó fotos en línea de tres pacientes con cáncer que recibían tratamiento de radiación y siete documentos que contenían información del paciente. Los datos de los pacientes fueron robados durante el ataque del grupo en febrero a una red de hospitales de Pensilvania que se negó a pagar el rescate. La red de salud dijo que continuaba cooperando con la investigación policial. Los ataques cibernéticos a hospitales han aumentado considerablemente, particularmente en Europa, donde esta semana la policía alemana y ucraniana arrestó a un grupo de ransomware en una redada de alto perfil.
La startup de salud mental sin fines de lucro Koko buscó adolescentes y adultos jóvenes en riesgo en Facebook, Tumblr y otras plataformas. Esas plataformas se asociaron con Koko, y cada vez que el algoritmo de Koko detectaba lenguaje “relacionado con la crisis” sobre depresión o suicidio, la plataforma canalizaba a esos usuarios al chatbot de Koko. El chatbot recopiló datos de los adolescentes haciéndoles preguntas personales, lo cual se le permitió porque el experimento se llevó a cabo como “investigación de sujetos no humanos”.