Com ens espia la tecnologia més enllà d'escoltar-nos a través del mòbil
El Catalangate torna a posar en primer pla els habituals recels cap a la millor tecnologia d'espionatge mai creada: els nostres dispositius intel·ligents
"El Gran Germà et vigila." En les primeres pàgines de l'obra distòpica "1984", George Orwell descriu la telepantalla, una placa de metall capaç de "rebre i transmetre simultàniament". Una tecnologia de control que pot captar qualsevol so superior a un xiuxiueig i que ho veu tot, excepte en la foscor.
L'estremidor paral·lelisme de "1984" amb la capacitat tecnològica actual s'utilitza sovint, però, realment, es queda curt. El 1949 era difícil imaginar-se que tothom portaria a sobre una telepantalla, capaç d'emetre i rebre so, imatge, dades precises d'ubicació i velocitat, tot de manera constant, i que, a més, es faria per voluntat pròpia i no per imposició.
El desenvolupament tecnològic accelerat ha desembocat en diferències importants amb la tecnologia que descrivia Orwell. Per a les "telepantalles" actuals, la foscor no és un veritable problema i es pot xiuxiuejar als dispositius sense patir: aparells quotidians com els altaveus intel·ligents no només capten els sons més baixos sinó que són capaços de contestar un xiuxiueig amb el to de veu artificial d'algú que fa confidències a cau d'orella.
A aquestes capacitats s'hi suma el fet que, per transmetre i rebre informació, els aparells actuals no requereixen una instal·lació física, no calen cables. A diferència del que imagina Orwell, la informació, avui en dia, es pot transmetre sense fils i desxifrar-la no requereix necessàriament una "policia del pensament", grups d'humans sentint i veient totes i cada una de les connexions: les eines basades en sistemes d'intel·ligència artificial ja compleixen aquesta funció.
Ens escolta les converses, la tecnologia?
La resposta ràpida i simplista que fins ara donen la majoria d'experts és que no... perquè no ho necessiten. Almenys en el sentit d'estar prestant atenció a paraules clau per tal de servir determinats tipus d'anuncis.
Mai han aparegut proves que permetin afirmar que els aparells intel·ligents incorporin un espionatge de veu massiu, de fàbrica, tot i els múltiples estudis que s'han fet, com aquest de la Northcastern University. Tampoc seria una estratègia rendible, tenint en compte la relació entre costos i beneficis. Però en aquesta resposta és imprescindible incloure-hi matisos molt preocupants per a qualsevol persona amb interès per la seva privacitat.
Ens pot escoltar, la tecnologia?
Sí. El Catalangate n'és només un exemple, amb les seves particularitats, com veurem més endavant. Cada vegada és més difícil respondre que els dispositius electrònics no ens escolten habitualment, per culpa de l'augment de casos en què això pot succeïr i que s'encareguen de descriure experts com els de Xataka.
Els telèfons tenen micròfons i càmeres, i moltes aplicacions hi demanen accés, no sempre amb raons legítimes o del tot transparents. Molts recorden quan es va fer públic que la Lliga de Futbol Professional estava utilitzant els micròfons d'usuaris de la seva aplicació per detectar bars i altres establiments que emetien els partits de la Lliga sense pagar la llicència corresponent.
El fet que un dispositiu intel·ligent (telèfon, altaveu, televisió...) no ens escolti buscant paraules clau per vendre'ns publicitat no és a causa d'un problema tècnic: la tecnologia omnipresent que permetria escoltar converses existeix, la portem a sobre i la tenim cada vegada més instal·lada a casa. El perill potencial existeix.
Ens espia, la tecnologia?
Definitivament, sí. Un dels actius econòmics més importants de l'actualitat són les dades. L'afirmació, que en l'actualitat ja sona a concepte desgastat, és totalment vigent. Tots els serveis gratuïts que utilitzem són un intercanvi que fem amb les nostres dades de comportament. Sovint, també els de pagament. Qui som, què fem, on, amb qui, quan...
Vivim immersos en "L'era del capitalisme de vigilància", un concepte que des del 2014 porta explicant amb profunditat la psicòloga Shoshana Zuboff, especialment en el seu llibre homònim. No interessa el contingut de les converses en si, les empreses tecnològiques obtenen molta més informació i més precisa a través de les metadades, el context en el qual es produeix qualsevol intercanvi d'informació.
"Els capitalistes de la vigilància ho saben tot sobre nosaltres, mentre que les seves operacions estan dissenyades perquè siguin desconegudes per nosaltres. [...] Prediuen el nostre futur per a benefici d'altres, no per al nostre. Mentre es permet que el capitalisme de vigilància i els seus mercats de futurs sobre el nostre comportament prosperin, la propietat dels nous mitjans de modificació del comportament humà eclipsa la propietat dels mitjans de producció com a font de riquesa i poder capitalistes al segle XXI."
Fragment de "L'era del capitalisme de vigilància", de Shoshana Zuboff
Espiar, avui en dia, no passa necessàriament per posar ulls i orelles sobre algú: n'hi ha prou resseguint el rastre de metadades i cookies que va deixant la seva activitat digital, que suposa una detallada descripció del seu comportament i personalitat.
En general, els nostres dispositius electrònics no ens escolten les converses amb intencions comercials, perquè no ho fan de manera proactiva, i perquè el dret a la privacitat està protegit per llei (tret dels supòsits que, suposadament, la mateixa llei estipula). Però no ens escolten, sobretot, perquè a les empreses tecnològiques no els fa falta monitorar les converses dels seus clients per obtenir importants beneficis a costa de la informació de què disposen, que és molta i detallada. Tenen opcions més fàcils, barates i, fins i tot, més precises.
Quan i què escolten els dispositius?
L'octubre del 2011, Apple va presentar Siri, el primer assistent virtual comercial. Des d'aquell moment, gradualment, tots els telèfons intel·ligents han anat incorporant serveis similars. Si la funcionalitat està activada, el micròfon del telèfon està encès de forma permanent, a l'aguait les 24 hores del dia. No només els telèfons, els altaveus intel·ligents també actuen de forma similar, i cada cop més electrodomèstics amb capacitats equivalents.
Els aparells amb aquestes funcionalitats activades es mantenen en ‘standby' i, tot i que els seus micròfons estan oberts ininterrompudament, només canvien a un estat d'escolta activa quan es pronuncia el comandament correcte o s'utilitzen els botons físics per activar el servei. "Alexa", "Ok, Google", "Hei, Cortana", "Hei, Siri" o la forma d'invocació que l'usuari triï, si ho personalitza. Tal com expliquen les mateixes empreses que distribueixen aquestes tecnologies, com ara Google, cap gravació va a parar als seus servidors tret que s'utilitzi la paraula d'invocació correcta.
El mecanisme no és infal·lible, ni se'n descarta l'abús. Per començar, el dispositiu pot "entendre" que se l'ha invocat quan sent expressions que sonen de forma similar, o quan sent algú altre, fins i tot una veu de la televisió, pronunciar el comandament. Són moltes les històries rocambolesques de dispositius sentint "per error" una conversa, i algunes fins i tot s'han acabat convertint en missatges directes que s'envien a una tercera persona.
Un cop es menciona la paraula d'invocació d'un assistent, l'aparell comença la gravació, l'emmagatzema i l'envia als servidors de les empreses propietàries del servei per processar-la i donar-hi una resposta. Què passa amb les gravacions, en general? Cada empresa gestiona aquests delicats arxius amb els seus propis criteris, en principi d'acord amb la regulació vigent i tal com detallen els seus termes i condicions d'ús. Tanmateix, són incomptables els exemples de mala gestió i les pràctiques fosques o poc ètiques en la seva utilització i distribució cap a l'eufemístic "xarxes d'anunciants de tercers".
De forma general, les empreses propietàries dels assistents de veu reben els talls d'àudio i en guarden un registre que és obert i consultable pels usuaris, com per exemple fan Amazon i Google, líders en el sector. No sempre s'emmagatzemen de forma predeterminada, i també és possible eliminar l'historial d'ús dels assistents de veu.
"Sembla que pugui llegir-te la ment", diu Scarlett Johansson en aquest anunci de l'assistent de veu d'Amazon
Els talls d'àudio, segons les condicions d'ús de cada servei, es poden utilitzar per millorar la precisió del servei (a vegades, tal com admeten les mateixes empreses propietàries, éssers humans escolten directament els talls de veu), però sobretot s'utilitzen els continguts de les interaccions per generar un perfil de consumidor que utilitzaran amb finalitats econòmiques, tot i que asseguren no vendre directament els talls d'àudio o informació personal per distribuir anuncis. També és possible configurar els dispositius per evitar que s'emprin per personalitzar els anuncis o que es guardin les interaccions amb un assistent més enllà del temps que decidim configurar.
Fins i tot quan la paraula d'invocació es pronuncia de forma conscient, són nombrosos els casos d'una gestió preocupant de la privacitat, amb explicacions i contextos més o menys raonables, com el cas de l'usuari que va reclamar el seu registre de gravacion personal i va rebre 1.700 arxius d'audio d'un desconegut.
La tecnologia és molt recent i poc compresa. Encara ressona el rebombori que van generar els televisors intel·ligents de Samsung el 2015, quan es va descobrir que els comandaments de veu es processaven de la mateixa manera que es fa amb les cerques de text. Molt recentment, un estudi ha descobert que Amazon fa exactament el mateix amb les peticions de veu a Alexa i el consum que fem de plataformes de reproducció d'àudio, com explica The Verge. Les interaccions amb la tecnologia de veu són una eina més per conèixer i comerciar amb el nostre comportament.
Més enllà dels usos legítims: Catalangate i similars
Els casos exposats fins ara, amb els seus clarobscurs, estan subjectes a les limitacions de la llei europea de protecció de dades (RGPD), que protegeix les dades personals com la veu, ja que es tracta una dada d'identificació biomètrica. Però hi ha supòsits en els quals cap reglament pot impedir que s'utilitzi l'important potencial de vigilància que tenen els dispositius intel·ligents, especialment els que duem sempre a sobre. Més concretament, els telèfons mòbils actuals.
Una entitat ciberdelinqüent, amb interessos en la informació o dades personals d'un individu o una institució, té diverses estratègies a l'abast per obtenir-hi accés. Fer ús de programes espia és de les opcions més efectives i silencioses. Candiru o Pegasus són pràcticament indetectables i s'aprofiten de vulnerabilitats dels sistemes operatius o els programes i aplicacions a qui es donen accessos més o menys profunds.
Per a aquests programes espia, l'accés a un dispositiu intel·ligent pot tenir lloc a través d'un enllaç maliciós (enviat per email, serveis com WhatsApp o SMS) o, directament i sense necessitat de cap clic, aprofitant un forat de seguretat dels molts que, periòdicament, els sistemes operatius (Android, iOS, Windows, Mac...) detecten i solucionen, tot i que a vegades massa tard. En tot cas, un cop arreglada una vulnerabilitat, les empreses d'eines d'espionatge ja estan treballant i explotant la pròxima.
Com ens explica l'exemple del Catalangate, un cop instal·lat el virus en l'aparell intel·ligent, l'accés és total. Tot allò que s'hi fa, s'hi diu o s'hi activa és visible per a qui espia. Micròfons, càmeres, navegadors, missatges... Afecten l'espiat i tot el seu entorn. Fins i tot, el fet que les comunicacions siguin xifrades (com a WhatsApp i Signal) és indiferent: la pantalla es pot gravar i els continguts hi apareixen de forma totalment llegible pels espies.
Com evitar que ens espiï la tecnologia
Actualment, l'única manera d'assegurar que estem completament lliures d'un possible espionatge és allunyar-se d'un dispositiu intel·ligent. Abans del Catalangate, qualsevol persona relacionada amb el món de la ciberseguretat era conscient del perill potencial que suposen dispositius com els telèfons mòbils.
Una de les persones que coneixen millor l'amenaça digital per a la privacitat és Edward Snowden, l'extreballador de la CIA que va mantenir relacions laborals amb l'NSA. Ell va fer públiques les nombroses pràctiques d'espionatge de les agències de seguretat i d'intel·ligència nord-americanes, i es va haver de refugiar finalment a Rússia per evitar les conseqüències legals de la filtració.
En una entrevista per Wired, el periodista que el descrivia va explicar el que feia Snowden abans de començar qualsevol reunió important: "Mentre ens asseiem, treu la bateria del seu mòbil. [...] Els responsables de l'agenda d'Snowden em van advertir repetidament que, fins i tot apagat, un telèfon mòbil es pot convertir fàcilment en un micròfon de l'NSA". Efectivament, una aplicació maliciosa com PowerOffHijack pot simular que s'ha apagat el telèfon mòbil mentre segueix recopilant i enviant la informació que capten els seus nombrosos sensors.
Les persones que saben que són possibles víctimes d'espionatge s'allunyen de la tecnologia digital, obstrueixen càmeres web amb cinta i desconnecten físicament els micròfons. Si poden, impedeixen que l'aparell pugui rebre o transmetre dades, col·locant els dispositius en "gàbies de Faraday", improvisades o més comercials.
Per a la resta de gent, no ser un objectiu clar d'interès informatiu tampoc garanteix la seva seguretat. Aplicacions malicioses, forats de seguretat, errors humans de disseny o gestió de dades... o simplement un abús il·legal o alegal de les capacitats dels dispositius per al propi benefici són mecanismes habituals que poden violar la seva intimitat.
La protecció legal de la privacitat és feble i les noves tecnologies que van apareixent al mercat no s'acompanyen de dissenys pensats per assegurar-la, sinó al contrari. La mateixa normativa arriba de forma lenta i, habitualment, massa tard, quan moltes de les grans companyies ja s'aprofiten de l'accés i venda de dades massives obtingudes pels buits legals que van apareixent.
En tot cas, cal aprofitar totes les opcions que hi hagi a l'abast. Gestionar amb cura la informació que donem als diferents serveis que utilitzem, acceptant el mínim indispensable de condicions perquè siguin funcionals. Administrar i restringir els permisos de les aplicacions i programes: ubicació, micròfon, càmera, contactes... en definitiva, preguntar-nos per què una aplicació del temps requereix accés al bloqueig de la nostra pantalla i, si no és indispensable, no autoritzar-l'hi o desinstal·lar-la.
Segur que no ens escolten?
Tot i els grans reptes a la privacitat a què ens enfrontem, almenys de moment i en la gran majoria de casos, el contingut exacte de les nostres converses privades sembla estar fora de perill. Per un cantó, cap estudi científic fet fins a la data ha pogut demostrar que les converses al voltant dels dispositius intel·ligents són captades i transmeses de forma proactiva i per disseny.
Per l'altre cantó, els costos de reputació, legals i tecnològics serien massa elevats. Tal com han analitzat mitjans experts en la matèria, el consum de dades, energia i processament que suposaria la transmissió de converses senceres, les 24 hores del dia, per poder vendre publicitat més rellevant, no sortiria a compte:
"Per a cada fragment de dades útils d'anuncis, hi hauria hores de converses irrellevants per contextualitzar-les, fins i tot amb la detecció de paraules clau. Parlem d'Exabytes de processament de veu en un any."
Per no mencionar l'impacte en la bateria i el consum de dades que implicaria per als usuaris, molt fàcilment detectables. Els estudis realitzats no han registrat mai una transmissió prou significativa de dades que ho faci sospitar.
Per què quan parlem amb un amic sobre viatjar a Nova York comencem a rebre publicitat d'agències de viatges precisament amb aquesta destinació? Les raons poden ser moltes. Per començar amb les més evidents, es pot deure a una simple coincidència o el fenomen Baader-Meinhof, molt conegut en màrqueting: just després d'aprendre un nou concepte, som més susceptibles de detectar-lo de nou al nostre voltant. Hi estem més sensibilitzats. Així i tot, per cada anunci que connecta amb les nostres més recents experiències, converses i necessitats íntimes, ens passen totalment desapercebuts desenes d'anuncis irrellevants.
Molt possiblement, però, la publicitat pot ser tan precisa perquè qui la distribueix ens coneix bé. Especialment, si no tenim cura dels permisos que donem a apps i serveis. Google, Amazon i Facebook tenen un perfil exacte sobre qui som, quants anys tenim, on vivim, els nostres gustos i costums, registra cada "m'agrada", els cops exactes que hem vist en loop un vídeo curt de TikTok, per on passem i on som.
Però, sobretot, els grans distribuïdors de publicitat creuen i relacionen aquestes dades amb les de les nostres persones pròximes. Poden detectar si el nostre telèfon passa estona a prop del dispositiu d'un amic, familiar o company de feina. Si un amic parla amb tu de Nova York, és possible que ell, la seva parella o un familiar pròxim també ho facin. Un m'agrada a unes fotos de Manhattan, una cerca a Google pel temps a Nova York, un "follow" a un perfil novaiorquès...
No sabem exactament com funcionen els algoritmes de recomanació de publicitat perquè són autèntiques caixes negres amb nombroses estratègies per creuar i relacionar dades, nostres i del nostre entorn social. Autèntiques fórmules secretes del màrqueting, tan obscures i cobejades com temudes.
Que les recomanacions d'anuncis siguin tan esfereïdorament precises, més que preocupar-nos sobre si violen la privacitat de les nostres converses, ens hauria de fer reflexionar sobre la vulnerabilitat digital de la nostra identitat. Al cap i a la fi, som nosaltres els que hem decidit fer la nostra vida amb una telepantalla totpoderosa a sobre, i ni tan sols ens molestem a reduir-ne les capacitats.
- ARXIVAT A:
- EspionatgeTecnologiaCatalangatePegasus