Ahora es más fácil para los hackers usar información pública en su contra

Tabla de contenido:

Ahora es más fácil para los hackers usar información pública en su contra
Ahora es más fácil para los hackers usar información pública en su contra
Anonim

Conclusiones clave

  • Un tribunal de EE. UU. dictaminó que extraer datos públicos de sitios web como LinkedIn no es ilegal.
  • Los defensores de la privacidad sugieren que la actividad se puede utilizar para identificar nuevos objetivos y afinar los ataques de phishing.
  • La única opción para las personas es dejar de compartir en exceso, dicen los expertos.

Image
Image

Los piratas informáticos literalmente raspan el fondo del barril para afinar sus ataques y ahora cuentan con la aprobación de los tribunales.

El Noveno Circuito de Apelaciones de EE. UU. ha dictaminado que extraer datos públicos no es ilegal. Web scraping es el término técnico para extraer información de un sitio web. Por ejemplo, cuando copia texto de un artículo como una cita, eso es scraping. Entra en un área gris legal cuando el raspado lo realizan programas automatizados que raspan sitios web completos, especialmente aquellos que contienen información personal, como nombres y direcciones de correo electrónico.

"La enorme cantidad de información que se puede extraer libremente de Internet es motivo de preocupación tanto para las personas como para las organizaciones, ya que esta información [por ejemplo] puede ser fácilmente utilizada por los atacantes para ayudar a mejorar los ataques de phishing", Rick McElroy, principal estratega de ciberseguridad de VMware, le dijo a Lifewire por correo electrónico.

Meterme en un lío

El fallo se produce como parte de una batalla legal entre LinkedIn y hiQ Labs, una empresa de gestión de talentos que utiliza datos públicos de LinkedIn para analizar la deserción de los empleados.

Esto no le sienta bien a la red social profesional, que durante mucho tiempo ha argumentado que la actividad amenaza la privacidad de sus usuarios. Además, LinkedIn sostiene que el raspado va en contra de sus términos de servicio y equivale a piratería, como se describe en la Ley de Abuso y Fraude Informático (CFAA).

Grupos de defensa de la privacidad como Electronic Frontier Foundation (EFF) han sido críticos con la CFAA, diciendo que la ley de tres décadas de antigüedad no se enmarcó teniendo en cuenta las sensibilidades de la era de Internet.

La única solución práctica para las personas preocupadas por la privacidad es dejar de compartir en exceso…

En su crítica, la EFF señala que se esfuerza por hacer que los tribunales y los legisladores entiendan cómo la CFAA ha socavado la investigación sobre seguridad. Se dirige a LinkedIn por su intento de transformar una ley penal destinada a abordar los robos de computadoras en una herramienta para hacer cumplir las políticas corporativas de uso de computadoras, en esencia, restringiendo el acceso libre y abierto a la información disponible públicamente.

LinkedIn no ve el web scraping de la misma manera. En una declaración a TechCrunch, el portavoz de LinkedIn, Greg Snapper, dijo que la empresa está decepcionada con la decisión del tribunal y seguirá luchando para proteger la capacidad de las personas para controlar la información que ponen a disposición en LinkedIn. Snapper afirmó que la compañía no se siente cómoda cuando los datos de las personas se toman sin permiso y se usan de formas que no han aceptado.

Buscando problemas

Si bien hiQ ha tomado la posición de que un fallo en contra del raspado de datos podría "afectar profundamente el acceso abierto a Internet", ha habido varios incidentes en los que los datos raspados están disponibles en foros clandestinos con fines nefastos.

En 2021, CyberNews compartió que los actores de amenazas lograron extraer datos de más de 600 millones de perfiles de usuarios en LinkedIn y los pusieron a la venta por una suma no revelada. En particular, esta fue la tercera vez en los últimos cuatro meses que los datos extraídos de los perfiles públicos de millones de usuarios de LinkedIn se publicaron para la venta.

CyberNews agregó que si bien los datos no eran muy confidenciales, aún podían poner a los usuarios en riesgo de spam y exponerlos a ataques de phishing. Los detalles también podrían ser (ab)utilizados por actores maliciosos para encontrar rápida y fácilmente nuevos objetivos.

Willy Leichter, director de marketing de LogicHub, cree que hay problemas legales y de privacidad difíciles en ambos lados de este caso.

"[El fallo] básicamente codifica la forma en que funciona Internet en la práctica [así que] si compartes algo públicamente, pierdes permanentemente el control exclusivo sobre esos datos, fotos, publicaciones aleatorias o información personal", advirtió Leichter. en un intercambio de correo electrónico con Lifewire. "Debes asumir que será copiado, archivado, manipulado o incluso armado contra ti".

Leichter opinó que incluso si las personas pudieran ejercer algún control legal sobre los datos publicados en el dominio público, sería imposible hacerlo cumplir y, en cualquier caso, no impediría la actividad infame.

McElroy estuvo de acuerdo y dijo que el fallo sirve como un gran recordatorio de que las personas deben limitar su información de acceso público, ya que ese es el único recurso real disponible para protegerlos de futuros ataques.

"La única solución práctica para las personas preocupadas por la privacidad es dejar de compartir demasiado y pensar detenidamente en cualquier cosa que publique", sugirió Leichter.

Recomendado: