Publicado en VICE
https://www.vice.com/en/article/4aw48g/academic-journal-claims-it-fingerprints-pdfs-for-ransomware-not-surveillance
Una revista académica afirma que toma huellas en los PDF para detectar "ransomware", no para vigilarlos
Elsevier incorpora un código único en cada artículo de revista académica que los usuarios descargan. Los investigadores de seguridad temen que esto pueda utilizarse para identificar a las personas que comparten los PDF.
por Lorenzo Franceschi-Bicchierai
31 de enero de 2022,
Uno de los mayores editores de artículos académicos del mundo dijo que añade una huella digital única a cada PDF que los usuarios descargan en un intento de evitar el ransomware, no de prevenir la piratería.
[ ransonware: El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. Las primeras variantes de ransomware se crearon al final de la década de los 80, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito. https://es.malwarebytes.com/ransomware/ ]
Elsevier defendió esta práctica después de que un investigador independiente descubriera la existencia de las huellas digitales únicas y compartiera sus hallazgos en Twitter la semana pasada.
"El identificador en el PDF ayuda a prevenir los riesgos de ciberseguridad para nuestros sistemas y los de nuestros clientes; no hay metadatos, PII [Información de Identificación Personal] o datos personales capturados por estos", dijo un portavoz de Elsevier en un correo electrónico a Motherboard. "La toma de huellas dactilares en los PDF nos permite identificar posibles fuentes de amenazas para poder informar a nuestros clientes y que ellos actúen en consecuencia. Este enfoque se utiliza habitualmente en toda la industria editorial académica".
Cuando se le preguntó a qué riesgos se refería, el portavoz envió una lista de enlaces a artículos de noticias sobre ransomware.
Sin embargo, Elsevier tiene un largo historial de persecución de personas que piratean o comparten sus artículos académicos de pago. En 2015, Elsevier demandó a SciHub (Elsevier sued SciHub), el "Pirate Bay de la ciencia", que alberga millones de artículos de revistas, incluidos los de Elsevier. En el pasado, la empresa se ha enfrentado a críticas (the company has faced criticism) por adquirir otras plataformas académicas que distribuían artículos de forma gratuita en un intento de acaparar el mercado. Algunas universidades han boicoteado a Elsevier en el pasado (have boycotted Elsevier in the past), y la empresa ha recurrido a amenazas legales contra otros sitios que alojan artículos académicos en línea. La compañía ha tenido problemas de ciberseguridad antes. En 2019, dejó un servidor abierto a la Internet pública y expuso las direcciones de correo electrónico y las contraseñas de los usuarios (it left a server open to the public internet and exposed user email addresses and passwords).
No está claro exactamente cómo la huella digital de cada PDF descargado podría realmente prevenir el ransomware. Jonny Saunders, un candidato a doctor en neurociencia de la Universidad de Oregón, que descubrió la práctica, dijo que cree que Elsevier está tratando de vigilar a sus usuarios y evitar que la gente comparta la investigación sin pagar a la compañía.
"El subtexto es bastante fuerte para mí", dijo Saunders a Motherboard en un chat en línea. "Esas brechas/ransomes son realmente un pretexto para decir que 'las universidades tienen que bloquear las cuentas para que la gente no pueda hojear los PDF'".
"Cuando tienes cosas que no quieres que otras personas regalen, quieres alguna forma de saber quién las está regalando, ¿no?", añadió.
¿Conoce alguna otra empresa u organización que realice este tipo de seguimiento? Nos encantaría que nos lo dijeras. Puedes ponerte en contacto con Lorenzo Franceschi-Bicchierai de forma segura en Signal en el +1 917 257 1382, Wickr/Telegram/Wire @lorenzofb, o en el correo electrónico lorenzofb@vice.com
Además, según Saunders, la afirmación de Elsevier de que no se capturan metadatos o datos personales es poco sincera, dado que la propia empresa admite que utiliza este sistema para identificar de quién son las cuentas vulneradas.
"Decir que los identificadores únicos *en sí mismos* no contienen PII es una evasiva semántica: la forma en que funcionan estos identificadores es para poder compararlos posteriormente con otra información de identificación almacenada en el momento de la descarga, como la huella digital del navegador, las credenciales institucionales, etc.", dijo Saunders. "Justificarlos como una herramienta de protección contra el ransomware es una admisión directa de que estos códigos están destinados a identificar al descargador: ¿cómo ayudarían si no es identificando la cuenta o el sistema comprometido?"
El portavoz de la compañía no respondió a las alegaciones de Saunders.
*************************************
No hay comentarios:
Publicar un comentario