Un espía en casa

Mi intención es hacer al lector partícipe de lo que ahora conozco y desde el punto de vista desde el cual yo lo percibo.

Ley de Protección de Datos de Carácter Personal.

Artículo 3. DEFINICIONES:

e) AFECTADO O INTERESADO:PERSONA TITULAR DE LOS DATOS que sean objeto del tratamiento.

h) CONSENTIMIENTO DEL INTERESADO: Toda manifestación de voluntad, LIBRE, INEQUÍVOCA, ESPECÍFICA E INFORMADA, MEDIANTE LA QUE EL INTERESADO CONSIENTA EL TRATAMIENTO DE DATOS PERSONALES QUE LE CONCIERNEN.

Hace unos días, intentando buscar un modo de bloquear a un virus en mi ordenador desde el router, pues ya se sabe, haces click aquí allá, y con curiosidad me decidí a conocer las opciones del router de casa, A ver la configuración avanzada... Pero no esperé toparme con tema de este 'artículo'. 

Lo que encontré, y bien tapadito para el usuario común, fue un sistema de monitorización de las conexiones del router y que las manda directamente hacia una empresa, Logtrust, y que yo, y supongo que usted y casi cualquiera, no tenía ni idea de que eso estaba ahí, ya que como usuario deberíamos de decidir esas cosas no? o no?

Pues será, depende de lo que signifiquen 'estas cosas'.

Así que para saber que son, me dispuse a encontrar toda la información de la que fuera capaz hasta salir de dudas. Aquí solo mostraré la que me parece más relevante a base de una serie de pantallazos comentados y traducidos y todos con la dirección o URL para que cualquiera lo compruebe o se informe mejor si así lo desea. 

Sobre lo que voy a contar no he encontrado nada en ningún medio, puede que no haya buscado lo suficiente, o quizás simplemente es que alguien tiene que escribir sobre el tema. Por supuesto puede que esté equivocado, ojalá!, o puede que entre el camuflaje perfectamente estudiado y aprovechando la normalización del detrimento y desprotección de la privacidad en España, Telefónica nos la esté colando bien, pero, Bien.. En cualquier caso le invito a tirar del hilo conmigo y a que saque sus propias conclusiones. 

Lo primero que quiero mostrar, para que cualquiera que tenga un router de Telefónica de fibra óptica lo pueda comprobar, es donde está y cómo llegar hasta 'eso'.

Sólo hay que ir a un navegador, poner 192.168.1.1 y sin bloquear las cookies y poner la contraseña que está pegada debajo de el router, al lado de la contraseña de wifi, y ya entramos en el configurador web del router, en modo básico, así que en el menú elegimos 'Configuración Avanzada'.

Está en inglés, otro 'obstáculo', para todos los españoles. Esta es la pantalla donde sale, para, o ver el sistema de registros, o para configurarlo.

 Si le damos a 'view' nos sale una ventana con muy pocos y escuetos datos que no mostraré por escasa relevancia y que no son aunque, en mi opinión, lo quieran hacer parecer a algo que solo tiene que ver con aspectos técnicos de puro mantenimiento.

 Y si le damos a 'configure', sale otra pantalla advirtiendo poco menos que si entramos rompemos el mundo.

 La pasamos y:

Diría que aquí está el protagonista de el artículo, si no fuera porque tristemente los protagonistas somos los usuarios, de Telefónica, aunque no seamos clientes, ya que esto afecta a cualquiera que se conecte a través de uno de estos routers.

Voy a describir la pantalla: Arriba en rojo la dirección local que conecta un dispositivo con el router, un ordenador o móvil, por ejemplo. Subrayado en rojo, 'si el modo de registros esta activado, el sistema comenzará a registrar todos los eventos seleccionados'. 

En el siguiente subrayado, 'servidor de syslog Remoto'. Es decir, que manda información a algún lugar fuera de nuestra red. Después ya más abajo, vemos como viene activado 'de fábrica' y seleccionado en 'remoto' y por el puerto 444 hacia el servidor de Logtrust en la dirección que trae el router puesta, wd.logtrust.collector.io.

De esta forma estableciendo lo que ellos llaman una 'tuberías limpias' ('clean pipes'), sin interferencias y directa a Logtrust. 

Se puede deshabilitar, en 'teoría', seleccionando 'disable', pero ese no es el tema, porque Telefónica sabe que los usuarios no llegan hasta la configuración avanzada del router.

Y además ¿y todo el tiempo que pasa hasta que dé la casualidad que uno lo descubra?

Ley General de Telecomunicaciones.

Artículo 38. Derechos de los consumidores y usuarios finales.

3.b) A que SUS DATOS DE TRÁFICO SEAN USADOS CON FINES COMERCIALES O para la PRESTACIÓN DE *SERVICIOS DE VALOR AÑADIDO* ÚNICAMENTE CUANDO HUBIERAN PRESTADO SU CONSENTIMIENTO PREVIO INFORMADO PARA ELLO.

¿Cómo y si era posible que nos hubieran plantado 'eso' en el router de casa? de cada casa! u oficina.. ¿Cómo podríamos haber llegado hasta este punto sin habernos dado cuenta?, ¿o es que es precisamente lo que se ha propiciado?

Pensé que tenía que haber alguna explicación, de alguna manera..

 Así que me dije, seguramente son datos tipo de servicio técnico para saber si se te cae el internet o funciona bien, no puede haber nada más que lo que salía cuando le daba a al boton de 'ver registros/view logs' en la pantalla anterior... vamos, una nimiedad sin importancia.. A ver que encuentro en internet que me saque de dudas.

Comence por las letras rojas en mayúsculas que aparecen en el pantallazo,

'ONLY USER-LEVEL-FACILITY' y encontre algo aunque no es de Logtrust ni de Telefónica, sí arroja algo de luz:

Como vemos en los syslogs 'user-level' está en el nivel 1 y señalado como 'log audit', auditoría de registros.

Pero ¿qué son los syslogs? de traducción, 'registros del sistema', ¿algo inocuo?

Buscando antecedentes de este tipo de prácticas de Telefónica entre la Comunidad Movistar, encuentro esto, en 5 imágenes:

A estas alturas, ya me Preguntaba si es posible, hablando 'en plata', que Telefónica estuviera hackeando la privacidad de sus usuarios y nadie se 'rasgara las vestiduras'...?

Claro que dicho así, suena ingenuo, porque, ¿y las cookies de todas las webs?

¿Y los permisos que les damos a las aplicaciones en el móvil que prácticamente pueden acceder a todo el teléfono?

 Pero es que hablamos de algo diferente, A OTRO NIVEL, esto no son cookies ni una app en el smartphone, esto, en mi opinión, parasita un router o cualquier dispositivo en el que se pueda implantar un 'collector' de Logtrust/Devo y todo lo que corra a través de él se verá afectado.

Aquí da igual si usas un dc de torre, un móvil o solo se conecta un Iwatch o un Alexa o un Aura o la última smart-tostadora o todo a la vez, esto es un canal directo que emite información de todo lo que pasa por el router.

 Los que lo han hecho, Telefónica y Devo/Logtrust, son perfectamente conscientes de la normalización y la actual tolerancia de la sociedad en la defensa de sus propios derechos de intimidad. Sea por ignorancia, por falsa consciencia de impotencia dada la complejidad y la falta de aplicación de la ley, por la ocultación que se hace de esto o Cualquier Otra causa, el resultado es que nos pueden hacer lo que sea.

Hoy día ya van las llamadas telefónicas por internet, sobre este tema en relación con lo que nos ocupa no me pronuncio por falta de conocimientos para comprobarlo, aunque, aquí nada pinta bien.

Mucha gente confía en el 'https' y que así nadie te espía las conexiones, pero existen los programas que hacen 'https strip' y muestran lo que pasa por la URL en texto plano.

A veces códigos de sesión o cookies que si alguien las copiara y las pegara en su navegador, podría acceder a algunas de nuestras cuentas.

Así que -quien ve lo que pasa por el router, ve muchas cosas-. Se puede comprobar con el programa gratuito wireshark. No hay mayor inseguridad que la falsa seguridad, y es que de qué vale ocultar la ruta de por donde viaja un paquete, si el origen/destino del mismo es conocido y accesible?

Teléfónica seguro que dice, como hacen todas las empresas que trafican con datos de usuarios, que están 'anonimizados', pero no dirán que con Analítica, Inteligencia Artificial (IA) y tiempo, los datos se 'de-anonimizan'.

Pero vamos a ver que hay de esta compañía que nos extrae los datos del router de casa o la oficina, Devo o Logtrust, que es lo mismo.

'Inteligencia Contextual', ahí es nada. La parabra inteligencia se suele usar para indicar la extracción y explotación de información. Humint, (Human intelligence), son los espías de la tele, competitive intelligence, que muchos traducen a propósito como 'inteligencia de negocio', no confundir con 'BI', es en realidad, espionaje industrial, y de ahí ya salen varios sucedaneos y enmascaramientos pseudonimizados para poder integrarlo en la sociedad y en las empresas y a veces en las leyes.

'PCAPS', que son un formato de archivo de los paquetes de datos transmitidos, 'volcados de memorias, Imágenes y Contexto en un único lugar' (en la plataforma Devo, se entiende).

Todos sabemos que para crear un contexto, necesitamos conocer y relacionar varios elementos, entonces parece que desde el punto de vista de la privacidad, que nuestros datos estén yendo desde el router de nuestros hogares a Devo, quien brinda el servicio de su plataforma a uno de sus clientes, Telefónica, y se alíen y 'planten' millones de routers en domicilios y negocios y nos estuvieran aplicando a la población Inteligencia Contextual.. no parece muy beneficioso que digamos.

 Y lo último que dice se entiende solo, que nos investiguen es lo que faltaba, que se hagan millonarios y nosotros les paguemos todos los meses, ya es la requetepera.

Así que la publi esta parece que dice algo así como, enchúfale nuestro 'colector' a cualquier red con usuarios y podrás aplicarle inteligencia, investigarlos, etc.

Devo vende su producto en Amazon, se autodescribe así,

Traduzco: 'desde todo El Mundo', 'una solución de inteligencia operacional exhaustiva. Logtrust recolecta, co-relaciona y Analiza máquinas=(cualquier dispositivo), sistemas, aplicaciones y datos de usuario en tiempo real para ofrecer capacidades sin precedentes de Inteligencia de la seguridad, negocio y monitorización de la tecnología de la información (TI)'.

*'Cognición, es la facultad de un ser vivo para procesar información a partir de la percepción, el conocimiento adquirido (experiencia) y características subjetivas que permiten valorar la información.'

O sea, en contexto informático, analítica e inteligencia artificial, más, y en este caso, Big Data y en tiempo real.

Aunque Telefónica alegara que el titular de la línea firmó un contrato concediendo los permisos de cesión de la información de las conexiones a terceros, ¿qué podría alegar en cuanto a los permisos necesarios para espiar las conexiones de personas que se conectan al router y no solo no son el o la titular del contrato, sino que a veces ni pertenecen a la unidad familiar?.

Un ejemplo, viene un amigo de tu hijo a casa y se conecta a tu router para jugar online en su móvil. ¿Sería este niño según Telefónica un usuario informado? ¿Cómo va a saber el amigo de tu hijo de 11 años que una o varias multinacionales espían sus conexiones? y ¿es posible que ya le hayan asignado una UUID (Universal User IDentification) para poder hacerle seguimiento quizás el resto de su vida?

Ley de Protección de Datos de Carácter Personal.

Artículo 11. Comunicación de datos.

1. LOS DATOS DE CARÁCTER PERSONAL OBJETO DEL TRATAMIENTO SÓLO PODRAN SER COMUNICADOS A UN TERCERO PARA EL CUMPLIMIENTO DE FINES DIRECTAMENTE RELACIONADO CON LAS FUNCIONES LEGÍTIMAS DEL CEDENTE Y DEL CESIONARIO CON EL PREVIO CONOCIMIENTO DEL INTERESADO.

A todo esto, yo lo que quería saber, es qué se hace con nuestros datos en Telefónica y/o en el propio Devo.

Para ello lo mejor era ir a su propia web y mirar en los manuales de usuario y salir de dudas.

A ver que capacidades y características tiene la plataforma, cómo lo ven los de Telefónica, Qué es.

Dice:'Cambie a modo TV y capture la pantalla' Ni idea de su función específica.

Más abajo, 'User Agent', El agente de usuario es lo que identifica en un servidor, algunas características de la tecnología usada por los usuarios para conectarse. p. ej. Chrome con Windows en un PC, o Safari en un Móvil Iphone. Abajo en las pestañas, también están las de 'Domain', dominio al que el usuario se conecta, se entiende, y al lado 'Users' que puede contener el 'nombre de usuario'.

Ley de Conservación de Datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Artículo 1. Objeto de la Ley.

3. SE EXCLUYE del ámbito de aplicación de esta Ley (osea que No se deben 'consevar') EL CONTENIDO DE LA COMUNICACIONES ELECTRÓNICAS, INCLUIDA LA INFORMACIÓN CONSULTADA UTILIZANDO UNA RED DE COMUNICACIONES ELECTRÓNICAS.

Artículo 3. Datos objeto de conservación.

1. LOS DATOS QUE DEBEN CONSERVARSE SON:

La IDENTIFICACIÓN DE USUARIO, EL NÚMERO DE TELÉFONO, El NOMBRE Y DIRECCIÓN LA IP, LA FECHA Y HORA DE LA CONEXIÓN Y DESCONEXIÓN DEL SERVICIO DE ACCESO A INTERNET, EL SERVICIO DE INTERNET UTILIZADO, La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación.

2. NINGÚN DATO QUE REVELE EL CONTENIDO DE LA COMUNICACIÓN PODRÁ CONSERVARSE EN VIRTUD DE ESTA LEY.

CyberCheff es un programa de código abierto, y podemos ver qué es capaz de hacer en la web Github.

En la descripción del menú 'Register' en CyberCheff dice, 'Extrae datos de la Fuente y los Almacena'. 

En el caso de Telefónica la fuente somos nosotros o nuestros dispositivos conectados al router que nos ponen en casa.

 También se puede en el menú, eligiendo 'Extract Files', Extraer archivos, y en su descripción, 'LLeva a cabo el -file carving- para Intentar extraer archivos de la Fuente'. El 'file carving' es el proceso de búsqueda de archivos en una corriente de datos, entre otras cosas tiene en cuenta el tipo de archivo y sus Metadatos. En el recuadro rojo, los diferentes tipos de archivos que es capaz de extraer.

Un poco más arriba en 'detect file type', si la seleccionamos para ver la descripción nos saldrá que es capaz de detectar un INMENSA cantidad de tipos de archivos.

Aquí vemos por un lado los 'Extractores' de CyberCheff en Github y cómo se pueden seleccionar desde Devo, es decir, en Devo podemos tener las funciones como las que se señalan en la pantalla de la izq. en ese caso, el 'extractor' que permite, valga la reiteración, extraer direcciones de Correos Electrónicos.

Ley General de Telecomunicaciones.

Artículo 38. Derechos de los consumidores y usuarios finales.

3.d) A que SOLO SE PROCEDA AL TRATAMIENTO DE SUS DATOS DE LOCALIZACIÓN *DISTINTOS A LOS DATOS DE TRÁFICO* CUANDO SE HAYAN HECHO ANÓNIMOS O PREVIO SU CONSENTIMIENTO INFORMADO Y ÚNICAMENTE EN LA MEDIDA Y POR ELTIEMPO NECESARIOS PARA LA PRESTACIÓN, EN SU CASO, DE SERVICIOS DE VALOR AÑADIDO, **CON CONOCIMIENTO INEQUÍVOCO** DE LOS DATOS QUE VAYAN A SER SOMETIDOS A TRATAMIENTO, LA FINALIDAD Y DURACIÓN DEL MISMO Y EL SERVICIO DE VALOR AÑADIDO QUE VAYA A SER PRESTADO. 

Un Resumen por si esto está siendo confuso:

Tenemos, el router de Telefónica, que tiene un 'collector' de Devo instalado y activado por defecto, que tras una visión más detenida parece indicar que le manda datos a esa compañía de todo lo que se conecta al router. Entonces Teléfónica con la plataforma de Devo y en ella , herramientas como CyberCheff instaladas, (presuntamente), procesa los datos como dichas herramientas les permiten, que es lo que hemos visto ahora. Y esto se multiplica por todos los routers de Telefónica que tiene 'plantados' en España.

Más capacidades de la plataforma Devo.

Un organismo de la UE, de carácter consultivo e independiente, para la protección de datos y el derecho a la intimidad, creado en virtud del artículo 29 de la Directiva 95/46/CE, dijo:

"las herramientas de control de tráfico permiten identificar con facilidad el comportamiento de una máquina y, por tanto, la del usuario que se encuentra detrás. Así pues, se unen las diferentes piezas que componen la personalidad del individuo con el fin de atribuirle determinadas decisiones. Sin ni siquiera solicitar el nombre y la dirección de la persona, es posible incluirla en una categoría, sobre la base de criterios socioeconómicos, psicológicos, filosóficos o de otro tipo y atribuirle determinadas decisiones, puesto que el punto de contacto del individuo (un ordenador) hace innecesario conocer su identidad en sentido estricto"

https://telos.fundaciontelefonica.com/archivo/numero089/el-derecho-al-anonimato-en-internet/

'Así, es posible que "en muchos casos exista la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos unidos a bases de datos con información sobre usuarios de Internet que permite su identificación". '

https://telos.fundaciontelefonica.com/archivo/numero089/el-derecho-al-anonimato-en-internet/

Psicografía:es el estudio de la personalidad, los valores, las actitudes, los intereses y los estilos de vida.

Lo hacía Cambridge Analytica para hackear la intención de voto, y con ello, las elecciones nacionales.

¿Están espiando la navegación de internet de ciento de miles, si no, millones de españoles? y con ello, ¿nos están 'psicografiando'? 

Ley de Protección de Datos de Carácter Personal.

Artículo 7. Datos Especialmente protegidos.

2. SÓLO CON EL CONSENTIMIENTO EXPRESO Y POR ESCRITO DEL AFECTADO PODRÁN SE OBJETO DE TRATAMIENTO LOS DATOS DE CARÁCTER PERSONAL QUE REVELEN IDEOLOGÍA, AFILIACIÓN SINDICAL, RELIGIÓN Y CREENCIAS.

4. QUEDAN PROHIBIDOS LOS FICHEROS CREADOS CON LA FINALIDAD EXCLUSIVA DE ALMACENAR DATOS DE CARÁCTER PERSONAL QUE REVELEN IDEOLOGÍA, AFILIACIÓN SINDICAL, RELIGIÓN, CREENCIAS, ORIGEN RACIAL O ÉTNICO, O VIDA SEXUAL.

Referencia de alertas preinstaladas, en el primer recuadro, monitorización de memoria y disco, pero de los usuarios de la red, claro.

 Segundo, Manda alertas si hay errores en el sistema de un Mac o Windows... o una máquina virtual.

Abajo, 'Seguimiento de Usuarios Específicos: Alerta acerca de las Conexiones Y ACTIVIDADES de un Determinado Usuario', y termina, ' dentro del sistema del cliente'. 

Y quién es el cliente? Telefónica, nosotros somos clientes de Telefónica, no de Devo, para Devo si acaso somos la materia prima a procesar y enlatar para su uso a discrección y conveniencia, puesto que despues de procesar nuestros datos, son suyos.

Y hacen cosas como esta:

'Operaciones de seguridad': 'usa diferente tipo de fuentes', 'como en cualquier dominio de Devo', 'puede generar "alertas" pero también "entidades". Una entidad es algo o alguien envuelto en algún tipo de amenaza o asociada con otras entidades sospechosas.', 'Una entidad puede ser una IP o un servidor pero también una direcció de internet (url) o un USUARIO'.

O sea, cualquiera...

Más abajo y a la derecha, la conexión y el intercambio de información entre Devo y las comunidades de espías/Inteligencia.

Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Artículo 4. Obligación de conservar datos.

1.EN NINGUN CASO, LOS SUJETOS OBLIGADOS PODRÁN APROVECHAR O UTILIZAR LOS REGISTROS GENERADOS, FUERA DE LOS SUPUESTOS DE AUTORIZACIÓN FIJADOS EN EL ARTÍCULO 38 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

Ley de Protección de Datos de Carácter Personal.

Artículo 11. Comunicación de datos.

3. SERÁ NULO EL CONSENTIMIENTO PARA LA COMUNICACIÓN DE LOS DATOS DE CARÁCTER PERSONAL A UN TERCERO, CUANDO LA INFORMACIÓN QUE SE FACILITE AL INTERESADO NO LE PERMITA CONOCER LA FINALIDAD A LA QUE DESTINARÁNLOS DATOS CUYA COMUNICACIÓN SE AUTORIZA O EL TIPO DE ACTIVIDAD DE AQUEL A QUIEN SE PRETENDE COMUNICAR.

4. EL CONSENTIMIENTO para la comunicación de los datos de carácter personal TIENE también UN CARÁCTER REVOCABLE.

Perdonad que vuelva sobre esto pero, ¿Y quiénes son 'Devo'?

Parece que es una empresa de origen español, pero desde que creció se fue a USA.

En la publicidad de su producto en Amazon:' Devo, formalmente Logtrust, entrega valor empresarial en tiempo real, desde análisis en las transmisiones y datos *históricos* para ayudar a las empresas de Fortune1000 a alcanzar un éxito y crecimiento sostenido.', 'para las empresas líderes del mundo'., 'Plataforma Analítica de Datos'.

Aclarar que 'históricos' se refiere a datos almacenados y no a que se vayan poner a aprender historia...obviamente.

'Telefónica crea una alianza global de ciber-seguridad'.

'Inteligencia profunda sobre las fuentes'. No olvidemos quienes son las fuentes, nosotros.

'Identifica puntos de significante valor empresarial a las compañías que provean de servicios a los usuarios'

'El acuerdo entre Etisalat, Singtel, SoftBank y Telefónica, gana un nivel de posicionamiento único en Inteligencia'.

'Desarrollando Nuevas Tecnologías como el *Análisis Predictivo* usando Inteligencia Artificial'.

En realidad sobre este asunto, de forma general, ya deberíamos darnos por avisados:

'Accediendo a los datos de la compañia de internet'. La verdad es que el esquema que desveló en su día Snowden, es Muy, demasiado, parecido a lo que hemos estado viendo.

'Intercepta cables de fibra óptica'. En ese caso el sistema de recolección fue actúar físicamente sobre los cables de conexión'. 

Dice que fue capaz de interceptar 600 millones de comunicaciones cada día. Recordemos que Devo decía que más de un trillón de 'eventos' diarios.

El subrayado dice, 'Sin embargo la GCHQ (Inteligencia Inglesa), no quebrantó la ley'.

¿Parece que es lo que parece o es lo que parece que es? Que Telefónica tiene un gran arco del triunfo por donde se pasa nuestra privacidad, y poca tranquilidad inspira que en su consejo de administración haya estado Rodrigo Rato, o que despida a directivos con indemnizaciones millonarias para luego recontratarlos, tal y como muestran Los Papeles de La Castellana, ya que demuestran antecedentes de jugar sucio y desde hace pocos años cuentan con el hacker José María Alonso, que sabe hacer cosas que nadie sabría controlar.

Cuando estaba viendo toda esta información y tratándola de entender,, me hice un esquema para representármelo visualmente a mí mismo  (en inglés, uno es así de raro).

En realidad muestra los canales de información y el viaje que hace la misma cuando uno de nosotros interactúa con internet si has tenido la mala suerte de tener uno de estos routers de Telefónica u otro que (presuntamente) esté Parasitado de la misma forma.

Además, esta encuadrado en otro de 'control global'. 

Aún cuando Telefónica adujera que los motivos son la seguridad (como también dijo la NSA), no se puede permitir que (presuntamente) abuse de su posición para espíar los datos de la población para poder hacer sus inversiones en el negocio de la cyberseguridad para empresas. Y esto es importante tenerlo claro, cuando se refieren a la protección de la sociedad o el plural, se refieren a las empresas, ya que a usted, le seguiran pudiendo hackear la identidad y Telefónica no lo impedira, es más le cobrará a usted por los servicios que el delincuente contrate a su nombre en la propia 

Telefónica. Ejem, Telefónica multada por romper el art 6.1 de la LOPD, con 55.000 euros. 

https://gdprhub.eu/index.php?title=AEPD_-_PS/00114/2019_938-300320

Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Artículo 33. Secreto de las comunicaciones.

1. LOS OPERADORES QUE EXPLOTEN REDES PÚBLICAS DE COMUNICACIONES ELECTRÓNICAS o que presten servicios de comunicaciones electrónicas disponibles al público DEBERÁN GARANTIZAR EL SECRETO DE LAS COMUNICACIONES DE CONFORMIDAD CON LOS ARTÍCULOS 18.3 y 55.2 DE LA CONSTITUCIÓN, DEBIENDO ADOPTAR LAS MEDIDAS TÉCNICAS NECESARIAS.

CONSTITUCIÓN ESPAÑOLA:

Artículo 18.3. SE GARANTIZA EL SECRETO DE LA COMUNICACIONES y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

Un hilo en inglés por falta de tiempo, para el que quiera seguir y no crea que sea posible, ya sea por la 'supuesta' ética de Telefónica o por que crea que carecen de la capacidad técnica.(re-identificación de los datos anonimizados)

https://en.wikipedia.org/wiki/Data_re-identification

Espero haber proporcionado las suficientes pistas para que quien desee seguir investigando qué es todo esto y cuál es su alcance y consecuencias, pueda hacerlo habiéndole ahorrado no poco tiempo para que se esclarezca este opaco asunto por el bien de los derechos de toda la sociedad, no solo la española, ni mucho menos.

He escrito este post autocoaccionado bajo la criminal y llamada Ley Mordaza, y por tanto no he podido expresarme con la libertad que me hubiera gustado.

Aún Así, no firmaré este texto, paso de movidas con una multinacional, Gracias por leerme, si crees que esto es grave por favor compártelo ya que Si No, Nadie Se Enterará.

Algo de última hora:

En un foro de Movistar alguien le pregunta Muy por Encima sobre sus datos y Devo, y en ese contexto, le contestan:

"En este caso concreto, y tal como se indica en el apartado 8 de la Política de privacidad cuyo contenido completo podrá consultar en www.movistar.es/privacidad, Movistar tiene contratados para la gestión de algunas de las funciones necesarias para la prestación del servicio, proveedores de confianza ***como DEVO, que Podrán Tener ACCESO a Datos Personales*** y que actuarán como encargados de tratamiento. Estos proveedores se encuentran obligados contractualmente a cumplir con sus obligaciones legales de encargado de tratamiento, a mantener la confidencialidad y secreto de la información.

Movistar garantiza la adopción de las medidas necesarias para asegurar el tratamiento confidencial de dichos datos, motivo por el cual la información se envía cifrada a un servidor remoto, que cumple con todas las exigencias y estándares exigidos por Telefónica en cuanto a cumplimiento de medidas de seguridad y Reglamento Europeo de Protección de Datos.

Asimismo, el tratamiento de datos realizado por parte del Router se encuentra amparado en las Condiciones Generales del Servicio Movistar Internet (Banda Ancha Fija) en sus cláusulas 4.7.5 ya que se indica que “Movistar se reserva el derecho de reconfigurar, reiniciar, SUSTITUIR la configuración definida por el CLIENTE, en cualquier momento y sin previo aviso, con la finalidad de mejorar la calidad de prestación de los servicios objeto del presente Contrato” así como en el apartado 4.11. en el que se indica que el mantenimiento del equipamiento propiedad de Movistar se 

incluye dentro del Servicio de Banda Ancha Fibra."

Me registré como ****** ****** en la web de la Comunidad Movistar: Pregunté sobre esto, básicamente que cómo podía acceder a mis datos concretos sobre Devo y qué datos mandaban. 

Tras más de una semana, hace unos días me contestó un usuario cualificado, de forma muy técnica detalla los datos que se manda a Devo, pero dudo que él conozca lo que pueden hacer con esos datos tal y como he venido mostrando.

Entonces me contesan que si esa respuesta me sirvió, para zanjar el asunto y como insistí me contestaron POR PRIVADO este mensaje:

"Sobre los datos concretos que se mandan desde el Router (HGU Askey 3505VW) a la compañía de inteligencia y analítica Devo te informamos sobre lo siguiente:

En Movistar trabajamos cada día para ofrecerte un mejor servicio, todo un reto teniendo en cuenta que las actuales redes del hogar cada vez son más complejas.

En nuestra apuesta por la calidad, siempre buscamos ofrecer no sólo el mejor equipamiento del mercado, sino también las capacidades más avanzadas e innovadoras en cuanto a prevención y diagnóstico de problemas.

La información que a día de hoy se emplea en el router de altas prestaciones (HGU), el cual Movistar instala en el hogar de nuestros clientes de fibra óptica, es información necesaria para la correcta prestación de los servicios ofrecidos, asegurando así los mejores niveles de calidad. Con esta información, se podrá optimizar y hacer el mejor diagnóstico de las posible incidencias que puedan aparecer en casa del cliente, así como ayudar en su resolución en caso de que el usuario se pongan en contacto con nuestros centros de atención técnica. De esta manera, el soporte técnico podrá contar con la información necesaria para poder hacer un análisis y diagnóstico técnico acertado.

 En este caso concreto, y tal como se indica en el apartado 8 de la Política de privacidad cuyo contenido completo podrá consultar en www.movistar.es/privacidad, Movistar tiene contratados para la gestión de algunas de las funciones necesarias para la prestación del servicio, proveedores de confianza como DEVO, que podrán tener acceso a datos personales y que actuarán como encargados de tratamiento. Estos proveedores se encuentran obligados contractualmente a cumplir con sus obligaciones legales de encargado de tratamiento, a mantener la confidencialidad y secreto 

de la información.

Movistar garantiza la adopción de las medidas necesarias para asegurar el tratamiento confidencial de dichos datos, motivo por el cual la información se envía cifrada a un servidor remoto, que cumple con todas las exigencias y estándares exigidos por Telefónica en cuanto a cumplimiento de medidas de seguridad y Reglamento Europeo de Protección de Datos.

Asimismo, el tratamiento de datos realizado por parte del Router se encuentra amparado en las Condiciones Generales del Servicio Movistar Internet (Banda Ancha Fija) en sus cláusulas 4.7.5 ya que se indica que “Movistar se reserva el derecho de reconfigurar, reiniciar, sustituir la configuración definida por el CLIENTE, en cualquier momento y sin previo aviso, con la finalidad de mejorar la calidad de prestación de los servicios objeto del presente Contrato” así como en el apartado 4.11. en el que se indica que el mantenimiento del equipamiento propiedad de Movistar se incluye dentro del Servicio de Banda Ancha Fibra.

Desde Movistar queremos asegurarnos de que nuestros clientes cuentan con el conocimiento necesario sobre el tratamiento que realizamos de su información, reafirmando nuestro compromiso de mantener unos claros principios y valores de privacidad respecto a la transparencia, el control y la seguridad de los datos de nuestros clientes.Un saludo,"

Bueno y ahí es donde NO NIEGAN EL HECHO, sino que se agarran a que es legal y me repiten que ya avisan en su web. Pero Ud que me lee, ¿cuántos usuarios de internet que se conecten a un router de Movistar y que se hayan leido esa privacidad o que supieran que siquiera existía, conoce?

yo a ninguno y me incluyo, así que no se como encajan eso con la ley donde dice que el 'interesado' debe estar inequívocamente informado.

Le respondí así por encima:

Cómo el uso de CyberCheff, preinstalado en la plataforma de Devo que le presta el servicio a Telefónica o Movistar, como prefiera, y que permite extraer las conexiones de un usuario en concreto o alguno de sus archivos incluyendo imágenes o etiquetarlo por su comportamiento mediante alarmas preestablecidas, tal y como aparece en la documentación técnica de Devo, va a ser "información NECESARIA para la correcta prestación de los Servicios Ofrecidos"? En qué parte concretamente?

La persona de Movistar que me mandó este mensaje privado, como se lee, me remite a la página de privacidad de Movistar en el punto 8.

"El cliente podrá encontrar la relación actualizada de las categorías de dichos proveedores así como de aquellos que realizan transferencias internacionales de datos en el ejercicio de sus funciones en www.movistar.es/privacidad/info-adicional."

Y voy y Por Ningún Lado Aparece Mención ni a Devo/Logtrust, ni que tienen plantado un 'collector' en los routers.

Vea usted si lo encuentra en

https://www.movistar.es/particulares/centro-de-privacidad?&segmento=particulares&&segmento=particulares#transferencias

A continuación, para los más técnicos, finalizo con el mensaje del técnico que me contesto de forma no oficial.

Solo decir, que es una información muy útil para seguir detallando este asunto 

pero se queda un poco, hasta la salida del router y el verdadero cocinado viene ya en la plataforma de Devo.

Mensaje:

"¿Que información recopila? Hay en esencia 4 tipos de mensajes que envía:

<9>FechaHora IP oem.wd.ppp.MACROUTER.v1: TiempoEpoch|CEASE_CONN_OK|UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1|IP|ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff##HMAC-SHA256

<14>FechaHora IP oem.wd.infgen.MACROUTER.v1: TiempoEpoch|CPU|Mem|UP##HMAC-SHA256

<14>FechaHora IP oem.wd.infcnx.MACROUTER.v1: TiempoEpoch|xxx|xxx|xxx|xxx|xxx|xxx|xxx|xxx|xxx|xxx|xxx|xxx|xxx|xxx|xxx|xxx##HMAC-SHA256

<14>FechaHora IP oem.wd.infprc.MACROUTER.v1: TiempoEpoch|PPPD|TR69C|DNSProxy|VODSL|MCPD|RIPD|WLMNGR|1##HMAC-SHA256"

En posteriores mensajes dicho técnico me contesto que una cosa son las capacidades que tenga Devo y otra lo que Telefónica vaya a hacer con eso, y más recientemente que duda que los datos que salen hacia Devo puedan sean personales o puedan usarse para identificar a alguien. Pero claro, no sé hasta que punto ha profundizado, si ha sido al menos, como en este post o si se quedo en los datos que vio y con eso razonó que era prácticamente imposible.

Mi opinión es que es demasiado ingenuo. Pero la opinión que importa es la suya.

l

e

e

e