Múltiples oficinas de inteligencia militar han pagado a un corredor de datos para acceder a los registros de tráfico de Internet, lo que podría revelar los historiales de navegación en línea de los ciudadanos estadounidenses, dijo el miércoles el senador Ron Wyden en una carta, citando a un denunciante anónimo que se había comunicado con su oficina.
Al menos cuatro agencias dentro del Departamento de Defensa de los Estados Unidos, incluido el Ejército y la Armada, han gastado colectivamente al menos $ 3.5 millones en una herramienta de monitoreo de datos poco conocida con la capacidad informada de proporcionar acceso a grandes cantidades de datos de correo electrónico y actividad de navegación web. . Team Cymru, la firma de ciberseguridad con sede en Florida detrás de la herramienta, reclamación (es su producto proporciona a los clientes una «gran mayoría de toda la actividad en Internet» y «visibilidad” en más del 90% del tráfico de Internet.
Las adquisiciones gubernamentales previamente desconocidas, reveladas en un miércoles Vice reporteya han disparado las alarmas desde un destacado senador estadounidense y la Unión Estadounidense de Libertades Civiles, que le dijo a Gizmodo que todavía se sabe muy poco sobre cómo el Departamento de Defensa está utilizando la herramienta que puede «revelar información extremadamente confidencial sobre quiénes somos y qué estamos leyendo en línea», escribió Wyden. Como mínimo, la compra representa la más reciente ejemplo de agencias gubernamentales que potencialmente eluden las protecciones constitucionales al buscar datos de intermediarios de datos sospechosos y otras empresas privadas.
Wyden escribió el miércoles a los inspectores generales de los Departamentos de Defensa, Justicia y Seguridad Nacional, instando a una investigación de la compra de datos por parte de sus respectivas agencias, diciendo que había confirmado que “varias agencias gubernamentales están comprando datos de estadounidenses sin autorización judicial”.
Con respecto a las fuerzas armadas, Wyden dijo que un denunciante se había presentado en su oficina y había revelado que se habían presentado una serie de quejas formales «en toda su cadena de mando». Según Wyden, las denuncias implican al Servicio de Investigación Criminal Naval (NCIS) en tratos para obtener datos de netflow sin una orden judicial.
G/O Media puede recibir una comisión
Forros invisibles que te hacen sentir genial.
Este tratamiento dirigido por un médico cuesta miles de dólares menos que los frenos y se realiza completamente desde la comodidad de su hogar. El proceso comienza con las impresiones dentales y, después de eso, los médicos formulan el mejor plan de acción para su sonrisa.
“Según el denunciante, el NCIS está comprando el acceso a los datos, que incluyen registros de netflow y algunos contenidos de comunicaciones, de Team Cymru, un corredor de datos cuyas ventas de datos he investigado previamente”, dijo Wyden, presidente de Finanzas del Senado y miembro de mucho tiempo de la Seleccionar Comité de Inteligencia.
Los registros de Netflow pueden revelar a qué servidores se conectan los usuarios, lo que a menudo revela sitios web específicos que visitan. Los registros también pueden revelar el volumen de datos enviados o recibidos, y cuánto tiempo accedió un usuario a un sitio.
Placa base primero reportado en agosto de 2021 que Team Cymru, una firma de inteligencia de amenazas, estaba trabajando con proveedores de servicios de Internet para obtener acceso a los registros de netflow. La compañía informó a la oficina del senador en ese momento que obtuvo «datos de netflow de terceros a cambio de inteligencia de amenazas».
Citando una fuente a la que se le otorgó el anonimato para hablar con franqueza sobre las prácticas de la industria, Motherboard informó que a los clientes de Team Cymru se les dio acceso a un conjunto de datos, a través del cual podían «ejecutar consultas en prácticamente cualquier IP para extraer los flujos de red hacia y desde esa IP en un punto determinado en tiempo.»
Según se informa, esto incluye la capacidad de seguir el tráfico a través de redes privadas virtuales (VPN), servicios utilizados por algunos usuarios para navegar por Internet de forma más privada.
Según Wyden, los registros de contratación pública han confirmado el uso militar de una herramienta llamada Augury, que proporciona «petabytes» de datos de red «de más de 500 puntos de recopilación en todo el mundo». Al menos «100 mil millones de nuevos registros» se recopilan cada día, incluidos los datos de correo electrónico y navegación web.
Wyden dijo que la herramienta es ofrecida por el contratista Argonne Ridge Group, que comparte «la misma dirección corporativa» que Team Cymru, con la que Argonne también tiene «funcionarios corporativos superpuestos». Agregó que los registros muestran que Argonne ha obtenido contratos con el Comando Cibernético de EE. UU., el Ejército, la Oficina Federal de Investigaciones y el Servicio Secreto de EE. UU.
La Agencia de Inteligencia de Defensa, la Agencia de Seguridad y Contrainteligencia de Defensa y la Aduana y Protección Fronteriza de EE. UU. (CBP) también se mencionan en la carta. La investigación de Wyden sobre las compras del gobierno está en curso.
Las revelaciones despertaron la preocupación de los principales grupos de derechos como la Unión Estadounidense de Libertades Civiles, que le dijeron a Gizmodo que se necesita una mayor transparencia para comprender cómo las agencias gubernamentales están usando esta información.
“Los registros de navegación web pueden revelar información extremadamente confidencial sobre quiénes somos y qué leemos en línea”, dijo Patrick Toomey, director adjunto del Proyecto de Seguridad Nacional de la ACLU, en un correo electrónico a Gizmodo. “Necesitamos saber mucho más sobre cómo las agencias militares y policiales están explotando su acceso sin orden judicial a nuestra información privada”.
Un portavoz de Team Cymru declaró que los informes de noticias sobre los contratos de la empresa han sido «falsos y engañosos» y que las «alegaciones» sobre las capacidades de su software son «infundadas». (No especificaron qué afirmaciones creen que son falsas, ni proporcionaron más detalles para corregir el registro).
Los portavoces de CBP y el FBI no respondieron de inmediato a una solicitud de comentarios. Un portavoz militar dirige todas las preguntas a la oficina del inspector general del Departamento de Defensa. Estamos esperando una respuesta.
La noticia llega cuando varios legisladores federales están trabajando para investigar la adquisición de datos por parte del gobierno de EE. UU. que, de otro modo, las agencias requerirían una orden judicial para obtener. El mes pasado, dos de los principales demócratas en la Cámara de Representantes, los representantes Jerrold Nadler y Bennie Thompson, exigieron que el FBI y el DHS revelaran los detalles de las supuestas compras de datos que revelan la actividad de navegación en Internet y las ubicaciones precisas de los usuarios.
Si bien una decisión de la Corte Suprema en 2018 sostuvo que el gobierno no puede adquirir datos de ubicación confidenciales sin una orden judicial, varias agencias gubernamentales están acusadas de optar por interpretar la decisión de manera restringida, eximiendo los datos que, en lugar de exigirse, se adquieren comercialmente. En otras palabras, el gobierno está literalmente sobornando la Cuarta Enmienda.
Las agencias federales no son las únicas que lo hacen. El viernes, la representante Anna Eshoo le pidió a la Comisión Federal de Comercio que investigar el software policial recientemente revelado, conocido como Fog Reveal, que permite a las fuerzas del orden mapear los movimientos de los estadounidenses «meses atrás en el tiempo». Ese servicio no se basa en datos de netflow, sino en datos de ubicación seleccionados de cientos de aplicaciones de consumo, supuestamente con fines publicitarios.
“Los consumidores no se dan cuenta de que potencialmente están anulando sus derechos de la Cuarta Enmienda cuando descargan y usan aplicaciones gratuitas en sus teléfonos”, dijo Eshoo. «Sería difícil imaginar que los consumidores dieran su consentimiento a esto si realmente se les diera la opción, pero esto es lo que ocurre funcionalmente».
Actualización 9:45 p. m.: se agregó un comentario del equipo Cymru.