La pubblicità di sorveglianza, nota anche come pubblicità mirata o pubblicità comportamentale, è la pratica di mostrare ai singoli consumatori pubblicità diverse in base ai loro interessi e ad elementi come i dati demografici o altre caratteristiche, ricavate dallo storico delle loro attività nel tempo e nello spazio.
Il tracciamento avviene principalmente attraverso l’identificazione dei dispositivi connessi a Internet che i consumatori utilizzano per effettuare ricerche sul web, accedere ai social media, giocare, guardare video e partecipare ad altri aspetti della vita resi sempre più digitali.
Quando i dati provenienti da queste diverse attività vengono combinati, si delineano ritratti dettagliati di individui o famiglie, anche senza informazioni personali identificabili.
Spyware e malvertising: minacce nascoste nella pubblicità online
Le reti pubblicitarie vengono sfruttate per infettare i sistemi informatici da anni. Nella maggior parte dei casi, i malware sono rivolti indistintamente a computer e smartphone e sono progettati per bloccare i dati di un utente, come parte di un attacco ransomware, o rubare password per accedere agli account online o alle reti organizzative.
Trasforma i documenti digitali in alleati del business: ottieni più efficienza, sicurezza e conformi
È per questo motivo che le reti pubblicitarie eseguono costantemente la scansione alla ricerca di eventuale malvertising e bloccano rapidamente le minacce quando rilevate.
Lo spyware, invece, tende ad essere rivolto agli smartphone, a persone specifiche o categorie ristrette di persone, ed è progettato per ottenere informazioni sensibili e monitorare le attività di qualcuno. Una volta che lo spyware si infiltra nel sistema, può registrare le battiture dei tasti, prendere screenshot e utilizzare vari meccanismi di tracciamento prima di trasmettere i dati rubati al creatore della minaccia.
Data broker: chi sono e che ruolo giocano
Lo stesso dispositivo che collega ognuno di noi al mondo “virtuale” potrebbe anche collegare un’entità terza ai nostri movimenti più intimi, considerando la ricchezza dei “database” informatici.
Nel vasto ecosistema digitale, i data broker sono emersi come figure che raccolgono e rivendono informazioni. Queste entità invogliano gli sviluppatori di app con offerte redditizie, incorporando dei software nelle applicazioni più scaricate e usate quotidianamente.
Che si tratti di un aggiornamento meteo, di uno strumento di navigazione o anche di un’app per la sicurezza familiare, queste applicazioni, apparentemente innocue, potrebbero incanalare i dati sensibili all’interno di un mercato in cui l’acquirente ultimo potrebbe anche essere un’agenzia governativa.
I broker di dati non solo raccolgono elementi dalle app con cui collaborano direttamente, ma attingono anche dall’ecosistema della tecnologia pubblicitaria.
Dunque, le informazioni provenienti da app per telefoni cellulari e reti pubblicitarie dipingono un ritratto dettagliato e minuzioso delle attività online di miliardi di dispositivi, che può produrre un quadro ancora più particolare dei comportamenti di un individuo sia online che nel mondo reale.
L’approccio backdoor per accedere ai dati degli utenti
Tuttavia, l’approccio backdoor messo in atto per accedere ai dati personali attraverso i broker solleva notevoli preoccupazioni. Mentre la Corte Suprema degli Stati Uniti d’America si è pronunciata sulla protezione di alcuni tipi di dati sulla geolocalizzazione, il panorama attuale rimane un’”area grigia”, con le agenzie che potenzialmente aggirano i requisiti legali tradizionali.
Il Wall Street Journal ha identificato una rete di broker e scambi pubblicitari i cui dati stavano passando dalle app al Dipartimento della Difesa americano e agenzie di intelligence attraverso una società chiamata Near Intelligence.
Questa compagnia, con sede in India ma operante negli Stati Uniti e in Francia, dal gennaio 2023 ha affermato di avere dati su più di un miliardo di dispositivi, acquisito informazioni da altri broker o reti pubblicitarie, che successivamente trasmetteva alle agenzie di intelligence degli Stati Uniti e ai suoi comandi militari.
L’uso malevolo di advertising network e annunci online
Gli advertising network o i semplici annunci non sono intrinsecamente malevoli, dato che sono creati tenendo ben presente la necessità di protezione della privacy degli utenti.
Tuttavia, alcune aziende e governi sono in grado di manipolare gli annunci e combinare le informazioni raccolte con altri dati, come la geolocalizzazione.
In questo senso, agenti governativi o privati interessati, possono installare spyware sui dispositivi elettronici di un bersaglio senza la sua conoscenza o consenso.
Questo tipo di software consente all’utente di vedere i contenuti del dispositivo del target, tra cui chiamate, messaggi, e-mail e segreteria telefonica, prendendo in alcuni casi anche il controllo del dispositivo.
Sherlock e Pegasus: gli spyware israeliani
Secondo un rapporto investigativo del quotidiano israeliano Haaretz, una società tecnologica israeliana chiamata “Insanet” ha sviluppato i mezzi per installare spyware nei soggetti bersaglio tramite reti pubblicitarie online, trasformando alcuni annunci mirati in trojan.
Secondo il rapporto, non c’è difesa contro lo spyware e il governo israeliano ha dato l’approvazione a Insanet per vendere questa tecnologia.
In particolare, lo spyware chiamato “Sherlock” non è il primo che può essere installato su un telefono senza la necessità di ingannare il proprietario facendo clic su un link dannoso o scaricando un file dannoso.
Il software Pegasus, sviluppato dalla israeliana NSO, ad esempio, è uno degli strumenti tecnologici più controversi sviluppati negli ultimi anni, poiché si basa sulle vulnerabilità di iOS di Apple, il sistema operativo iPhone, per infiltrarsi al suo interno senza essere rilevato.
Ciò che distingue Sherlock da Pegasus è lo sfruttamento delle reti pubblicitarie piuttosto che le vulnerabilità dei dispositivi. Un utente di Sherlock crea una campagna pubblicitaria che si concentra strettamente sulla demografia e sulla posizione del target, e inserisce un annuncio carico di spyware. Una volta che l’annuncio viene utilizzato da una pagina web visualizzata dal target, lo spyware viene installato in incognito sul telefono o sul computer del bersaglio.
Sebbene sia troppo presto per determinare l’intera portata delle capacità e delle limitazioni di Sherlock, il rapporto di Haaretz ha scoperto che può infettare indistintamente sistemi Windows, Android e iOS.
Sorveglianza governativa: il caso del Messico
Casi come questo evidenziano quindi la controversia etica di tali strumenti. Chiaramente, in mano a organizzazioni criminali o terroristiche software come Sherlock possono avere effetti disastrosi. Infatti, anche le figure del crimine organizzato potrebbero usare lo spyware per rubare informazioni da utilizzare in frodi o schemi di estorsione.
A tal proposito, un’indagine del Cartel Project ha rivelato che un giornalista messicano, direttore della più importante rivista investigativa del Paese, è stato preso di mira con lo spyware Pegasus, così da rilevare che il Messico è stato uno dei maggiori clienti di NSO per gran parte dell’ultimo decennio.
Dopo un contratto iniziale firmato con il segretario della difesa nazionale, la società israeliana ha consolidato il suo posto nel mercato nel 2014 firmando un contratto da 32 milioni di dollari con l’ufficio del procuratore generale.
Negli ultimi dieci anni, il Messico è diventato uno dei principali importatori di software spia, in quanto i funzionari insistono sulla necessità di equipaggiarsi contro i potenti gruppi di criminalità organizzata che hanno contribuito a portare il tasso di omicidi nel Paese a livelli record.
Ma il kit di sorveglianza è stato utilizzato anche per colpire persone non accusate di alcun reato, tra cui la vedova di un giornalista assassinato, attivisti che si battono per una tassa sullo zucchero e avvocati che indagano sulle violazioni dei diritti umani.
Ad aggiungersi alle vulnerabilità digitali dei civili, molte di queste forze regionali e statali sono accusate di collusione con le organizzazioni criminali, facilitando il passaggio della tecnologia nelle mani dei “cartelli” o dei politici corrotti.
Conclusioni
L’uso di tale tecnologia avanzata da parte dei governi è esponenzialmente cresciuto dal 2011 al 2023, contando almeno 74 governi impegnati in contratti con società commerciali per l’acquisizione di digital forensics.
David Kaye, relatore speciale delle Nazioni Unite sulla libertà di espressione fino a luglio 2020, ha dichiarato: “siamo in una situazione in cui dobbiamo presumere che questi strumenti siano ancora disponibili per essere utilizzati, e sta al governo dimostrare che li hanno messi sotto vincoli significativi dello stato di diritto”.
Le strategie che fanno bene al business e alla cyber security
@RIPRODUZIONE RISERVATA