Protección de Datos – Ojo: El nuevo fallo de seguridad que daba acceso a conversaciones de terceros en WhatsApp
WhatsApp ha descubierto una nueva falla en su seguridad, la cual permitía ver conversaciones ajenas usando un GIF malicioso. El error solo afectó a dispositivos que funcionan con Android 8.1 y 9. Una persona que recibiera y abriera la imagen maliciosa, quedaba expuesta y sus conversaciones podrían ser vulneradas con facilidad por terceros por medio de codigo. Un video hecho por un investigador de seguridad informática publicó un video cómo pudo obtener acceso a un chat privado simplemente enviando un GIF. Sin embargo Facebook, compañía propietaria de WhatsApp, indicó que es poco probable que la privacidad de los usuarios se haya visto afectada por esa amenaza de seguridad. «No tenemos razones para creer que usuarios fueron afectados por este fallo. Siempre estamos trabajando en mejores formas para ofrecer actualizaciones de seguridad», dijo en un comunicado enviado a CNN. Para evitar problemas de seguridad, lo más recomendable es mantener siempre actualizada la aplicación en su última versión. Para eso simplemente debemos dirigirnos a la Play Store, tocar Menú, Mis apps y juegos y pulsar en “actualizar” en WhatsApp Messenger. Fuente: https://noticias.canalrcn.com/tecnologia/apple-retira-aplicacion-de-hong-kong-que-permitia-los-manifestantes-localizar-la-policia
Protección de Datos – “Hola, quiero acceder a mi cuenta bancaria”: llega el acceso por voz
La biometría vocal es un sistema de identificación por voz que permite verificar la identidad de los usuarios durante la comunicación oral. Esta verificación es posible porque la huella vocal es única en cada individuo. Varias empresas españolas, como Banco Sabadell y Endesa, están probando estos sistemas con sus propios trabajadores para, en un futuro, poder ofrecérselo a sus clientes para realizar cambios en sus cuentas personales. Estas compañías y el resto que utilicen estos sistemas de autenticación le propondrán a los usuarios si quieren usar ese tipo de seguridad, ya que no será un método de identificación obligatoria. «Si el cliente lo acepta, le pedirán que repita tres o cuatro veces su DNI y así, generar su huella vocal», explica Carlos Gavilán, director de desarrollo de negocio de Biometric Vox. «A partir de ese momento, el usuario podrá elegir entrar por voz al sistema repitiendo solo una vez su documento de identidad», añade Gavilán. La clave de este tipo de protección es que la voz de cada persona es única e irrepetible. «Para crear una huella vocal se comprueban más de 100 parámetros tanto físicos, morfológicos y fonéticos teniendo en cuenta pequeñas variaciones porque la voz cambia cuando se esta resfriado y no es la misma a primera hora de la mañana que a última de la noche», señala Gavilán. La voz es un medio natural de comunicación del ser humano. «La ventaja principal de este sistema es que no es intrusivo. El usuario lo acepta y asimila de modo natural. Además un sistema muy seguro ya que es imposible la suplantación de una persona. Esta tecnología incorpora mecanismos de seguridad complejos para que no pueda falsificarse la voz por ningún medio, ni con grabaciones», señala Juan Pablo Yagüe, director general de Serban Biometrics. La biometría por voz no necesita un hardware específico como una cámara, un lector de huella, o un lector de iris. «Además es mucho más efectiva que el reconocimiento facial, ya que puede ser variable si llevamos o no gafas, barba, según el gesto facial que tengamos en ese momento», apunta Yagüe. Para crear una huella vocal se comprueban más de 100 parámetros tanto físicos, morfológicos y fonéticos teniendo en cuenta pequeñas variaciones porque la voz cambia cuando se esta resfriado y no es la misma a primera hora de la mañana que a última de la noche Sin embargo, no existe el sistema perfecto en cuanto a vulnerabilidad. Por ello, los expertos recomiendan que la biometría por voz sea un método complementario de verificación. «Sobre todo si estamos hablando de verificaciones es importante que los sistemas de autenticación sean de doble factor, incorporando dos tipos de sistemas diferentes, por ejemplo, una contraseña y un reconocimiento biométrico», afirma Helena Rifà, directora del máster de seguridad de las tecnologías de la información y comunicación de la UOC (Universidad Oberta de Catalunya). En la actualidad, los sistemas de biometría vocal se emplean cada vez con más frecuencia en estrategias de seguridad basada en validación de identidad a través de dos factores, ya que son mucho más difíciles de hackear. «Como estos niveles de seguridad se basan en factores biométricos propios de cada usuario como la voz, los cibercriminales tienen cada vez más difícil poder suplantar la identidad de otra persona. Esto hace que sean sistemas de seguridad mucho más fiables y difíciles de vulnerar, aunque esto no implica que sean 100% efectivos», señala Eusebio Nieva, director de Checkpoint para España y Portugal. Desde hace unos años, la sociedad ha normalizado hablar con las interfaces. Interactuamos con los asistentes de los coches, nos comunicamos con el movil y con los asistentes del hogar. En el futuro la biometría por voz, además de solucionar los problemas con la identificación en nuestro banco o factura de la luz, también permitirá que cada usuario acceda a su lista de reproducción de música o series o películas solo porque ha reconocido su voz. ¿POR QUÉ LA VOZ ES ÚNICA? Cada persona tiene una voz única que depende del timbre, del tono, de la frecuencia vocal y de la cavidad buconasal. El timbre es la característica más identitaria de la voz, ya que permite diferenciar dos sonidos de igual altura, intensidad y duración. El timbre aporta una peculiaridad a cada voz que le hace distinta del resto. Se produce como consecuencia del choque del aire con las cavidades bucal y nasal, el velo del paladar, los labios, la lengua y los dientes, determinando así la forma que acaba adaptando una voz. Además, ofrece al oyente información muy valiosa sobre el hablante, por lo que facilita establecer un perfil aproximado con factores como la edad, género e incluso factores físico. El tono, que puede ser grave o agudo, es la impresión que produce la frecuencia de vibración a la que se manifiesta una determinada onda sonora. Cuantas más vibraciones se produzcan en la laringe, más aguda será la voz, mientras que un menor nivel de vibración dará como resultado una tonalidad más baja y, por tanto, una voz más grave. La frecuencia vocal hace referencia a picos de intensidad o bandas de frecuencia donde se concentra la mayor parte de la energía sonora de un sonido. Estos picos de intensidad, también conocidos como formantes, permiten distinguir los sonidos del habla humana, sobre todo las vocales. La cavidad buconasal es un aspecto físico de cada ser humano que juega un papel destacado a la hora de formar la voz. La zona interna de la nariz y la boca son los encargados de almacenar y expulsar o inspirar el aire de los pulmones, un proceso indispensable a la hora de formar la voz y cualquier sonido. La movilidad de la zona bucal es fundamental para generar sonidos, un aspecto que varía en cada individuo. Fuente: https://elpais.com/tecnologia/2019/09/30/actualidad/1569842091_983071.html
Ciberseguridad – Conozca las 8 estafas más comunes en Internet, según Business Insider
Un estudio realizado por Better Business Bureau, Finra y el Centro de Longevidad de Stanford arrojó los resultados sobre los canales a través de los cuales los estafadores obtienen la mayor cantidad de dinero, basado en entrevistas con 1.408 consumidores de internet entre 2015 y 2018. El estudio muestra que aproximadamente la mitad de las personas que fueron contactadas por timadores no cayeron en las prácticas fraudulentas, ya que pudieron detectar la mentira de inmediato. Mientras tanto, el 30% de los encuestados aceptó caer, pero no perdieron dinero, mientras que el 23% cayó y perdió dinero ante un estafador. 1. Estafas de compra en línea Las estafas de compra en línea se encuentran entre las más exitosas, teniendo un 84% de efectividad y el 47% de victimas perdiendo dinero como resultado. Los encuestados aseguraron que la gran mayoría han caído en este método en portales como ‘Craigslist’, ‘eBay’, ‘Kjiji’ y otros sitios web que funcionan como puente entre vendedores y compradores. La forma de operar es la siguiente: enumeran los artículos, cobran los pagos de los compradores y luego nunca envían los productos. 2. Estafas de soporte técnico falsas Generalmente toman la forma de anuncios, correos electrónicos o ventanas emergentes que advierte a los internautas que su computadora puede estar infectada con un virus. Una vez que los usuarios se percatan del mensaje y caen en la trampa los estafadores, estos se hacen pasar por un profesional de servicios tecnológicos y solicitan a las víctimas que entreguen dinero a cambio de un falso soporte técnico. Si bien el índice de estafas mediante esta modalidad no es tan alto, la tasa de éxito es del 32%. 3. Estafas de empleo Mediante este método de engaño los estafadores se hacen pasar por empleadores para que las victimas piensen que se les esta ofreciendo un trabajo. A partir de ahí mienten a las personas contactadas para que envíen dinero para gastar en algún tipo de entrenamiento o capacitación, la cual resulta siendo fraudulenta. Esta forma de engaño es uno de los más exitosos, ya que de los encuestados el 81% cayó en la mentira y el 25% perdió dinero. 4. Cheques falsos o giros postales Este intrincado esquema se basa en que envían a las víctimas un cheque falso, hacen que el dinero sea depositado, luego solicitan que se les devuelva parte del dinero entregado mediante una transferencia debido a un supuesto sobrepago. Según el reporte, un 64% de personas han sido persuadidas mediante este método, pero solo el 22% han presentado pérdidas financieras. 5. Sorteos, loterías y premios falsos Mediante los juegos de azar engañan a las víctimas haciéndoles creer que han ganado un sorteo o lotería, pero antes de poder reclamar su premio deben pagar una tarifa por adelantado para poder hacer efectiva la entrega del mismo. El 59% de los encuestados afirman haber sido contactados por estafadores mediante este método y el 15% de estos no pudo evitar caer en la trampa y perdió dinero. 6. Estafas de cobro de deudas falsas Similar a la recaudación de impuestos falsos, este tipo de fraude depende de los ladrones, ya que estos fingen ser cobradores y acosan a las víctimas para pagar deudas que realmente no tienen. Según cifras, el 38% de los encuestados ha sido víctimas de esta artimaña y el 12% perdió dinero como resultado de la misma. 7. Estafas de ‘phishing’ La suplantación de identidad o ‘Phishing’, como se le conoce en el mundo tecnológico, consiste en fingir ser una persona de confianza, como un banquero, un proveedor de servicios o una compañía hipotecaria, para engañar a las víctimas y poder solicitarles información privada que se puede usar en su contra. El ‘phishing’, a pesar de su baja tasa de efectividad, es una de las trampas más recurrentes y denunciadas en el mundo. Solo el 4% reconoció haber caído alguna vez en esta mentira. 8. Estafas falsas de recaudación de impuestos Según los autores del estudio esta estafa es una en la que «los timadores se hacen pasar por agentes de recaudación de impuestos del gobierno y usan amenazas de arresto u otras tácticas de miedo para convencer a sus objetivos de pagar, y a menudo solicitan que el objetivo cargue dinero en tarjetas de regalo como pago». Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/las-8-estafas-mas-comunes-en-internet-419338
Protección de Datos – ¿Están las empresas preparadas para proteger los datos de sus clientes?
En 2018 estalló el escándalo de la filtración de datos de miles de usuarios de Facebook a la firma británica Cambridge Analytica. Desde entonces, se tomó las conversaciones de los ciudadanos del mundo la forma como las empresas protegen y manejan la información que obtienen de sus clientes. Al fin y al cabo, estos cada vez están más pendientes de dónde y a quién entregan su información. En Colombia, en los últimos años ha crecido significativamente el número de quejas y denuncias sobre este tema presentadas ante la Superintendencia de Industria y Comercio (SIC). De acuerdo con el superintendente Andrés Barreto, a agosto de 2019 la entidad recibió 8.879 quejas de esta naturaleza. Hace nueve años, según el funcionario, se recibieron 1.030 reclamaciones. Adicionalmente, datos de la entidad revelan que casi 90% de las quejas que recibe la unidad de protección de datos tienen que ver con la ley 1266 de 2008, enfocadas la gran mayoría en temas de suplantación, las cuales han aumentado en 122%. Dicha situación ha desencadenado 82 sanciones económicas por cerca de $8.000 millones a empresas que han vulnerado el derecho a la protección de datos de los ciudadanos colombianos. “El tema de los datos ha tomado una especial importancia dada la llegada de la economía digital y que la información se ha convertido en uno de los activos más importantes de las compañías. Esto ha desatado dos situaciones: una, que la gente empiece a conocer más sus derechos sobre la protección de datos personales y, la segunda, que estos empiezan a reclamar y a defender este derecho”, afirmó Barreto. El superintendente asegura que el sector de telecomunicaciones genera más retos en esta materia, dada su penetración en el mercado colombiano. Sin embargo, también tiene en el radar sectores como el de las ventas por catálogo y el financiero, que presentan algunas fugas de información o usos indebidos de los datos de los usuarios. ¿Preparadas o no? Pero el tema debe ir más allá de las cifras. Nadie sabe en realidad si las empresas, tanto en Colombia como a nivel mundial, están preparadas para proteger la información de sus clientes. En efecto, pese a los avances tecnológicos, las compañías aún tienen temores frente a la seguridad de los datos que manejan y mantienen una administración manual de los mismos. Según el Eset Security Report 2019, en América Latina las mayores preocupaciones de las compañías giran en torno a los principios de seguridad de la información. Entre ellos el acceso indebido, el robo de información y la privacidad de los datos. A esto se une que las compañías no son lo suficientemente juiciosas con el manejo de sus datos. De acuerdo con Maximiliano Cantis, especialista en seguridad informática de Eset, las empresas enfrentan el reto de clasificar debidamente la información sensible y no sensible que manejan. Al respecto, asegura que solo 3 de cada 10 empresas en Latinoamérica tiene clasificados este tipo de datos. Por su parte Andrés Umaña, director de asuntos legales y corporativos de Microsoft, resaltó que las empresas aún no adoptan una cultura organizacional que priorice la protección de datos. Asegura que todavía las organizaciones se concentran en la manera de aprovechar la mina de oro que tienen en sus manos, pero no tanto por protegerlos. «Pocas empresas tienen un gobierno corporativo responsable del manejo de la información. Falta generar cultura en ese sentido», dijo. Conciencia del usuario Cada vez hay ciudadanos más informados al respecto, pero la ingenuidad y la contradicción aún reinan entre ellos. Los dos expertos aseguran que aunque muchos ven la necesidad de cuidar y vigilar sus datos, la gran mayoría suele dar su información por cosas tan banales como promociones o regalos, entre otros. «Es cierto que los usuarios están tomando más conciencia. Pero hay estudios que demuestran que aún falta más. Por ejemplo, uno de cada dos usuarios comparte el número de su celular en redes sociales y esto es un gran problema porque es una pequeña puerta para que invadan su privacidad», señaló el experto de Eset. Ante esto, concordaron los analistas, las empresas deben tomar medidas pedagógicas, un aspecto en el que se rajan, pues 70% de las compañías no cuenta con un plan pedagógico. Todo para que el ciudadano sepa a quién le entrega su información. «Las empresas tenemos la responsabilidad de contar con buenas prácticas corporativas y de autorregularnos en el manejo de datos. Esa es una labor aún pendiente en el país», afirmó Umaña. Un debate urgente, que apenas comienza. Fuente: https://www.dinero.com/empresas/articulo/empresas-en-colombia-no-estan-preparadas-para-proteger-datos-de-sus-clientes/277588
Ciberseguridad – La mayoría de las pymes españolas están desprotegidas frente a ciberataques
Cerca de tres millones de pymes en España están desprotegidas frente a los ciberataques, puesto que tres de cada cinco carecen de protocolos de seguridad básicos para sus páginas web o cuentas de correo electrónico corporativo, según un estudio de Google difundido en Madrid. «Las pymes no disponen de recursos financieros, ni personal, ni tiempo para hacer frente a esos ciberataques», ha explicado al presentar estos datos la responsable de relaciones institucionales de Google en España, María Álvarez, que ha recordado que el 99,8 % del tejido empresarial está formado por compañías de menos de 250 empleados. Un ataque informático le cuesta a cada pyme una media de 35.000 euros, una elevada cuantía que, en gran parte, es responsable de que el 60 % de esas compañías atacadas termine cerrando su negocio poco después, según datos de Karspersky Lab & Ponemon Institute citados en el estudio. El 43 % de los ciberataques con que lidia a diario el Instituto Nacional de Ciberseguridad (INCIBE) son contra pymes, lo que da una idea de la vulnerabilidad de ese colectivo. En conjunto, el INCIBE calcula que el coste medio de cada ataque (ya sea a pymes, a ciudadanos o a operadores de servicios esenciales) detectado en 2016 fue de 75.000 euros, lo que supuso un lastre de 14.000 millones de euros. En el citado informe se detalla que el Incibe gestionó en 2018 más de 111.000 ciberataques contra ciudadanos, empresas y operadores de servicios esenciales, de los que más de la mitad tenían una motivación económica (fraude) y eran poco sofisticados. «Un ciberataque a una infraestructura crítica (de un país) puede hacer mucho daño, pero un ataque masivo (que afecta a pymes) puede bloquear gran parte del tejido productivo del país», ha advertido el director general de INCIBE, Alberto Hernández, durante el acto de presentación del informe. En cualquier caso, ha apuntado que la ciberseguridad «también puede ser una oportunidad» de crear empleo, puesto que es un sector que crece al 13 % anual y que «ya está dando trabajo a cientos de miles de personas en todo el mundo». A su juicio, las pymes «tienen una falsa sensación de ciberseguridad o de que a ellos no les va a pasar nada», una idea compartida por la responsable de la oficina de ciberseguidad del Departamento de Seguridad Nacional, Mar López, que ha añadido que «una empresa protegida es más competitiva». Por ello, ha lamentado que los pequeños negocios estén «lejos» de la transformación digital. Al respecto, el presidente de Cepyme, Gerardo Cueva, ha alertado de que las pymes no tienen capacidad para desarrollar un sistema de seguridad y que es necesario fomentar la cultura de la subcontratación de expertos. Fuente: https://www.abc.es/tecnologia/informatica/software/abci-mayoria-pymes-espanolas-estan-desprotegidas-frente-ciberataques-201910101428_noticia.html
Proteccción de Datos – Fuera WhatsApp y pegatinas en las cámaras: qué tienen los expertos en privacidad en sus ‘smartphones’
Siete especialistas en derecho digital y seguridad informática explican a EL PAÍS qué instalan en sus móviles y qué trucos siguen para protegerse. Desde el momento en el que se descarga una aplicación, dice adiós a parte de su privacidad. También cuando se conecta a una red wifi o al visitar una página web. Vivir pegado a un smartphone las 24 horas del día dificulta la posibilidad de mantener un anonimato. EL PAÍS se ha puesto en contacto con siete expertos en privacidad y ciberseguridad para saber qué instalan en sus teléfonos móviles, qué no descargarían jamás y qué trucos utilizan para protegerse. Paloma Llaneza. Abogada experta en protección de datos WhatsApp encabeza cada año los rankings de las apps más descargadas del mercado. No tener instalada esta aplicación de mensajería instantánea en el siglo XXI puede parecer una auténtica proeza. Pero es posible. Paloma Llaneza la tenía descargada. Pero la desinstaló el día que Facebook compró la app. Lo tenía claro: la compañía de Mark Zuckerberg quería sus datos. Por este mismo motivo, tampoco tiene Facebook ni Instagram. “No se puede poner todo el riesgo económico o toda tu vida en un dispositivo, ni en manos de entidades que ni sabes dónde están, ni qué van a hacer con los datos que consciente, inconscientemente o de manera pasiva les estás facilitando”, sostiene Llaneza, que además de abogada experta en protección de datos es autora de Datanomics, un libro en el que explica qué hacen las empresas tecnológicas con los datos personales de los usuarios. Llaneza, al igual que la mayoría de los expertos consultados, tiene un iPhone porque considera que el sistema operativo iOS garantiza mejor la privacidad. Actualmente tiene solo 15 aplicaciones en su smartphone, sin contar las que vienen por defecto con iOS que no usa pero no puede borrar y las que sí usa como el calendario, el programa de correo, los mensajes y la cámara. ¿Para qué las utiliza? “Fundamentalmente para trabajar, una mínima supervivencia y algún capricho”, explica. Por ejemplo, tiene la app de transporte EMT Madrid, “para dejar de pasar frío o calor en las paradas de autobús”; Mega, “para cargar información no crítica y no sujeta a confidencialidad porque sube la información cifrada”; G2M, Webex y Skype, para las reuniones telefónicas; y Genius scan, “para escanear documentos no confidenciales”. También cuenta con Google Maps, pero no se loguea y no permite el acceso a la localización, y está pensando en desinstalar Cabify: “La última versión exige acceder a la geolocalización y me niego”. Y para informarse en tiempo real, utiliza Twitter, app a la que define como su “gran placer culpable”. De hecho, Llaneza se niega a instalar redes sociales. Tampoco descarga juegos, apps gratuitas que no sabe de quiénes son o fabricadas por empresas chinas, aplicaciones bancarias ni servicios de mensajería instantánea. En su lugar, utiliza los clásicos SMS. Además, nunca usa el reconocimiento biométrico ni permite que las aplicaciones accedan a nada que no esté basado en el principio de “necesidad de saber”: “Me cuesta entender que se dé acceso a un micrófono por no tener que teclear un texto”. Narseo Vallina-Rodríguez. Investigador de Imdea Networks Aparte de las aplicaciones preinstaladas en el iPhone, Narseo Vallina-Rodríguez solo cuenta con dos más: “Spotify, para escuchar música, y WhatsApp, muy a mi pesar, para comunicarme con amigos”. “No instalo apps por norma general por el coste que suponen a mi privacidad”, explica el investigador de Imdea Networks y del Instituto Internacional de Ciencias Computacionales (ICSI) de la Universidad de Berkeley. Por ejemplo, jamás ha descargado una aplicación bancaria. Además, de forma general no otorga permisos a las aplicaciones. Solo para que muestren notificaciones y se ejecuten en el fondo. El resto de permisos los activa por demanda —por ejemplo, para compartir su posición en un momento dado— y los desactiva inmediatamente después. De esta forma, pretende limitar el acceso a los datos por parte de las apps. Pese a ello, subraya que el modelo de permisos de Android e iOS no es perfecto. Él mismo ha participado en investigaciones al respecto: “Existen apps que encuentran y abusan de vulnerabilidades en el sistema operativo para acceder a datos protegidos como nuestra posición sin consentimiento, es decir, sin tener que solicitar el permiso”. El experto recomienda “minimizar el uso de apps y páginas webs que visitamos a las estrictamente necesarias y siempre reduciendo el número de permisos”. “Nuestra sociedad tiene que ser más consciente de que nuestros datos pueden ser utilizados para fines que hoy en día desconocemos. Hace 10 años nadie se imaginaba que una empresa como Cambridge Analytica pudiese influir en nuestro voto y hacer perfiles psicológicos de los usuarios. Por tanto, la falta de privacidad puede tener consecuencias también en seguridad nacional, algo que parece que aún no se ha trasladado en compromisos y acciones políticas”, afirma. Alfonso Muñoz. Laboratorio de seguridad de BBVA Next Technologies Alfonso Muñoz tapa las cámaras de su móvil con un post-it. Y cuando no habla por teléfono, conecta un pequeño aparato a la salida de los auriculares que bloquea el micrófono. Para él, estas son las dos medidas fundamentales para proteger la privacidad. De hecho, a diferencia de los expertos consultados, cuenta con aproximadamente 40 aplicaciones en su teléfono: desde apps de banca, consulta de facturas de gas y luz o mensajería instantánea como WhatsApp, Telegram o Signal, a redes sociales como Linkedin y Twitter, aplicaciones de música como Spotify y Shazam, periódicos y aplicaciones de televisión a la carta. “Intento tener a raya los permisos que usan las aplicaciones y controlar que ninguna aplicación use ningún permiso que no deba”, afirma. Por ejemplo, no descargaría una linterna que pidiese acceder a los contactos. Además, sigue la “política de menor exposición”, por la que solo activa wifi, Bluetooth y GPS cuando en realidad lo necesita, y usa herramientas de navegación privada como Tor Browser. También recomienda evitar en la medida de lo posible el uso de Facebook, Instagram y WhatsApp: “Son máquinas en contra de la privacidad”. Pilar Vila Avendaño. Perito informático y analista forense Pilar Vila tiene varios móviles: el privado, el de trabajo y otros para realizar pruebas. Es analista forense y explica así por qué tiene tantos dispositivos: “Nunca
Ciberseguridad – Los iPhone llevan años siendo «hackeados» por páginas webs, según un estudio de Google
El grupo de análisis de amenazas de Google (TAG) ha dado a conocer el descubrimiento de un peuqeño número de páginas webs hackeadas que desde hace dos años atacaban a los usuarios de iPhone aprovechando una vulnerabilidad en el sistema operativo iOS, accediendo a su servidor e implantando un sistema de monitorización en el dispositivo cuando entraban en ellas que permitía el acceso de los «hackers» a todos los datos del usuario. De acuerdo con una publicación del blog de Project Zero, el equipo de Google que se dedica a investigar las vulnerabilidades de seguridad «día cero», los ciberdelincuentes «han hecho un esfuerzo constante para hackear a los usuarios de iPhones en ciertas comunidades durante un periodo de al menos dos años», afirma un miembro de su equipo, Ian Beer. El sistema de ataque consistía en que el usuario entraba en la página web «hackeada», y el atacante podía acceder a su servidor e instalar un sistema de monitorización en su dispositivo que permitía obtener el control absoluto del mismo y con ello el acceso a todos sus datos. Según Beer, «estas páginas reciben miles de visitantes por semana». Se trata de un ataque de tipo «abrevadero» («watering hole», en inglés), una estrategia en la que los atacantes observan los sitios web que visita un grupo de víctimas e infecta uno de ellos con «malware», logrando así infectarlos. TAG ha descubierto cinco cadenas de explotación («exploit») de los móviles iPhone que afectaban a versiones desde iOS 10 hasta la última de iOS 12. En total han encontrado catorce vulnerabilidades, que han sido siete del navegador web de iPhone, cinco para el núcleo y dos «sandbox» separados -un aislamiento de procesos que usa el sistema para ejecutar programas-, que permiten introducir código malicioso en un dispositivo desde el exterior. Beer afirma que Google le comunicó esta situación a Apple el 1 de febrero de 2019 poniéndole como fecha límite una semana para que solucionara el problema, que coincidía con el lanzamiento del iOS 12.1.4. Apple lanzó un parche para corregir la vulnerabilidad el 7 de febrero, hecho que hizo público a través de su página web. La nueva versión, que se ha llamado iOS 12.4.1, no incluye modificaciones importantes en el funcionamiento del sistema operativo, y se distribuye desde este lunes como una actualización oficial. Apple ha agradecido en su página de soporte la contribución del investigador Ned Williamson de Project Zero y del usuario Pwn20wnd en el descubrimiento del problema. La vulnerabilidad, conocida como CVE-2019-8605, permitía explotar una brecha del sistema operativo con la que era posible que un atacante ejecutara código de forma arbitraria y accediera a los privilegios del sistema. La nueva versión de iOS 12.4.1 parchea este fallo de seguridad. El «exploit» que aprovechaba esta brecha fue publicado por los «hackers» en la red el pasado 19 de agosto, como descubrió Pwn20wnd, y se trataba de un «jailbreak»« -proceso de suprimir algunas de las limitaciones impuestas por Apple en sus sistemas- que podía funcionar como «malware» espía y que a pesar de que se había solucionado en la versión anterior (12.3), reapareció de nuevo en iOS 12.4, como recoge Motherboard. La actualización de iOS 12.4.1 ya está disponible para los teléfonos iPhone 5S y posteriores, las tabletas iPad Air y posteriores y el iPod Touch de la sexta generación. Apple también ha distribuido las actualizaciones tvOS 12.4.1, watchOS 5.3.1 y una versión complementaria de macOS Mojave 10.14.6 que soluciona el problema en el resto de sus sistemas propios. Esta incidencia llega después de los seis errores de seguridad identificados por los expertos de Google Project Zero tras el lanzamiento de la versión de iOS 12.4 a finales de julio, que exponían funciones del sistema sin necesidad de intervención del usuario. Fuente: https://www.abc.es/tecnologia/redes/abci-iphone-llevan-anos-siendo-hackeados-paginas-webs-segun-estudio-google-201908301155_noticia.html
Protección de Datos – Los datos personales: un activo que las entidades públicas deben proteger
La Superintendencia de Industria y Comercio (SIC) y la Procuraduría General de la Nación se unieron para capacitar a los servidores públicos respecto de los requisitos y el procedimiento de inscripción de bases de datos en el Registro Nacional de Bases de datos (RNBD). Ésta sensibilización, realizada en la ciudad de Bogotá, contó con la presencia de más de un centenar de representantes de organismos del Estado entre alcaldías, institutos, superintendencias y gobernaciones entre otros. Al respecto, el Procurador Delegado para la Defensa del Patrimonio, Transparencia e Integridad del Ministerio Público, Wilson Alejandro Martínez, hizo un llamado a las entidades para que aseguren el cumplimiento efectivo de las normas de Habeas Data a fin de garantizar que no se afecte el derecho de las personas a la protección de sus datos. Por su parte, el Delegado para la Protección de Datos Personales de la SIC, Nelson Remolina, exhortó a los funcionarios públicos presentes a cumplir con el RNBD con el propósito de brindar calidad en el tratamiento de la información. Reveló que de 35000 organizaciones que han efectuado el registro, solamente 1945 de ellas corresponden a entidades públicas. Cabe recordar que el RNBD es una herramienta estratégica cuyas funciones giran en torno a la protección de la información; la generación de confianza entre los ciudadanos; la mejora de la gestión pública y la promoción de la trasparencia. Mayor información http://www.sic.gov.co/registro-nacional-de-bases-de-datos Fuente: http://www.sic.gov.co/Los-datos-personales-un-activo-que-las-entidades-publicas-deben-proteger
Protección de Datos – Multan a Google con 154 millones por recopilar datos de niños en YouTube sin permiso de sus padres
De acuerdo a la acusación, YouTube incumplió la ley al recopilar información de los usuarios de canales dirigidos a un público infantil. YouTube, del grupo Alphabet propietario de Google, ha recibido una multa de 170 millones de dólares (154 millones de euros) en Estados Unidos por haber cogido datos de niños sin contar con el consentimiento expreso de sus padres según ha informado este miércoles la Comisión Federal de Comercio (FTC, por sus siglas en inglés), que ha aprobado la sanción por tres votos a favor y dos en contra. Google y YouTube van a tener que pagar de este modo 123,5 millones de euros a la FTC y otros 30,9 millones de euros a Nueva York. el motivo es que han violado la ley de protección de datos de privacidad online de menores. Nunca desde 1998 se había impuesto una multa semejante. Las cookies «YouTube ganó millones usando unos identificadores, popularmente conocidos como ‘cookies’, para servir publicidad dirigida a los visitantes de esos canales», ha subrayado la FTC, que ha señalado que la ley de protección de la privacidad online de los niños especifica que las páginas web y los servicios online dirigidos a niños deberán informar de sus prácticas y obtener el consentimiento de los padres antes de recopilar información personal de todos los niños menores de 13 años. «YouTube destacó su popularidad entre los niños a clientes corporativos», ha afirmado el presidente de la FTC, Joe Simons. «Aún así, en lo referente a cumplir con la ley de privacidad, la compañía negó que parte de su plataforma estaba claramente dirigida a niños. No hay ninguna excusa para la violación de la ley por parte de YouTube», ha añadido. Además de la multa económica, Alphabet deberá «desarrollar, implementar y mantener» un sistema que permita a los dueños de los canales identificar su contenido dirigido a niños, de forma que YouTube pueda asegurarse que cumpla con la ley. Tras la publicación de la multa, YouTube ha asegurado en un comunicado que dentro de cuatro meses comenzará a tratar los datos de cualquier persona que vea un canal dirigido a niños como si fuera un niño, independientemente de la edad real del usuario. También ha subrayado que dejará de servir anuncios personalizados en dichos canales y que algunas características, como comentarios o notificaciones, pasarán a no estar disponibles. El periodo de cuatro meses se ha decidido para dar tiempo a los ‘youtubers’ de canales con contenido dirigido a niños a adaptarse a las nuevas normas, ya que YouTube prevé que impactará en sus ingresos. Asimismo, con el objetivo de «invertir en el futuro del contenido de calidad educativo para niños y familias», la plataforma de vídeo de Alphabet se ha comprometido a invertir 100 millones de dólares (90,7 millones de euros) en los próximos tres años para crear contenido original para niños en su plataforma. Fuente: https://okdiario.com/economia/multan-google-154-millones-recopilar-datos-ninos-youtube-sin-permiso-sus-padres-4534803
