Ciberseguridad – SMS verificados: la herramienta de Google para luchar contra el phishing como el de los mensajes de Correos
Google está decidida a mejorar los SMS tradicionales. Ahora llegan los SMS verificados, una nueva medida de seguridad para evitar los ataques de phishing y el SPAM. Una medida anunciada la semana pasada para los Estados Unidos y que ahora se expande a otros nueve países, entre los que se encuentra España, México, Brasil, Reino Unido, Francia, Filipinas y Canadá. Los SMS verificados son una medida de seguridad en los que la aplicación de mensajes confirmará la identidad de la empresa y el usuario que envíe el SMS, para alertarnos en caso que detecten que puede suponer un peligro. Una capa de seguridad para avisar quién está detrás de los SMS que recibimos La medida se enmarca dentro del impulso que Google quiere hacer del estándar RCS, donde además de SMS verificados se encuentran opciones como los mensajes enriquecidos, con imágenes, GIFs, respuestas rápidas o la posibilidad de incluir tickets. Pero la novedad se encuentra en que en el nombre de la empresa veremos una insignia que nos dirá si esa cuenta está verificada y nos mostrará el logo de dicha empresa. En caso que la empresa no esté verificada, la aplicación de Mensajes nos avisará de ello. Para activar esta medida de seguridad deberemos utilizar la aplicación Google Mensajes, aplicación preinstalada en los móviles Android. Desde los ajustes de la aplicación podremos activar o desactivar que Google nos notifique sobre la identidad del emisor. Los SMS verificados «ayudarán a entender la verdadera identidad del negocio que te envía mensajes para prevenir el ‘phishing’», explica Google en su página de Soporte. Para poder realizar esta verificación, la aplicación necesitará conexión a internet. En caso de no poder hacerlo, simplemente no veremos ningún aviso. Situación donde Google recomienda no abrir ningún tipo de enlace, ya que podría tratarse de un caso de phishing como los «SMS de Correos» que hace semanas se enviaron a miles de usuarios. Desde Google explican que esta comprobación se realiza sin enviar nuestros mensajes a Google. Esta medida llega para complementar la protección contra el SPAM activada el pasado mes de julio. De manera equivalente a lo que ocurre con las llamadas, ahora cuando recibamos un SMS de una cuenta que Google tiene catalogada como SPAM, recibiremos una notificación de aviso y a través de la cual podremos «marcar como spam» o comunicar que «no es spam». Entre las primeras empresas que ya han enviado mensajes verificados se encuentran 1-800-Flowers, Banco Bradesco, Kayak, Payback y SoFi, pero esperan que más compañías sean verificadas durante las próximas semanas para ayudar a los usuarios a identificar mejor cuál es la procedencia de los SMS recibidos. Más información | Google Fuente: https://www.xataka.com/servicios/google-activa-sms-verificados-herramienta-para-luchar-phishing-como-mensajes-correos
Protección de Datos – Congreso de EEUU amenaza a Apple y Facebook para que debiliten su cifrado: «o toman medidas o nosotros impondremos nuestra voluntad»
El cifrado de datos vuelve a la mesa de discusiones, pero ahora con una advertencia clara. Las compañías tecnológicas como Apple y Facebook tendrán un año para ponerse de acuerdo e instalar puertas traseras en sus plataformas, o el Congreso de Estados Unidos aprobará una ley que los obligue a debilitar su cifrado. Esta semana, el Congreso estadounidense, por parte de ambos partidos, envío una severa y preocupante amenaza a las compañías de Silicon Valley, ya que tienen la intención de impulsar una regulación ante el cifrado de datos en caso de que esto siga siendo un obstáculo para los organismos encargados de hacer cumplir la ley. Un severo y preocupante ataque a la privacidad Para quienes no lo recuerden, este debate inició en 2016 cuando el FBI demandó a Apple tras negarse a desbloquear el iPhone de un supuesto criminal. Al final el FBI logró desbloquear el dispositivo, pero esto inició una fuerte discusión que apuntaba a que las compañías tecnológicas «estaban obligadas» a colaborar con las autoridades en el caso de investigaciones criminales. Las compañías tecnológicas y los defensores de la privacidad se unieron y defendieron el cifrado, señalando que esta tecnología protege a los usuarios de posibles ataques de hackers y otro tipo de delincuentes, e incluso ante escenarios de represión por parte de gobiernos autoritarios. Por su parte, los organismos encargados de hacer cumplir la ley afirman que el cifrado está bloqueando sus investigaciones, ya que impide el acceso a los dispositivos de los sospechosos y a sus comunicaciones dentro de las aplicaciones de mensajería. En una audiencia ante el Comité Judicial del Senado el pasado martes, Erik Neuenschwander, responsable de privacidad al usuario en Apple, mencionó: «Hasta este momento, no hemos podido identificar ninguna manera de crear una puerta trasera que funcione sólo para ‘los buenos’. De hecho, en nuestra experiencia ha sido todo lo contrario. Cuando hemos tenido debilidades en nuestro sistema, también han sido explotadas por entidades dañinas. «Mi temor general sería que si algunas de las capacidades de esa legislación se impusieran a cualquier proveedor, ese proveedor tendría que debilitar el cifrado, sólo por la naturaleza de la tecnología, para todos los usuarios.» En octubre pasado, el Departamento de Justicia envió una carta a Mark Zuckerberg donde le pedían que suspendiera los planes de integrar nuevas llaves de cifrado en sus aplicaciones de Facebook, Messenger, Instagram y WhatsApp. Esto bajo el argumento de que un nuevo cifrado en Facebook paralizaría sus esfuerzos de investigación contra los grupos de pedófilos. Ante esto, Jay Sullivan, director de gestión de productos para la privacidad y la integridad en Facebook, envió una carta al fiscal general William Barr donde mencionaban que no debilitarían el cifrado en sus servicios de mensajería. «Nos oponemos a debilitar intencionadamente la seguridad de los sistemas cifrados, porque al hacerlo se socavaría la privacidad y la seguridad en todas partes y se les dejaría vulnerables ante hackers, delincuentes y regímenes represivos.» Sullivan también añadió que si Estados Unidos impone regulaciones sobre el cifrado, lo único que provocarán es que los criminales migren a otras plataformas gestionadas en otros países, donde no estarán obligados ni en riesgo de que Estados Unidos acceda a sus datos. Los legisladores estadounidenses unidos en un solo bando A pesar de los argumentos de Apple y Facebook, los legisladores, como parte de una advertencia bipartidista, amenazaron a ambas compañías con estudiar la legislación en caso de que las empresas mantengan su posición de no proporcionar datos a las agencias encargadas de aplicar la ley. El senador Lindsey Graham, republicano de Carolina del Sur y presidente del Comité Judicial del Senado, mencionó: «Mi consejo es que pongan manos a la obra. Por estas fechas el año que viene, si no han encontrado una forma de solucionar esto, nosotros impondremos nuestra voluntad.» El senador Chris Coons, demócrata de Delaware, se mantuvo en la misma línea: «Escuchamos su argumento de que esto puede simplemente llevar a los criminales a usar proveedores extranjeros. Pero francamente, la mayoría de nosotros estamos preocupados por proteger a los americanos más vulnerables.» Cyrus Vance Jr., fiscal de distrito de Manhattan, se presentó a favor de la legislación del cifrado: «El cifrado impidió que pudiéramos acceder a pruebas en cientos de teléfonos. Donde a pesar de utilizar métodos legales de hackeo, tuvimos que pagar cientos de miles de dólares por usar estas herramientas que sólo tienen éxito la mitad de las veces. Hay muchos casos graves en los que no podemos acceder al dispositivo en el período de tiempo en el que es más importante para nosotros. Sin avanzar hacia la legislación, no vamos a resolver este problema.» El senador Richard Blumenthal, demócrata de Connecticut, declaró: «La gran tecnología se está distanciando de la responsabilidad legal y los legisladores pronto tomaremos medidas. Esto terminará, porque el pueblo estadounidense está perdiendo la paciencia. Espero que se lleven este mensaje. Ese tipo de inmunidad durará poco si la tecnología no puede hacerlo mejor.» El senador Joni Ernst, republicano de Iowa, continúo: «Si no lo hacen ustedes, lo hará el Congreso. Creo que preferirían encontrar una solución a que el Congreso la encuentre por ustedes.» La senadora Marsha Blackburn, republicana de Tennessee, cerró la participación de los legisladores con lo siguiente: «Todos ustedes tienen que actuar juntos, o con gusto lo haremos por ustedes. Esto no puede continuar así.» Hasta este momento, el Congreso de Estados Unidos no tiene ninguna propuesta de legislación sobre el cifrado sobre la mesa, pero se han mostrado claros al advertir que las compañías tecnológicas deben encontrar la forma de ofrecer el fácil acceso a los datos y conversaciones de sus usuarios, esto en caso de investigaciones criminales. Es decir, los legisladores esperan que las tecnológicas actúen por cuenta propia sin necesidad de una legislación. Fuente: https://www.xataka.com/legislacion-y-derechos/congreso-eeuu-amenaza-a-apple-facebook-debiliten-su-cifrado-toman-medidas-nosotros-impondremos-nuestra-voluntad
Ciberseguridad – Así se produce un ataque informático
Un ataque informático puede perseguir la destrucción de las redes y datos de una empresa, o bien exigir un rescate económico a cambio de la información robada. En ambos casos, todo empieza con una etapa de reconocimiento en dos fases, externa e interna. La primera, persigue averiguar cómo opera la compañía y sus filiales. La segunda, consiste en localizar e infectar las copias de seguridad (backups) de los datos. Sendas prácticas no suelen ser detectadas de inmediato y los bancos no son el mayor objeto de deseo de estos delincuentes: el sector público y las industrias manufactureras o de viajes han registrado a su vez incidentes, tanto en Europa como en Estados Unidos. Sin embargo, sigue fallando la respuesta como equipo de las instancias afectadas, porque, según han observado empresas como IBM, la ciberseguridad suele depender de un departamento separado del resto. Es un chantaje en toda regla, y si las empresas restauran luego sus copias de seguridad sin haber hecho antes una investigación forense profunda, pueden recuperar datos todavía infectados Para acceder a una firma o entidad de cierta envergadura, “hay que analizar su ecosistema externo”. “Si opera con firmas más pequeñas con acceso a sus redes de Internet, pero más vulnerables y sin presupuesto para protegerse bien, resulta más fácil para el atacante entrar por ahí para lograr su objetivo”, dice Francisco Galián, experto en ciberseguridad de IBM, que cuenta con un centro de operaciones especializado en simular cibertaques. Montado en un camión de 23 toneladas llamado C-TOC [Cyber Tactical Operations Center], viaja por el mundo y ha recalado estos días en Holanda. Sus instalaciones permiten poner a prueba a las compañías para meterse tanto en “la mente del atacante como en la de su víctima, entendida esta última como empresa, para dar respuesta a tiempo a una de estas crisis”, en palabras de Erno Doorenspleet, su responsable. La sorpresa empresarial es similar al bloqueo de un comprador anónimo atacado cuando solo buscaba, por ejemplo, regalos navideños. Ambas reacciones convergen “cuando la tensión por lo ocurrido impide casi pensar y se pierde un tiempo precisos; y ahí puede verse la madurez técnica de una compañía”, explica. En las simulaciones, “tan intensas que, a veces, ha habido incluso conatos de enfrentamiento entre ejecutivos al verse inmersos en un incidente informático al que no pueden responder adecuadamente”, indica Doorenspleet, se explica la fase de reconocimiento interno de la infraestructura de la red elegida. Se va en busca de los datos, y si la intención de los ciberdelincuentes es causar el mayor trastorno posible, «darán la sensación de que se trata de un secuestro de datos (ransomware), que podrán ser luego recuperados, pero, en realidad, se han infectado y se destruyen, y también son perturbados los servidores y cualquier máquina atacada”, sigue Galián. “Si lo que pretenden es pedir un rescate para devolver la información sustraída, el asaltante cifrará todos los datos de la institución elegida y mandará luego una notificación de pago, generalmente en criptomonedas. Es un chantaje en toda regla, y si las empresas restauran luego sus copias de seguridad sin haber hecho antes una investigación forense profunda, pueden recuperar datos todavía infectados. El atacante suele permanecer en la red unos cinco o seis meses, y deja lo que denominamos mecanismos de persistencia, unas puertas traseras, en la red. Si pasado ese tiempo, comprueba que sigue habiendo cabos sueltos en la seguridad, pueden atacar de nuevo”. La difícil detección en tiempo real de un ciberataque responde a los tiempos manejados por los delincuentes. Una vez obtenida la información que buscaban, pasan tres o cuatro semanas sin moverse en la red elegida. De esa forma, “cuando se lancen, crearán gran confusión en los equipos de seguridad, porque no hallarán movimientos extraños recientes”. “Aunque hay empresas con buenos equipos de seguridad, y otras tienen planes, los primeros suelen trabajar aislados del resto de los departamentos, y así no se puede reaccionar bien ante una crisis. En cuanto a los planes, muy pocas los ensayan, y el ciberdelincuente ya no es un tipo metido en un sótano con sudadera y capucha. Ahora son equipos profesionales, y aunque es difícil señalarlos, sí hay momentos claros de riesgo. Por ejemplo, cuando es Navidad en una parte del mundo, pero no en otras, y la gente se lanza en masa a consumir online”, advierte Galián. El experto indica que dos de cada tres compañías averiguan que han sido atacadas cuando se lo notifican otros, porque sus datos se han hecho públicos, o al recibir una nota del ciberdelincuente pidiendo un rescate. Según el Instituto estadounidense Ponemon, que investiga de forma independiente la protección de datos, “solo el 36% de las 600 empresas de Información y Tecnología (IT) encuestadas en el país en 2018, aseguraron que sus equipos son lo bastante eficaces para detectar e investigar la ciberseguridad interna antes de que se produzca un ataque”. Por otra parte, “un 71% de los altos ejecutivos y gerentes no mantenían una comunicación fluida sobre los riesgos con los servicios de seguridad, y un 68% no captaba bien el peligro [de ciberataques] y el efecto negativo para la compañía”. Aunque las cifras no suelen hacerse públicas, la tendencia observada por especialistas como Galián indica que las aseguradoras están dispuestas a pagar rescates de esta clase hasta cierto límite, “digamos un millón de dólares”. Pero incluso así, no está garantizada la recuperación de datos. APAGÓN EN UCRANIA Y NUCLEARES AFECTADAS EN IRÁN E INDIA El 23 de diciembre de 2015, la compañía eléctrica ucrania Prykarpattya Oblenergo, sufrió un apagón en su red que dejó a oscuras a 600.000 hogares durante varias horas. Según sus portavoces, se trató de un ciberataque, y la alerta de que podían asaltarse las infraestructuras civiles de un país fue mundial. Tanto el Gobierno de Kiev como Estados Unidos señalaron públicamente a Moscú como el instigador del incidente. En 2010, un virus denominado Stuxnet, infectó los sistemas de control de la central nuclear de Bushehr, al sur de Irán. Un año después, el embajador ruso ante la OTAN [Rusia construía la planta] aseguró que el
Protección de Datos – Filtran los datos personales de más de 267 millones de usuarios de Facebook
Parece que, a pesar de los esfuerzos, Facebook sigue teniendo agujeros de seguridad. Ahora, la empresa propiedad de Mark Zuckerberg está investigando un informe según el cual una base de datos con los nombres, números de teléfono y de identificación dentro de la plataforma (ID) de más de 267 millones de usuarios. Información que ha estado expuesta y al alcance de cualquiera. «Estamos investigando este problema, pero creemos que que se trata de información obtenida antes de los cambios que hicimos en los últimos años para proteger mejor la información de las personas», dijo un portavoz de Facebook a AFP. Según el blog especializado en ciberseguridad « Comparitech», la base de datos, extraída posiblemente por un grupo de cibercriminales de origen vietnamita, estuvo disponible para su descarga en un foro de hackers durante dos semanas. Entre el 4 de diciembre y el 19 del mismo mes. Es decir, ayer. «La información contenida en la base de datos podría utilizarse para realizar campañas de spam y phishing (estafa en la que se suplanta una fuente legítima para robar datos a la víctima) a gran escala, entre otras amenazas para los usuarios finales», explican en el blog. El investigador Bob Diachenko, que se dedica a buscar en la red bases de datos expuestas, quien descubrió la publicación. Después de que comunicase el hallazgo al proveedor de servicios, la información de los usuarios fue eliminada del sitio. Según explican en «Comparitech», la mayoría de las personas afectadas son de origen estadounidense. Por el momento, se desconoce el método empleado por los ciberdelincuentes para hacerse con la información, aunque apuntan diferentes posibilidades. De acuerdo con una de ellas, es probable que los datos fuesen adquiridos antes de que la red social restringiera el acceso a los números de teléfono de los usuarios en 2018. «Podrían haber empleado «scraping». Es un programa que sirve para arañar información de una web. Funciona de forma parecida a que una persona se pusiese a visitar perfiles de forma manual y fuese apuntando nombres ID y números de teléfono en el caso de que el usuario los tuviesen públicos. Si las bases de datos solo cuentan con nombres y teléfonos estamos hablando de información pública. Antes de 2018 Facebook permitía el acceso a los números de los usuarios que los tuviesen publicados», explica a ABC el hacker Deepak Daswani. Existe otra posibilidad que se acerca más a lo que hizo Cambridge Analytica en su momento. «Cambridge Analytica se aprovechaba de un fallo de seguridad de Facebook que permitía tener acceso a la información de los «likes» de los usuarios, entre otras cosas, así como de los amigos que tenían en la red social. Según afirman en Comparitech, a pesar de que Facebook ha restringido el acceso a los teléfonos, podría haber algún fallo de seguridad que hayan podido aprovechar los ciberdelincuentes en este caso para acceder a la información», dice Daswani. Cabe recordar que desde que se conoció el escándalo de Cambridge Analytica, la filtración de los datos de más de 87 millones de usuarios (136.985 españoles), Facebook se encuentra en el ojo del huracán. Investigada en Estados Unidos, la plataforma fue condenada en julio a pagar una multa de 5.000 millones de dólares por su gestión de la privacidad de los usuarios. A su vez, está siendo controlada de cerca por la FTC (Comisión Federal de Comercio) estadounidense. Sin embargo, en opinión del experto, en lo que respecta a este caso no hay razones para echarse las manos a la cabeza, ya que tanto el nombre de los usuarios como el número de identificación (ID) de Facebook es información pública. Lo mismo ocurre con el número de teléfono para aquellos que no lo tengan privadol: «No hay información referente a la contraseña de los usuarios, por lo que no es tan grave. Se trata de información pública y técnica que podría haberse recabado utilizando OSI (Open Source Intelligence), que básicamente consiste en tomar información urilizando sitios web públicos». Daswani hace hincapié, a su vez, en la importancia de que los usuarios tengan cuidado con la información que comparten en redes sociales. Y es que los números de teléfono resultan muy interesantes a ojos de los ciberdelincuentes, ya que pueden emplearse para realizar ataques de phishing, enviar virus informático o realizar campañas de spam, entre otras cosas. Fuentes: https://www.abc.es/tecnologia/redes/abci-filtran-datos-personales-mas-267-millones-usuarios-facebook-201912201047_noticia.html
Ciberseguridad – Así es como un supuesto «hacker» accedió a la cámara de la habitación de una niña de ocho años para decirle que es Santa Claus
Hoy algunos medios como The Washington Post y la cadena local WMC5 están dando a conocer la historia de una familia de Tennessee, la cual asegura que un «hacker» consiguió entrar a una cámara de seguridad recién instalada en la habitación de una pequeña de ocho años. El supuesto «hacker», le habría dicho a la niña que era su mejor amigo y que era Santa Claus. Según se explica, Ashley LeMay, la madre de dicha familia, adquirió dos cámaras Ring durante pasado Black Friday, esto con el objetivo de proporcionar un nuevo nivel de seguridad a su casa y en este caso, a la habitación de su hija. Ring afirma que no se trató de un fallo en la seguridad de la cámara De acuerdo a las declaraciones de la señora LeMay, todo comenzó cuando en la habitación de su hija empezó a sonar ‘Tiptoe Through The Tulips‘, una melodía que se ha usado en algunas películas de terror. Esto hizo que la pequeña entrara a la habitación para ver qué sucedía. Each time I've watched this video it's given me chills. A Desoto County mother shared this Ring video with me. Four days after the camera was installed in her daughters' room she says someone hacked the camera & began talking to her 8-year-old daughter. More at 6 on #WMC5 pic.twitter.com/77xCekCnB0 — Jessica Holley (@Jessica_Holley) December 10, 2019 Una vez que la niña entró en la habitación, la música dejó de sonar y un misterioso hombre trató de entablar una conversación con ella. Le que dijo que era su mejor amigo, y que en realidad era Santa Claus. Posterior a esto, también le dijo que ella podía hacer lo que ella quisiera, como ensuciar tu habitación o romper el televisor, así como algunos insultos raciales. Tras unos minutos de confusión, la niña dice «no sé quién eres» y sale de la habitación a avisarle a su padre que algo raro ocurría arriba. por lo que éste entra y desconecta la cámara. Según explican, esta cámara Ring cuenta con visión nocturna, transmisión de vídeo HD y micrófono y altavoz para hacer conversaciones. Es decir, se cree que la persona que accedió a la cámara no sólo podía hablar con la niña sino también observarla en tiempo real. La señora LeMay también confirmó que al configurar la cámara no habilitó la autenticación de dos factores y no supo explicar si cambió las credenciales de acceso que vienen por defecto. Este tipo de acciones habrían sido determinantes ya que se trata de una capa adicional de seguridad y sumamente necesaria para este tipo de dispositivos. Hay que recordar que esta no es la primera vez que una cámara de seguridad es «hackeada», e incluso existen foros en internet que se dedican a compartir direcciones y contraseñas para acceder a este tipo de cámaras en todo el mundo. La señora LeMay declaró: «Lo que nos asusta tanto es que a esta persona no le importó que fuera una niña pequeña. Quienquiera que fuera, no se detuvo hasta que desconectamos las cámaras. No se detenía. Ahora las niñas tienen miedo de dormir en su habitación. Durante los últimos días, han estado acampadas en la sala de estar. Esta es nuestra casa. Es muy triste no sentirse seguro.» Por su parte Ring, en declaraciones a WMC5, mencionó: «La confianza del cliente es importante para nosotros, y nos tomamos en serio la seguridad de nuestros dispositivos. Aunque todavía estamos investigando este asunto y estamos tomando las medidas apropiadas para proteger nuestros dispositivos en base a nuestra investigación, podemos confirmar que este incidente no está relacionado de ninguna manera con una violación o compromiso de la seguridad de Ring.» Fuente: https://www.xataka.com/seguridad/asi-como-supuesto-hacker-accedio-a-camara-habitacion-nina-ocho-anos-para-decirle-que-santa-claus
Protección de Datos – Privacidad: ¿las tecnológicas están haciendo lo suficiente?
Representantes de Facebook, Apple, P&G y la Comisión Federal de Comercio estadounidense discutieron durante el evento más grande de tecnología en el mundo sobre la responsabilidad del sector en la protección de sus usuarios. Por primera vez en 28 años, Apple hizo una aparición oficial en el Consumer Electronics Show (CES), la feria de tecnología de consumo más grande del mundo, que finalizó este viernes en Las Vegas (Nevada, EE. UU.). Como es costumbre, la firma no realizó lanzamientos ni anuncios en el marco del evento; sin embargo, decidió hacer acto de presencia exclusivamente para dar su punto de vista sobre uno de los temas más apremiantes del sector, el mismo al que le apuesta todas sus cartas desde hace años: la privacidad. En un panel denominado “¿Qué quieren los usuarios?”, la directora sénior de privacidad global de Apple, Jane Horvath, habló sobre los esfuerzos de la compañía para proteger los datos personales de los consumidores, muchos de los cuales desconocen la cantidad de información que entregan mediante aplicaciones, dispositivos y plataformas cotidianas. Las otras panelistas invitadas fueron Erin Egan, jefa de la oficina de privacidad de Facebook; Susan Shook, a cargo de la oficina global de privacidad en Procter & Gamble (P&G), y Rebecca Slaughter, miembro de la Comisión Federal del Comercio (FTC). Las expertas de las tecnológicas admitieron que, aunque existen esfuerzos de su parte para proteger la información sensible, aún les falta mucho por recorrer en temas de pedagogía de datos con sus usuarios. La representante del gobierno opina que estas corporaciones tienen más responsabilidad sobre el manejo de estos datos de la que les gusta admitir. “El hecho de que a diario veamos noticias sobre violaciones a la privacidad y a la seguridad de los usuarios hace que sea imposible concluir que se ha hecho lo suficiente”, aseguró Slaughter, cuya institución sancionó recientemente a Facebook con US$5.000 millones por irregularidades en sus sistemas de privacidad a raíz del escándalo de Cambridge Analytica. La comisionada también se refiere a noticias sobre las escuchas de los asistentes de voz de Google, Microsoft, Apple y Amazon que se dieron a conocer en 2019. Estas compañías han estado en los titulares de todo el mundo al reconocer que un pequeño porcentaje de las conversaciones que mantienen los usuarios con sus herramientas es grabado y analizado por terceros para perfeccionar el servicio. Privacidad desde el diseño De acuerdo con Horvath, algunos métodos que utiliza Apple para garantizar la privacidad incluyen reducir al máximo la cantidad de datos que requieren para sus desarrollos y hacer que la información recopilada por Siri (el asistente de Apple) y la aplicación de georreferenciación (Mapas) no llegue a los servidores de Apple vinculados a una identidad específica. La firma también busca propiciar que datos sensibles, como los de geolocalización, estén sincronizados en todos los dispositivos mediante cifrado de extremo a extremo. Esto quiere decir que las ubicaciones específicas de un usuario permanecerían encriptadas para Apple. “Todos nuestros productos y servicios se diseñan partiendo de la base de que los usuarios deben tener control sobre sus datos. Manejamos información sensible, como datos financieros o de salud, y tenemos que garantizar que si pierdes tu dispositivo o te lo roban no se extraviará esta información”, puntualizó Horvath. “Si vienes a Facebook es porque quieres compartir” Erin Egan, vocera de Facebook, informó que la última apuesta de la compañía es desarrollar herramientas más pedagógicas y transparentes con sus usuarios que sirvan para explicarles cómo se usan sus datos en la red social. Una de ellas es la “privacy check tool”, una especie de listado con el que la red social les pregunta a sus usuarios quién puede acceder a su perfil, si se sienten cómodos revelando ciertos contenidos o adecuando funciones para invisibilizar cierta información, entre otras herramientas. Cuando se le preguntó si estaban solicitando demasiados datos para alimentar sus algoritmos y su modelo basado en anuncios, Egan respondió que recolectan “la información necesaria para servirles a la gente y a los anunciantes”, y añadió que “si vienes a Facebook es porque quieres compartir, conectarte o mostrar tus fotos a un grupo de gente”. En este punto, la comisionada Slaughter manifestó su preocupación frente a la idea de que toda la carga se ponga sobre los hombros del consumidor y no de las grandes compañías. “Aunque hagan un “privacy check”, la cantidad de información que tienes que procesar para entender lo que pasa con tus datos es incontable”, aseguró. Según la representante del gobierno estadounidense, es necesario pensar en alternativas que hagan que esta responsabilidad recaiga en quienes colectan y almacenan datos. De hecho, sugirió que una manera de poner a las tecnológicas en cintura podría ser establecer límites sobre cuánta información y de qué tipo pueden recolectar, retener y compartir. El papel de los anunciantes Por su parte, Susan Shook aseguró que desde la multinacional P&G tienen un marco para la protección de datos de sus usuarios, que incluye formas para darles a conocer a sus clientes si están usando sus datos y facilitar su relacionamiento con la compañía, bien sea para conocer sobre productos o para desvincularse si así lo prefieren. “Si no cumplimos a la hora de decirle al consumidor cómo usamos sus datos, él puede perfectamente cambiar de producto. Por encima de todo está preservar la confianza del usuario y la transparencia”, opina Shook. La directiva no especificó cómo hacen los usuarios para saber si P&G tiene una relación comercial con plataformas como Apple o Facebook. Sin embargo, asegura que los datos se utilizan exclusivamente para anticiparse a las necesidades de consumo de la gente. En ese sentido, Slaughter apuntó que hay un desbalance entre la privacidad del usuario y el modelo de negocio de los anunciantes basado en publicidad dirigida, aquella que llega a ciertas personas con base en sus patrones de comportamiento registrados en redes sociales y otras plataformas. Hoy, sin embargo, son cada vez más los usuarios que exigen regulaciones de privacidad y que renuncian a ciertas marcas con el fin
Ciberseguridad – La aplicación emiratí ToTok, sospechosa de espionaje, vuelve a Google
La aplicación de mensajería ToTok, desarrollada por una empresa de Emiratos Árabes Unidos y que había sido suprimida de las principales plataformas de descarga por sospechas de espionaje a sus usuarios, está de nuevo disponible en Google Play Store, anunció el sábado. Google y Apple habían suprimido ToTok el mes pasado de su sitio de aplicaciones, después de la publicación en el diario estadounidense New York Times de un artículo que acusa a los servicios de inteligencia emiratíes de tener acceso directo a los mensajes, conversaciones en video o a los datos de geolocalización, cámaras y micrófonos de los teléfonos. «Nos complace informarles que ToTok está ahora disponible para descargar en Google Play Store», afirmó ToTok en su cuenta Twitter. En su plataforma, Google enumera una serie de «novedades» respecto a la «actualización» de la aplicación, especialmente sobre un mecanismo más claro que permite a los usuarios autorizar el acceso de ToTok a sus datos y sus listas de contactos. Por el momento, la aplicación sigue estando indisponible en el Apple Store. Lanzada en 2019, ToTok ganó terreno rápidamente en Oriente Medio, donde varios países, entre ellos Emiratos, limitan e incluso prohíben la mayoría de aplicaciones de mensajería, como WhatsApp. Fuente: https://www.elespectador.com/tecnologia/la-aplicacion-emirati-totok-sospechosa-de-espionaje-vuelve-google-articulo-898507
Ciberseguridad – Prevenir el phishing es vital para nuestro resguardo
El phishing es sinónimo de estafa y se basa en un mecanismo de sustitución de identidad. Varios sitios maliciosos o personas en particular se dedican a esta práctica. Intuimos que los ataques registrados se contemplan en base a las siguientes suplantaciones de plataformas: • Portales generales de la web. • Entidades bancarias. • Sistemas de pago. ¿Cómo se realiza esta estafa informática? Para señalar explícitamente la secuencia funcional del phishing, hemos redactado las siguientes etapas: 1. El infractor remite un correo a su víctima, con intenciones de que la misma caiga en la trampa. 2. Al revisar el correo, la persona nota que cada aspecto del mismo es confiable, puesto que resaltan logotipos y demás rasgos distintivos que aparentemente denotan seguridad. 3. Cada dato de acceso es enviado al ciberdelincuente y, a continuación, toma posesión total de la cuenta en cuestión. 4. Al hacer clic en el link falso que contiene el correo, se abrirá una nueva ventana que estará presidida por un sitio web falso, pero casi idéntico al de un banco. Ante esto, la persona comienza a ingresar sus credenciales. 5. El delincuente podrá acceder fácilmente a todas las cuentas de banco de la víctima. ¿Cómo saber si un mensaje de esta clase es falso? A continuación, le explicamos la forma más apropiada de defenderse ante los timadores que envían estos mensajes: • Resulta contraproducente que una compañía, sea un banco o institución de servicios, solicite esta clase de datos personales por correo electrónico. Por tanto, si en algún momento se visualiza esta clase de petición por email, lo más adecuado sería contactar con una autoridad competente y plantearle la situación. • Estamos conscientes que no es del todo sencillo reconocer los textos enviados por parte de ciberdelincuentes, debido a su apariencia legítima. No obstante, copiar a la perfección cada detalle y característica de la página web de una entidad es una acción que requiere mucho tiempo, algo que los estafadores informáticos no tienen. Entonces, ante cualquier falta ortográfica, fragmentos sin cohesión ni coherencia y un mal uso de del espacio, significaría que alguien está tratando de robar su información y hacerse con ella. La dirección del correo es otro indicio imperativo. • Mantenerse alerta en cada actividad que se realice desde un Smartphone. Debido a la incuestionable fama de los dispositivos móviles, varios usuarios efectúan sus operaciones desde su teléfono. Hay que saber que los delincuentes están al tanto de esto, así que se aprovecharán de lo turbio y minúsculo de una pantalla reducida que ostenta márgenes de seguridad más limitados. ¿Cuáles serían las medidas de prevención más acertadas para protegerse contra el phishing? Estudios de buena fuente develan que la forma más viable de protegerse contra el phishing, es la siguiente: • Al terminar de revisar el correo electrónico, no se debe accionar los enlaces. Hay que ejecutar un proceso de corroboración adecuado, al acudir a la web de confianza por medio de la URL apropiada. • Incrementar el nivel de resguardo y protección de la computadora. La prevención es el mejor aliado cuando se prevé la erradicación de amenazas. Por otro lado, también se aconseja que el ordenador tenga las actualizaciones al día del navegador y el sistema operativo. • A fin de agregar una barrera de protección adicional, no se debe prescindir de un antivirus capacitado. • Se debe ingresar las credenciales, únicamente, en las plataformas confiables. Hay que recordar que la fiabilidad y transparencia de un sitio web se centra en su protocolo de transferencia de hipertexto, es decir, su “https”. Además, el navegador mostrará un ícono evidente de una cerradura asegurada. • Hacer una revisión periódica de todas las cuentas. Es aconsejable corroborar cada factura emergente, al igual que los movimientos bancarios, para estar al tanto de que no se estén generando transacciones de las que uno no estaba enterado. • Sin importar la incógnita que se tenga al momento, es mejor no arriesgarse. Asimismo, el fomento de la prevención entre las personas más cercanas es la mejor estrategia. Constatar la veracidad del mensaje ante cualquier duda, es la política más sustentable. Informar a los allegados e impartir el mensaje por las redes sociales es una forma de contribuir para frenar esto Muchas personas se están sumando con un único objetivo: eliminar de una vez por todas, esta actividad ilícita. Ahora, la forma de contribuir con este movimiento es implementar todos los procedimientos posibles para remitir esta advertencia a la mayor cantidad de usuarios. Además de notificar a las personas que integran el círculo familiar, también se les debe incentivar para que envíen información que puede ser crucial para otros. Una persona que se salva de este abuso, es una partida menos para los abusadores. Fuente: https://www.eltiempo.com/contenido-comercial/prevenir-el-phishing-es-vital-para-nuestro-resguardo-449966
Protección de Datos: ¿Cuánto cuestan tus datos personales en la Dark Web?
La Universidad Oberta de Cataluña (UOC) afirma, a raiz de varios estudios, que los datos financieros y los de los perfiles en redes sociales de una persona tienen un valor cuantificable y, de hecho, se venden en la web oscura (Dark Web) por alrededor de 870 euros. El profesor del posgrado de Protección de Datos de la UOC Eduard Blasi ha explicado que «en el ecosistema de internet si no lo pagamos de forma directa, lo acabamos pagando de forma indirecta con nuestros datos o, incluso, metadatos». «La creencia de que todo es gratis es una utopía», ha señalado, según un comunicado remitido a Europa Press. Según los expertos, cuando Facebook compró WhatsApp en 2014 por más de 21.800 millones de dólares (alrededor de 19.622 millones de euros) o cuando Google adquirió YouTube por 1.650 millones de dólares (alrededor de 1.485 millones de euros), las compañías no pagaron esas cantidades por la estructura tecnológica de las plataformas, sino por el valor del «número de usuarios que tenía detrás». Blasi también ha recalcado que, a pesar del Reglamento General de Protección de Datos de la Unión Europea, que comenzó a aplicarse en mayo de 2018, «en la práctica cuesta ejercer el control absoluto de los datos, especialmente en las plataformas gratuitas». «No obstante, la incorporación de los principios de privacidad en el diseño y por defecto del nuevo reglamento europeo facilitará, sin duda, que el usuario recupere este control sobre sus datos», ha añadido. Por su parte, Sergio de Juan-Creix, profesor de Derecho del grado de Comunicación de la UOC y experto en derecho digital, considera necesario que los usuarios tengan un mayor control sobre sus datos para tomar decisiones y que puedan ser partícipes tanto de los beneficios de la publicidad como de la revolución digital. «Si una gran empresa se enriquece con mis datos, es lógico que quiera una parte de los beneficios o, al menos, recibir algún servicio o ventaja a cambio», ha añadido. Sin embargo, el Comité Europeo de Protección de Datos (CEPD) se ha mostrado contrario a comercializar con datos personales debido a que se trata de un derecho fundamental. Fuente: https://www.abc.es/tecnologia/redes/abci-cuanto-cuestan-datos-personales-dark-202001100113_noticia.html
