Ciberseguridad: Los riesgos digitales que representa el uso de las Apple Vision Pro
El gigante de Cupertino vive las mieles del lanzamiento de un dispositivo que revoluciona la era digital, las Apple Vision Pro. Las nuevas gafas VR se convirtieron en una sensación durante la primera semana de su llegada al mercado, y aunque son algo costosas, marcan un antes y un después en este tipo de dispositivos, que seguramente comenzarán a normalizarse entre los usuarios. Bajar el precio del aparato debe ser el principal objetivo de Apple, si quiere vender de forma masiva en todo el mundo. Pero además, la empresa de Cupertino debe tomar en consideración algunas vulnerabilidades de seguridad y privacidad, detectadas por ESET, firma líder en ciberseguridad en el mundo entero. Los expertos de ESET se reunieron en sus laboratorios para analizar las posibles amenazas que pueden aparecer con el lanzamiento de este dispositivo. En primer lugar, señalan que al ser un aparato nuevo, que estrena Sistema Operativo, hay vulnerabilidades en las instalaciones de las aplicaciones, uno de los lugares favoritos de los hackers para actuar. Las vulnerabilidades que ESET describe sobre Apple Vision Pro “Ya sea por características provenientes del sistema operativo o por algún eventual descuido en la composición de las aplicaciones que se instalarán en Apple Vision, es posible que ciberdelincuentes exploten vulnerabilidades en los equipos. La explotación de vulnerabilidades es uno de los trucos utilizados por los delincuentes para propagar amenazas como troyanos y ransomware”, explica la compañía en un comunicado. En el caso del ransomware, el dispositivo se verá inhibido de realizar plenamente sus funciones y las víctimas tendrán dos opciones: ponerse en contacto con Apple para obtener ayuda -ya que Vision no cuenta con una interfaz que permita la interacción directa con el sistema operativo para reinstalarlo-, o el pago del rescate, algo que desde ESET se desaconseja encarecidamente, porque quien paga el rescate financia al grupo de ciberdelincuentes y les permite atacar aún más víctimas”, detallaron desde la firma experta en ciberseguridad. En el caso de la infección con un troyano, los ciberdelincuentes pueden tener acceso a todas las cámaras y sensores disponibles en el dispositivo, viendo y monitorizando todo lo que ve la víctima. Sería como tener a un delincuente al lado durante mientras se utiliza el dispositivo, sin privacidad. La idea no es atacar el uso de las Apple Vision Pro. Esto sucede con novedades en cualquier sistema operativo, sea de iOS, Android, Microsoft o cualquier otro. Lo que se intenta explicar es que al ser un programa nuevo, los usuarios necesitan tener las alarmas más encendidas que nunca para no ser víctima de los ciberdelincuentes o hackers. FUENTE: Sandoval, Alberto. »Ciberseguridad: Los riesgos digitales que representa el uso de las Apple Vision Pro» Fayerwayer.com. 16/03/2024. (https://www.fayerwayer.com/moviles/2024/03/16/ciberseguridad-los-riesgos-digitales-que-representa-el-uso-de-las-apple-vision-pro/).
Kaspersky descubre una vulnerabilidad desconocida en iPhones
Un informe compartido por Kaspersky a NotiPress reveló cuál es la vulnerabilidad del sistema iOS 16.6 y versiones anteriores que fueron explotadas por la amenaza persistente avanzada (ATP), «Operation Triangulation» para obtener el control total de dispositivos iPhone. Dicha vulnerabilidad del hardware se basó en el principio de seguridad por oscuridad y pudo haber sido diseñada para pruebas o depuración del sistema iOs. De acuerdo con el reporte del equipo de Investigación y Análisis Global de Kaspersky (GReAT), la vulnerabilidad CVE-2023-38606 jugó un papel clave en los ataques llevados por la campaña de espionaje Operation Triangulation. La compañía describe que tras el ataque inicial a iMessage y la obtención de permisos de acceso, los atacantes utilizaban la funcionalidad de hardware para evadir protecciones de seguridad en la protección de memoria de iPhone. Este paso, que explotaba las vulnerabilidades en áreas de memoria protegida, daba control total a los atacantes de dispositivos con iOs 16.6 y anteriores. Kaspersky destaca que esta vulnerabilidad no había sido documentada públicamente, lo cual representó un reto para su detección y análisis mediante métodos de seguridad convencionales. Sin embargo, gracias al trabajo de GReAT, basado en un método de ingeniería inversa en el hardware y software de iPhone, se reveló el funcionamiento del mecanismo de protección del System on a Chip (SoC). La voz de Kaspersky acerca de la nueva vulnerabilidad encontrada en los iPhone Lo que este descubrimiento nos ha enseñado una vez más, es que, incluso, las protecciones avanzadas basadas en hardware pueden llegar a ser ineficaces contra un atacante sofisticado, comenta el investigador senior de Kaspersky. Esta campaña de espionaje «Operation Triangulation» utiliza exploits desconocidos distribuidos por iMessage, que permitían a los atacantes controlar el dispositivo objetivo y acceder a sus datos. Cabe destacar, Apple ya puso un conjunto de parches de seguridad para resolver las cuatro vulnerabilidades identificadas por Kaspersky. Aunado a ello, la compañía de ciberseguridad hace algunas recomendaciones para evitar ser víctima de ataques sofisticados. Podría interesarle: 5G, IA y malware más dañino serán claves en ciberseguridad en 2024 Kaspersky, sugiere actualizar de forma periódica el sistema operativo y programas de protección de seguridad para corregir las vulnerabilidades conocidas en dispositivos. Así como proporcionar al Centro de Operaciones de Seguridad acceso a la inteligencia de amenazas más recientes. Además, estar al tanto de las alertas y amenazas identificadas por controles de seguridad, pues esto puede disminuir el riesgo de sufrir un ciberataque. FUENTE: NotiPress. »Kaspersky descubre una vulnerabilidad desconocida en iPhones» Informador.mx. 13/01/2024. (https://www.informador.mx/tecnologia/Ciberseguridad-Kaspersky-descubre-una-vulnerabilidad-desconocida-en-iPhones-20240112-0122.html).
Actualiza ya: Apple corrige tres brechas de seguridad graves en iPhone, Mac y Watch
Apple lanzó el miércoles las actualizaciones de sus sistemas operativos para iPhone, Mac y sus Apple Watch. Algunos investigadores han analizado los cambios proporcionados y han conocido las vulneraciones de seguridad por las que el equipo ha sacado las nuevas versiones que las solucionan. El Instituto Nacional de Ciberseguridad (Incibe) ha explicado que «Georgy Kucherin, Leonid Bezvershenko y Boris Larin, de Kaspersky, han informado a Apple sobre tres vulnerabilidades que podrían permitir a un atacante ejecutar código arbitrario». El aviso provocó que Apple lanzase actualizaciones e Incibe recomienda actualizar el dispositivo para estar protegido de una brecha que ha catalogado como una alerta nivel 5, es decir, de importancia ‘crítica’. Lea también: IBM otorgará US $5 millones en especie para que las escuelas impulsen la ciberseguridad, junto con habilidades mejoradas en IA Según lo que se ha comprobado, los fallos de ciberseguridad podrían haber sido aprovechadas para realizar ataques de espionaje. Sin embargo, los investigadores no han podido determinar cuántos usuarios podrían haberse visto perjudicados. El ataque a los dispositivos Apple que detectó Kaspersky Los de Kaspersky detectaron a principios de junio »un ciberataque profesional extremadamente complejo que utiliza los dispositivos móviles de Apple». Ellos explican que el propósito era colocar discretamente un spyware (malware espía) en los smartphones de empresas y que lo intentaron entre sus propios trabajadores «tanto de mandos intermedios como superiores» El troyano llegaba a través de un iMessage oculto que aprovechaba las vulnerabilidades ya corregidas para colarse en el dispositivo y ejecutar el programa malicioso, sin necesidad de que el usuario diese permisos. «El spyware transmite silenciosamente información privada a servidores remotos: grabaciones del micrófono, fotos de mensajería instantánea, geolocalización y datos sobre otra serie de actividades del propietario del dispositivo infectado». Con la actualización de los teléfonos, ordenadores y relojes inteligentes de Apple, parece que el fallo de ciberseguridad que permitían que esto ocurriese se han resuelto. No obstante, para que los aparatos estén seguros, los internautas deben cerciorarse de que están actualizados a la última versión. FUENTE: Holgado, Raquel. »Actualiza ya: Apple corrige tres brechas de seguridad graves en iPhone, Mac y Watch» 20minutos.es. 23/06/2023. (https://www.20minutos.es/tecnologia/ciberseguridad/apple-corrige-vulnerabilidades-graves-iphone-mac-watch-actualiza-sistema-operativo-dispositivo-5140723/).
Compromiso de Apple con la protección de tus datos sobre salud
Apple lanzó una campaña para recordarnos la importancia de mantener nuestros datos sobre salud protegidos. Como parte de la misma, publicó un documento técnico sobre la privacidad de los datos relativos a la salud de los usuarios acompañado de un video en donde se muestra lo inconveniente que resulta que otras personas tengan acceso a este tipo de información. «¿Te preocupa que tus datos más personales caigan en malas manos? La app Salud del iPhone te ayuda a controlar quién ve tus datos de salud y quién no. Porque cuando se trata de tu salud, la privacidad importa», declara Apple. Lea también: IBM adquiere Polar Security para fortalecer la protección de datos en la nube El video de 40 segundos está narrado por la actriz Jane Lynch y ambientado en una sala de espera presenta una ficción oscura y perturbadora en la que todos conocen la razón precisa por la que estás en la consulta del médico. Si tienes más dudas al respecto te invitamos a leer más sobre la app Salud y cómo proteger tus datos en la página oficial de Apple. FUENTE: Roastbrief. »Compromiso de Apple con la protección de tus datos sobre salud» Roastbrief.com.mx. 01/06/2023. (https://roastbrief.com.mx/2023/05/compromiso-de-apple-con-la-proteccion-de-tus-datos-sobre-salud/).
Apple debería ser multada con 6 millones de euros: asesor francés de protección de datos
Apple debería enfrentarse a una multa de 6 millones de euros (6,3 millones de dólares) por incumplimiento de las normas sobre privacidad, recomendó el lunes el principal asesor del órgano sancionador de la autoridad francesa de protección de datos. La CNIL es libre de ignorar las recomendaciones del ponente, pero estas suelen tener mucho peso en la decisión final del organismo. El ponente, Francois Pellegrini, hizo su recomendación tras una investigación de la autoridad, desencadenada a su vez por una denuncia presentada el año pasado por el grupo de presión France Digitale. En la denuncia, el grupo, que representa a la mayor parte de los empresarios digitales y capitalistas de riesgo de Francia, alegó que el anterior software operativo de Apple, iOS 14, incumplía los requisitos de privacidad de la Unión Europea. France Digitale alegó que, aunque en iOS 14 se preguntaba a los usuarios de iPhones si permitían que las aplicaciones móviles instaladas recopilaran un identificador clave usado para definir campañas publicitarias y enviar anuncios específicos, la configuración por defecto permitía a Apple llevar a cabo sus propias campañas de anuncios específicos sin pedir claramente su consentimiento previo. Podría interesarle: Multa a empresa Glovo por más de 25.000 euros por no contar con delegado de Protección de Datos App Tracking Transparency y el problema de privacidad de Apple Las actualizaciones de privacidad de Apple, denominadas App Tracking Transparency, dan a los usuarios la opción de bloquear las aplicaciones para que no rastreen la actividad en apps y sitios web propiedad de otras empresas. En sus observaciones, Pellegrini dijo que la versión anterior del sistema operativo de Apple, iOS 14.6, no pedía de forma adecuada a los usuarios su consentimiento previo para la recopilación de datos personales, lo que constituía una infracción de las normas de privacidad de la directiva sobre privacidad y comunicaciones electrónicas de la UE. Añadió que los cambios introducidos en una versión posterior del sistema operativo de Apple, iOS 15, permitían dicho consentimiento previo. Lea también: Meta en Europa: La compañía ya no podría mostrar anuncios personalizados en el viejo continente Gary Davis, responsable de privacidad de Apple, rebatió las conclusiones del ponente en la audiencia, afirmando que la firma estadounidense está comprometida con la protección de la privacidad de los usuarios. «La ausencia de gravedad de la infracción (…) significa que el importe de la multa debería reducirse», dijo, solicitando que no se hiciera público el importe de ninguna multa. El órgano sancionador de la CNIL no precisó cuándo tomará una decisión. FUENTE: Roseiman, Mathieu. »Apple debería ser multada con 6 millones de euros: asesor francés de protección de datos» Infobae.com. 12/12/2022. (https://www.infobae.com/america/agencias/2022/12/12/apple-deberia-ser-multada-con-6-millones-de-euros-asesor-frances-de-proteccion-de-datos/).
Apple: La empresa no encuentra una solución a una fuga de datos de sus dispositivos a través de una VPN
El uso de una red privada virtual (VPN, por sus siglas en inglés) en dispositivos iOS ha dado lugar a una fuga de datos que Apple conoce, al menos, desde 2020 y aún no ha solucionado, según se desprende de distintas investigaciones. Una VPN es una herramienta que redirige el tráfico en Internet de un dispositivo a través de un túnel seguro en el que oculta su dirección IP al mismo tiempo que encripta sus datos. Los usuarios suelen recurrir a esta alternativa para proteger su privacidad ante posibles ciberataques, entre otras ventajas. La fiabilidad de estas VPN en iOS está en duda. El investigador Michael Horowitz ha publicado un informe en su web en el que ha asegurado que el uso de estas herramientas en el sistema operativo de iPhone está «roto». Lea también: Ingeniería social, la amenaza más peligrosa según los profesionales de la seguridad La explicación al problema de fuga de datos en IOS Horowitz reconoce que al principio «parecen funcionar bien». Esto implica que el dispositivo iOS recibe una nueva dirección IP y servidor DNS. A continuación, los datos del usuario llegan al servidor de la VPN. Sin embargo, este investigador explica que «una inspección detallada» muestra fugas en el túnel seguro de la VPN. Esto se debe a que las sesiones y conexiones establecidas en el dispositivo antes de activar la VPN no se cierran, y pueden seguir retransmitiendo sus datos. Horowitz ha afirmado que se trata de una «fuga de datos» que ha confirmado mediante el uso «múltiples tipos de VPN y software de múltiples proveedores de VPN». El investigador ha señalado que la última versión de iOS en la que ha puesto a prueba la fiabilidad de una VPN es en la 15.6. Además, ha recordado que la firma ProtonVPN alertó sobre esta misma fuga de datos en marzo de 2020. ProtonVPN identificó en aquel entonces esta fuga en la versión 13.3.1 de iOS, según su blog. Al igual que Horowitz, la compañía señaló que las VPN eran incapaces de cerrar las sesiones abiertas previamente y reabrirlas dentro de su túnel seguro. La firma observó que la mayoría de sesiones y conexiones «se reestablecían eventualmente dentro del túnel de la VPN, pero otras, como el servicio de notificaciones emergentes de Apple, podían seguir enviando datos »durante minutos u horas« fuera del túnel VPN. Apple no ofrece soluciones al usuario final ProtonVPN trasladó sus preocupaciones a Apple antes de revelar sus hallazgos públicamente sin obtener a cambio ninguna solución. Por su parte, Horowitz informó a la compañía a finales del pasado mes de mayo sin obtener respuesta. El investigador volvió a intentar contactar más tarde con Apple, que reconoció el pasado 19 de agosto ser consciente de esta problemática. FUENTE: Ehacking. »APPLE NO OFRECE NINGUNA SOLUCIÓN A UNA FUGA DE DATOS EN LOS DISPOSITIVOS IOS A TRAVÉS DE UNA VPN» Blog.ehcgroup.io. 22/08/22. (https://blog.ehcgroup.io/2022/08/22/17/16/58/13795/apple-no-ofrece-ninguna-solucion-a-una-fuga-de-datos-en-los-dispositivos-ios-a-traves-de-una-vpn/noticias-de-seguridad/ehacking/)