Archivos por Etiqueta: ciberseguridad

Los cuatro principales riesgos de los asistentes de voz

Control de objetos, ayudante personal, dinamizador del hogar. Los asistentes digitales han proliferado el uso de la voz como vehículo para interactuar con los dispositivos electrónicos. La llegad de los llamados altavoces inteligentes han empezado a erigirse como propulsores de una transformación muy ambiciosa en los hábitos de las personas.

Aunque todavía es pronto para anticipar un futuro plagado de objetos que «hablen» entre sí, las principales empresas de tecnología de consumo han asumido el discurso que va a ser así en los próximos años. Y no solo asumido; a través de esta tendencia candente se aprecia en los productos que van lanzando en la actualidad y que muchos ya integran sus propios asistentes de voz, ya sea compatible con los más populares, Alexa, Assisant o Siri.

Software que se ha venido depurando y perfeccionando con el tiempo pero que requieren de estar permanentemente conectados a internet. Son útiles, es cierto; tienen capacidades tan variadas como indicar la previsión meteorológica, controlar funciones como la luz o la temperatura en una habitación, consultar estados bancarios o realizar compras directas.

Robo de identidad

Existen -comentan- ciertos peligros si no se aplican técnicas de autenticación con garantías, por ejemplo, mediante una biometría vocal. Algunas de ellas son la posibildad de una usurpación de identidad. «Cualquier persona podría hacerse pasar por el propietario del dispositivo inteligente y publicar en su nombre en sus redes sociales, e incluso, si ha vinculado su tarjeta de crédito, realizar alguna compra online», señalan.

Aunque algunos asistentes cuentan con sistemas de reconocimiento vocal, que permite activarse siempre y cuando la persona que ha registrado previamente su voz sea el único que pueda gestionar los equipos, no todo está totalmente implementado. Una razón por la que los expertos recomiendan «activar una protección por código en el asistente» porque entienden que «reduce el riesgo», aunque reconocen que «no lo descarta».

Uso inapropiado

Otro de los posibles riesgos que aprecian los expertos es un uso inapropiado del perfil de usuario: «La ausencia de verificación del usuario puede ocasionar que no haya prioridades de acción diferentes para los distintos usuarios de un asistente virtual», señalan.

Por ejemplo, si queremos poder comprar contenidos con agilidad y el asistente virtual tiene esa capacidad, podríamos exponernos a que un menor acceda a contenido inapropiado o realice compras sin la autorización de sus padres; y si anulamos el permiso de compra, perdemos utilidad y agilidad. «La solución es poder autentificar la identidad de los distintos usuarios y así cada perfil tiene sus propios permisos y capacidades», añaden.

Acceso a información privada

Al hilo de los posibles riesgos anteriores, los expertos creen que es perfectamente plausible acceder a información privada de un usuario al sincronizar numerosas aplicaciones de terceros. «La falta de identificación provoca que cualquier otro usuario pueda solicitar información privada del propietario al asistente de voz, por ejemplo, sobre actividades recientes, documentos confidenciales o contactos», lamentan.

Control sin permiso

Otra intertidumbre viene de los mensajes desde el exterior. En un sistema domótico interconectado podría darse el caso -dicen- que un extraño pidiera al asistente que abra la puerta o ventanas de la oficina o vivienda para acceder a ella sin permiso. Recientemente, una campaña de publicidad en televisión que verbalizaba una orden de compra a un asistente virtual provocó la compra masiva de un determinado producto en muchos hogares que tenían el asistente cerca del televisor. «La mejor opción para resolver todos estos problemas es dotar al asistente de una capa más de seguridad con una identificación biométrica por voz», proponen.

 

Clipboard-0004-kAz--620x349@abc

Hackean un Tesla Model 3, y se llevan el coche de regalo.

Toda infraestructura técnica susceptible de ser «hackeada» por ciberdelincuentes se pone siempre a prueba. Y es que todo lo que está conectado a internet corre el riesgo de convertirse en el objetivo de un cibercriminal que, sin autorización, puede acceder a computadoras, redes, sistemas informáticos o datos.

La ciberdelincuencia es un multimillonario negocio en constante evolución. Armarse contra este tipo de actores que llevan a cabo prácticas delictivas es fundamental y quién mejor que un auténtico «hacker» en su acepción positiva (persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora) para poner a prueba la ciberseguridad de una infraestructura antes de que los malos la intercepten y se aprovechen de ella. Es una de las maneras con la que las compañías pueden protegerse de las posibles acciones de los piratas informáticos.

Esto es justo lo que pensó Elon Musk, cofundador y director general deTesla, para mejorar la ciberseguridad del Model 3, el último coche eléctrico que la compañía ha lanzado al mercado. Musk ha decidido aprovechar los altos conocimientos de los participantes en la Pwn2Ow, un concurso anual de piratería de gran prestigio que tuvo lugar en Vancouver (Canadá) del 20 al 22 de marzo, para mejorar su negocio.

Richard Zhu y Amat Cam son dos de los jóvenes que han ayudado a Musk en que sus vehículos sean más seguros. Ambos han participado en la competición Pwn2Ow, que se desarrolla bajo la iniciativa « Zero Day Initiative» (ZDI), creada por la firma de ciberseguridad Trend Micro de forma anual para alentar el reporte de los «ataques de día cero» (del inglés, «zero day attack» o «0 day attack»)

Este tipo de ataques son brechas de seguridad en el software que no han sido detectadas o se desconocen. Por eso, se habla de «día cero», es decir, cuando los «hackers buenos» detectan dicho error y pueden subsanarlo a tiempo. Una vez detectados, es el proveedor del software quien, entonces, lanza un parche de seguridad o actualiza el programa para solucionar la brecha.

Zhu y Cam son dos jóvenes investigadores de seguridad con un futuro prometedor. Ambos, que formaban el equipo Fluoroacetate, no solo se han llevado a casa 35.000 dólares (31.000 euros) por conseguir «hackear» el coche, sino que también Elon Musk les ha regalado un Tesla Model 3 a cada uno como recompensa por exponer con éxito una vulnerabilidad del vehículo eléctrico.

En apenas unos minutos, consiguieron «hackear» el Tesla Model 3 a través de su navegador tras detectar un error JIT («Just in Time», es decir, «justo a tiempo») en el proceso del renderizado, es decir, cuando se ejecutaba el código. Según recoge el blog de « ZDI», los jóvenes «emocionaron a la multitud reunida», que se congregó alrededor de ellos para saber si realmente iban a ser capaces de detectar algún fallo.

Hacking ético

«Agradecemos a estos investigadores su trabajo por ayudarnos a conseguir que nuestros vehículos estén más seguros en la carretera», ha asegurado Tesla en un comunicado remitido a « TechCrunch». «Durante la competición, los investigadores encontraron una vulnerabilidad en el navegador web del automóvil», reconoce la compañía, que ya ha anunciado que en los próximos días lanzará una actualización de software para solventar el «bug».

La industria de la seguridad de la información no solo se compone de piratas informáticos que buscan hacer daño. Aunque estos últimos están presentes, existen otros expertos «hackers» que se dedican a poner a prueba una infraestructura, detectar los posibles errores de seguridad que pueda tener (algo que se conoce como «bugs», del inglés) y así subsanar los fallos

Durante los tres días en los que se ha desarrollado el «Pwn2Ow» se han entregado 545.000 dólares (480.000 euros) a los participantes que han descubierto 19 errores únicos en el navegador Safari, Microsoft Edge y Windows, VMware Workstation, Mozilla Firefox y Tesla.

Además, según informa la organización, Richard Zhu y Amat Cama haya sido coronado como «Maestros», al ser el mejor equipo de la competición, llevándose un total de 375.000 dólares (333.000 euros).

tesla-model3-3-kiYE--620x349@abc

Huawei inagura un centro de ciberseguridad para generar transparencia en la industria

Aunque no lo queramos denominar de esa manera, volvemos a estar en plena guerra fría entre dos súper potencias económicas: la estadounidense y la china. Estos dos bloques ya no esgrimen misiles nucleares, sino bloqueos económicos o el dominio de las redes de comunicación. La fuerza de los países ya no se define por el número de cabezas nucleares que poseen, sino por su dominio de las redes móviles y el acceso a la información que éstas otorgan. Seguramente ya no vamos a volver a vivir la crisis de los misiles de Cuba, pero sí hemos sido testigos de cómo Canadá arrestó a la directora financiera de Huawei a principios de diciembre del año pasado. Una clara provocación de Trump hacia el gobierno chino.

Todo ello ha desencadenado en una serie de denuncias cruzadas. Por un lado la fiscalía general americana presentó una demanda por 23 cargos contra Huawei y su directora financiera en la corte de Nueva York, asegurando que existen puertas traseras por las que el gobiernos chino espía a través de su tecnología, y por su parte Huawei, según el «New York Times», denunciará al gobierno americano en el tribunal del distrito este de Texas. También, Meng Wanzhou, la directora financiera de Huawei, ha acusado al gobierno canadiense de violar sus derechos fundamentales. En los próximos meses veremos cuál es el desenlace de esta película de intrigas y espionaje.

En medio de toda esta tormenta, Huawei acaba de inaugurar un centro de ciberseguridad enfocado en la transparencia en pleno corazón financiero de Bruselas, sede también de la UE. Una oficina que básicamente quiere dar espacio a todos los actores del mundo de las telecomunicaciones, reguladores, operadores o gobiernos, para que colaboren y propongan pruebas sobre dispositivos y tecnología Huawei. Lo más interesante de esta oficina es que, bajo una estricta seguridad, ofrece conexión directa con los servidores de Huawei en China, tanto para hacer pruebas de software como para comprobar todos los sistemas de la compañía. La oficina también cuenta con un laboratorio de pruebas, donde se puede verificar la seguridad de cualquier hardware de la marca china.

“Formjacking”, el nuevo método en auge de los ciberdelincuentes

El «formjacking», copiar datos de tarjetas en internet para luego venderlos en el mercado negro, es uno de los métodos de ciberdelincuencia que más se extendió en el mundo durante 2018, mientras que los ataques de «ransomware» (virus malicioso) como el WannaCry  bajaron.

Así se desprende del último informe anual sobre amenazas de seguridad en internet de 2018 de la empresa Symantec, que asegura que España es el octavo país europeo en número de amenazas detectadas. El «formjacking» afecta principalmente a pequeñas y medianas empresas y según el informe, cada mes se ven afectados una media de 4.800 webs, siendo los ataques a las páginas de Ticketmaster o British Airways los casos más sonados el año pasado.

En el caso del ataque contra la web de la aerolínea inglesa, que sufrió el robo de datos de 380.000 tarjetas, los ciberdelincuentes podrían haber obtenido cerca de 17 millones de dólares, ya que solo una sola tarjeta de crédito en internet puede ser vendida por 45 dólares (unos 40 euros). El «formjacking» es «una seria amenaza tanto para las empresas como para los consumidores», según el director de estrategia de seguridad de la empresa en España, Ramsés Gallego.

Según el informe, la disminución de este tipo de ataques se deben a la creciente adopción de sistemas de seguridad de computación en la nube (cloud), que hace los ataques menos eficaces ya que existen copias de seguridad. Por esto también, la nube se ha convertido en un nuevo objetivo para los ladrones digitales: solo el año pasado más de 70 millones de registros fueron robados o filtrados desde directorios de almacenamiento en nubes públicas.

1202892988-U308353779818QC--620x349@abc

Llega una pesadilla : aumentan los móviles infectados de fábrica

El Centro Criptológico Nacional (CCN), adscrito al CNI, advierte en un informe de la tendencia al alza del «malware» preinstalado ya de origen en dispositivos móviles de ciertos fabricantes, del aumento de nuevos virus y del ciberfraude publicitario convertido en uno de los negocios más lucrativos.

Cuando los dispositivos móviles salen ya infectados desde sus centros de producción como ocurre cada vez más entre determinados fabricantes, «el malware» o código malicioso puede formar parte del sistema o ser en sí mismo una aplicación que «no puede ser desinstalada», sino solo deshabilitada o desactivada en ocasiones, según el « Informe Anual 2018. Dispositivos y comunicaciones móviles» del CCN-CERT, recién publicado.

El problema afecta a aplicaciones críticas del sistema y suele tener difícil remedio salvo en los casos en los que la «app» infectada puede sustituirse por una versión legítima, según el informe del CCN con tendencias sobre ciberseguridad y en donde se hace balance de las principales amenazas detectadas el año pasado.

Android, principal perjudicado

Algunas de esas aplicaciones en las que se ha detectado «malware» ya de origen incluyen a Adups, que se preinstalaba en dispositivos de fabricantes como BLU (Bold Like Us) y apenas podía desactivarse desde el interfaz de usuario de Android una vez incorporada. Otro caso es Riskware, descubierta en el modelo THL T9 Pro incorporada o embebida en la aplicación System UI, prioritaria para el correcto uso de Android al implementar el interfaz de usuario.

También Monitor, en el modelo UTOK Q55, un «malware» incorporado en la «app» Settings encargada de la gestión de los ajustes de configuración de Android. Por otra parte, según el documento, el código malicioso móvil se dirige especialmente al sistema operativo Android (de Google), que sigue en constante evolución tras la identificación de «numerosos especímenes»; solo en el tercer trimestre de 2018 estos aumentaron el 40% respecto al año previo, con unas estimaciones que elevan hasta cuatro millones las nuevas aplicaciones maliciosas.

Se advierte del uso de «instant apps» o aplicaciones de ejecución instantánea que permiten al atacante tomar control completo del interfaz de usuario del dispositivo móvil y lanzar, por ejemplo, ataques completos de «phishing» (con los que el atacante obtiene de forma fraudulenta información relevante de la víctima) tras abusar de los gestores de contraseñas.

«La concienciación y adopción de buenas prácticas en la configuración de dispositivos móviles es una de las mejores defensas para prevenir y detectar ese tipo de incidentes y amenazas de seguridad»

«La concienciación y adopción de buenas prácticas en la configuración de dispositivos móviles es una de las mejores defensas para prevenir y detectar ese tipo de incidentes y amenazas de seguridad», explica a EFE el jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), Javier Candau.

En las «Guías prácticas de seguridad en dispositivos móviles» elaboradas y difundidas por el CCN se analizan los mecanismos y la configuración de seguridad recomendados para los distintos sistemas operativos, con el objetivo de reducir la superficie de exposición frente a estos ataques, recuerda Candau. Desde el punto de vista de la seguridad, sigue siendo «crucial» la adopción por parte del usuario de las últimas versiones de los sistemas operativos móviles para mitigar vulnerabilidades públicamente conocidas, destaca el documento.

Lucrativo negocio

En el mismo también se alerta del ciberfraude mediante publicidad, que es actualmente «uno de los negocios más lucrativos» con una distribución que aumenta mediante aplicaciones móviles cuyo papel es «muy relevante». El coste global estimado de anuncios fraudulentos (sobre los que supuestamente el usuario hace clic) es de unos 19.000 millones de dólares al año, según el informe.

La autenticación biométrica (a partir de la identificación de rasgos o características intrínsecas de cada persona) se consolida como el elemento más habitual y demandado para el desbloqueo de dispositivos, y para 2019 se apunta a los dispositivos móviles entre los principales objetivos de las ciberamenazas una vez más.

 

ransomware-k9UC--620x349@abc