Archivos por Etiqueta: ciberseguridad

Polémica en Twitter; dejó sin protección los números de teléfono de sus usuarios.

Lo que le sucedió a Facebook le ha pasado, ahora, a Twitter. La compañía propietaria de la conocida red de micromensajes ha admitido que empleó números de teléfono y correos electrónicos proporcionados por los usuarios para configurar el sistema de verificación de dos pasos para mandar publicidad segmentada a sus usuarios. El alcance no ha trascendido. ABC ha preguntado a la filial de la compañía en España, pero no se ha podido averigurar si hay o no usuarios españoles entre los afectados.

La firma estadounidense, que gestiona más de 330 millones de usuarios en todo el mundo, lo ha calificado de «error» y que se utilizó «involuntariamente» esta información privada introducida por motivos de seguridad. «Hemos descubierto recientemente que cuando ustedes proporcionan una dirección de correo electrónico o un número de teléfono por motivos de seguridad seguridad, por ejemplo para la verificación de doble factor, estos datos pueden haber sido involuntariamente usados para publicidad», apuntan fuentes de la empresa un comunicado difundido este martes en el que, además, se informa que ya se ha resuelto el problema.

Aunque no se ha podido concretar el número de usuarios afectados, la multinacional estadounidense ha asegurado que «ha sido un error y pedimos disculpas». También, ha insistido en que no ha compartido los datos a nivel externo y que el problema se resolvió el pasado 17 de septiembre, aunque no se ha informado hasta ahora.

Todo comenzó a raíz del programa de audiencias personalizadas desarrollado por Twitter y que permite a los anunciantes dirigir sus campañas publicitarias basándose en sus propias listas de marketing. Entonces, la empresa descubrió que cuando se cargaban esas listas se hacía coincidir el número de teléfono y las direcciones de correo electrónico que sus usuarios previamente habían introducido para configurar la seguridad de sus perfiles. La red social ha salido al paso asegurando que esa información fue utilizada en sus «sistemas de anuncios para audiencias de socios y para audiencias personalizadas».

El sistema de verificación de dos factores es una medida de seguridad que se ha extendido en los últimos años en los principales servicios digitales con el objetivo de que sea más difícil «hackear» las cuentas de los usuarios por parte de grupos de ciberdelincuentes. Esta revelación sitúa a Twitter en la misma posición que Facebook, que el pasado año también se descubrió que había utilizado los números de teléfono registrados por sus sus usuarios para mandar publicidad personalizada, la gran fuente de ingresos de ambas empresas. Un problema que ocasionó la sanción a Facebook por parte de la Comisión Federal de Comercio de Estados Unidos por valor de 5.000 millones de dólares a principios de este año.

«Han utilizado [por la compañía] un dato para una finalidad que no estaba prevista cuando captaron el dato y luego no tomaron las medidas organizativas y de seguridad que el Reglamento General de Protección de Datos exige permanente para que no pasen estas cosas. Es la demostración de que, aunque fuera por error, no estaban organizados los datos con los permisos para las finalidades previstas y supone una infracción del Reglamento», asegura a este diario Borja Adsuara, jurista experto en derecho digital. «Hay una infracción. Luego la empresa tendrá que presentar sus alegaciones para demostrar si ha sido por error, pero se deberá valorar por los organismos reguladores».

Para Samuel Parra, abogado especializado en protección de datos, los datos del sistema de verificación de dos pasos es «tan sensible» que «debe de tener un acceso restringido». «Los datos personales a nivel general deben resopetarse un principio de calidad, que signifgica que se recaban para una finalidad concreta y no se pueden emplear para otra. Si se quiere hacer hay que pedir un consentimiento que, para las comunicaciones comerciales, debe de ser expreso.

 

0RPA4542jpg-kfrC--1240x698@abc

Protección contra el hackeo en una nueva herramienta de Instagram

La red social Instagram ha lanzado una nueva herramienta de seguridad que permite identificar los correos electrónicos que llevan a cabo prácticas fraudulentas de «phishing» y se hacen pasar por la compañía para obtener información de los usuarios como sus credenciales de acceso a la plataforma.

Esta nueva función, llamada «Correos electrónicos de Instagram», está ubicada en el menú de ajustes de la red social, y se encuentra accesible desde este lunes, según ha explicado la compañía en su cuenta oficial de Twitter.

La herramienta de Instagram permite a sus usuario consultar una lista con todos los correos electrónicos que le ha enviado la compañía durante los últimos 14 días. Estos correos se organizan en dos pestañas: primero, los que están relacionados con materias de seguridad y registro, como los que se envían como aviso cada vez que un usuario accede a su cuenta desde un nuevo dispositivo; y en la otra pestaña, el resto.

Instagram ha explicado que la nueva función está destinada a combatir el «phishing», una práctica fraudulenta de correo electrónico y con la que los cibercriminales se hacen pasar por una empresa. Al utilizarla, los usuarios pueden «verificar qué correos electrónicos son reales y cuáles son falsos», como ha explicado la empresa.

 

43284506-kO7B--1240x698@abc

Wifi 6; esto es todo lo que debes saber sobre ella

Con la llegada de los nuevos iPhone 11 se han abierto las puertas a un nuevo protocolo de conexiones inalámbricas. El Galaxy S10 de Samsung fue el primero en anticipar la llegada de esta nueva tecnología. La WiFi Alliance, organización que supervisa la implementación del estándar WiFi, ha certificado el nuevo estándar de conexiones inalámbricas (IEEE 802.11ax) que se conocerá como WiFi 6 y que, entre otras cosas, promete mejorar las velocidades de transferencia de información.

La organización ha abierto este martes el programa de certificación de las nuevas conexiones inalámbricas, que permitirán un mejor rendimiento de red WiFi en entornos exigentes como estadios, aeropuertos y parques en donde se acumulan numerosos dispositivos conectados. Esta tecnología proporcionará, de esta mejora, una serie de mejoras en cuanto a la capacidad, el rendimiento y la latencia de las conexiones para el ecosistema WiFi, al tiempo que garantizará que los productos electrónicos compatibles funcionen de manera más operativa.

El resultado más evidente es que permitirá enviar más información en un determinado ancho de banda que los anteriores estándares y aumentará el ancho de banda para ofrecer un mayor rendimiento con baja latencia. En particular, discurrirá entre tres y cuatro veces el rendimiento de la tecnología anterior, logrando, a su vez, una menor lantencia -tiempo de respuesta-.

Entre algunas de sus ventajas, las nuevas conexiones WiFi 6 permitirán a los usuarios personalizar el uso de las redes a la hora de detectar la conexión más eficiente, pero también tendrá un impacto sobre el consumo de la batería de los equipos, la cual será inferior a los estándares actuales. En particular, soportar hasta un máximo de setenta dispositivos electrónicos en un rango de hasta 100 metros.

Otra de las capacidades será la tasa de datos más altas, mayor capacidad, mejor rendimiento en entornos con muchos dispositivos conectados y eficiencia de potencia mejorada, pero intentará prestarle más atención a la seguridad informática. Según está establecido en el protocolo, el sistema avisará al usuario sobre la seguridad de las conexiones inalámbricas.

«WiFi 6 brindará mayores velocidades y más eficiencia a las redes WiFi, ampliando su papel como plataforma de comunicación crítica», apunta en un comunicado Phil Solis, director de investigación de IDC. «Ofrece una experiencia de mayor calidad para todos los casos de uso de WiFi, impulsando aún más el mercado y asegurando que las redes inalámbricas mantengan su sólida posición a medida que evoluciona el panorama de conectividad». Los primeros chips ya se han presentado bajo esta certificación.

43284506-kO7B--1240x698@abc

Descubren un nuevo virus para Android que puede provocar una infección masiva

Un programa malicioso de tipo «ransomware» para Android envía SMS con enlaces maliciosos a los contactos de sus víctimas, como ha descubierto la compañía de ciberseguridad ESET. La compañía ha advertido, además, de que se trata de una campaña dirigida por aficionados y con errores en su código.

ESET explica en un comunicado que este virus, denominado Android/Filecoder.C, llega al usuario a través de un enlace malicioso en un mensaje de texto que, si se pincha sobre él, lleva al archivo de instalación del «ramsonware», lo que supone una forma «peculiar» de distribución de este tipo de «malware» (virus).

El responsable de ESET que ha liderado esta investigación, Lukas Stefanko, ha asegurado que la forma de propagación «debería provocar una infección masiva, sobre todo teniendo en cuenta que el mensaje se puede encontrar hasta en 42 idiomas diferentes». Sin embargo, y como matiza, ese mensaje «está muy mal traducido y la mayoría de los usuarios que lo reciben lo tratan como algo sospechoso».

Desde la compañía han señalado que el «ramsonware» «se ha encontrado camuflado en diferentes temas relacionados con la pornografía en la plataforma Reddit y, en menor medida, en el foro de desarrolladores XDA».

Stefanko ha detallado que esta campaña está dirigida por aficionados, lo que se comprueba «viendo las técnicas de cifrado utilizadas, ya que son muy pobres». De hecho, ha afirmado que «cualquier archivo infectado puede recuperarse sin mayor problema».

El investigador en ciberseguridad ha explicado que el «ransomware» contiene algunas anomalías en su cifrado como, por ejemplo, excluye archivos de más de 50MB e imágenes de menos de 150kb. Además, «su listado de tipos de archivo para cifrar contiene muchas entradas que no se corresponden con archivos de Android y, sin embargo, le faltan extensiones típicas de este sistema operativo».

Además, se incluyen otros elementos poco habituales en este tipo de «malware» que secuestra los equipos, como que no se bloquea la pantalla del usuario infectado y “que no se trate de un conjunto de valores preestablecidos, sino que el rescate que se demanda se genera de forma dinámica al utilizar la identificación del usuario”. Esta cantidad suele oscilar entre los 0,01 y los 0,02 bitcoins.

Stefanko concluye que «parece ser que los delincuentes copiaron la lista del ‘ransomware’ Wannacry». A pesar de ello, ha remarcado la posibilidad de que sea “probable que el delincuente intente mejorar este «malware» resolviendo los fallos existentes y que busque una forma más avanzada de distribución, por lo que se podría convertir en una amenaza muy peligrosa”.

Desde la empresa recomiendan actualizar los dispositivos de forma automática y descargar solamente aplicaciones desde la tienda Google Play o de distribuidores conocidos. Aconsejan, además, antes de instalar una aplicación, leer las puntuaciones y los comentarios de otros usuarios, observar los permisos que solicita la app y, sobre todo, utilizar una solución de seguridad específica para el móvil.

virus-knsB--1240x698@abc

El anonimato podría ser ya un concepto del pasado

Da igual lo que haga. No importa si borra todas sus cuentas, sus redes sociales y sus apps. Si deja guardado su flamante smartphone en la mesilla de noche y lo sustituye por ese viejo móvil que lleva más de quince años echando polvo encima de una estantería. Si llega a la conclusión de que su información vale más que cualquier comodidad que ofrezca un dispositivo inteligente. No importa. Porque, cuando compra un coche, contrata un póliza de seguros o firma una petición en internet, está entregando sus datos. Y siempre se le podrá rastrear.

Así lo ha demostrado un equipo de investigadores de la Universidad Católica de Lovaina y de la Imperial College London, que afirma que, aunque de que los datos de un usuario estén anonimizados (incompletos), no resulta difícil dar con la persona a la que pertenecen. Los especialistas sostienen en un estudio publicado en « Nature», que han conseguido estimar la probabilidad de encontrar a alguien que aparezca en una base de datos anonimizada. Para ello, han desarrollado un algoritmo.

«Si bien puede haber muchas personas de treinta años, hombres y que viven en la ciudad de Nueva York, muchos menos nacieron el 5 de enero, conducen un deportivo rojo y viven con dos niñas y un perro », afirma el autor principal del estudio, el doctor Luc Rocher de la Universidad de Lovaina, sobre lo sencillo que puede resultar localizar a una persona si se sabe seguir el rastro de sus datos. De este modo, en el estudio figura como, empleando exclusivamente 15 variables demográficas, el algoritmo sería capaz de identificar al 99,98% de los habitantes del estados de Massachusetts .

El mejor dato, el que no se da

Estos resultados ponen en relieve que la anonimización no garantiza la seguridad de los datos de una persona. Pero esta no es la primera vez que su utilidad se pone en tela de juicio. Paloma Llaneza, abogada digital y autora de « Datanomics» (Deusto), dice a ABC que «la anonimización está considerada como una de las grandes medidas a la hora de trabajar con datos personales. El problema es que ahora es posible hacer cálculos que no se consideraban posibles hace algún tiempo. El estudio demuestra algo que ya nos temíamos».

La letrada afirma, a su vez, que es difícil encontrar una solución a un problema tan complejo como el que se muestra en el estudio. Explica que «el mejor dato es el dato que no se da», aunque reconoce que hay algunos que son muy difíciles de ocultar, por lo que se debe empezar a valorar cuáles son imprescindibles y cuáles no. Aunque, a pesar de ello, en la protección de la información, como en cualquier cosa en la vida, no existe la seguridad plena.

Siempre existe la posibilidad de que alguien pueda acceder a tus datos, por ejemplo, mediante el uso de un malware (virus informático). «Nunca estás completamente a salvo. Si un hacker puede entrar en la NSA y en los smartphone de las famosas para robarles sus fotos, también es posible que llegue a personas mediante el uso de datos anonimizados. Se trata, evidentemente, de un delito, que pueden ser dos en caso de que se exponga la información y se comercie con ella», explica a este diario el jurista digital Borja Adsuara.

Cuentas pendientes

Los firmantes del estudio sostienen que el Reglamento General de Protección de Datos (RGPD) no es suficiente para proteger la información de los usuarios. Que es necesario reforzar las políticas si se desea garantizar el anonimato. Esto es algo que, al menos por el momento, no ha calado entre muchos gobiernos. Precisamente, la Comisión Europea anunció la semana pasada que solicitará al Tribunal de Justicia de la Unión Europea (TJUE) que se multe a España por no aplicar las normas de protección de datos personales, que, en teoría, deberían haber entrado en vigor en mayo del año 2018.

«España se caracteriza por no adoptar las directivas en su momento. Estaría bien calcualar cuanto nos cuesta a los españoles esto», lamenta Adsuara. En caso de que el TJUE termine sancionando a España, la multa podría ascender a 21.321 euros diarios, con un mínimo total de 5,29 millones de euros, que es lo que ha solicitado la Comisión.

 

vendetta-k9X--1240x698@abc