Archivos por Etiqueta: ciberseguridad

«Deep fakes»; la próxima frontera del fraude

Los « deep fakes», esos montajes audiovisuales hiperrealistas que cambian la cara y la voz del protagonista utilizando herramientas de «deep learning», se han multiplicado en los últimos meses y los expertos en ciberseguridad alertan de que 2020 podría ser la fecha en la que esta tecnología sea utilizada de forma masiva para cometer fraude empresarial.

Así lo pone de manifiesto la empresa de ciberseguridad Trend Micro en su informe de predicciones para 2020, en el que también se afirma que las organizaciones se enfrentan a un «riesgo creciente» proveniente desde la nube y de la cadena de suministro, tal y como ha explicado su director general en Iberia, José Battat, en un encuentro con la prensa.

«Las amenazas persistentes y variadas requieren una seguridad multicapa que pueda proporcionar detección y protección en tiempo real. Además de aumentar la concienciación de los empleados sobre las técnicas de ingeniería social, las organizaciones también deberían realizar auditorías periódicas de seguridad», añade la compañía.

Una de las técnicas más novedosa es el «deepfake», que hasta ahora se usa de forma mayoritaria en la industria pornográfica (en el 96 por ciento de los casos) y para realizar chantajes a nivel particular. Sin embargo, advierten de que estas prácticas podrían aumentar significativamente el próximo año y poner el foco en las empresas, tratando de manipularlas en sus transacciones financieras y decisiones críticas.

En este sentido, David Sancho, experto en amenazas web y tecnologías emergentes de Trend Micro, indica que la suplantación de la voz a través de este tipo de herramientas «es relativamente fácil y convincente». Así, explica que puede ser muy efectiva si se utiliza contra una persona con responsabilidad en el área de Administración de una organización, cuando la voz que se ha copiado es la del jefe y se usan canales de comunicación de confianza como el WhatsApp.

Otro caso al que se ha referido Sancho es el de los montajes ‘deepfake’ de directivos, que pueden llegar a viralizarse en Internet y afectar a la reputación de la compañía, causando un importante daño económico, al incidir -por ejemplo- en su cotización en Bolsa. Esta amenaza ha llevado incluso a Twitter a anunciar recientemente que modificará las políticas de la plataforma contra los contenidos manipulados a través de técnicas de «deepfake», enfocándose especialmente en aquellos contenidos que puedan dañar a los usuarios.

Clipboard-k84F--1240x698@abc

Aumenta el número de intentos de estafa de robos y documentos de usuarios

La compañía de ciberseguridad Kaspersky ha alertado sobre el aumento durante el tercer trimestre de este año 2019 de los ataques de «phishing» y fraudes a usuarios relacionados con el robo de documentos y datos personales como «selfies».

Los correos electrónicos de «phishing» identificados, procedentes aparentemente de sistemas de pago y bancos, pedían a los usuarios, con diversos pretextos, que confirmaran su identidad accediendo a una página y subiendo una copia de su documento de identidad junto con una foto.

Estos sitios falsos parecían bastante creíbles y contenían una lista de requisitos sobre el formato de documentos, enlaces a políticas de privacidad y acuerdos de usuario, como ha explicado Kaspersky en un comunicado.

Durante el tercer trimestre de 2019, el sistema anti-phishing de Kaspersky evitó 105.220.094 intentos de dirigir a los usuarios a sitios web fraudulentos, afectando a más de uno de cada diez (11,28 por ciento) de los usuarios.

Aunque se observaron más ataques en busca de selfies y documentos, a nivel general los ataques de phishing descendieron ligeramente con respecto al mismo periodo del año pasado, cuando afectó al 12,1 por ciento de usuarios de Kaspersky. Los países más afectados son Venezuela (30,96 por ciento), Grecia (22,67 por ciento) y Brasil (19,70 por ciento).

hotmail-mail-kHpE--1240x698@abc

Toda la información privada que subes ala nube, es accesible para Google.

Que Google tiene acceso a un caudal de información enorme sobre la vida de los usuarios no es nada nuevo. Especialmente si tenemos en cuenta que, al contrario que otras plataformas, como Facebook o WhatsApp, el navegador por antonomasia no cifra de extremo a extremo los mensajes y los documentos que, cada día, subimos a la nube. Algo que no solo implica que la tecnológica tenga fácil acceso a la información privada que se almacena en la herramienta de colaboración G Suite, de la que forman parte Gmail, Docs y Drive entre otros servicios, sino que esta también puede estar al alcance de los administradores que controlan las cuentas de una empresa y del gobierno de Estados Unidos. Así lo afirma el extrabajador de Google Martin Shelton en un artítulo publicado en el portal « Freedom of the Press Foundation».

«Por ahora, deberíamos considerar cuándo mantener nuestros datos más confidenciales fuera de G Suite, y en su lugar emplear otro medio que ofrezca cifrado de extremo a extremo, almacenamiento local o mantenerlos fuera del ordenador», apunta Shelton en el texto. El extrabajador de la compañía de Silicon Valley señala, a su vez, que a pesar de que el cifrado de los mensajes en la plataforma es bastante fuerte, y especialmente bueno a la hora de protegerse de ataques de ciberespionaje, no es lo suficientemente opaco como para que trabajadores de la compañía tengan acceso. Y, las cosas como son, tampoco lo pretende.

Respecto al objetivo que persigue la plataforma con esta política, Shelton resalta que tiene que ver con «el filtrado de spam, malware (virus informático), la detección de ataques dirigidos, la corrección ortográfica y para ayudar con la búsqueda dentro de la cuenta de Google de un usuario». La empresa también se aprovecha de esta situación para rastrear infracciones en sus términos de uso o aquellos contenidos que, directamente, son ilegales. El que la firma cuente con ese poder, no supone, al menos sobre el papel, que tenga un equipo humano que se dedique a revisar minuciosamente todos los contenidos que se suben a la nube. Sin embargo, en caso de que deseasen hacerlo, cuentan con las facultades para ello.

Esta protección tampoco impide que un gobierno, como el de Estados Unidos, pueda acceder a la información de los usuarios de G Suite. En dicho país las agencias gubernamentales tienen la capacidad de obligar a cualquier proveedor de comunicaciones nacional a revelar información sobre sus usuarios. Según recoge Shelton, las solicitudes de este tipo de información no han dejado de crecer durante los últimos años. Solo en 2018, el gobierno de EE. UU. pidió a la tecnológica los datos de 124.991 cuentas. Requerimientos a los que Google respondió afirmativamente en el 81 por ciento de los casos.

En el caso de las empresas que funcionan con G Suite, los administradores que quieran acceder a la información de los empleados lo único que necesitan hacer es ejecutar Vault, un servicio que les permite recuperar una cantidad bastante amplia de información: «los administradores tienen la opción de conservar copias borrador de correos electrónicos, incluso después de que el correo electrónico se elimine de la carpeta borrador»

 

google-3-kSDD--1240x698@abc

Polémica en Twitter; dejó sin protección los números de teléfono de sus usuarios.

Lo que le sucedió a Facebook le ha pasado, ahora, a Twitter. La compañía propietaria de la conocida red de micromensajes ha admitido que empleó números de teléfono y correos electrónicos proporcionados por los usuarios para configurar el sistema de verificación de dos pasos para mandar publicidad segmentada a sus usuarios. El alcance no ha trascendido. ABC ha preguntado a la filial de la compañía en España, pero no se ha podido averigurar si hay o no usuarios españoles entre los afectados.

La firma estadounidense, que gestiona más de 330 millones de usuarios en todo el mundo, lo ha calificado de «error» y que se utilizó «involuntariamente» esta información privada introducida por motivos de seguridad. «Hemos descubierto recientemente que cuando ustedes proporcionan una dirección de correo electrónico o un número de teléfono por motivos de seguridad seguridad, por ejemplo para la verificación de doble factor, estos datos pueden haber sido involuntariamente usados para publicidad», apuntan fuentes de la empresa un comunicado difundido este martes en el que, además, se informa que ya se ha resuelto el problema.

Aunque no se ha podido concretar el número de usuarios afectados, la multinacional estadounidense ha asegurado que «ha sido un error y pedimos disculpas». También, ha insistido en que no ha compartido los datos a nivel externo y que el problema se resolvió el pasado 17 de septiembre, aunque no se ha informado hasta ahora.

Todo comenzó a raíz del programa de audiencias personalizadas desarrollado por Twitter y que permite a los anunciantes dirigir sus campañas publicitarias basándose en sus propias listas de marketing. Entonces, la empresa descubrió que cuando se cargaban esas listas se hacía coincidir el número de teléfono y las direcciones de correo electrónico que sus usuarios previamente habían introducido para configurar la seguridad de sus perfiles. La red social ha salido al paso asegurando que esa información fue utilizada en sus «sistemas de anuncios para audiencias de socios y para audiencias personalizadas».

El sistema de verificación de dos factores es una medida de seguridad que se ha extendido en los últimos años en los principales servicios digitales con el objetivo de que sea más difícil «hackear» las cuentas de los usuarios por parte de grupos de ciberdelincuentes. Esta revelación sitúa a Twitter en la misma posición que Facebook, que el pasado año también se descubrió que había utilizado los números de teléfono registrados por sus sus usuarios para mandar publicidad personalizada, la gran fuente de ingresos de ambas empresas. Un problema que ocasionó la sanción a Facebook por parte de la Comisión Federal de Comercio de Estados Unidos por valor de 5.000 millones de dólares a principios de este año.

«Han utilizado [por la compañía] un dato para una finalidad que no estaba prevista cuando captaron el dato y luego no tomaron las medidas organizativas y de seguridad que el Reglamento General de Protección de Datos exige permanente para que no pasen estas cosas. Es la demostración de que, aunque fuera por error, no estaban organizados los datos con los permisos para las finalidades previstas y supone una infracción del Reglamento», asegura a este diario Borja Adsuara, jurista experto en derecho digital. «Hay una infracción. Luego la empresa tendrá que presentar sus alegaciones para demostrar si ha sido por error, pero se deberá valorar por los organismos reguladores».

Para Samuel Parra, abogado especializado en protección de datos, los datos del sistema de verificación de dos pasos es «tan sensible» que «debe de tener un acceso restringido». «Los datos personales a nivel general deben resopetarse un principio de calidad, que signifgica que se recaban para una finalidad concreta y no se pueden emplear para otra. Si se quiere hacer hay que pedir un consentimiento que, para las comunicaciones comerciales, debe de ser expreso.

 

0RPA4542jpg-kfrC--1240x698@abc

Protección contra el hackeo en una nueva herramienta de Instagram

La red social Instagram ha lanzado una nueva herramienta de seguridad que permite identificar los correos electrónicos que llevan a cabo prácticas fraudulentas de «phishing» y se hacen pasar por la compañía para obtener información de los usuarios como sus credenciales de acceso a la plataforma.

Esta nueva función, llamada «Correos electrónicos de Instagram», está ubicada en el menú de ajustes de la red social, y se encuentra accesible desde este lunes, según ha explicado la compañía en su cuenta oficial de Twitter.

La herramienta de Instagram permite a sus usuario consultar una lista con todos los correos electrónicos que le ha enviado la compañía durante los últimos 14 días. Estos correos se organizan en dos pestañas: primero, los que están relacionados con materias de seguridad y registro, como los que se envían como aviso cada vez que un usuario accede a su cuenta desde un nuevo dispositivo; y en la otra pestaña, el resto.

Instagram ha explicado que la nueva función está destinada a combatir el «phishing», una práctica fraudulenta de correo electrónico y con la que los cibercriminales se hacen pasar por una empresa. Al utilizarla, los usuarios pueden «verificar qué correos electrónicos son reales y cuáles son falsos», como ha explicado la empresa.

 

43284506-kO7B--1240x698@abc