Archivos por Etiqueta: software

Hackean un Tesla Model 3, y se llevan el coche de regalo.

Toda infraestructura técnica susceptible de ser «hackeada» por ciberdelincuentes se pone siempre a prueba. Y es que todo lo que está conectado a internet corre el riesgo de convertirse en el objetivo de un cibercriminal que, sin autorización, puede acceder a computadoras, redes, sistemas informáticos o datos.

La ciberdelincuencia es un multimillonario negocio en constante evolución. Armarse contra este tipo de actores que llevan a cabo prácticas delictivas es fundamental y quién mejor que un auténtico «hacker» en su acepción positiva (persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora) para poner a prueba la ciberseguridad de una infraestructura antes de que los malos la intercepten y se aprovechen de ella. Es una de las maneras con la que las compañías pueden protegerse de las posibles acciones de los piratas informáticos.

Esto es justo lo que pensó Elon Musk, cofundador y director general deTesla, para mejorar la ciberseguridad del Model 3, el último coche eléctrico que la compañía ha lanzado al mercado. Musk ha decidido aprovechar los altos conocimientos de los participantes en la Pwn2Ow, un concurso anual de piratería de gran prestigio que tuvo lugar en Vancouver (Canadá) del 20 al 22 de marzo, para mejorar su negocio.

Richard Zhu y Amat Cam son dos de los jóvenes que han ayudado a Musk en que sus vehículos sean más seguros. Ambos han participado en la competición Pwn2Ow, que se desarrolla bajo la iniciativa « Zero Day Initiative» (ZDI), creada por la firma de ciberseguridad Trend Micro de forma anual para alentar el reporte de los «ataques de día cero» (del inglés, «zero day attack» o «0 day attack»)

Este tipo de ataques son brechas de seguridad en el software que no han sido detectadas o se desconocen. Por eso, se habla de «día cero», es decir, cuando los «hackers buenos» detectan dicho error y pueden subsanarlo a tiempo. Una vez detectados, es el proveedor del software quien, entonces, lanza un parche de seguridad o actualiza el programa para solucionar la brecha.

Zhu y Cam son dos jóvenes investigadores de seguridad con un futuro prometedor. Ambos, que formaban el equipo Fluoroacetate, no solo se han llevado a casa 35.000 dólares (31.000 euros) por conseguir «hackear» el coche, sino que también Elon Musk les ha regalado un Tesla Model 3 a cada uno como recompensa por exponer con éxito una vulnerabilidad del vehículo eléctrico.

En apenas unos minutos, consiguieron «hackear» el Tesla Model 3 a través de su navegador tras detectar un error JIT («Just in Time», es decir, «justo a tiempo») en el proceso del renderizado, es decir, cuando se ejecutaba el código. Según recoge el blog de « ZDI», los jóvenes «emocionaron a la multitud reunida», que se congregó alrededor de ellos para saber si realmente iban a ser capaces de detectar algún fallo.

Hacking ético

«Agradecemos a estos investigadores su trabajo por ayudarnos a conseguir que nuestros vehículos estén más seguros en la carretera», ha asegurado Tesla en un comunicado remitido a « TechCrunch». «Durante la competición, los investigadores encontraron una vulnerabilidad en el navegador web del automóvil», reconoce la compañía, que ya ha anunciado que en los próximos días lanzará una actualización de software para solventar el «bug».

La industria de la seguridad de la información no solo se compone de piratas informáticos que buscan hacer daño. Aunque estos últimos están presentes, existen otros expertos «hackers» que se dedican a poner a prueba una infraestructura, detectar los posibles errores de seguridad que pueda tener (algo que se conoce como «bugs», del inglés) y así subsanar los fallos

Durante los tres días en los que se ha desarrollado el «Pwn2Ow» se han entregado 545.000 dólares (480.000 euros) a los participantes que han descubierto 19 errores únicos en el navegador Safari, Microsoft Edge y Windows, VMware Workstation, Mozilla Firefox y Tesla.

Además, según informa la organización, Richard Zhu y Amat Cama haya sido coronado como «Maestros», al ser el mejor equipo de la competición, llevándose un total de 375.000 dólares (333.000 euros).

tesla-model3-3-kiYE--620x349@abc

Software preinstalado; la amenaza silenciosa que acecha al usuario de android

El «smartphone» que tienes ahora mismo a tu lado es como un caramelo. Como sucede con todos los dulces, los ingredientes que lo componen no son los más sanos y en parte lo sabes. De ti no depende decidir qué colorante debe llevar, en qué cantidad o cuánta azúcar. Pero te encanta. Sí puedes elegir consumirlo de uno u otro sabor, en mayor o menor tamaño, con palo o sin palo… Con el «smartphone» pasa lo mismo. Sí eres capaz de decidir si lo quieres más grande o más pequeño, con más o menos prestaciones o instalarle unas u otras aplicaciones («apps»). Pero sus «ingredientes» están fuera de tu alcance. Esto es lo que sucede con el software preinstalado (en inglés, «bloatware»).

«Son programas que trae de serie el dispositivo y no lo puedes evitar», explica Lorenzo Martínez, experto en ciberseguridad de Securizame. «Se supone que este tipo de software aporta un valor añadido al terminal pero en realidad no es así», explica el experto. Una reciente investigación (« An Analysis of Pre-installed Android Software») realizada por el Instituto IMDEA Networks y la Universidad Carlos III de Madridalerta sobre el software preinstalado en dispositivos Android y los riesgos para la privacidad de los usuarios tras analizar más de 82.000 «apps» preinstaladas en más de 1.700 dispositivos fabricados por 214 marcas en más de 200 países. La investigación revela la existencia de un complejo ecosistema de fabricantes, operadores móviles, desarrolladores y proveedores de servicios, además de organizaciones especializadas en la monitorización y rastreo de usuarios y en proporcionar publicidad en internet. Muchas de las aplicaciones preinstaladas facilitan el acceso privilegiado a datos y recursos del sistema sin posibilidad de que el usuario pueda desinstalarlas.

Una industria descomunal

«La escala es abrumadora», apunta Juan Tapiador, uno de los investigadores del estudio. «Te da una idea de lo complejo que puede ser intervenir de alguna manera este mercado porque hay demasiados agentes involucrados y porque cualquier conclusión que saques no es aplicable a todos», explica. La industria tecnológica, a diferencia de otras, es global y descentralizada, se desarrolla a la velocidad de la luz y regularla no es fácil. El problema es la gran cantidad de usuarios afectados.

«Pero el marco regulatorio varía», puntualiza Narseo Vallina Rodríguez, otro de los investigadores. «El usuario no se da cuenta de que muchos servicios a los que tiene acceso en internet son gratuitos. No es nada nuevo que internet vive gracias a los anuncios y a la obtención y procesado de datos personales para fines comerciales», recuerda. Y pone un sencillo ejemplo: «Tú puedes tener un teléfono subsidiado por un operador. Eso cuesta dinero: o lo pagas en tu factura o de otra forma».

Android es el «rey» de los sistemas operativos. Es decir, es el software de mayor penetración en el mercado. En España, el 89,9% de los terminales funcionan con dicho sistema operativo, propiedad de Google. En Europa representa el 75,8% y en EE.UU. el 56%.

El reinado de Android

Su claro dominio tiene una sencilla explicación: se trata de una versión abierta («open source»). Sobre este sistema operativo trabajan los fabricantes de «smartphones» que distribuyen sus propias versiones modificadas de Android con aplicaciones desarrolladas por ellos mismos o por terceros imposibles de desinstalar ni de verificar.

«Es lo que tiene Android: cualquiera puede cogerlo y hacer su propia versión», añade Samuel Parra, jurista experto en protección de datos. «Google -añade- no es responsable de lo que los demás hagan con él».

El software preinstalado es una potente arma de recolección de datosOtro asunto es el potencial uso que tengan esos datos, que son muchos y aunque se intuyen, no se puede señalar el delito ni al culpable. «Ni siquiera está claro por todas las manos por las que pasa el teléfono durante su proceso de fabricación», asegura Juan Tapiador, que señala la «falta de transparencia» que reina en la industria. «Está claro que se meten ‘cosas’ dentro del móvil pero no sabemos por qué», añade Vallina Rodríguez.

En ocasiones, los peritos informáticos, analizan las tripas de los terminales. Y Lorenzo Martínez ha tenido que hacerlo en alguna ocasión. «Yo tuve que analizar el tráfico que generaba un teléfono recién abierto y vi que ese tráfico viajaba a China. ¿Por qué?». Esa es la gran incógnita.

Internet no es gratis

«Lo que está pasando aquí lleva ya pasando en internet muchos años porque los usuarios no quieren pagar», apunta Tapiador. El modelo de negocio de internet es aparentemente gratuito. Pero «lo que no va en dólares va en datos. Esa es la gasolina de internet. Ahora, el valor extraído del procesamiento de los datos es lo nuevo», explica el responsable.

Desde la Agencia Española de Protección de Datos (AEPD) defienden la necesidad de dotar al usuario de «herramientas que permitan gestionar la privacidad en los teléfonos móviles de una forma sencilla» porque está claro que hay «una necesidad que el mercado no está cubriendo de forma efectiva». El organismo también apuesta porque los vendedores y distribuidores de terminales lleven a cabo auditorías.

Pero la legislación no va a la misma velocidad que la industria. «De hecho, surge cuando el fenómeno ya está», añade Tapiador. Y eso sucede porque «Internet es software», explica Vallina Rodríguez. «Evoluciona muy rápido -continua-. Mañana nace otro Mark Zuckerberg con una idea nueva y despliega en dos meses un nuevo modelo de negocio con el que se hace millonario a pesar de que se base en la extracción y procesado de datos personales».

Los investigadores, que usan «smartphones» con sistema operativo Android, abogan a la responsabilidad del usuario. «A mi no se me ocurre instalar ninguna red social en el teléfono. Accedo solo desde el navegador», reseña Vallina Rodríguez. «El banco me dice siempre que instale su aplicación y no lo voy a hacer porque no me hace falta tenerla 24 horas al día conmigo -continua-. No voy a caer en la trampa de que me ofrecen ‘una mejor experiencia’. Los organismos se benefician de la falta de conocimiento del usuario y de la falta de transparencia de la industria».

Protege tu privacidad: toma nota de lo que sí puedes hacer

Aunque el software preinstalado se escapa del radio de acción del usuario, sí existen ciertas prácticas que el usuario puede llevar a cabo para protegerse de los riesgos de internet. Toma nota de los consejos que nos aofrece Ruth García, experta de la Oficina de Seguridad del Internauta (OSI) de INCIBE:

1. Patrón, PIN o contraseña en el «smartphone». Configura un código robusto para que la información de tu terminal no sea accesible a cualquiera. Huye de patrones sencillos o fáciles de adivinar.

2. La información de tu teléfono, mejor cifrada. Evitarás que accedan al contenido del teléfono porque no tienen el código para descifrar. Android tiene dicha opción en Ajustes-Privacidad.

3. Precaución con las aplicaciones y los permisos. Descárgalas desde la tienda oficial Google Play y revisa si la funcionalidad de la «app» necesita ciertos permiso. Un juego no precisa acceso a fotos.

4. Borra tu rastro en la web y las «cookies». Las «cookies» almacenan ficheros en los dispositivos que guardan las páginas que visitas o los «Me gusta». De ahí, los anuncios personalizados.

5. «Smartphone» bloqueado de forma remota. Si pierdes el móvil, puedes bloquearlo o borrar sus datos. Configura la opción en android.com/find e inicia sesión en tu cuenta de Google.

6. La ubicación del móvil no se necesita siempre. Para usar el GPS hay que tener activada la geolocalización, pero no es una buena práctica geolocalizar tus publicaciones o fotos.

7. Antivirus como herramienta de protección. Siempre es conveniente. Puede detectar una página web maliciosa, si la «app» que descargas es fiable, los ficheros que te envían, etc.

android-1-kBjF--620x349@abc

Un algoritmo reduce el sesgo racial y de género en los sistema de reconocimiento facial

Un equipo de investigadores del Instituto de Tecnología Massachusetts (MIT) ha conseguido desarrollar un algoritmo que reduce al 60% el sesgo racial y de género que resulta del entrenamiento del reconocimiento facial de la Inteligencia Artificial (IA).

Un informe del Laboratorio de Inteligencia Artificial y Ciencia Informática (CSAIL) del Instituto de Tecnología Massachusetts (MIT) se explica cómo un equipo de investigadores ha conseguido reducir el margen de error de los resultados obtenidos en las pruebas con Inteligencia Artificial (IA) de reconocimiento facial con respecto al género y a la raza de la muestra.

Un estudio del año pasado explicaba que el margen de error en el reconocimiento facial de la IA variaba dependiendo de la raza y el género del sujeto. Este estudio, basado en los sistemas de IBM Watson, Microsoft y Facebook, mostró que las fotografías de mujeres tienen un margen de error mayor que las de los hombres; error que aumenta, además, cuando el sujeto a analizar es de piel oscura.

Un equipo del MIT ha avanzado en la solución de este problema al desarrollar un algoritmo que permite identificar y minimizar cualquier sesgo oculto, mediante el aprendizaje tanto de una tarea específica, como es el reconocimiento facial, como de la estructura implícita de los datos del entrenamiento. En las pruebas, para las que se ha empleado la misma base de datos que en el estudio del año pasado, el algoritmo redujo este «sesgo categórico» en más del 60% en comparación con otros modelos más avanzados de detección facial, sin que estos perdieran precisión.

El algoritmo puede analizar un conjunto de datos, aprender qué está intrínsecamente oculto en su interior y volver a muestrearlo para que sea más justo sin necesidad de que intervenga un programador humano. Alexander Amini, doctor del MIT y miembro del equipo a cargo del proyecto, explica la corrección del sesgo es «especialmente importante en tanto que empezamos a ver este tipo de algoritmos en seguridad, cuerpos policiales y otros dominios». Este sistema sería particularmente relevante, como añade Amini, para conjuntos de datos que son demasiado grandes para examinarlos manualmente.

 

Clipboard-0008-kkAE--620x349@abc

La wifi en España mejorará gracias a una startup noruega.

¿Cuál es la queja más común en cuanto al la calidad de la conexión a internet en el hogar? La respuesta es muy sencilla: la velocidad del la red wifi. Un elemento que las operadoras no pueden controlar es dónde terminará instalado el router en cada hogar, el tamaño de la casa, el grosor de las paredes, los materiales utilizados o la estática del ambiente, interfieren en la señal, por lo que es muy difícil garantizar la velocidad de descarga contratada independientemente del lugar donde se encuentre el cliente.

Operadoras como Vodafone proveen a los instaladores de aplicaciones móviles para medir la potencia del wifi en cada estancia y, de esa manera, poder comunicar al cliente la calidad real de la conexión en cada lugar, y así impedir el incumplimiento de las expectativas del cliente.

La startup noruega Domos utiliza inteligencia artificial y machine learning para mejorar el wifi en casa. Acaba de aterrizar en España con la promesa de solucionar este problema. Son capaces de mejorar la potencia del wifi entre un 100% y un 400%, sólo utilizando software, es decir, optimizando el código del router. Por ejemplo, NextGenTel, la operadora noruega que ha usado Domos durante los últimos dos años, reportó una significativa caída en las llamadas al servicio al cliente relacionadas con problemas de wifi como resultado de la integración del software en sus routers.

Al preguntar al CEO de Domos, Bent Erik Skaug, sobre el por qué de la falta de calidad y consistencia del wifi en los hogares, las razones que dio fueron tres: la interferencia de las redes wifi competidoras de los vecinos, las perturbaciones de radiofrecuencia de otros aparatos électricos y los problemas de cobertura de wifi en la casa.

La mayoría de las personas lo que hacen para mejorar su cobertura wifi en casa es instalar repetidores. Pero en realidad, Bent asegura que sólo alrededor del 25-30% de los hogares los necesita realmente. En muchas casas, especialmente en áreas densamente pobladas, la instalación de un repetidor solo empeora la situación.

Según Bent, la tecnología de Domos se inspira en el 5G, la futura conectividad móvil que llegará en el 2020, como la división de red, donde la señal se adapta dependiendo de la necesidad del cliente. Por ejemplo, si lo que usamos son videojuegos en línea en casa, la señal se adaptará para bajar la latencia. En cambio, si lo que nos gusta es ver películas 4K, lo hará para optimizar la descarga.

En cuanto a la protección de datos y para nuestra propia tranquilidad, Bent asegura que «nunca miramos el contenido transmitido o recibido por los dispositivos, el router o las direcciones IP que visita el usuario. Esto es importante, todo lo que hacemos es trabajar para mejorar la calidad de la señal. Somos totalmente compatibles con el GDPR».

España es el primer país donde se expande Domos fuera de Noruega, en palabras de su CEO. La razón es por lo avanzadas que se encuentran las operadoras en nuestro país, a un nivel similar al de Noruega, y la gran calidad de los ingenieros con los que cuenta España, ya que su objetivo es abrir oficina de desarrollo aquí.

wifi-hogares-ktbF--620x349@abc

El software sanitario de Amazon para recopilar datos de los pacientes, no tendría cabida en Europa

La multinacional estadounidense Amazon anunció este miércoles que ha desarrollado Amazon Comprehend Medicalun software basado en inteligencia artificial que bucea en el historial médico de los pacientespara extraer de forma rápida y organizada la información relevante que necesiten usar los médicos. Su objetivo es permitir a los profesionales de la salud disponer de información de una forma más rápida y con mayor precisión que con el tradicional proceso manual.

El gigante tecnológico asegura que su nuevo servicio procesa «textos médicos desestructurados» e identifica información como «diagnósticos, tratamientos, dosis y síntomas». La herramienta está pensada para que hospitales, aseguradoras, investigadores y empresas farmacéuticas ahorren parte del tiempo y dinero que actualmente se destina a hallar datos puntuales de cada paciente entre los documentos que conforman su historial médico. Los datos se almacenarán en Amazon Web Services.

Aunque de momento se desconoce con exactitud cómo piensa gestionar Amazon todos los datos privados de los pacientes que se almacenarán en la nube, el servicio, en principio, no tiene cabida en Europa porque choca frontalmente con el Reglamento General de Protección de Datos (RGPD), aprobado a principios de este año. Y es que todo apunta a que la intención del gigante de internet es almacenar los datos identificados de los pacientes.

La normativa, en este caso, exige el consentimiento del paciente. De hecho, ya existen condenas a médicos por ver los historiales de pacientes ajenos. «El reglamento actual de protección de datos, con respecto a la salud, prohíbe cualquier tratamiento de datos», recuerda el experto.

El negocio de los datos sanitarios

En esta misma línea opina Frederic Llordachs, médico y confundador de Doctoralia: «Evidentemente, con el RGPD va a ser complicado que lo cumplan al menos de entrada, y como dice un amigo mío, el hecho de que el mayor vendedor de lavadoras del mundo tenga tu historial médico da que pensar. Empaquetar servicios medicos y venderlos por internet es sencillo, de hehco lo haemos ya con ClinicPoint, pero la tentacion de publicitárnoslos puede ser tan grande como para intentar burlar la ley».

Según la compañía, Amazon Web Services no podrá ver los datos que procesan sus algoritmos en la búsqueda de información porque estos están encriptados y su desbloqueo está solo permitido a aquellos clientes que dispongan de una clave. Sin embargo, cabe recordar que todo lo que se comparte en internet en susceptible de ser hackeado. De hecho, los datos sanitarios son más caros en el mercado negro que los bancarios.

«Al final se trata de dar una información muy valiosa a una tercera compañía (empresa farmaceútica, hospital) que seguro que tiene por detrás a una aseguradora muy potente que puede llegar a usar todos esos datos para después vender pólizas de seguros a los pacientes», ejemplifica Parra, quien también alerta de otro problema. «Sería muy peligroso que una máquina decida qué pastilla se tiene que tomar un paciente», añade. Y es que si el software va a ofrecer al doctor un informe médico del estado de salud del paciente, una vez recopilados y analizados todos los datos, es de vital importancia que se informe a la persona afectada. «El reglamento dice que si se va a tomar una decisión en base a un procedimiento realizado de forma automatizada por algoritmos matemáticos, se tiene que informar a la persona afectada. El paciente, incluso, puede impugnar esa decisión que ha tomado una máquina y no un humano, es decir, el profesional de la salud», recuerda el jurista.

No es la primera iniciativa con la que Amazon se mete en el negocio de la salud. «Este servicio de explotar los datos relevantes de las historias clínicas mediante ‘machine learning’ se une a lacompra de Pillpack (servicio de prescripción online) y a la ‘joint venture’ con Berkshire Hathaway y JP Morgan para mejorar la salud de sus empleados. Todas las grandes tecnológicas quieren meterse en salud, pero Amazon parece meterse en terrenos mas realistas y menos “moonshots”», dice Llordachs.

 

hospital-1-kINH--620x349@abc