Ni siquiera los automóviles con más de diez años son ciberseguros
El coche del futuro debe ser ciberseguro. Pero en España tenemos un parque móvil muy envejecido, con una media de trece años y medio. Así las cosas podríamos pensar que todos estos vehículos no pueden ser ciberatacados porque no disponen de dispositivos que lo permitan. Craso error.
Estamos teniendo una verdadera semana negra, con incidentes en Rockstar Games, el neobanco Revolut y Uber. Este gigante de la movilidad, enfrentado al medio mundo que le quiere cortar sus alas, ha sufrido un ciberataque a través de un dispositivo infectado de un proveedor de la empresa. El incidente ha hecho renacer el interés por la situación de la ciberseguridad en automóviles, un tema del que ya nos hemos ocupado en otros artículos, como el titulado “En el 2022, ¿coche eléctrico, híbrido o de gasolina? ¡Coche ciberseguro!” que podéis recordar AQUÍ. O el que publicamos en el pasado mes de febrero titulado “¿Se roban más coches por culpa de la cibertecnología?” que tenéis en este enlace.
La realidad es que los datos del Informe Anual de ANFAC, la Asociación Española de Fabricantes de Automóviles y Camiones, la edad media del parque automovilístico en nuestro país es de 13,5 años, dos más que el conjunto de la Unión Europea. Además los turismos sin ningún tipo de etiqueta medioambiental son el 64,7% del total.
Uno podría pensar que esos automóviles no pueden ser ciberatacados. Pero eso no es así, como constata Eurocybcar, el primer test que mide la ciberseguridad de un vehículo. Su CEO es Azucena Hernández. Los coches con 13 años de vida ya disponen de suficientes elementos que pueden ser vulnerables. Entre ellos destaca el OBD, un dispositivo que utilizan los talleres para conectar sus equipos de diagnosis. No está en un lugar destacado, por lo que pasa muy desapercibido, pero cualquier persona podría conectar un dispositivo que le permitiría tener acceso al control de muchas de las funciones del vehículo.
¡Cuidado con la USB que conectas! Eurocybcar también recuerda que muchos de los modelos fabricados entonces tenían la opción de conectar una llave USB. Y por lo tanto, el peligro es el mismo que cuando conectamos una USB en el ordenador.
Estos dos ejemplo son solo algunos de los que existen. Os invitamos a leer el artículo de HackerCar para encontrar más ejemplos: bluetooth, sistemas de control de la presión de neumáticos, etc. HackerCar es un medio de comunicación especializado en el mundo del motor, la ciberseguridad y las cosas conectadas. Su director es Javier García y el jefe del área de ciberseguridad es Javier Muñoz de la Torre.
HackerCar ha sido creado por el Grupo Cybentia, una consultora de investigación, concienciación y comunicación estratégica de la ciberseguridad y la movilidad.
Imagen principal: DonnaSenzaFiato en Pixabay
- Publicado en Ataques / Incidencias, General, Medios de comunicación, Noticias, Seguridad
La UE quiere que los dispositivos sean más ciberseguros
Adquirir teléfonos móviles, televisores, cámaras o frigoríficos que sean ciberseguros es lo que pretende la nueva normativa común que está preparando la Unión Europea. Se busca que todos los consumidores estén protegidos al adquirir un dispositivo electrónico. La responsabilidad será de los fabricantes y durará toda la vida útil de los aparatos.
Hace ya tiempo que se trabaja en esta nueva normativa, anunciada en septiembre de 2021. La novedad más interesante de la propuesta la encontramos en que la responsabilidad de los fabricantes no se circunscribirá al momento de la compra, sino que se deberá mantener durante toda la vida de los dispositivos.
La norma forma parte de la Estrategia de Ciberseguridad Europea y antes de que se convierta en ley aun tendrá que superar diversas etapas, que pueden durar años. La maquinaria europea no solo es lenta, sino que también es pesada. Pero no debemos menospreciarla por eso. Muy al contrario, lo que pretende es que los particulares y empresas dispongan de toda la información posible sobre la ciberseguridad de los dispositivos que se adquieran. Y va a tener un efecto importante en la industria, donde el IoT o Internet de las cosas afecta a dispositivos de muy larga vida.
El tema es importante, porque muchos de los ciberataques con ransomware en empresas comienzan precisamente a través de estos dispositivos. Y la Comisión Europea asegura que cada 11 segundos se produce un ataque de ransomware a una organización de cualquier parte del mundo. El coste de ello se eleva a 5,5 billones de euros.
Hace unos pocos meses ya publicamos el artículo “Ciberseguridad a golpe de ley” en el que explicábamos que la Comisión Europea había decidido reglamentar la seguridad de los rúters y dispositivos IoT conectados. Y lo hizo mediante la Ley de Resiliencia Cibernética.
Y ahora la Comisión da un paso más, interesándose por los dispositivos que más afectan al ciudadano de a pie. Podéis leer el documento en la web de la Comisión Europea AQUÍ. Pero si preferís un documento más asequible, os invitamos a enlazar ESTE ARTÍCULO de la web CyberSecurity News, como sabéis una revista líder en cibereguridad.
Imagen de OpenClipart-Vectors en Pixabay
En este contexto legal hay que recordar el interés creciente de la Unión Europea por todos los temas de ciberseguridad. Ya en diciembre de 2020 el portal de administración electrónica del Gobierno publicó un artículo con el título “La nueva Estrategia de Ciberseguridad de la UE”. Y podéis acceder a la resolución del Parlamento Europeo del 10 de junio de 2021 sobre la Estrategia de Ciberseguridad de la UE para la década digital AQUÍ.
También podéis leer un artículo sobre la directiva de los dispositivos inalámbricos publicado este año en la web de la Oficina de Seguridad del Internauta.
Nosotros no cesamos de repetiros que seáis cautos y toméis medidas para evitar en lo posible este tipo de acciones. En este blog de TECNOideas ya publicamos el año pasado el artículo “Ciberseguridad en dispositivos móviles” donde explicábamos el peligro que pueden representar si no actuamos con diligencia.
Y hoy os recordamos tres de las más sencillas y esenciales medidas de seguridad:
- Actualizar los programas. Las actualizaciones, que nos parecen tan pesadas, suelen llevar potentes herramientas de seguridad.
- Proteger las cuentas. No basta con proteger los dispositivos. Proteged vuestras cuentas con contraseñas seguras (más largas y complicadas, cambiarlas a menudo, etc.).
- Haced copias de seguridad de los datos importantes.
- Publicado en Ataques / Incidencias, General, Normativa, Noticias, Seguridad
¿Por qué celebrar el Día del Software Libre?
Estamos en un mundo global donde la tecnología reina sin rubor para mayor concentración de ganancias de las grandes plataformas que proporcionan servicios. En este contexto, la libertad, tantas veces gritada por la historia, se convierte en una especie de aldea gala que resiste al invasor. Por eso es necesario reivindicar el software libre y agradecer a sus impulsores un trabajo que beneficia a toda la sociedad.
Esta semana ha llegado la noticia de que el Tribunal General de la Unión Europea ratificó la sanción a Google que había sugerido la Comisión Europea en 2018: nada menos que ¡4.125 millones de euros! El motivo: el abuso de la posición dominante en el mercado. Es la multa más alta en la historia impuesta por una autoridad de la competencia y nos da una idea de las ganancias a nivel mundial que este gigante tecnológico obtiene. Y no solo Google. La Comisión también está batallando contra otras empresas globales como Microsoft, Amazon, Meta o Apple. Podéis leer la noticia que publicó El País AQUÍ.
Esta batalla de David contra Goliat es, seguramente, la respuesta más contundente a la pregunta ¿por qué celebrar el Día del Software Libre?
Desde 2006, el tercer sábado del mes de septiembre
se celebra el Día Mundial del Software Libre o de la Libertad del Software.
Hoy lo celebran más de 300 equipos de un centenar de países.
El Día Mundial del Software Libre o Día Mundial de la Libertad del Software, es un evento que se impulsó en el año 2004 y se celebró el 28 de agosto. Posteriormente se fijó la fecha del tercer sábado de septiembre. Este año, por lo tanto, se celebra mañana, 17 de septiembre.
El impulsor de este día y organizador principal del evento es la Software Freedom International, una entidad sin ánimo de lucro. En este enlace tenéis toda la información sobre la celebración del evento 2022, en el que participan más de 300 equipos de un centenar de países y cuenta entre sus patrocinadores Linode.com, Canonical Ltd, Free Software Foundation, Free Software Foundation Europe, FreeBSD, Joomla!, Creative Commons y Open Clip Art Library.3
¿Qué significa Software Libre?
Un software libre, no es más que un programa informático cuyo código fuente puede ser estudiado, copiado, modificado, mejorado y redistribuido sin costo alguno. Eso significa que se puede alterar y compartir, sin la necesidad de tener el permiso de su creador. Ya os podéis imaginar que gracias a ello no hay problemas legales con su uso, ni siquiera si se copia, distribuye o se altera (dentro de un orden; hay cláusulas de la comunidad de creadores que se deben respetar).
Entre las ventajas más destacadas hay que mencionar que el lenguaje lo puede entender cualquier programador y a partir de él ir escalando lo que precise su cliente. Muy distinto a lo que ocurre con programas de copyright, que solo sus técnicos pueden acceder a los códigos del lenguaje.
El Día Mundial es una oportunidad para reivindicar, realizar charlas y debates educativos y ampliar el acceso al software libre en todo el mundo. El objetivo final es facilitar el acceso a la tecnología para reducir la brecha digital y el analfabetismo tecnológico.
En este sentido es interesante recordar las críticas que recibió la Unesco por no haber sido capaz de crear herramientas libres para facilitar el acceso a la tecnología de los países en vías de desarrollo.
Para saber algo más de este tema, podéis leer este artículo del movimiento Somos Libres en el que traza un poco de historia.
Desde TECNOideas, y dentro de nuestra visión de la empresa y del mundo tecnológico, puesto en el hacking ético, el libre y compartido conocimiento, y todo lo que conlleva, hemos promovido el software libre, tanto en sistemas operativos, como en software alternativo (que hay para todos los gustos), y tanto para nosotros, como recomendado para ciertos clientes nuestros.
Cierto que no es del gusto de todos, y que va por delante la mala enseñanza que se da de la tecnología y la informática en general, con el software propietario como asignatura, en lugar de enseñar a usar cualquier tipo de software. De ahí que todo el mundo quiera comprar marcas, y no soluciones.
Por suerte no somos los únicos, y asociaciones de hacking, reciclaje, o comunidades de formación y divulgación, como nuestros amigos de HackMadrid%27 (y todos sus asociados en diferentes puntos de la geografía mundial), luchan arduamente en esta labor.
Precisamente esta organización está preparando la World.Party2K22 una conferencia con charlas y mesas redondas dedicada a compartir el conocimiento y la cultura hacker. Será del 10 al 16 de octubre. Tenéis más información y la opción de registaros AQUÍ.
Y como vuelve a salr en un artículo nuestrola palabra hacker, os recordamos que reivindicamos desde hace tiempo que no es sinónimo de ciberdelincuente. Por ello os invitamos a leer la historia de esta palabra en este artículo de junio de 2021.
Imagen principal: Génesis Gabriella en Pixabay.
- Publicado en Evento, General, Historia, Productos, Programacion, Sistemas operativos
El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar
Ya son muchos los usuarios que reportan una nueva ciberestafa, esta vez vía WhatsApp.
Se trata de una supuesta campaña que promete el álbum del Mundial de Fútbol de Catar de la conocida marca Panini con 400 cromos gratis.
No es un misterio que los ciberdelincuentes aprovechan hasta el más mínimo descuido para extraer datos de los usuarios de distintas plataformas. Llevan años ejerciendo estas prácticas y lo más preocupante es que, con el paso del tiempo, se van superando y mejorando sus técnicas.
Esta vez las víctimas son los entusiastas del coleccionismo de cromos y la excusa es el Mundial de Fútbol de Catar 2022. Como es tradicional, el grupo italiano Panini, líder mundial en el mercado de las colecciones y de las trading cards, ha puesto en el mercado el álbum de cromos del Mundial de la FIFA. Al contrario de lo que pueda pensarse, los verdaderos frikis del coleccionismo de cromos son adultos y no niños o chavales jóvenes. Esto es lo que ha motivado que los delincuentes hayan ingeniado una estafa vehiculizada a través de WhatsApp.
El engaño consiste enviar a los usuarios una imagen calcada de la oficial de Panini, con el mensaje “accede y gana el álbum con más de 400 cromos”. Si las personas clican en el enlace se encuentran con preguntas sobre el álbum y el editor. Además hay un contador muy visible que muestra la supuesta cantidad de álbumes que quedan a su disposición. Eso genera un sentimiento de urgencia que hace que las victimas rellenan el cuestionario cuanto antes.
Una vez se ha realizado correctamente el cuestionario, los ciberdelincuentes solicitan que la víctima comparta con sus contactos. Con ello el delito crece exponencialmente. Al fin, se redirige a varios sitios que requieren los datos personales de las víctimas. En realidad son webs de apuestas deportivas que funcionan con afiliados, con lo que también ganan comisiones.
Son muchas las personas afectadas por esta estafa que descubrieron los expertos de la empresa Kaspersky, como es sabido, una de las compañías líderes en seguridad informática del mundo.
Los fraudes cibernéticos relacionados con eventos deportivos son una práctica bastante extendida porque aglutinan a un gran número de personas. En noviembre de 2021, Kaspersky ya alertó de que la Copa del Mundo de Fútbol de 2022 era un gancho para difundir estafas. Miles de correos fraudulentos y archivos maliciosos buscaban robar datos de particulares y empresas y,por supuesto, su dinero. Imaginamos que no hace falta deciros que básicamente se trataba de phishing y spam. Podéis leer el comunicado que Kaspersky publicó en su momento sobre este tema AQUÍ.
Como podéis comprobar entre esos primeros fraudes de hace un año hasta el que os contamos hoy ha habido una sofisticación del delito considerable. El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar ha sido neutralizado, pero algunos coleccionistas ya han picado.
Os recordamos que la mejor manera de prevenir este tipo de estafas es no confiar en enlaces externos hacia fuentes principales. O facilitar los datos en ocasiones y lugares que no son realmente necesarias… ¡y sin comprobación alguna previa!
Imagen principal: Tayeb MEZAHDIA en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Protección de datos, Redes sociales
Stalkerware y webs de citas: ¿pueden borrarse los datos?
Un reciente estudio revela que hasta un 16% de los españoles cree haber sufrido “espionaje” de su teléfono móvil por parte de su pareja. Esta práctica, conocida con el nombre de stalkerware, ha vuelto a poner sobre la mesa el uso de los datos de las webs de citas como Tinder o Grindr y ha recordado el famoso caso de Ashley Madison.
A veces Hollywood acierta plenamente en el planteamiento de sus guiones. Ya se sabe que a menudo la realidad supera la ficción y eso es aplicable a lo que vamos a comentar hoy. Muchas películas se basan en el hecho de descubrir infidelidades de la pareja y a veces eso ocurre a través de espiar el teléfono móvil. Se conoce con el nombre de stalkerware a las aplicaciones que permiten recopilar información de forma encubierta sobre el propietario de un teléfono. Tan importante está siendo esta práctica que Kaspersky publica desde hace 4 años informes sobre ella. El informe The State of Stalkerware 2021 revela que hasta el 16% de los españoles cree haber sido espiado por su pareja. Por países, España ocupa el sexto puesto en Europa, precedido por Alemania, Italia, Reino Unido, Francia y Polonia.
El tema es muy preocupante, porque detrás de esta práctica suele haber violencia doméstica, ya que el abuso digital suele ir en paralelo a la violencia física. Ni que decir tiene que registrar acciones de los usuarios sin su consentimiento es ilegal. Esta información se encuentra en el informe de Kaspersky que podéis leer AQUÍ.
Todo ello atenta contra la protección de datos y el derecho a la intimidad personal y la propia imagen, que reconoce la Constitución Española. Por todo ello estamos hablando de una ilegalidad manifiesta.
Ashley Madison, sexo, mentiras y ciberataques
El stalkerware y sus consecuencias ha vuelto a poner sobre la mesa el gran negocio de las webs de citas en general y muy especialmente de aplicaciones como Tinder y Grindr. Y es que un estudio realizado por la fundación Mozilla sobre la privacidad de las apps de citas sitúa a ambas entre las peores en protección de datos personales de sus usuarios.
En esta misma línea podemos situar el escándalo de Ashley Madison, una red social de parejas lanzada en 2001 y cuyo eslogan era (y continúa siendo) “La vida es corta. Ten una aventura” (Life is short. Have an affair). El éxito fue inmediato y acumularon más de 32 millones de cuentas. Sin embargo diversas mentiras (se dijo a los usuarios que sus datos había sido borrados, cobraron por ello y encima no era cierto), fallos en la seguridad y otros problemas varios hicieron que en 2015 se produjera un ciberataque y una inmensa filtración de datos que afectó a personalidades del mundo empresarial, político, deportivo, social… Podéis leer el artículo del diario El País de la época titulado “Dimite el responsable de la web de infidelidades Ashley Madison” AQUÍ.
El tema se convirtió en un monumental escándalo, hasta el punto que se realizó una película documental titulada Ashley Madison: Sex, Lies and Cyber Attracks, estrenada en 2017.
Encontraréis mucha información sobre este tema en la red, pero si queréis ver el documental, lo podéis hacer AQUÍ.
La opinión de nuestra experta Estefanía Carrera
La consultora / auditora en gestión de riesgos tecnológicos, Estefanía Carrera, comenta este tema y ofrece unos consejos para evitar estas prácticas tan nocivas.
Más allá de toda la repercusión por el filtrado de datos personales a consecuencia del ciberataque de Ashley Madison, una de las cosas que realmente llama la atención es la práctica de la empresa consistente en cobrar por el borrado de datos personales a los usuarios para posteriormente seguir conservándolos. Eso no solo dio lugar a que los cibercriminales pudieran acceder y publicar una gran cantidad de datos que no debían ya existir en los servidores de la empresa, sino que aquel servicio suponía de facto una autentica estafa en la que se realizaba el desplazamiento patrimonial (el pago) a la empresa mediante el engaño de los usuarios (el supuesto borrado de datos).
En el caso de Tinder pasa algo parecido, ya que no se cobra lo mismo a todos los usuarios, como podéis ver en este artículo de Business Insider. Además existe una versión superior, Tinder Plus. Cuando uno crea su perfil de usuario para registrase en Tinder, le preguntan datos tan sensibles como la edad, raza, género y orientación sexual. Esto podría usarse para crear “precios diferenciales” discriminatorios, tanto en los servicios de citas como en otros.
Por si todo eso fuera poco, Tinder permite a sus usuarios conectarse a través de Facebook, vincular su cuenta con Spotify y añadir su cuenta de Instagram. Quiero recordaros que enlazando Facebook con Tinder, ambas plataformas son capaces de recopilar más datos juntos que por separado. De esta forma el sistema es más vulnerable y puede dar lugar a una catástrofe como la de Ashley Madison.
Ambas situaciones podían haberse fácilmente evitado. En el caso de Ashley Madison en el pasado. Y en el presente con las aplicaciones de citas actuales. Por un lado, mediante un adecuado sistema de cumplimiento normativo que hubiera valorado el riesgo de comisión delictiva del tipo de estafa, y con ello, la implantación de controles que verificaran que efectivamente se prestaban los servicios ofertados por la empresa o se dejara de ofrecer el mismo. Y además, que efectivamente se hubieran implantado procedimientos efectivos de borrado y/o bloqueo de datos.
Por otro lado, resulta obvio que la cultura del cumplimiento normativo o la seguridad no era en modo alguno una preferencia de esta compañía. Tampoco parece serlo la de Tinder. En este punto debe considerarse el amplio alcance que tuvo en su momento, y posiblemente tendrá a futuro, la publicación ilícita de todos los datos personales de los usuarios.
Con usuarios me refiero no solo a aquellos que efectivamente hacían uso intensivo de los servicios de la web, sino incluso de aquellos que simplemente entraron a curiosear y ni siquiera llegaron a realizar ningún acto más allá de la propia web.
Esto mismo pasa con la aplicación de Tinder, donde seguramente habrá personas que se han creado un perfil habiendo enlazado Facebook. Si luego se han arrepentido y han querido eliminar sus datos, comprobarán que se han conservado de igual modo.
Sin embargo, todos estos “curiosos” posiblemente se hayan visto igualmente afectados por la consecuencias personales o sociales que puede tener para su reputación el haber accedido a este tipo de web. Y más si se considera que muchos de los usuarios de Ashley Madison de Estados Unidos pertenecían a diversas zonas muy conservadoras del país. Y es que, como digo, las consecuencias no se quedan en un asunto meramente reputacional del pasado, el cual posiblemente con el cabo del tiempo, y según la persona, pueda superarse, sino que la publicación de datos personales en la Dark Web, puede dar lugar a diversas prácticas por terceras personas ajenas a los delincuentes iniciales (The Impact Team). Éstos pueden utilizar dichos datos para otras prácticas, como la sextorsión, el phishing, y demás prácticas delictivas (usurpación del estado civil, estafa, hurtos/robos…). En definitiva, numerosos riesgos que la empresa nunca valoró ni consideró mitigar.
Por último, me gustaría exponer algunas otras medidas que podrían haber mitigado el riesgo, más allá de las ya comentadas:
• Formación y concienciación. Más del 80% de los incidentes de seguridad se deben a errores humanos.
• Encriptación robusta de datos.
• Niveles y controles de acceso de la información.
• Detectar vulnerabilidades y gestionar parches de seguridad.
• Realización de auditoría de sistemas.
• Anonimización o pseudonimización de datos, dada la sensibilidad de los mismos.
• Configurar un cortafuegos para asegurar las conexiones y prevenir intrusiones en nuestra red.
• Utilizar solo aquellas aplicaciones fiables y autorizadas.
• Proteger el correo electrónico con una potente solución antispam.
• Habilitar un filtrado web para evitar el acceso a sitios maliciosos, descargas de código, sandboxing, etc.
• Contar con un altimalware, como por ejemplo UTM, Appliance (Unified Threat Management): se trata de dispositivos de seguridad que proveen de varias funciones de seguridad a un único producto, es decir, que suelen incluir funciones de antivirus, antispam, firewall, etc.
• Por si todo lo anterior falla… Contar con un sistema de recuperación ante desastres.
- Publicado en Ataques / Incidencias, Estudios, General, Noticias, Privacidad, Protección de datos, Redes sociales
Las filtraciones de datos no van de vacaciones
Brechas y filtraciones de datos, ataques… los ciberdelincuentes no hacen vacaciones y durante agosto ha habido algunos casos singulares, como los que se han producido en empresas tan populares como Twitter o Signal.
Cada vez hay más empresas que no cierran por vacaciones. Hacer turnos o como máximo cerrar una semana se ha convertido en algo frecuente que viene a contradecir el tradicional “Cerrado por vacaciones”, que venía a significar que la empresa en cuestión “desaparecía” todo agosto. Sin embargo las filtraciones de datos no van de vacaciones. Y los ciberdelincuentes tampoco. Es más, suelen aprovechar que las empresas ralentizan su actividad para tener más opciones de éxito.
Signal es una aplicación de mensajería instantánea y llamadas que usa código abierto y se esfuerza en la privacidad y seguridad. Como se lee en su web, “es un programa de chat simple, potente y seguro”. Usa el cifrado de extremo a extremo “en todos tus mensajes, todas tus llamadas, para siempre”.
A pesar de todo ello ha tenido una brecha de datos debido a un phishing de ingeniería social que ha sufrido la empresa Twilio. Se trata de una compañía que ofrece una plataforma de comunicaciones y de servicios en la nube ubicada en San Francisco. Y resulta que Signal es cliente de Twilio, por lo que el ataque a esta compañía afectó a un par de miles de usuarios de Signal.
Según Signal, la brecha de datos ha afectado “a un porcentaje muy pequeño” de usuarios de la aplicación. Se han puesto en contacto con ellos y les han pedido que vuelvan a registrarse. Podéis ver el comunicado que emitió la empresa AQUÍ. Es un buen ejemplo de reacción e información sobre lo sucedido, ofreciendo soluciones concretas a sus usuarios.
También Twitter
También la popular red social del pajarito sufrió un ciberataque debido a una vulnerabilidad ocurrida un año antes, cuando efectuó una actualización de su código. Twitter solucionó esta vulnerabilidad, pero… alguien había aprovechado el tema para recopilar direcciones de correos electrónicos y teléfonos en la versión de Twitter para Android. Este verano estaba intentando vender esta filtración de datos que alcanzaba a más de cinco millones de usuarios de Twitter.
Restore Privacy, una web que se encarga de crear conciencia sobre privacidad y seguridad online y brindar a todo el mundo herramientas para mantenerse seguros en el entorno digital, dio la voz de alarma y por eso Twitter tuvo conocimiento de la filtración.
Como en el caso anterior, reaccionó correctamente. Notificó a los propietarios de las cuentas afectadas el error y publicó en su blog ESTE ARTÍCULO porque no podían confirmar todas las cuentas que potencialmente podían haberse visto afectadas y así alertar a todos sus usuarios. En el post también explicaban como proteger las cuentas, recomendando a los usuarios que habilitaran la autenticación de dos factores y ofrecían un formulario de contacto.
Está claro que las filtraciones de datos no van de vacaciones. De hecho los ciberdelincuentes están siempre atentos. Podéis comprobarlo si leéis dos artículos publicados en este blog. Uno de ellos habla de filtraciones en Safari y el otro de filtraciones en Telefónica Chile, Apple y Phone House. Lo podéis leer AQUÍ. Lo dicho: ¡nadie se libra!
Imagen principal: James Osborne en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Privacidad, Redes sociales, Seguridad
Buzoneo maldito y llave USB maliciosa
El ser humano es curioso por naturaleza. Pero a veces nos olvidamos que la curiosidad mató al gato. Recibir en el buzón una memoria USB que no hemos pedido nos llevará ineludiblemente a ponerla en nuestro ordenador para ver el contenido. ¡Cuidado! Seguramente albergará un ransomware. Y el falso remitente será un avispado ciberdelincuente.
Esta práctica, que parece sacada de una película de Bond, James Bond, acaba de ser una realidad en el Reino Unido. El tema es como sigue: uno recibe un paquete en su buzón. Al abrirlo hay una supuesta copia nueva y original de Microsoft Office Professional Plus (valorado en unos 400 euros) con una llave USB. Al poner el USB aparece un mensaje en el que se informa que tienes un virus. Y aparece un número de teléfono. Se bloquea el ordenador. El ransomware ha cumplido con su razón de ser. Solo queda llamar al teléfono en cuestión. Se piden los datos y la estafa es un hecho.
Martin Pitman es un experto consultor de la empresa especializada en seguridad cibernética, defensa y sector nuclear Atheniem. Pitman ha examinado el USB y el estuche de Microsoft y ha manifestado su sorpresa por lo bien que han copiado todos los elementos del paquete. Lo que implica que los ciberdelincuentes se han molestado en crear un producto de alta calidad y por lo tanto bastante caro. Pero con solo un puñado de estafados ya les sale a cuenta. Por su parte Microsoft declaró que la estafa era real.
Hay que decir que este método no es nuevo. El buzoneo con trampas varias ya había sido usado hace años por ciberdelincuentes. Esta práctica fue cayendo en desuso, porque los buzones cada vez están más vacíos. Sin embargo, la locura de comprar por internet en plataformas tipo Amazon, ha hecho que los delincuentes la recuperen. Para saber más sobre esta estafa, podéis leer un artículo de Sky News donde explican lo que ha sucedido en Gran Bretaña. Y si lo preferís, en nuestro país ha sido Computer Hoy la que le ha dedicado un artículo que podéis leer AQUÍ.
La curiosidad mata al gato decíamos al inicio. Y es que lo sabemos a ciencia cierta porque lo hemos probado. Hace unos años, esta empresa se dedicó a dejar en las oficinas de algunos de nuestros clientes una memoria USB con el título “Importe nóminas dirección”. La tasa de apertura fue del 98%. Debemos decir que esa actuación nuestra contaba con el beneplácito de la dirección. Fue una prueba para ver el grado de sensibilización de los trabajadores ante memorias desconocidas. Y por supuesto, no había el contenido anunciado.
Una vez más insistimos en la necesidad de usar el sentido común. Pensar unos segundos antes de realizar cualquier acción desconocida como abrir correos electrónicos o sus adjuntos es una práctica que debemos recomendar.
Imagen principal: Esa Riutta en Pixabay
- Publicado en Ataques / Incidencias, General, Malos hábitos, Noticias, Seguridad
Hoy es el Día Internacional del Hashtag y el Día del Internauta
En el inmenso calendario de conmemoraciones y celebraciones del “dia de…” tenemos marcado en fosforito el 23 de agosto. Es la fecha en que coinciden dos celebraciones que nos afectan a todos. Porque un internauta no es más que una persona que navega por internet, según la definición de la RAE. Y un hashtag nos lleva directamente a redes sociales y más específicamente a Twitter. ¿Quién se cree exento de ambas?
Empecemos por el Día del Internauta, porque conmemora uno de los avances tecnológicos más importantes de la historia de la humanidad. El 23 de agosto de 1991 un servidor web fue accesible a todo el mundo. O lo que es lo mismo, se publicó la primera página web a nivel mundial. Detrás de todo ello se hallaba la Organización Europea para la Investigación Nuclear, el famoso CERN, que tiene su sede en Ginebra. En esta institución, un grupo de físicos encabezado por Tim Berners-Lee, habían creado el código o lenguaje HTML. Poco después tuvieron el primer cliente web, el famoso World Wide Web, que todos conocemos como www y el primer servidor web. Su idea era intercambiar información entre científicos de distintas universidades. Y en poco tiempo se convirtió en un fenómerno de masas.
Según el informe Digital Report 2022 el mundo cuenta en la actualidad con 4.950 millones de internautas. Este informe, que mide las tendencias digitales, redes sociales y mobile, lo elaboran conjuntamente We Are Social, una agencia creativa guiada por el pensamiento social y Hootsuite, líder mundial en gestión de redes sociales.
Si estáis interesados en la historia de la creación de internet, podéis leerla en este artículo de la Wikipedia.
Día Internacional del Hashtag (#)
Por su parte, el inocente y simpático Hashtag, celebra su día el 23 de agosto desde el año 2018, cuando Twitter propuso con éxito que así fuera.
Nos lo recuerda el artículo de la web Dia Internacional De que tenéis AQUÍ. En él nos explican que, aunque todos relacionamos el hashtag con Twitter, no fue esta red su inventor, sino uno de sus usuarios llamado Chris Messina. Y es que Messina tuvo la idea de compartir un mensaje con esta etiqueta, que escribió junto a la palabra barcamp. El éxito fue total, se viralizó rápidamente y dos años después Twitter lo incluyó como una de sus funciones. Es interesante recuperar la entrevista que TreceBits publicó tal día como hoy del año 2019, cuando se cumplían 12 años de la creación del hashtag. Messina comenta que “en Twitter me dijeron que el hashtag era muy complicado y que la gente nunca lo iba a usar”. Sin comentarios…
Podéis leer la entrevista AQUÍ.
El símbolo o etiqueta # representaba anteriormente al numeral en los teclados telefónicos y luego también en el de los ordenadores. Como es sabido, hoy es un símbolo que es utilizado en redes sociales, pero especialmente en Twitter, para identificar mensajes de un tema concreto.
Para finalizar os diremos que el origen etimológico es la unión de la palabra inglesa hash (función, numeral) y un nombre o etiqueta (tag). Y que en el Diccionario de la RAE no se encuentra el anglicismo. La Real Academia recomienda que se sustituya por su equivalente en español: etiqueta. Parece que la vieja denominación almohadilla ha caído en desuso.
Imagen principal: GraphicsSC en Pixabay
- Publicado en General, Historia, Noticias, Redes sociales, Tecnología
“Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida.” Carlos Otto, periodista tecnológico.
Hemos querido traeros a este blog a Carlos Otto, reconocido periodista de tecnología, economía, reportajes y emprendimiento. Es autor de la primera serie documental sobre ciberseguridad hecha en España, “El enemigo anónimo”. En 20 capítulos nos ha acercado a diversos temas de la máxima actualidad relacionados con la ciberseguridad. Para ello ha entrevistado a una cuarentena de expertos.
Carlos es un profesional que lleva más de 15 años ejerciendo de periodista. Desde febrero de 2010 colabora con El Confidencial.com, donde escribe sobre tecnología, emprendimiento, derechos de autor e incluso política. Pero su gran contribución al mundo de la ciberseguridad se encuentra en la serie “El enemigo anónimo”. Hablamos de todo ello en esta entrevista.
Has trabajado mucho el tema de contenidos. Pero podrías decirnos cómo llegaste a especializarte en economía y ciberseguridad?
La especialización, por norma general, no suele responder a otra cosa que a los intereses de cada cual. Siempre me han llamado la atención los temas de economía, así que mi especialización en ese sentido ha sido más o menos natural. La de la ciberseguridad quizá haya sido más circunstancial. Casi siempre he hecho periodismo tecnológico, pero curiosamente no soy excesivamente tecnófilo: no sé por qué iPhone vamos ya, no entiendo excesivamente de ordenadores, no sabría recomendarte un smartwatch… pero siempre me han interesado la tecnología e internet como ecosistemas en sí mismos; es decir, qué hacemos en internet, cómo nos relacionamos, qué actitudes tenemos, qué delitos se cometen… Y cuando hablas de delitos online, el interés por la ciberseguridad llega solo. Porque, para mí, la ciberseguridad es mucho más que los ciberataques: es la privacidad, el uso que hacen de tus datos las grandes empresas, el ciberacoso, el voto electrónico, la ciberguerra… Los ciberataques pueden ser interesantes en el mundo empresarial, pero el resto de temas pueden interesar al ciudadano medio.
Has sido pionero en nuestro país, en hacer información sobre ciberseguridad. ¿Cómo recuerdas tus inicios cuando nadie sabía nada de este tema? ¿Qué te decían los directores de los medios cuando ibas a “venderle” un tema de ciberseguridad?
Esto puede parecer falsa modestia, pero de verdad que no creo haber sido ningún pionero. Hace muchos años que gente como Chema Alonso hace contenido sobre ciberseguridad, y mucha parte de su contenido va dirigido al usuario medio, al ciudadano de a pie. También han estado medios como Bit Life Media, elhacker.net, la revista SIC… había muchos medios hablando de ciberseguridad antes de que yo llegara. En cuanto a ‘vender’ temas a directores, los que más fácilmente se ‘vendían’ a los directores eran los ciberataques, pero, contrariamente a lo que la gente suele pensar, los artículos sobre ciberataques en la prensa generalista apenas tienen visitas, salvo contadísimas excepciones. Es verdad que hubo un punto de inflexión: Wannacry. A partir de ahí, la prensa generalista se tomó más en serio estos temas, ya que vio los perjuicios que puede ocasionar un ciberataque.
De todos modos, en mi opinión, los contenidos sobre ciberataques siguen sin tener un éxito excesivo en cuanto a visitas en los medios. A mí, al menos, siempre me han funcionado mucho mejor los temas dirigidos a los usuarios: qué hacer para proteger tu privacidad en internet, qué hacen las redes sociales con tus datos, qué medidas tomar si sufres ciberacoso…
“La ciberseguridad es mucho más que los ciberataques:
es la privacidad, el uso que hacen de tus datos las grandes empresas,
el ciberacoso, el voto electrónico, la ciberguerra….”
Y cómo se vende mejor la ciberseguridad, ¿dando miedo o explicando la prevención?
Sin duda, dando miedo. Y esto puede parecer negativo, pero no creo que necesariamente lo sea. En ciertos ámbitos, las personas no actuamos ante un hecho si no conocemos sus posibles consecuencias negativas. Aprendemos a cruzar en verde porque alguien nos puede atropellar, a cerrar nuestra casa con llave porque alguien nos puede robar… en la ciberseguridad pasa exactamente lo mismo.
Otra cosa es que hagamos ‘victim blaming’, es decir, culpabilización de la víctima. Si una persona sufre un robo de datos, no podemos decirle que la culpa es suya por no cuidar su privacidad; si entran a su correo, no podemos culparla por no cambiar la contraseña; si difunden una foto suya desnuda, no podemos decirle que no tendría que haber compartido esa foto con nadie. Es lo que bajo ningún concepto se debe hacer. Hay que centrar el foco. En vez de hablar de que la gente no es consciente de los datos que le da a Facebook, ¿por qué no hablamos de que Facebook hace negocio con los datos de sus usuarios de una forma, digamos, sospechosa? Mucha gente no tiene ni idea de ciberseguridad… ni falta que les hace.
Y ahora que la ciberseguridad está en boca de todos, ¿has tenido que cambiar la orientación o el mensaje?
Si te soy sincero, no tengo tan claro que la ciberseguridad esté en boca de todos. Sí veo que está en boca de todas las empresas, sobre todo las grandes, pero eso no significa que haya un mensaje diferencial. Si te fijas en el contenido de ciberseguridad que hacen las empresas, todas dicen exactamente lo mismo: cambia tus contraseñas, vigila los permisos que das a las apps, no compres en webs que no sean seguras, no pinches en emails que supuestamente proceden de tu banco… Llevan diez años haciendo exactamente el mismo contenido.
Donde sí he visto un cambio es en la sociedad. Quien tengan más de 30 años recordarán que en Tuenti la gente se registraba con sus nombres y apellidos, aparte de que subía fotos de fiesta, en plena borrachera, etc. En la primera etapa de Facebook también pasaba. Ahora, sin embargo, ves que mucha gente pone su perfil de Instagram en privado, pone su nombre sin apellidos (o con solo un apellido), no acepta solicitudes de cualquiera, tiene más cuidado cuando habla con desconocidos, etc. Ese sí ha sido un cambio positivo, y eso es fruto del cambio de orientación/mensaje por el que me preguntabas. Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida. Nadie va a cambiar su contraseña cada tres meses por una totalmente nueva y complicadísima, pero quizá sí proteja mejor su identidad para no dejar demasiado rastro.
En tus newletters sueles incluir ofertas de trabajo. ¿Cómo y por qué decidiste incorporar estas demandas de empleo?
En mi opinión, está claro que el empleo en ciberseguridad está creciendo muchísimo. Antes solo contratan perfiles de ciberseguridad las empresas que se dedicaban a ello, pero ahora cualquier gran empresa tiene un equipo numeroso que trabaja en todas las ramas de la ciberseguridad.
Además, todas las empresas aseguran que no encuentran los profesionales que necesitan, así que parece evidente que el mercado va a crecer mucho. Otra cosa (y esto es una sensación meramente personal) es que haga falta tantos nuevos perfiles. Sé de algunas empresas que, cuando dicen “No encontramos perfiles de ciberseguridad”, lo que realmente quieren decir es “No encontramos perfiles de ciberseguridad… que quieran cobrar 20.000 euros, que es lo que pensamos pagarles”. Es evidente que, a medida que crezca el empleo en el sector, empeorarán las condiciones.
Eso te ha permitido ver más claramente lo que se está demandando. ¿Puedes hacernos una demanda tipo del sector?
Lo que más veo, a mucha distancia del resto, es demanda de consultores de ciberseguridad. Imagino que esto defraudará a los perfiles más técnicos, pero al menos es lo que yo veo.
“Estoy preparando un informe financiero completo
sobre el sector de la ciberseguridad en España:
las empresas que más facturan, las que tienen más beneficios,
las que más crecen, las que tienen inversión externa,
las que se financian con sus propios medios, las que tienen más y menos empleados…“
Hablemos de “El enemigo anónimo”. La serie ya se terminó, el último capítulo se publicó en febrero de 2021. ¿Qué valoración haces? ¿Qué tema ha suscitado más interés?
Mi valoración fue muy buena, la verdad. Sobre todo porque fuimos más allá de los ciberataques y hablamos de más aspectos que, en mi opinión, también forman parte de la ciberseguridad: hablamos de ciberguerra, del negocio que las empresas hacen con nuestros datos, de ciberacoso, de sexting, de fake news…
¿Se puede ver toda la serie? ¿Es accesible a todo el mundo?
Está 100% disponible y 100% gratuita en esta lista de reproducción.
Con la moda de la ciberseguridad, ¿has tenido conversaciones con cadenas importantes, plataformas…?
Una productora me propuso llevarlo a Amazon Prime Video, pero la cosa quedó en nada. Te soy sincero: El Enemigo Anónimo es una serie documental de divulgación y siempre tuve claro que su espacio era Youtube; un contenido así no tiene cabida en una gran plataforma. Esto puede parecer una crítica, pero en absoluto lo es: de hecho, estoy convencido de que debe ser así.
En una gran plataforma lo que debe haber son historias, que es un término que nos encanta a los periodistas y que está muy manido, pero es verdad: lo que mandan son las historias. Me invento un ejemplo: un documental sobre cómo evitar que te ciberacosen en internet no tendría cabida en Netflix; un documental sobre un tipo que lleva diez años acosando a gente en internet, sí.
¿Va a haber nuevos capítulos?
No. Es una serie en la que metí los temas de los que quería hablar, así que hacer nuevos capítulos me parecería estirar el chicle innecesariamente. A menos que un día vea una nueva serie de contenidos que realmente crea interesantes, no habrá más capítulos.
Hace años los medios estaban controlados por periodistas, pero parece que ahora son proyectos empresariales. ¿Qué opinas de la evolución que han tenido los medios?
Me temo que te voy a llevar la contraria: en mi opinión, los medios siempre han sido proyectos empresariales y han estado controlados por sus propietarios. Y es lógico que así sea. Otra cosa es que ahora haya más debate sobre la supuesta independencia de los medios, pero el control empresarial siempre ha existido.
De hecho, si ahora debatimos más sobre esa supuesta independencia es porque han surgido otros medios, más pequeños y humildes, que destapan cosas a las que no han llegado los medios grandes. Pero te digo más: precisamente ahora sí que hay algunos medios que, siendo montados casi exclusivamente por periodistas, están siendo sostenibles y rentables: eldiario.es, Civio o Maldita.es son algunos ejemplos.
Para terminar, ¿puedes hablarnos de tus planes a corto y medio plazo?
A medio y largo plazo, tengo algunos proyectos relacionados con la ciberseguridad. Para empezar, quiero consolidar Empleo en ciberseguridad, una newsletter en la que cada semana enviamos más de 100 ofertas de empleo a cerca de 700 suscriptores. Mi objetivo ahora mismo es mejorar la newsletter para seguir creciendo en suscriptores.
A medio plazo (para finales de 2022 o inicios de 2023), estoy preparando un informe financiero completo sobre el sector de la ciberseguridad en España: las empresas que más facturan, las que tienen más beneficios, las que más crecen, las que tienen inversión externa, las que se financian con sus propios medios, las que tienen más y menos empleados…). Será un informe de pago para empresas que quieran analizar a su competencia, para fondos de inversión que estén pensando en invertir en pequeñas startups de ciberseguridad, para instituciones públicas, etc.
Y a largo plazo, quizá me plantee una nueva serie documental, pero tengo que centrar el foco, ya que estoy entre 2-3 posibles ideas. ¿Una serie sobre cómo se vivió Wannacry en España, quizá? ¿O una serie para ayudar a ciudadanos corrientes a proteger sus comunicaciones y su privacidad, quizá? Si hay alguien interesado en patrocinar alguna idea, ¡que me avise!
- Publicado en Ataques / Incidencias, Empleo, Entrevistas, General, Privacidad, Protección de datos, Redes sociales, Tecnología
Las nuevas tecnologías aumentan un 32% la contratación de personas con discapacidad
Como es conocido, las nuevas tecnologías impactan en diversos frentes de la sociedad. Uno de los más positivos hace referencia a la inclusión de las personas con discapacidad, posibilitando nuevas oportunidades laborales para este colectivo. Esto es lo que se desprende del informe “Tecnología y Discapacidad” de la Fundación Adecco y Keysight.
La Fundación Adecco, que depende del grupo del mismo nombre, líder mundial en la gestión de recursos humanos, tiene como objetivo principal la inserción en el mercado laboral de las personas que tienen más dificultad para acceder a él. Hablamos de personas en riesgo de exclusión social, mayores de 45 años parados de larga duración, personas con discapacidad o mujeres víctimas de violencia de género o con responsabilidades familiares no compartidas. La Fundación Adecco también tiene un apartado de formación, con muchos cursos en diferentes lugares de España y becas. Tenéis toda la información de la Fundación Adecco AQUÍ.
Por ello no es de extrañar que desde hace 11 años publique el informe “Tecnología y Discapacidad”. Y lo hace junto a su socio tecnológico, Keysight Technologies Sales Spain, la filial española de una empresa estadounidense de equipos de medición, creada en 2014 y cuya web podéis ver AQUÍ.
“Tecnología y discapacidad”.
Durante todos estos años sus informes han ido demostrando que las tecnologías simplifican y mejoran el día a día de las personas con discapacidad. Y en el trabajo de este año, se confirma plenamente, incluso a pesar “del profundo menoscabo que la pandemia ocasionó, sobre todo en el corto plazo, en la inclusión de las personas con discapacidad, mermando su poder adquisitivo, paralizando terapias y/o tratamientos y reduciendo relaciones sociales” como indica Francisco Mesonero, Director general de la Fundación Adecco.
Sin lugar a dudas saber que las nuevas tecnologías aumentan un 32% la contratación de personas con discapacidad es lo más destacado del informe de este año. Estas son algunas de las principales conclusiones:
- La recuperación de la contratación de personas con discapacidad en el periodo enero-abril de 2022 es el mejor momento histórico de la inclusión, con un +32%.
- Tras la cifra se denota también una mayor conciencia social y empresarial. Las compañías empiezan a valorar la diversidad como elemento clave de su competitividad.
- Cuatro de cada diez encuestados considera que el pleno empleo de las personas con discapacidad llegará en menos de dos décadas gracias a los avances tecnológicos y la Inteligencia Artificial.
- Sin embargo hay mucho camino por recorrer: la tasa de actividad (34,3%) del colectivo es 41,8 puntos inferior a la de la población sin discapacidad (76,1%).
- Los cuatro factores clave que dificultan la normalización de la discapacidad en la sociedad son: desconocimiento, indiferencia, prejuicios, sobreprotección y discriminación.
- 9 de cada 10 encuestados aseguran que la tecnología ha mejorado su vida y tres de cada cuatro han logrado generar un mayor tejido social en torno a la discapacidad. Sin embargo, la brecha digital sigue existiendo: hay un acceso muy desigual a las tecnologías.
- El Teletrabajo es una gran conquista, pero la convivencia es la base de la normalización de la discapacidad en la sociedad y lo digital nunca podrá suplir a la experiencia presencial.
Os dejamos para que podáis ver el informe de Adecco “Tecnología y Discapacidad”.
Imagen principal: www_slon_pics en Pixabay
- Publicado en Empleo, Estudios, General, Tecnología
Español 
Català