Ayúdanos a protegerte
Esta frase ha sido la escogida como claim de una campaña de concienciación en redes sociales sobre los peligros de la ciberdelincuencia y prevenir estos delitos que no paran de crecer. Así que tú también, “Ayúdanos a protegerte”.
En publicidad se dice que un claim es una frase utilizada en productos o servicios para despertar emociones en los receptores del mensaje. Pues bien, esta frase que busca despertar emociones y algo más es la que utiliza el Ministerio del Interior en una campaña que ha lanzado en redes sociales para concienciar de los peligros de la ciberdelincuencia y explicar como prevenirlos.
La campaña consiste en una serie de vídeos de algo más de un minuto en el que expertos de la Policía Nacional y de la Guardia Civil explican los ciberdelitos más frecuentes y dan instrucciones sobre las alertas que debemos tener en cuenta en cada uno de ellos.
de la campaña del Ministerio del Interior
Podéis ver los vídeos AQUÍ.
Los vídeos se han adaptado también a las diferentes redes sociales donde se muestran, Twitter, Instagram y TikTok. Los seis primeros vídeos abordan casos de mucha actualidad:
- Suplantación por correo electrónico
- Los fraudes de las criptomonedas
- Falsas ofertas de empleo
- Fraudes en el alquiler de gangas
- La estafa del amor (ghosting)
- El phishing
Uno de cada cinco delitos se cometen en la red
La campaña va más allá de estos vídeos y pretende hacer frente al incremento de la cibercriminalidad, que supone ya uno de cada cinco delitos cometidos en España. Por ello se complementa con una campaña de publicidad, una estrategia de difusión de pautas de prevención en redes sociales así como la presencia de expertos de Policía Nacional y Guardia Civil en programas de radio y televisión.
Al mismo tiempo se muestran en la web unodecadacincodelitos.com, algunas cifras, espectaculares, como el aumento del 352,1% de ciberdelitos en España desde 2015 hasta el 2022.
En la web también se enumeran los delitos más comunes, explicándolos sucinta pero muy claramente. Son Sextorsión, Phishing y Smishing, Fraude del CEO, Ransomware, Comercio electrónico fraudulento y Love/Romance Scam.
Aplaudimos la iniciativa y os animamos a que todos os concienciéis seriamente sobre los peligros de no tener ningún plan de ciberseguridad.
A estas alturas ya no podéis pensar que a vosotros, por pequeños que seáis, no os va a afectar.
Y tampoco nos vale que aceptéis el tema como parte del sistema en el que estamos inmersos y que no se puede hacer nada, porque… ¡eso no es así! Con poco presupuesto y una formación a todo el personal de una empresa se puede hacer mucho.
Reclamamos una vez más que dedicar un presupuesto a la seguridad de vuestros sistemas no es un gasto, sino una inversión.
Las empresas de ciberseguridad que prestan todo tipo de servicios dentro del área de la seguridad de la información, como es el caso de TECNOideas, estamos para ayudaros, así que… ¡Ayúdanos a protegerte!
Imagen principal: web https://unodecadacincodelitos.com/
- Publicado en Ataques / Incidencias, General, Medios de comunicación, Noticias, Redes sociales, Seguridad
El e-commerce no llora, factura
El comercio electrónico en España crece a ritmo de dos dígitos.
La facturación del segundo trimestre del 2022 alcanzó los 18.190 millones de euros, un 33,1% más que el mismo periodo del 2021.
Siguiendo con estos espectaculares datos que proporciona la revista IPMark, un reconocido medio de información sobre marketing, publicidad y comunicación, esta facturación se alcanzó a través de más de 325 millones de transacciones, un 16,4% más que en el segundo trimestre del 2021.
Pero la buena marcha del sector no debe hacernos pensar que es inmune a la ciberdelincuencia. Es justamente lo contrario. 325 millones de transacciones en sólo un trimestre significa una ingente cantidad de recogida de datos confidenciales que atraen toda la atención de los delincuentes. Según el Foro Económico Mundial, la ciberdelincuencia, a nivel global, ha tenido un aumento del 151%. Las empresas más afectadas son las pymes, por su tradicional falta de recursos.
El comercio electrónico no es ajeno a todo ello. Tanto el pequeño e-commerce, con su pequeña seguridad, como las franquicias en que… ¿todo se controla desde la central?… son objetivo de la ciberdelincuencia. Y es que el tema de las franquicias es muy preocupante, al contrario de lo que se suele creer, porque no basta con tener un sistema centralizado, sino que cada uno de los franquiciados debe velar también por sus sistemas de seguridad y con los datos que recoge de sus clientes.
Quizá por todo esto, el INCIBE ya publicó, hace años, una de sus guías dirigida a este sector: “Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario”, que podéis leer AQUÍ. Y si queréis saberlo todo sobre la cibercriminalidad 2021 en España, podéis leer el extenso informe del Ministerio del Interior AQUÍ.
¿Cuáles son los peligros para el e-commerce? ¿Cómo sabes que en este momento no han vulnerado ya tu página web?
Juniper Research es una prestigiosa firma británica de analistas del sector de la tecnología digital y móvil. Es especialista en identificar y evaluar nuevos sectores de mercado de alto crecimiento en el ecosistema digital. Sus investigadores creen que el fraude en el e-commerce puede llegar a generar pérdidas de 48.000 millones a escala mundial este año.
Este fraude se va a concentrar en los pagos online a través de la violación del correo electrónico y técnicas como el phishing, el envío de malware, la ingeniería social, etc. Por su Parte, Palo Alto Networks, un líder mundial en ciberseguridad, acaba de publicar su informe “The State of Cloud-Native Security 2023 Report” en el que asegura que el 90% de las organizaciones no puede detectar, contener y resolver las ciberamenazas en una hora.
¿Cuántas horas puede tu e-commerce quedarse sin actividad?
Concretando más, estos son algunos de los principales peligros: robar información confidencial de tu cartera de clientes y además hacerse con los datos bancarios, como el número de tarjeta. Porque una vez obtenida la información, pueden usarla para otros ataques o venderla en el mercado negro.
¿Qué soluciones aporta TECNOideas al e-commerce?
– Proteger convenientemente tu página web.
– Custodiar y proteger convenientemente los datos de tus clientes, para que cumplas la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDP).
– Con ello evitarás las posible multas (que pueden llegar a ser cuantiosas) de la Agencia de Protección de Datos (AEPD).
Con TECNOideas puedes facturar más, porque…
… podrás concentrarte en tu negocio y no perder el tiempo solucionando problemas. Nosotros nos ocupamos de las medidas de prevención necesarias.
Te proponemos soluciones, de acuerdo con las necesidades de tu negocio:
- Auditoría de servidores
- Auditoría de tu hosting
- Auditoría de tu página web
- Segurizamos todo tu entorno web
- Te ayudamos a cumplir con la LOPD
- Te ofrecemos la figura del CISO externo (persona encargada de la seguridad)
- Formación para minimizar riesgos
Te ofrecemos totalmente gratuita una primera cita para conocerte mejor
Clica aquí para agendar tu cita con TECNOideas
Imagen principal: Mediamodifier en Pixabay
- Publicado en Ataques / Incidencias, Comercio electrónico, Estudios, General, Noticias, Privacidad, Protección de datos, Seguridad, Servicios
Goodbye passwords
El gestor de contraseñas 1Password ya ha decidido sustituirlas por “passkeys” con datos biométricos y criptografía
Decir adiós a las malditas contraseñas que no se recuerdan, que no deben apuntarse en ningún sitio, que son débiles, que deben cambiarse periódicamente, etc. es un sueño para millones de usuarios de las nuevas tecnologías. Pero cada vez está más cerca el fin de las contraseñas tal y como las usamos en la actualidad.
1Password es un gestor de contraseñas desarrollado por la empresa AgileBits Inc., una compañía canadiense especializada en desarrollo de software.
El gestor ha anunciado que a partir de verano dejará de utilizar las contraseñas para centrarse en claves de acceso conocidas con el nombre de passkeys.
Seguramente muchos de vosotros recordaréis que ya os hablamos de ello en octubre del año pasado, cuando nos preguntamos si las passkeys eran ciberseguras y os explicábamos como funcionan. Lo podéis recordar leyendo ESTE ARTÍCULO.
El sistema se basa en una llave maestra capaz de acceder al desbloqueo de las contraseñas y a los datos de usuarios sin claves. Para ello el usuario solo deberá utilizar un autenticador como un smartphone y cuando quiera acceder no escribirá ni la dirección de mail ni un password, sino una clave de acceso que se basará en los datos biométricos, como el reconocimiento facial o la huella dactilar.
Las passkeys, además, utilizan criptografía de clave pública, por lo que se crea una clave de acceso única de forma predeterminada, que se almacena en sus dispositivos y no se comparte nunca.
¡Son resistentes al phishing!
Otra de las ventajas de las passkeys es que son resistentes al phishing y evitan el descifrado.
Resumiendo: para crear passkeys en 1Password el usuario solo deberá usar el “Touch ID” en el caso de ordenadores Mac o una identificación biométrica en un iPhone para crear una cuenta sin contraseñas.
Si el usuario posee un PC de Windows o un nuevo dispositivo, lo que aparecerá es un código QR, que deberá escanearse a través de un dispositivo tipo smartphone que deberá garantizar la identificación biométrica. Así que ya estamos realmente en disposición de decir ¡Goodbye passwords!
Imagen principal: Thomas Breher en Pixabay
- Publicado en General, Hazlo tu mismo, Noticias, Privacidad, Seguridad, Tecnología
GuardedBox y DinoSec, segundo puesto del CPI del INCIBE
La propuesta de “Criptografía avanzada resistente a ataques cuánticos” obtiene una muy buena valoración en la Compra Pública Innovadora (CPI). GuardedBox y DinoSec obtienen el segundo puesto.
El INCIBE ha dado a conocer las valoraciones de la memoria general y técnica de la segunda convocatoria de sus CPI. En ellos destaca el Reto 02 “Criptografía avanzada resistente a ataques cuánticos”. Las valoraciones más interesantes son las técnicas y los licitadores han sido puntuados en base a 6 criterios:
- Descripción del proyecto de I+D
- Impacto socioeconómico del proyecto
- Plan de verificación en entorno operacional
- Plan de transferencia de resultados
- Presupuesto del proyecto
- Usuarios finales aportados
GuardedBox y DinoSec, segundo puesto del CPI del INCIBE. El licitador que ha obtenido una mejor calificación ha sido la Fundación Centro de Supercomputación de Castilla y León (SCAYLE), que ha obtenido un total de 84,90 puntos.
En segunda posición, como indica nuestro título, ha quedado Dino Security S.L. con 79,50 puntos y en tercera Indra Sistemas de Comunicaciones Seguras S.L.U. con 73,80 puntos.
Desde TECNOideas queremos felicitar a todas las empresas que han participado en esta CPI, pero nos hace una especial ilusión el buen resultado de Guardedbox y DinoSec, porque desde hace tiempo somos fieles usuarios de sus servicios. Si nos seguís habitualmente, seguro que ya habréis leído algún artículo en el que hablábamos de Guardedbox, esta solución online de código abierto que permite, desde cualquier dispositivo con un navegador web, almacenar, compartir e intercambiar secretos de manera segura. Así que os recordamos algunos de ellos, empezando por la entrevista que hicimos a los creadores de DinoSec y GuardedBox: Mónica Salas, Raúl Siles y Juan José Torres. AQUÍ.
Un mes antes os explicábamos las virtudes de este servicio, en el post GuardedBox, un gran servicio para compartir datos críticos.
También os informamos, en noviembre de 2020, de la salida al mercado de la nueva versión de este software, el GuardedBox 2.0 Pero el tiempo pasa rápido y los profesionales de GuardedBox van actualizando su software continuamente, así que ahora mismo ya van por la versión 9.1.3.
¿Qué es la Compra Pública Innovadora?
La Compra Pública de Innovación o CPI es una herramienta para fomentar la innovación desde el sector público. La oficina que lo gestiona fue creada a finales de 2018 por el Centro para el Desarrollo Tecnológico y la Innovación (CDTI), una entidad pública empresarial dependiente del Ministerio de Ciencia e Innovación. Tenéis más información sobre la Compra Pública Innovadora AQUÍ.
Y podéis ver la primera y segunda convocatoria de los CPI en la web del INCIBE.
- Publicado en Cuántica, Entrevistas, General, Noticias, Servicios, Tecnología
¿Qué son las Jornadas de Seguridad Informática de Cuenca?
Esta semana comienza MorterueloCON y para conocer más profundamente su contenido y la labor que desarrolla la asociación que lo organiza, entrevistamos a Mariano Rodríguez, vicepresidente de la Asociación MorterueloCon.
MorterueloCON llega a la IX edición. Quizá sea un buen momento de explicar sus orígenes y evolución.
Todo comenzó con nuestro fundador, Rafael Otal (@goldrak), en una CON que se celebraba en Jaén. Apareció el germen de las jornadas y en un viaje en coche con Lorenzo Martinez (@Lawwait) y Juan Garrido (tr1ana) dirección Murcia, sonó la famosa frase: “no hay webs…” y bueno aquí estamos ya con la 9ª Edición de MorterueloCON
Detrás de esta CON está vuestra asociación, que lleva el mismo nombre. ¿Qué actividades desarrolláis a lo largo del año?
Realizamos charlas de concienciación en institutos, también organizamos Hack&Beers con motivos de las jornadas. Se trata de ponencias gratuitas para interesados en seguridad informática que se desarrollan en un ambiente distendido y compartiendo unas beers.
¿Por qué en Cuenca? ¿Es solo por vuestra vinculación a la ciudad o también por el apoyo institucional? En Cuenca porque es la ciudad que nos vio nacer, y de la cual estamos enamorados. Además hemos conseguido que las jornadas sean un referente a nivel nacional.
“Todo lo que se desarrolla en #MorterueloCON es gratuito,
incluido el almuerzo y la comida del viernes y el almuerzo del sábado.”
¿A qué tipo de público se dirigen las jornadas?
Debemos dividirlas en dos. Por un lado las charlas del viernes, que son muy diversas y aptas para personas que estén empezando en el mundo de la ciberseguridad. Por otro lado tenemos el sábado, que se realizan talleres que suelen ser más técnicos y requieren unos conocimientos más técnicos para poder realizarlos con pleno desempeño.
Como bien dices hay ponencias y talleres. ¿Todo son totalmente gratuitos y pueden seguirse online?
Todo lo que se desarrolla en #MorterueloCON es gratuito incluido el almuerzo y la comida del viernes y el almuerzo del sábado. Las charlas del viernes se hará seguimiento tanto presencial como online en nuestro canal de Twitch. En el caso de los talleres serán solo en la modalidad presencial.
El programa está bastante cargado, con muchos ponentes. ¿Puedes destacarnos especialmente algunos temas de las ponencias?
Pues siempre intentamos tener variedad de ponencias y talleres. Destacar alguno sería difícil, pero si destacaría la calidad de los ponentes que cada año traemos.
¿Qué otras actividades encontramos?
El jueves 23 comenzaremos con unas charlas dirigidas especialmente a empresas de la mano del ISMSForum. El sábado tendremos charlas de concienciación para padres y niños de la mano del gran Angel Pablo Avilés (@_Angelucho_)
En TECNOideas nos encantan los CTFs y este año hay un CTF en MorteueloCon y además va a ser válido para la Liga HackerDreams. Háblanos de como va a ser este CTF.
Pues tendremos diferentes retos típicos de los CTF como son esteganografía, networking, reversing, pwd web… Habrá premios para los 3 primeros clasificados que os iremos desvelando esta semana.
Todo el mundo está de acuerdo en que se precisan muchos puestos de trabajo en el sector de la ciberseguridad. Hay mucho aficionado que no ha seguido estudios reglados. ¿Las CON son también un buen lugar para avanzar en conocimiento? ¿Tanto como para poder optar a un puesto de trabajo?
En una CON, si eres ponente nuevo, te puede servir como un pequeño trampolín para un puesto de empleo o mejorar el que tienes. Siempre son un buen lugar para obtener conocimientos. A destacar, sobre todo, los talleres, que experimentar la teoría que es lo que realmente nos gusta, que es cacharrear…
¿Las inscripciones a cada una de las partes de Morteruelo, ponencias, talleres, CTF… siguen abiertas?
Sí, siempre intentamos dejarlas abiertas hasta un par de días antes para los más rezagados, aunque hemos tenido algún año que hemos tenido que cerrarlas antes por haber llenado el aforo.
Os podéis inscribir AQUÍ.
Las fechas coinciden con el h-c0n de Madrid. ¿No podía evitarse esta coincidencia, que seguramente no beneficia a ninguna de las partes?
Bueno, siempre hemos sido una CON que se ha celebrado en febrero y muchas veces hemos tenido que ceder a cambiar nuestra fecha por no pisar a otras CON’s. Pero nos hemos dado cuenta que nuestro público objetivo es distinto al de la h-c0n y consideramos que al hacerlo siempre en esta fecha, nuestro público podría ofenderse si lo hacemos en otra. Lejos de polémicas, este es la verdadera razón por la que mantenemos esta fecha.
¡Quedan pocos días para el comienzo de la Liga HackerDreams de CTFs!
El 22 de febrero empieza el CTF de la h-c0n de Madrid y el día 24 comienza el CTF de MorterueloCON de Cuenca. ¡Apuntaros!
Cada vez queda menos para los CTF (Captura la bandera, del inglés Capture The Flag), la competición gratuita que pone a prueba las habilidades de hacking de los participantes. Con ellos empieza la Liga HackerDreams que organiza flagHunters junto con las diferentes organizaciones de los congresos (CON) que tendrán lugar durante este año y los patrocinadores.
El CTF de la h-c0n de Madrid comenzará el próximo miércoles 22 de febrero a las 18.00 y se alargará hasta el sábado a la misma hora. Esta vez el CTF será de carácter INDIVIDUAL, por lo tanto, los premios también serán individuales.
Habrán diferentes categorías en la competición y retos de we, pwn, reversing, forense, blockchain, vo-ip y un active directory entero para que os divirtáis.
Si todavía no lo habéis hecho, os podéis registrar en la plataforma del CTFd. Allí podréis también leer las instrucciones para resolver retos de ciertas categorías como blockchain y active directory.
Y algo muy importante: ¡encontraréis la lista de premios!
Tenéis que saber también que solo podrán recibir los premios las personas que tengan la entrada y estén presencialmente para recogerlos durante la clausura del h-c0n.
Las personas que solo podrán recibir los premios son las que tengan la entrada y estén presencialmente para recogerlo durante la clausura del evento.
Capture The Flag del MorterueloCON
El segundo CTF es el que se desarrollaré durante la MorterueloCON de Cuenca que tiene lugar del 23 al 25 de febrero.
Pero el CTF comenzará el viernes 24 a las 18.00 y terminará el sábado 25, también a las 18.00.
Como en el caso anterior, la competición será individual. Las categorías de los retos serán web, pwn, reversing, forense, network, etc. Si queréis participar, las reglas de la competición y los premios estarán en la web del CTFd.
Si alguno de vosotros quiere saber más sobre lo que son los CTFs, os invitamos a leer este articulo del INCIBE que aunque ya tiene unos años, explica con detalle lo que es un CTF.
También, podéis leer este artículo de nuestro blog sobre los CTF de IntelCon.
¡Quedan pocos días para el comienzo de la Liga HackerDreams de CTFs!
TECNOideas colabora con HackerDreams y flagHunters en el desarrollo de estos eventos. ¡Os animamos a participar!
Porque es una magnífica oportunidad de aprender jugando
y podréis obtener diferentes premios.
MorterueloCON, del 23 al 25 de febrero
Las Jornadas de Seguridad Informática de Cuenca están a punto y con las inscripciones abiertas. Con ellas también empieza la Liga HackerDreams de CTFs (captura la bandera) que a lo largo del año tendrá lugar en diferentes cons.
A estas alturas suponemos que todos vosotros ya sabéis que una CON es un evento, una reunión, un congreso, unas jornadas… es un término muy usado en nuestro sector. A lo largo del año hay muchas CONs, como ya sabréis si sois seguidores de nuestro blog. Hoy queremos citaros con una de las primeras importantes del año, la MorteruleoCON de Cuenca.
Se trata de la IX edición de este encuentro cuyo objetivo es concienciar a estudiantes, empresas y usuarios en general de lo importante que es adoptar medidas de seguridad en todo lo relacionado con los sistemas de información y la seguridad informática. Además, nunca falta un enfoque técnico más dirigido a profesionales del sector.
El evento lo organiza la Asociación MorterueloCON, una organización sin ánimo de lucro que genera debate y prácticas de buen uso de la tecnología. Las jornadas de MorterueloCON son gratuitas.
En la edición de este año hay 11 ponencias de temas diversos y una serie de cinco talleres, agrupados bajo el nombre de AjoarrieroLabs. Se completan las jornadas con una serie de charlas de concienciación a cargo de la comunidad X1RedMasSegura.
Las ponencias del viernes pueden seguirse online a través del canal de Twitch del propio evento.
Las inscripciones están abiertas AQUÍ.
Comienza la Liga HackerDreams de CTFs
Junto a las jornadas MorterueloCON también se pone en marcha la Liga HackerDreams de CTFs.
CTF son las siglas de Capture The Flag, o sea “Captura la bandera”, una competición gratuita que pone a prueba las habilidades de hacking de los participantes. Si queréis tener más información, podéis leer ESTE ARTÍCULO de nuestro blog sobre el CTF de IntelCon.
La Liga tendrá varias jornadas a lo largo del año, normalmente junto a eventos como el MorterueloCon y la organiza flagHunters en conjunto con las diferentes organizaciones de congresos y patrocinadores. TECNOideas colabora con HackerDreams y flagHunters en el desarrollo del evento.
También queremos informaros que los mismos días, 24 y 25 de febrero, tiene lugar en Madrid la h-c0n, la conferencia sobre hacking y ciberseguridad de hackplayers.com, una comunidad de habla hispana de investigación e intercambio de conocimiento sobre hacking e in-seguridad (como les gusta decir a ellos) informática.
Las inscripciones para la h-c0n las podéis formalizar AQUÍ.
También en esta CON se celebra un CTF que será igualmente válido para la Liga Hacker Dreams.
¡Así que a inscribirse y a disfrutar del juego y de la competición!
Por último, para los curiosos que queráis saber de dónde sale el nombre de Morteruelo y que no estéis habituados a la gastronomía castellanomanchega, deciros que Morteruelo es el nombre de un plato típico de Cuenca. Es una especie de paté que se realiza a base de carne de caza, hígado de cerdo y pan rallado. A diferencia de otros patés, se toma caliente.
El WiFi hace posible ver a través de las paredes
Con el paso del tiempo, vamos desbloqueando mitos que creíamos imposibles. Desde poder vernos y hablar con alguien que está en la otra punta del mundo, hasta conseguir que un crucero de 200 toneladas se mantenga a flote sin ningún tipo de impedimento. ¿Pero, esperabas poder ver a través de las paredes algún día, como si de rayos X se tratara?
En 2018, Facebook ensayaba un sistema que permitía ubicar en tiempo real a un objeto en movimiento. Así mismo, avisaban de que un sistema de Inteligencia Artificial llamado Dense Pose, iba un paso por delante, ya que no solo ubicaba los objetos en movimiento, sino que también los identificaba con exactitud.
Hoy día, a principios de 2023, os corroboramos que, gracias a unas investigaciones de la Universidad Carnegie Mellon, de Pittsburgh, se espera que pronto estemos vigilados incluso a través de las paredes. Esto gracias, en parte, a las señales WiFi.
Pero… ¿De qué se trata este sistema realmente? Dense Pose se basa en Inteligencia Artificial. Los sistemas de procesamiento de imágenes de Facebook permiten detectar la posición en tiempo real de un objeto en movimiento. Pero, cuando crearon Dense Pose, vieron que iba un paso más allá, al detectar a varios objetos en movimiento. Entre otras cosas, es capaz de mapear lo que viene siendo la superficie del cuerpo humano (ya sea a través de un video o de una foto 2D). A raíz de ahí, crearon una red neuronal que, junto a los sistemas programados anteriormente. De esta manera consiguieron que fuera capaz de mapear la fase y amplitud de las señales WiFi, tanto entrantes como salientes, en el cuerpo humano.
Una vez programado y en funcionamiento. ¿Cuál sería el siguiente paso para hacer funcionar lo que supuestamente, podría llegar a atentar contra la privacidad de las personas?
Fácil, instalaron un sensor ubicado en una habitación cuya finalidad era detectar cuerpos, ya sea en la oscuridad o incluso detrás de otros objetos. El “algoritmo” terminó prediciendo las poses estrictamente en función de las señales WiFi.
Aunque suene algo contradictorio, Dense Pose asegura que su tecnología es amigable con la privacidad, dado que no es capaz de detectar características de identificación personal: protege la privacidad de las personas. Como la mayoría de los hogares en los países desarrollados ya tienen WiFi, los investigadores creen que esta tecnología puede escalarse para monitorear el bienestar de las personas mayores o simplemente identificar comportamientos sospechosos en el hogar.
¿Creéis que pueden estar en lo cierto? No obstante, no tienen en cuenta un matiz muy importante: una cosa es para lo que está diseñado un producto, servicio o sistema y otra muy diferente para la inmensa cantidad de cosas que se puede terminar utilizando. Si esta tecnología termina en manos equivocadas, podrían utilizarse para espiar y estudiar las actividades de sus posibles víctimas con mayor facilidad. ¡Ni siquiera tendrían que entrar ni hacerse notar… simplemente lo harían con una serie de cámaras externas!
Anteriormente ya nos habíamos interesado en comentaros varios temas sobre WiFi, es recomendamos leeros: Vulnerabilidades en el protocolo WiFi y en cámaras de videovigilancia.
Imagen principal: Web de Dense Pose
- Publicado en Ataques / Incidencias, General, Inteligencia Artificial, Noticias, Seguridad
Primeros malos usos de ChatGPT
Dos meses han tardado los ciberdelincuentes en usar ChatGPT para crear campañas de malware. La herramienta de Inteligencia Artificial de moda, ChatGPT, que fue presentada en noviembre del año pasado, ya ha sido usado para recopilar archivos de Office, PDF o imágenes.
ChatGPT es una nueva herramienta de Inteligencia Artificial que ha sido desarrollada por la compañía OpenAI. Esta empresa, especializada en investigación de IA y que dice que no tiene ánimo de lucro, desarrolló la herramienta y la ofrece gratuitamente a toda persona que tenga una cuenta con ellos.
Se está hablando mucho de ChatGPT, porque puede entablar una conversación en texto, ya que tiene una importante capacidad de generar y enlazar ideas. Además recuerda las conversaciones previas, por lo que va “aprendiendo” a medida que se utiliza.
El hecho de que cualquier persona puede hacer uso (bueno o malo) de esta herramienta es precisamente lo que ha hecho saltar las alarmas de diferentes compañías de seguridad. Por ejemplo la empresa Check Point.
Desde principios de diciembre, investigadores de esta empresa hicieron una serie de estudios y seguimientos. En ellos encontraron indicios de usos maliciosos a través ChatGPT. Además y en paralelo, apareció un hilo sobre el tema en un foro clandestino de piratería. En el se hablaba de las opciones que ofrecía para insertar campañas de malware. Para ello se había utilizado un software malicioso basado en Python para buscar archivos, copiarlos en una carpeta, comprimirlos y subirlos a un servidor FTP codificado. Posteriormente se ha comprobado que, efectivamente, es capaz de crear un malware que recopila archivos de Microsoft Office, PDF o imágenes del sistema.
No solo eso, en caso de encontrar un archivo que le interese y se lo quiera guardar, lo podrá hacer sin ningún tipo de problema. Simplemente tendrá que comprimirlo y compartirlo a través de la web. ¿Lo peor? Que todo eso se haría sin añadir cifrado, por lo tanto, estos archivos podrán terminar en manos de terceros por el hecho de no utilizar ese tipo de sistema de seguridad.
Esa no fue la única evidencia de mal uso del ChatGPT. También han podido crear scripts (secuencia de comandos que se usa para manipular las instalaciones de un sistema existente) con la herramienta. La misma empresa terminó concretando que se trataba de un script con diferentes finalidades como encriptado y cifrado, aunque también tiene una utilidad maliciosa.
Si queréis saber más sobre esta herramienta, podéis obtener más información AQUÍ.
Ya en este blog os hemos hablado de algunas de las opciones que han generado cierta controversia sobre la Inteligencia Artificial. Os recordamos el caso de los autógrafos de Bob Dylan en el artículo “La “estafa” de las dedicatorias
Anteriormente ya nos habíamos interesado por todo lo relacionado con la Inteligencia Artificial, a raíz del proyecto MarIA en el artículo ¿Ya podemos decir que la IA es más presente que futuro?
Imagen principal de: Alexandra_Koch en Pixabay
- Publicado en Ataques / Incidencias, General, Inteligencia Artificial, Noticias, Productos, Seguridad
Brecha en el gestor de contraseñas LastPass
No dejamos de insistir en la conveniencia de trabajar con un gestor de contraseñas. Prácticamente son la única opción de tener el acceso a nuestras fuentes con seguridad. Y también son la única opción contra nuestra desmemoria y sencillez en el momento de escoger contraseñas. Todo lo que no sea trabajar con ellos es aumentar las posibilidades de que sean los ciberdelincuentes los que trabajen… ¡contra nosotros!
También decimos que la seguridad al 100% nunca existe. Por eso queremos hablaros hoy de LastPass, un buen gestor de contraseñas multilingüe que desarrolló la empresa Marvasol Inc. en 2008. Pero este gestor ha estado en boca de muchos en el último trimestre de 2022. Algunos de nuestros clientes nos han preguntado acerca de un incidente de seguridad que LastPass tuvo en agosto. La compañía lo anunció oportunamente, diciendo que “alguien” accedió a su entorno protegido de desarrollo, pero no afectaba a los datos y credenciales guardados por los usuarios de la plataforma.
Contraseñas bien protegidas
LastPass funciona a través de una contraseña maestra, se encripta a nivel local y se sincronizan con los navegadores que lo aceptan, que son prácticamente todos. Además posee un complementador automático de formularios web, que utiliza para la autenticación, generar nuevas altas en sitios web y la contraseña automática.
A todo ello añade una política de empresa de total transparencia. Esa transparencia es lo que motivó que el pasado 22 de diciembre, el CEO de la empresa, Karim Toubba, firmara un comunicado explicando con detalle el resultado de la investigación que abrieron sobre el suceso.
En él reconocen que se robaron códigos fuente e información técnica y que copiaron información de la copia de seguridad. Esta copia tenía datos básicos de las cuentas de los clientes, nombres de empresas y de usuarios finales, direcciones de facturación y de correo electrónico, números de teléfono y las direcciones IP con las que los clientes accedían al servicio de LastPass.
El comunicado explica que no existen evidencias de acceso a datos de ninguna tarjeta de crédito sin cifrar. Eso se debe a que LastPass no almacena números completos de las tarjetas de crédito y no se almacenan en la nube.
En un nuevo apartado titulado ¿Qué deben hacer los clientes de LastPass? Karim Toubba explica algunas ventajas de LastPass. Se exige un mínimo de 12 caracteres para las contraseñas maestras, que usan una implementación más segura de lo normal y otras recomendaciones generales. Todo ello lo podéis leer en ESTE COMUNICADO que se encuentra en la web de la empresa.
¿Qué enseñanza podemos sacar de todo ello?
Lo primero es lo ya sabido: no existe la seguridad al 100%. Pero sí buenas barreras, alternativas y soluciones. Además una empresa seria, como es el caso, ha explicado detenidamente el resultado de su investigación, lo que da credibilidad y seriedad a la empresa. Creemos que la brecha en el gestor de contraseñas LastPass y todo lo que explica su CEO deja bien a las claras que sus barreras han funcionado y difícilmente los delincuentes han podido acceder a los datos finales de sus clientes.
Lo segundo es insistir en que los gestores de contraseñas son seguros y fáciles de usar. O por lo menos son lo más seguro que existe para gestionar al acceso a nuestras fuentes habituales.
Y lo tercero es que nos hagáis un poco más de caso. Nosotros hemos escrito algunos artículos relacionados con las contraseñas. Por ejemplo, con ocasión del Día Mundial de la Contraseña (5 de mayo) publicamos ESTE POST en el que, además, sugeríamos algunos gestores de contraseñas que hemos probado en TECNOideas. Entre ellos estaba LastPass, que seguimos recomendando.
En octubre también os hablamos del futuro de las contraseñas, que, sin duda serán los datos biométricos y las claves criptográficas, lo que se llama genéricamente passkeys. Lo podéis leer AQUÍ.
Todo el mundo puede tener un problema de seguridad. Lo que diferencia a unos de otros es la forma de tratar el problema, la rapidez en la respuesta y las garantías que se ofrecen a los usuarios, proveedores, clientes, etc.
Una buena forma de demostrar esta eficiencia es tener las certificaciones de la seguridad de la información, como la ISO 27001 o el Esquema Nacional de Seguridad (ENS).
Imagen principal: Mohamed Hassan en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Productos, Seguridad
Español 
Català