Suplantar identidades para estafar
Los cibercriminales llegan a ser tan sofisticados que a veces se precisa una acción conjunta internacional para desmantelar sus argucias. Esto es lo que acaba de pasar con una web que ofrecía servicios de suplantación de identidad y que ha sido bloqueada.
La suplantación de identidad es una de las técnicas más populares usadas por los delincuentes para infectar nuestros equipos y hacerse con nuestros datos personales y credenciales. En este blog os hemos hablado alguna vez de ello, como cuando os explicamos que la Comisión Europea animaba a denunciar las estafas en internet. Lo podéis recordar AQUÍ.
Como os podéis imaginar, suplantar identidades para estafar no es nada nuevo. Ya en el año 2020 la Oficina de Seguridad del Internauta publicó un artículo sobre el robo de identidades o spoofing que podéis leer AQUÍ. En él, además de aprender una nueva palabrita, nos explicaban que “la suplantación consiste en el empleo de una serie de técnicas de hacking utilizadas de forma maliciosa para suplantar la identidad de una web, entidad o persona en la red con la finalidad de obtener información privada sobre nosotros”.
Ahora llega la información de que se ha desmantelado una web que ofrecía servicios de suplantación de identidad para estafar en todo el mundo. Se calcula que las perdidas globales pueden haber llegado a los 115 millones de euros. La web permitía a las personas que se registraban que pudieran realizar llamadas suplantadas de forma anónima, enviar mensajes grabados e interceptar contraseñas de un solo uso. Los usuarios podían hacerse pasar por bancos, empresas o insituciones gubernamentales para obtener cuantiosas ganancias. Con la suplantación de identidad se buscaba ganar la confianza de la víctima, ya que pensaban que al ser marcas o empresas conocidas, no iban a atacarlos.
Se ha precisado una colaboración internacional a gran nivel de las autoridades judiciales y policiales, de Europa, Australia, Estados Unidos, Ucrania y Canadá. En la acción han intervenido Europol y Eurojust (Agencia de la Unión Europea para la Cooperación en materia de Justicia Penal) y se han detenido 142 personas.
Debemos recordar que es difícil luchar contra los delincuentes organizados y que el delito cibernético no sabe de fronteras, por lo que solo la colaboración internacional es eficiente en casos globales.
Podéis leer la nota de prensa que Europol realizó sobre el caso AQUÍ.
Para finalizar, recordaros que en junio os hablamos de la nueva técnica de suplantación llamada morphing y que demuestra, la sofisticación a la que pueden llegar los ciberdelincuentes. Tenéis el artículo AQUÍ.
- Publicado en Ataques / Incidencias, General, Noticias, Seguridad
WhatsApp tampoco se libra
Nos encanta esta aplicación de mensajería instantánea, formar grupos, explicar nuestra vida, enviar fotos de todo tipo, la inmediatez que supone. Vale, pero… ¿alguien ha pensado qué pasaría con toda esa información que regalamos alegremente en caso de filtración de datos?
Pues esa fuga que teóricamente nunca iba a pasar, ya ha pasado. Al menos así lo asegura la publicación CyberNews. No es cualquier medio. Se trata de una publicación online que se basa en investigaciones para ayudar a las personas a vivir su vida digital de forma segura. Por eso sus noticias nos merecen toda la confianza.
Los investigadores de CyberNews utilizan técnicas de hacking de sombrero blanco para encontrar amenazas y vulnerabilidades de seguridad en todo el mundo. Y recientemente han denunciado que un grupo de ciberdelincuentes supuestamente ha robado los datos de millones de teléfonos móviles con cuenta en WhatsApp, en todo el mundo. Hablamos de nada menos que 487 millones de números de teléfonos. De ellos casi 11 millones serían de números españoles. En este perverso ranking por países se encuentran Egipto (45 millones), Estados Unidos (32 millones), Italia (35 M) o Francia (20 M). Y así hasta 84 países. España ocuparía el puesto 15.
El robo de estos datos tendría el objetivo de realizar ataques de smishing (simular un mensaje de SMS) y vishing (suplantar una llamada) y así exponer a sus legítimos dueños a diversos ciberriesgos suplantando también su identidad.
Meta, empresa propietaria de WhatsApp, aseguró que todo esto no tenía ninguna razón de ser porque la publicación no indica cómo se han obtenido esos datos y que hay más de 2.000 millones de usuarios de WhatsApp en todo el mundo, por lo que cualquier lista de teléfonos de países de todo el mundo incluiría inevitablemente números de WhatsApp.
Sin embargo CyberNews detectó que el pasado 16 de noviembre los ciberdelincuentes había puesto un anuncio en un foro de la comunidad de piratería BreachForums. En él ponían a la venta una supuesta base de datos de 2022 con 487 millones de números de teléfonos. El precio de los datos de Estados Unidos era de 7.000 doláres y el del Reino Unido 2.500 dólares.
Podéis leer la noticia de CyberNews AQUÍ.
Y como siempre prevención
Como podéis ver, WhatsApp tampoco se libra. Este tipo de ataques no es nada nuevo. De hecho, siempre que se acercan fechas clave de compras online (Navidad, Black Friday, Cyber Monday, San Valentín, etc.) suele haber ciberdelincuentes que intentan robar datos.
Por lo tanto debemos preguntarnos lo que debemos hacer cuando nuestros datos están comprometidos para evitar que el delito vaya a más.
Aunque en este blog ya hablamos profusamente de todo ello, os recordamos que lo primero debería ser el tema de las contraseñas. Una filtración con una contraseña igual para varios lugares significa que se multipliquen las opciones de robar datos de otras cuentas que tengamos. Así que:
- Una contraseña para cada cuenta que tengamos. Si eso es un problema para vosotros, la buena opción es la siguiente:
- Usar un gestor de contraseñas.
- Implementar el doble factor de autenticación en todos nuestros servicios. No siempre depende de nosotros, porque hay todavía muchos servicios que no lo tienen implementado. Pero si lo tienen, no dudéis en implementarlo.
- Sospechar siempre de un desconocido que quiera contactaros por WhatsApp.
- Sospechar de las llamadas recibidas de números infinitos, a no ser que tengamos un familiar viviendo en la India.
Y como más vale prevenir, lo más importante debería ser confiar en alguna empresa de ciberseguridad, como es el caso de TECNOideas. Como ejemplo, os pasamos unas ideas para que intentéis evitar que os pase todo esto.
1.- Averiguar si vuestro número de teléfono ha estado en una lista de filtración de datos. Escribid el número con el prefijo de país en ESTE ENLACE.
2.- Instalaros un software de seguridad en vuestro smartphone. La Oficina de Seguridad del Internauta recomienda varias aplicaciones. Tenéis el listado AQUÍ.
3.- Instalaros la aplicación CONAN MOBILE. Creemos que es imprescindible. Ha sido desarrollada por el INCIBE y se ofrece a través de la OSI (Oficina de Seguridad del Internauta). Es un software que no actúa como un antivirus, pero es capaz de revisar configuraciones, permisos, etc…y os ayudará, y os hará participes de la seguridad de vuestro dispositivo. Un gran poder, conlleva una gran responsabilidad, como diría…
4.- ¡¡CONTACTADNOS!! que para eso estamos.
Imagen principal: Imagen de 6519582 en Pixabay.
¿Qué pasa en el mundo del motor con la ciberseguridad?
Desde la Fórmula 1 a una red de concesionarios, pasando por marcas de componentes y otras firmas muy conocidas, entre ellas Ferrari, nada menos. Todos ellos han tenido problemas de ciberseguridad en poco tiempo. ¿Qué pasa en el mundo del motor con la ciberseguridad?
Este pasado domingo ha finalizado la temporada de Fórmula 1. Pero en los últimos Grandes Premios se ha hablado de ciberseguridad, porque este mundillo tan absolutamente tecnológico no se ha librado de sufrir incidentes de seguridad. Parece ser que un grupo de delincuentes de la India había conseguido obtener datos significativos de diversas escuderías a través de un ransonware. Dicho de otra forma: amenazaban con un espionaje industrial. Con la competitividad de este deporte, cualquier escudería estaría encantada de tener datos de la competencia. El problema es que, supuestamente, las afectaciones alcanzaban a equipos como Alfa Romeo, Alpine de Fernando Alonso, Aston Martin o Ferrari de Carlos Sainz.
Ferrari ya había sido noticia anteriormente por un ciberataque sufrido en el momento en que cambiaba de proveedor de seguridad informática. Por la guerra de Ucrania y de mutuo acuerdo, la escudería del caballito rampante dejaba Kaspersky y se asociaba a Bitdefender, la empresa rumana creada por Florin Talpes en 2001. Podeís ver el acuerdo en la web de Ferrari AQUÍ y en la de Bitdefender AQUÍ.
Los ciberdelincuentes de la banda de ransomware RansomEXX aprovecharon este impasse para obtener más de 7 GB de documentos internos de Ferrari que fueron publicados en la Dark Web. Aunque Maranello desmintió que fuera atacada, numerosos artículos en prensa lo aseguraban, como es el caso del publicado por BeTech, la web de noticias de tecnología del diario AS. Si estáis interesados en el malicioso currículo de RansomEXX, la publicación Cuadernos de Seguridad le ha dedicado un interesante informe que podéis leer AQUÍ.
Mucho ciberataque
Vamos a por los concesionarios. El Grupo Pendragon, uno de los líderes del mercado en el Reino Unido, fue alcanzado por un ransomware enviado por LockBit, un activo grupo de ciberdelincuentes. Consiguieron robar datos de Pendragon y reclamaron cerca de 60 millones de euros para recuperar sus archivos.
Estos mismos delincuentes fueron los responsables del mayor ciberataque por volumen de la información robada. Tuvo lugar en Hannover y la víctima fue la conocida marca Continental, que además de fabricar neumáticos posee uno de los ordenadores más potentes de la industria de la automoción. Se ha calculado que se robaron 40 terabytes de datos y una vez más, a través de un ransomware.
Lo podéis leer en Escudo Digital.
También robo de automóviles… ¡con un altavoz!
Nos vamos a Francia. Unos ladrones agudizaron el ingenio para conseguir robar en pocos segundos coches de las marcas Peugeot y Toyota a través de un altavoz Bluetooth de la firma JBL.
El descubrimiento del hecho fue casual, como suele pasar con este tipo de cosas. La policía encontró en un coche robado uno de estos altavoces. En su interior había una llave digital que era capaz de poner en marcha el vehículo. Los delincuentes ofrecían el altavoz y la llave junto a un vídeo tutorial, donde explicaban como usarlos y la manera de conectarlo al vehículo con un cable USB.
La cosa parece sencilla, pero el dispositivo en cuestión podía costar, en el mercado negro, hasta 5.000 euros. Con esta táctica se robaron muchos vehículos en Francia.
Todos estos casos y algunos más los podéis leer gracias a HackerCar, la plataforma web dedicada al motor, la tecnología y la ciberseguridad, que debieron preguntarse, como nosotros, algo así como ¿Qué pasa en el mundo del motor con la ciberseguridad? Acceder a su artículo AQUÍ.
La ciberseguridad y el mundo del automóvil están cada vez más unidos. Ya hay reglamentaciones europeas que exigen que los coches de segunda mano se vendan libres de datos. Y también que los fabricantes de automóviles aumenten la ciberseguridad de los nuevos modelos. Y eso también deberán asegurarlo los lugares de recarga de coches eléctricos. Todos ellos están conectados a internet y por ello son factibles de ser atacados.
En TECNOideas ya hemos ido publicando algunas píldoras sobre todo esto, para que la concienciación sobre el tema vaya en aumento. Estos son algunos de los artículos publicados en este blog:
- En el 2022, ¿coche eléctrico, híbrido o de gasolina? ¡Coche ciberseguro! (Octubre 2020).
- ¿Se roban más coches por culpa de la cibertecnología? (Febrero 2022).
- Una Game Boy para robar coches. (Febrero 2022).
Naturalmente hay otra moraleja, distinta del sector del automóvil, en todo esto. Y es que si empresas tan importantes y con una tecnología de lo más puntero del mundo como Ferrari, las demás escuderías mencionadas o Continental caen bajo un ransomware, qué empresas de nuestro entorno no pueden verse amenazadas. Y no vale la excusa de siempre: “Yo soy pequeño, quién se va a fijar en mí y en mi pequeña empresa”. Quizá la persona que diga esto es que ni siquiera le han robado nunca la cartera, o el móvil, o lo que sea. ¡Felicidades! Pero ya sabéis: hay tres tipos de empresas: las que aun no han sido atacadas, las que ya han sido atacadas y las que están siendo atacadas y aun no lo saben.
Si nos contactáis os diremos en qué grupo está la vuestra.
Imagen principal de: Toby Parsons en Pixabay
- Publicado en Ataques / Incidencias, General, Medios de comunicación, Noticias, Seguridad
Hoy os queremos hablar de grandes marcas… ¡cómo no!
Los usuarios de Apple han descubierto que habiendo desactivado la recopilación de datos, la empresa sigue registrando su actividad. Por su parte en Twitter dicen algunos/as que está fallando la verificación en dos pasos (2FA). Grandes marcas, sí. Grandes empresas, sí. Pero con algunas conductas que dejan mucho que desear. Por eso hoy os queremos hablar de grandes marcas… ¡cómo no!
Los usuarios de Estados Unidos han presentado una demanda colectiva contra Apple al descubrir que esta red registra de forma ilegal la actividad confidencial de los usuarios sobre su consumo de aplicaciones móviles.
Para más inri, esto se ha descubierto después de que Apple indicara que buscaba que los usuarios tuvieran un mayor control sobre sus datos y sobre el rastreo que pudieran efectuar las aplicaciones de terceros para fines publicitarios. Así que el año pasado Apple implementó una función de transparencia de seguimiento de aplicaciones con iOS 14. Esta función obligaba a los desarrolladores a informar a los usuarios para que dieran su consentimiento explícito. Pero…
… los propios desarrolladores de iOS y varios investigadores de la empresa de software Mysk detectaron que cuando los usuarios navegaban por la aplicación de la App Store, se recogían datos que luego se enviaban a la empresa. Y eso ocurría incluso si el usuario había desactivado el uso compartido del análisis del dispositivo.
Tenéis más información sobre este tema en la web de Gizmodo, un medio digital del grupo Fusión Media, con sede en Nueva York y especializado en ciencia y tecnología.
Los bloatwares y los fallos de Twitter
Ya todo el mundo sabe que Twitter está inmersa en un follón de mucho cuidado tras las polémicas decisiones de su nuevo propietario, Elon Musk. Precisamente una de sus decisiones ha acabado por ocasionar fallos en su doble autenticación. Todo empezó cuando Musk decidió deshabilitar el bloatware de los microservicios de la popular red social.
Un bloatware es un software que ocupa demasiado espacio para las funcionalidades que proporciona. Son aplicaciones que vienen preinstaladas en nuestros equipos (ordenadores, tabletas, smartphones) pero que no repercuten en nada útil para los usuarios y ralentizan la velocidad de los equipos.
¿Por qué se siguen usando? Pues porque sus creadores pagan a los fabricantes para preinstalarlas en sus ordenadores. Pero no solo ellos. Las grandes marcas tienen sus propios boatwares. Es el caso de Microsoft o Samsung. Eso significa que todos ellos van a intentar que el usuario las use o dicho de otro modo, que usen lo que está preinstalado en lugar de ir a instalarte otras cosas que puedas necesitar o quieras tener.
Musk ha dicho que Twitter necesita menos del 20% de los microservicos que tiene para funcionar correctamente. Por eso ha decidido desinstalar bloatwares. Pero el tiro le ha salido por la culata, porque al hacerlo se ha afectado el sistema de autenticación de dos factores, el que envía los códigos de confirmación para iniciar sesión. Así que muchos usuarios no han podido iniciar su sesión por este hecho.
Debemos decir que este pasado fin de semana hemos comprobado varias veces la autenticación en dos pasos y siempre ha funcionado bien. O sea que o bien ha sido un tema puntual y ya se ha solucionado o bien ha afectado solamente a alguna región geográfica.
El caso de Apple es más grave, porque directamente nos roba los datos y hace lo que quiere, aunque le digas que no. Quizá todavía no saben que “no es no”.
Lo que queda claro es lo siguiente: ¿para qué debe el usuario poner esfuerzos en desactivar opciones o en activar el 2FA si luego esas grandes plataformas tienen fallos? A partir de aquí, ¿os imagináis qué pasaría si los usuarios no estuviéramos constantemente vigilando las interacciones? Pues sí, habéis acertado: esto sería una merienda muy golosa.
Imagen principal de: Gerd Altmann en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Protección de datos, Redes sociales
Armonizada la ciberseguridad europea con el NIS-2
Ya está aquí. Poco a poco Bruselas va extendiendo su mano en cuestiones de ciberseguridad y ahora llega al cenit con la aprobación de la Directiva NIS-2, que mejora la resiliencia y la capacidad de respuesta ante ciberincidentes en toda la Unión Europea. De esta forma, quedará armonizada la ciberseguridad europea con el NIS-2.
Hay que remontarse al 6 de julio de 2016, fecha en la que entró en vigor la Directiva 2016/1148 del Parlamento Europeo y del Consejo sobre las medidas que garantizaban un nivel común de seguridad de las redes y sistemas de la información. Esta instrucción fue conocida con el nombre de Directiva NIS, del inglés Network and Information Security.
Pero debido a la rapidez con que se desarrolla la técnica y el ingenio de los ciberdelincuentes, pronto se empezó a trabajar en una actualización y ampliación, que se la ha bautizado, con una increíble creatividad, como NIS-2. El Parlamento Europeo la aprobó por amplia mayoría en mayo de este año y aunque todavía falta que el Consejo Europeo (el gobierno de los países de la UE) la apruebe, se espera que entre en vigor en 2023. Por supuesto que la nueva normativa se integra totalmente en la amplia legislación que Bruselas ha ido creando sobre el tema, especialmente el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER).
Un marco normativo común
Lo más llamativo de la Directiva es que pretende garantizar un nivel elevado de protección y mejorar la resiliencia en todos los Estados de la Unión. Y es que Bruselas reconoce que en muchos ámbitos no existe una cultura de aplicación de la ciberseguridad y la poca coordinación entre Estados lleva a una falta de respuestas comunes.
Destacamos los siguientes puntos de la NIS-2.
- Será obligada la notificación en los diferentes sectores que cubre: energía, transporte, sanidad e infraestructura digital.
- Creación de la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para mejorar la coordinación en la gestión de incidentes de ciberseguridad a gran escala.
- Se amplían y aclaran algunos conceptos, como “entidades esenciales” o “sectores críticos” y se introducen los “sectores importantes”, como por ejemplo gestión de residuos; sector aeroespacial; producción, transformación y distribución de alimentos; fabricantes y proveedores de servicios digitales; servicios postales de mensajería y la fabricación, producción y distribución de sustancias y mezclas químicas.
- La legislación será de aplicación tanto para la administración como para las medianas y grandes empresas de ciertos sectores catalogados como “importantes” en el redactado de la norma. Estos ámbitos comprenden, por ejemplo, los servicios postales, la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, vehículos y aparatos digitales, etc.
- Quedan excluídos del ámbito de aplicación de la Directiva la defensa o seguridad nacional, seguridad pública, policía, poder judicial o los parlamentos y bancos centrales.
- Se va a promover la cooperación público-privada a través de los ppp (Public – Private – Partnerships). Para ello se van a desarrollar asociaciones público-privadas especializadas en ciberseguridad.
- Se preocupará de la seguridad de las cadenas de suministro así como las relaciones con los proveedores. Para ello se va a permitir a las empresas exigir a sus proveedores el cumplimiento de la normativa en caso de ser operadores críticos.
- La responsabilidad recaerá sobre la dirección de la empresa, ya que deberá preocuparse de cumplir las medidas de gestión de riesgos de ciberseguridad.
- Se podrá sancionar. Las amonestaciones, instrucciones y multas podrían ser de hasta dos millones de euros e incluso llegar a suponer el 2% de los ingresos anuales de la organización.
- Nacen nuevas obligaciones como pudieran ser el uso de cifrado de extremo a extremo. Se impone la privacidad por defecto y desde diseño, la respuesta a incidentes y gestión de crisis, la certificación de sus servicios, productos y/o sistemas bajo esquemas europeos de certificación de la ciberseguridad de acuerdo con normativa comunitaria, o el tratamiento y divulgación de vulnerabilidades.
- En muchos casos se deberán crear nuevos departamentos y/o procesos internos para cumplir los requisitos de la Directiva, así como la selección de perfiles con capacidades digitales para cumplir estos requisitos, todo ello colaborando con entidades esenciales e importantes.
Podéis leer un extracto de la norma en esta web del Parlamento Europeo AQUÍ.
Y también podéis leer la Directiva al completo, en castellano, AQUÍ.
Como es habitual, los estados contarán con 21 meses para trasponer la nueva norma a su legislación nacional. Como podéis ver muchas empresas tendrán que adaptarse a esta normativa y además, en muchos casos, deberán contar también con certificaciones. Por ejemplo, en España será necesario que tengan el certificado del Esquema Nacional de Seguridad (ENS).
Es justo señalar que muchos de estos servicios para empresas ya los esta ofreciendo TECNOideas, como es el caso del CISO Externo o el de las certificaciones como el ENS.
Imagen principal: S. Hermann / F. Richter en Pixabay
- Publicado en Certificaciones, CISO, General, Normativa, Noticias
Se donde fuiste y se lo que hiciste…
No sorprendemos a nadie si decimos que “los datos son el oro del siglo XXI”. No es una frase nuestra, pero se ha hecho muy popular porque es verdad. Toooodo el mundo persigue los datos, nuestros datos, esos que damos tan alegremente… o no. ¿Somos conscientes que las webs por las que navegamos están repletas de rastreadores?
Los rastreadores web son capaces de recopilar muchas información sobre los hábitos de las personas que navegan por una web. Actúan estando insertados en el código de los sitios web, y un usuario que no sea técnico difícilmente los detectará. Entre las funciones de estos “observadores” encontramos identificar la IP y la ubicación, el navegador que usamos, el historial de navegación, donde clicamos, cuánto tiempo leemos y qué tipo de contenido, etc.
¿Para qué se usan? Pues para ganar dinero con ello, porque muchas webs pueden vender esos datos a anunciantes, vendedores, agencias gubernamentales, etc. Lógicamente —y esa es la excusa oficial— lo hacen para poder ofrecer servicios o productos personalizados, para sus análisis internos y mejorar el aspecto, los contenidos y la navegabilidad de la web.
Hay 18 rastreadores de media en las webs españolas
La empresa NordVPN es uno de los principales proveedores de redes privadas virtuales (del inglés Virtual Private Network, VPN). Sus investigadores han realizado un estudio centrado en los rastreadores y han encontrado algunos resultados que dejan claro para lo que sirven y el porque de “Se donde fuiste y se lo que hiciste…” Por ejemplo:
- La cifra de 18 rastreadores en una web es una media, porque en el caso de webs de compras, tecnología o noticias, pueden tener hasta 28 rastreadores distintos.
- La mayoría de rastreadores encontrados son propiedad de otras empresas, no de la que estamos navegando. ¿Sabéis cuáles se llevan la palma? Sííí, Google (aproximadamente un 30%), Facebook (11%) y Adobe (7%).
El estudio se ha hecho analizando los 100 sitios webs más populares de 25 países del mundo. Por eso la empresa advierte que el número de rastreadores también depende de la legislación de cada uno de ellos. Así, por ejemplo en Europa, gracias a la aplicación del Reglamento General de Protección de Datos (RGPD), los sitios web tienen menos rastreadores que en las webs de Estados Unidos, donde las leyes no protegen la privacidad de todos los tipos de datos en todos los estados.
NordVPN también ha realizado una encuesta a los internautas españoles. Al 45% les preocupa ser rastreados por los grandes de las redes sociales (Facebook). Un 37% rechazan que sus datos sean recogidos por agregadores de información (Google) y el 34% no desea que las agencias de marketing obtengan sus datos.
Si queréis saber más cosas sobre este estudio, como el país que tiene más rastreadores o el tipo de webs que más rastrean, clicad AQUÍ.
Google paga casi 40 millones de dólares en EE.UU. por rastrear
Quizá en Estados Unidos no exista una RGPD tan global y exigente como la europea, pero no se andan con chiquitas. En 2018 la agencia Associated Press descubrió que Google mantenía el rastreo de los datos de ubicación de las personas incluso después de haber indicado que no querían ser objeto de ese rastreo. El tema llegó a la fiscalía, que empezó a investigar y resultó que esta mala praxis se había producido en 40 estados. Ahora Google ha llegado a un acuerdo con la fiscalía de esos estados para evitar una sanción mayor, ya que violaron las leyes estatales de protección al consumidor. El resultado: deberá pagar 391,5 millones de dólares, que se van a repartir esos estados. Así, por ejemplo, Massachusetts recibirá unos 9,3 millones y Connecticut unos 6,5 millones.
Google se está convirtiendo en una de las empresas que más paga por su mala praxis. Este mismo año la justicia europea, a través de su Tribunal General, ha confirmado la multa por competencia desleal al gigante tecnológico. Como recordaréis, el motivo ha sido por competencia desleal ligada a consolidar su motor de búsqueda en el sistema operativo Android. Google fue multado con la friolera de 4.125 millones de euros.
¿Seguís confiando en Google? ¿O en Facebook/Meta? ¿O en otro proveedor que os de algo “gratis”?
Imagen principal: Imagen de Kris en Pixabay
- Publicado en Estudios, General, Noticias, Privacidad, Protección de datos
¿Qué operadoras de Internet son más seguras y protegen mejor nuestros datos?
Esta semana se ha publicado que un proveedor de Orange ha sufrido un ciberataque que ha dejado al descubierto datos sensibles de los clientes de la operadora. Además Holaluz ha comunicado un acceso no autorizado a informaciones sensibles de sus abonados. Así las cosas nos preguntamos ¿Qué operadoras de Internet son más seguras y protegen mejor nuestros datos?
Estamos familiarizados con la gran mayoría de las operadoras de Internet en nuestro país. Incluso hemos probado algunos de sus planes. Casi siempre las valoramos en función de su cobertura, calidad de servicio y precios. Hoy vamos a tratar un aspecto no tan conocido de las operadoras de Internet, que tiene que ver directamente con nosotros, como usuarios.
Nuestros datos personales, ¿están seguros en las operadoras de Internet?
sobre la privacidad y seguridad en Internet.
La ley de protección de datos personales es bien conocida por las distintas comercializadoras de Internet. Entró en vigor el año 2018, y todas las operadoras de telecomunicaciones se han apegado a este reglamento, en mayor o menor medida.
Este es un criterio de valoración que se usa poco, a pesar de su relevancia para los usuarios. ¿Sabéis cuál de los proveedores de Internet cuida mejor vuestros datos? Tomando en cuenta el informe más reciente de la Agencia Española de Protección de Datos (AEPD), podemos sacar nuestras propias conclusiones.
Según el informe de la AEPD publicado en mayo de este año, vemos que algunas operadoras de Internet de nuestro país han tenido que pagar multas millonarias por el incumplimiento al reglamento (RGPD).
Estas son las operadoras menos valoradas con respecto al tratamiento de los datos de usuario:
- Vodafone
- MásMóvil
- Orange
Vodafone ha sido sancionada en más de una ocasión. La última multa que le ha sido impuesta supera los 3,9 millones de euros. En el caso de las otras dos operadoras, el monto a pagar no supera el millón de euros para cada una de estas operadoras de Internet.
Estas sanciones dejan claro que estas empresas son las más vulnerables en la seguridad de los datos de sus usuarios. Este es un tema delicado, sobre el que necesitamos educarnos y tomar conciencia. No queremos que nuestros datos sean regalados en la red y al alcance de cualquiera.
Y estamos seguros de que éstas y el resto de las empresas operadoras de Internet están tomando todas las medidas para redoblar la seguridad del manejo de datos del usuario.
Movistar ocupa el primer lugar como la empresa más segura
En el otro extremo, se encuentra Movistar. Este es uno de los proveedores de Internet, que se ha tomado muy en serio el resguardo de la información de sus clientes. Está valorada como la empresa que mejor cuida los datos de sus clientes.
Cabe señalar que esta calificación se le ha otorgado a esta operadora, al compararla con otras operadoras de Internet y con empresas que manejan gran cantidad de datos personales. ¿Qué criterios se toman en cuenta en esta valoración?:
- Política de protección de datos personales
- Cumplimiento de la Ley
- Notificación al usuario
- Transparencia
- Promoción de la privacidad de los usuarios
Dentro de cada uno de estos criterios hay varios ítems que se toman en cuenta para la calificación. En el caso de Movistar, suma 8 de un total de 12 estrellas, en la tabla de puntuación de las fundaciones Electronic Frontier Foundation (EFF) y Eticas Fundation, dos organizaciones que se ocupan de la defensa de los derechos digitales. En el caso de Eticas ya os hablamos de ella en ESTE ARTÍCULO del mes de agosto.
Pues bien, siguiendo con la tabla de puntuación vemos que Orange suma un total de 7 estrellas, Vodafone consiguió 6.5 estrellas; y por último tenemos a MásMóvil, con 3 estrellas.
Podéis consultar el estudio ¿Quién defiende tus datos? AQUÍ.
Tus datos también son importantes
En España hay al menos unas 20 operadoras de Internet legalizadas, que brindan excelentes servicios y que te amparan de distintas maneras. Los lineamientos varían de una operadora a otra; por eso es importante leer bien su política de privacidad antes de aceptar sus términos. Y recordad siempre dejar vuestros datos personales en buenas manos.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Estudios, General, Noticias, Protección de datos, Servicios
¿Vamos sobrados en temas de ciberseguridad?
¿Creemos que sabemos más de lo que realmente sabemos? En temas tan sensibles como la ciberseguridad parece que así es. Y por lo tanto es un grave peligro para las empresas. Lo demuestra un estudio de Kaspersky que indica que tan solo un 11% de los empleados testados demostraron un alto nivel de conciencia de ciberseguridad. Así que cabe preguntarse: ¿vamos sobrados en temas de ciberseguridad?
Coma ya sabéis, Kaspersky Lab es una compañía internacional global de seguridad informática con presencia en más de 190 países. Sus estudios aportan datos muy interesantes sobre ciberseguridad. Hoy os presentamos una herramienta llamada Kaspersky Gamified Assesment, que está diseñada para medir las habilidades cibernéticas de los trabajadores de una empresa. El objetivo final de la herramienta es cambiar el comportamiento y la conciencia de los trabajadores. De esta forma ayudan a los responsables de seguridad de la información y a los departamentos de recursos humanos a medir las habilidades de todos los empleados de una compañía.
¿En qué consiste Kaspersky Gamified Assesment?
En realidad es como un juego que mide las decisiones que toman los empleados ante situaciones comunes que ocurren mientras trabajan de forma remota y en la oficina. Se evalúan seis dominios de seguridad, como contraseñas y cuentas, correo electrónico, navegación web, redes sociales y mensajería o seguridad de los PC’s y dispositivos móviles. Según las decisiones que se van tomando se otorgan puntos.
Los resultados de este test fueron un tanto alarmantes:
- Solo uno de cada diez trabajadores obtuvo la excelencia (más del 90% de los puntos posibles).
- El 61% logró un resultado “medio” (entre 82 y 90% de los puntos posibles).
- El 28% no demostró un nivel suficiente de conocimientos de ciberseguridad (menos del 75% de los puntos).
- Entre las acciones evaluadas la más difícil resultó ser el de la navegación web: solo un 24% definió correctamente las acciones.
Podéis leer el artículo que explica este tema en IT Digital Security, una publicación de IT Digital Media Group, que se divide en tres publicaciones digitales interactivas orientadas siempre al B2B: IT User, IT Reseller y IT Digital Security. Además el grupo posee servicios de marketing y comunicación.
Más del 30% de los jóvenes no sabe gestionar su privacidad
Podríamos pensar que los jóvenes nacidos ya en plena efervescencia del entorno digital serían mucho más sensibles a los temas de ciberseguridad y privacidad. Pero un reciente estudio de la Universitat Oberta de Catalunya (UOC) lo desmiente, hasta el punto de llegar a preguntarse si “los nativos digitales no tiene habilidades digitales”.
El estudio, titulado Competencias digitales de la juventud en España: un análisis de la brecha de género ha sido financiado por el Ministerio de Ciencia e Innovación y forma parte del proyecto I+D Educación social digital: juventud, ciudadanía activa e inclusión. Para efectuarlo se han entrevistado a 600 jóvenes de entre 16 y 18 años, residentes en España y de ambos géneros.
Las principales conclusiones del estudio son las siguientes:
- Más del 30% de los encuestados de ambos géneros presenta disfunciones, tanto en el ámbito técnico (manejo de dispositivos y habilidades para acceder al entorno digital) como en el informacional (evaluación de los contenidos y sociabilidad online).
- Más del 30% de los jóvenes de ambos géneros desconoce como proceder a la configuración de servicios digitales o como utilizar herramientas para aumentar su privacidad y su anonimato online.
- El 71% de las chicas aseguran manejar bien los distintos perfiles de su identidad digital, frente al 66% de los chicos.
- Solo un 25% declaran que saben hacer el mantenimiento de sus dispositivos y que incluso saben repararlos. Pero en este caso hay grandes diferencias por género: solo el 18% de las chicas se manifestaron este sentido, frente al 32,6% de los chicos.
Podéis saber más sobre este estudio en el artículo de la Universitat Oberta de Catalunya AQUÍ.
Este estudio nos ha recordado un libro coral del año 2017 titulado Los nativos digitales no existen en el que colaboraron 17 autores y autoras y orientado a las personas que formaban a niños y adolescentes en las nuevas tecnologías. Y partían de una premisa interesante: los niños no son nativos digitales porque los niños no saben usar internet. Para los que os interese este punto de vista y este libro, os invitamos a leer ESTE ARTÍCULO publicado en Microsiervos. Como ellos mismos se presentan, es un proyecto que nació como un blog personal escrito por tres amigos con la idea de que fuera un blog de divulgación sobre tecnología, ciencia, Internet y muchas más cosas. En la actualidad está editado por Alvy y Wicho.
Como podéis observar con estos dos informes, cabría preguntarse más de una vez ¿vamos sobrados en temas de ciberseguridad? antes de empezar el trabajo del día a día. Y ya sabéis: aplicar el más común de los sentidos. Otra buena opción es apuntaros a alguna de las formaciones que TECNOideas os puede ofrecer y aumentar así vuestras opciones de trabajar más ciberseguros.
Imagen principal: StartupStockPhotos en Pixabay
La computación cuántica llama a la puerta
La Unión Europea ha elegido el Barcelona Supercomputing Center del Centro Nacional de Supercomputación (BSC-CNS) como uno de los lugares que albergará un ordenador cuántico de la red europea. Solo seis países tendrán uno de estos monstruos que van a cambiar totalmente la forma de afrontar infinidad de problemas que ahora no podemos solucionar.
El BSC-CNS se creó en el año 2005 y es el centro nacional de supercomputación en España. Sus objetivos de investigación se centran en cuatro campos: Ciencias Computacionales, Ciencias de la Vida, Ciencias de la Tierra y Aplicaciones Computacionales en Ciencia e Ingeniería. Además gestiona el ya famoso MareNostrum, el supercomputador más emblemático y potente de España.
En este centro internacional de excelencia en e-Ciencia trabajan 760 expertos y profesionales en I+D.
¿Por qué es tan importante la computación cuántica?
©TECNOideas_O.Pereira
Aunque es difícil resumir en este artículo las posibilidades que abre, podemos resumirlo de forma sencilla si decimos que la computación clásica (o informática clásica) puede estar en 0 o en 1, pero solo en un estado a la vez.
Por contra, la computación cuántica se basa en cubits, que combina los unos y los ceros de tal manera que pueden estar a la vez en ambos estados. Eso posibilita infinitas opciones, abre nuevas puertas lógicas y multiplica ampliamente los posibles nuevos algoritmos.
Para enteder mejor todo esto os invitamos a volver a leer la charla que mantuvimos con José Luis Hevia y Guido Peterssen, responsables del equipo de investigación y desarrollo de software cuántico que ha creado, junto a Mario Piattini, QuantumPath, una plataforma que permite a las empresas adentrarse en el mundo de la computación cuántica. La primera entrega la tenéis AQUÍ y la segunda, que titulamos “La ciberseguridad en tiempos cuñanticos” AQUÍ.
¿Qué hay de nuevo?
©TECNOideas_O.Pereira
Además de la excelente noticia de que el consorcio de supercomputación de la Unión Europea ha escogido al BSC-CNS como uno de los seis centros que albergarán la primera red europea de computación cuántica, tenemos también novedades sobre Google. Y es que este gigante ha anunciado un sistema operativo centrado en la seguridad y los sistemas embebidos. Los sistemas embebidos son sistemas de computación diseñados para cubrir unas necesidades específicas y no generales como ocurre, por ejemplo, con los PC’s.
El nuevo sistema operativo de Google, que se llama KataOS, se centra en la seguridad. A nivel técnico no se ha construido sobre Linux ni Fuchsia, sino con el lenguaje de programación Rust, desarrollado por la Fundación Rust.
Este lenguaje, que parece estar muy de moda, nació en las instalaciones de Mozilla, ya que surgió a partir de un proyecto de Graydon Hoare, que era un empleado de Mozilla en 2006. Las ventajas de este lenguaje son muchas, hasta el punto que Linux ha informado que pronto lo podrá incorporar.
El objetivo final de Google es proporcionar una plataforma fiable y segura que proteja al usuario y su privacidad. Para ello aseguran que es lógicamente imposible que se puedan alterar las protecciones de seguridad. Esperemos que así sea.
Si estáis interesados en el tema tecnólogico, podéis leer ESTE ARTÍCULO de Muy Linux, un blog satélite de la publicación My Computer dedicada exclusivamente al sistema operativo Linux.
Imagen principal: supercomputador MareNostrum.
Por cortesía del Barcelona Supercomputing Center – www.bsc.es
- Publicado en Cuántica, General, Noticias, Protección de datos, Sistemas operativos, Software libre
Éxito del WorldParty2k22 y su CTF
El colectivo %27 acaba de realizar la WorldParty2k22, basado en el conocimiento hacker y la inteligencia colectiva. Su “Capture the flag” (CTF), organizado por el colectivo flagHunters, ha sido uno de los puntos fuertes, ya que participaron una cincuentena de personas repartidas en 31 equipos.
Una de las mejores formas de dar un salto cualitativo en las habilidades sobre hacking es participando en un CTF, siglas de Capture the flag, o Captura la bandera. Como nada es lo que parece (o casi nada) en realidad es una competición gratuita y la flag no es otra cosa que un código que sirve para confirmar que hemos conseguido el reto. Un CTF consta de varios retos. Cada uno otorga puntos y al final, el que tiene más puntos, claro, es el ganador. Se puede participar de forma individual o lo que es más común, en equipos.
No os asustéis con eso de leer la palabra hacking. Ya os hemos contado el origen de la palabra y del movimiento Hacker en este blog. Y os recordamos una vez más que el hacking no es más que un conjunto de técnicas utilizadas para introducirse en un sistema informático vulnerando las medidas de seguridad. La finalidad con que se haga eso es lo que marca la diferencia. Por eso se habla de hacking ético – el bueno – o de ciberdelincuente – el malo -.
Pues bien, la WorldParty 2k22 incluye un CTF que es un banco de pruebas fantástico para las personas que quieren aprender divirtiéndose al tiempo que adquieren habilidades de hacking. No puede ser de otra manera conociendo la filosofía de HackMadrid%27 y del certamen WorldParty, cuyo objetivo es “la difusión del conocimiento, el pensamiento crítico y científico en un marco de plena libertad de pensamiento y expresión, estimulando la experimentación, mediante proyectos basados en el software y hardware libre”.
TECNOideas ha colaborado en el CTF
Como ya está siendo habitual, TECNOideas ha participado también en esta competición. Nuestra colaboración, en forma de patrocinio lleva ya un tiempo, puesto que seguimos plenamente la filosofía de los organizadores. De la misma manera que también colaboramos en el CTF de la IntelCon que organiza Ginseg, como os contamos AQUÍ el año pasado. Y es que no lo podemos remediar, ¡nos encantan los juegos y la gamificación! Por eso también estamos organizando un CTF para institutos y centros de Formación Profesional.
Pero volvamos al CTF de la WorldParty. Participaron 50 personas, agrupados en 31 equipos que debían superar 23 retos. Los ganadores fueron los siguientes:
- Watch4Hack con 4.196 puntos
- Leonuz con 3.335 puntos
- ExpertosEnLogaritmos con 3.264 puntos
Hay que destacar especialmente el trabajo de Leonuz, ya que fue un equipo de una sola persona, lo que, sin duda, fue un plus que merece nuestro aplauso.
Os invitamos a conocer más profundamente el desarrollo de la competición, el marcador o scoreboard, los equipos, etc. AQUÍ.
Como estamos seguros que muchos de vosotros ya estáis esperando participar en una nueva competición, podéis seguir al colectivo flagHunters en su Twitter. Así os irán informando de sus próximos proyectos.
Finalmente, podéis leer la entrevista que mantuvimos con los responsables de flagHunters by HackMadrid hace ahora un año AQUÍ. Así conoceréis un poco mejor sus objetivos, filosofía de la vida y su buen trabajo a nivel social.
Español 
Català