J.M. Ortega: “Hay que tener formación reglada y luego complementarlo con asistencia a congresos.”
Nos acercamos a la figura de José Manuel Ortega, un autodidacta que se atreve con todo: artículos, docencia, charlas y conferencias, libros… Algunos son de temática bastante profesional, como los dedicados a Python, pero otros están pensados para el gran público. Este es el caso del libro “Ciberseguridad. Manual práctico”, editado por Paraninfo.
En este mundo ligado a la ciberseguridad encontramos todo tipo de profesionales. Los hay que desarrollan sus aptitudes desde una formación reglada, ya sea técnica o empresarial. Otros lo hacen desde el mundo laboral, a costa de los cambios naturales de sus empresas. Y finalmente hay otras personas que llegan a la ciberseguridad desde el interés por la tecnología, lo que les ha llevado a ser auténticos hackers (en la definición que reivindicamos siempre desde TECNOideas) o frikis.
José Manuel Ortega es ingeniero de software e investigador de seguridad apasionado por las nuevas tecnologías. Ha impartido formación a nivel universitario y ha colaborado con la escuela oficial de ingenieros informáticos. Algunos de sus libros están relacionados con el lenguaje de programación Python, seguridad, docker y devops.
Publicamos la entrevista en dos fases. La primera hoy y la segunda la próxima semana.
“Lo más importante es tener una mente abierta y despierta
para aprovechar al máximo los congresos.
Todo va muy rápido y la cantidad de información es abrumadora.”
Nunca has trabajado realmente en empresas de ciberseguridad. ¿Cómo llegaste a este mundo?
Bueno, llevo trabajando en una empresa de ciberseguridad solo desde hace aproximadamente un año. Si bien es cierto que mi perfil es más de desarrollador que auditor de seguridad, me han interesado los temas de ciberseguridad sobre todo a raíz de trabajar en diferentes proyectos relacionados con la seguridad en aplicaciones para móviles y al descubrimiento del lenguaje de programación Python como una de las plataformas más usadas para el desarrollo de herramientas orientadas al pentesting. Gracias al conocimiento adquirido dentro de la ciberseguridad, he podido aplicarlos al desarrollo de arquitecturas y desarrollo seguro de aplicaciones.
Algunos autodidactas empiezan a introducirse en este mundo a través de encuentros, jornadas y congresos del sector. ¿Es un buen sistema?
No sólo es un buen sistema, sino que creo que es la mejor opción para conocer qué empresas hay, realizar networking con otros asistentes y estar al tanto de todo lo que se mueve en este sector. La mayoría de los congresos ofrecen talleres para introducirse en nuevas tecnologías y las charlas son impartidas por profesionales del sector. Lo más importante es tener una mente abierta y despierta para aprovechar al máximo este tipo de congresos. Las veces que he podido asistir tengo la sensación que todo va muy rápido y en ocasiones la cantidad de información es abrumadora. Lo difícil y complicado es cuando llegas a casa con todo lo que has aprendido y todo lo que te falta por aprender y entonces te preguntas ¿por dónde empiezo?
Participaste en la segunda edición de una de las cons decanas de España, la Navaja Negra. ¿Qué tal resultó la experiencia de las ponencias en general?
Navaja Negra es hoy por hoy una de las conferencias más importantes a nivel de ciberseguridad y participar en ella me abrió un mundo de posibilidades hasta ese momento desconocido para mí. Fue una de las primeras conferencias a las que asistí para dar una charla sobre seguridad en aplicaciones móviles y la experiencia fue muy buena. En los sucesivos años he estado en alguna ocasión como asistente y el nivel de las ponencias es muy alto.
Queremos recordar a todos los seguidores de nuestro blog, que este año se celebra la décima edición de esta conferencia. Se espera que sea una de las ediciones más espectaculares, porque vuelve trans dos años de sequía. Apuntaros las fechas: del 10 al 12 de noviembre en Albacete. Tenéis aquí toda la información sobre Navaja Negra 2022 .
¿Cómo ves la formación de ciberseguridad en España? ¿Qué les recomendarías a los jóvenes frikis amantes de la tecnología?
La formación en ciberseguridad ha crecido mucho en los últimos años y cada año es más amplia y variada en diferentes formatos como cursos online, másteres reglados y bootcamps. Para tener el perfil más completo posible mi recomendación es tener tanto formación reglada ya sea a nivel universitario o formación profesional y luego complementarlo con la asistencia a congresos que tengan relación con alguna de sus motivaciones.
A los más jóvenes pues comentarles que al final la motivación, actitud y
ganas de superarse son la clave, más allá de los conocimientos que
uno puede adquirir en los cursos o conferencias donde aquellos que
les gustan más cacharrear se encontrarán como pez en el agua con las competiciones CTF (Capture The Flag) y los talleres que se imparten.
¿Para quién está pensado el libro “Ciberseguridad. Manual práctico”?
La ventaja de este libro es que no es excesivamente técnico y tiene un público bastante amplio. Los primeros capítulos son de introducción y tienen un objetivo más divulgativo. Luego a partir del capítulo 5 se tocan temas más específicos donde el público objetivo va variando
al tratar temas sobre desarrollo seguro, hacking ético, investigación en fuentes abiertas
y centros de operaciones de seguridad. Lo escribí pensando en una línea que va desde lo más generalista a lo más específico, dando una visión global de lo que se puede encontrar un usuario que se introduce en la ciberseguridad, sin dejar de lado usuarios con conocimientos más específicos.
Hasta aquí la primera parte de la entrevista mantenida con José Manuel Ortega. En la próxima entrega os seguiremos mostrando interesantes temas relacionados con su actividad y sobre la seguridad de la información.
- Publicado en Congresos, Entrevistas, Formación, General, Noticias, Seguridad, Sistemas operativos
¿Ya podemos decir que la IA es más presente que futuro?
Cada vez hablamos más de la Inteligancia Artificial (IA). Si ya la teníamos presente en nuestro día a día, ¿que pasará ahora, que se ha desarrollado la primera IA de la lengua española? Os presentamos a MarIA, un proyecto de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
Solemos llamar a la gente que se pasa horas consultado libros y archivos “ratas de biblioteca”. Pero ahora quizá deberemos cambiar la popular expresión, porque es gracias a los archivos de la Biblioteca Nacional que se ha desarrollado el proyecto MarIA. Se trata del primer sistema de IA experto en comprender y escribir en lengua española. ¡Sí, habéis leído bien, en nuestra propia lengua! Ha sido desarrollado por el Centro Nacional de Supercomputación y forma parte del Plan de Impulso de las Tecnologías del Lenguaje que pretende fomentar el desarrollo del procesamiento del lenguaje natural y la traducción automática en lengua española y lenguas cooficiales.
Para que os hagáis una idea, MarIA es capaz de gestionar más de 135.000 millones de palabras, generar textos nuevos a partir de un ejemplo previo o incluso detectar los sentimientos que se expresan en textos.
Tenéis más información en la web del Ministerio de Asuntos Económicos y Transformación Digital.
MarIA es el primer sistema en IA en lengua española.
MarIA, nos facilitará la vida en varios aspectos. Será capaz de proporcionarnos múltiples facilidades a la hora de desarrollar asistentes inteligentes, traductores simultáneos, búsquedas y clasificación de documentos…
Entonces, ¿estaríamos hablando de que la IA es un hecho que solo puede conllevar mejoras en la sociedad? La verdad es que todavía no lo sabemos a ciencia cierta. Seguramente nos ayudará tanto como necesitemos, pero a la vez, puede tener sus puntos negativos, como por ejemplo en el ámbito estudiantil.
Nos explicamos: un joven estudiante aseguró haber tenido sobresalientes en todo con ayuda de una inteligencia artificial llamada OpenAI. Lo publicó, para explicarlo a la comunidad, seguramente alardeando de ello y pensando que sería un nuevo referente. Pero hubo una interesante respuesta a su publicación. Aquí la tenéis:
“Existen algunos problemas morales y sociales potenciales con el uso de la IA para hacer los deberes. En primer lugar, si los estudiantes utilizan la IA para que les haga los deberes, puede que no estén aprendiendo el material tan bien como deberían. Esto podría acarrear problemas en el futuro cuando se espera que conozcan el material para los exámenes o las aplicaciones del mundo real. Además, utilizar la IA para hacer los deberes podría llevar a que hicieran trampas. Si los estudiantes son capaces de utilizar la IA para que haga los deberes por ellos, podría darles una ventaja injusta sobre otros estudiantes que hacen los deberes por sí mismos. Por último, el uso de la IA para hacer los deberes podría llevar a una dependencia de la tecnología que podría ser perjudicial si la tecnología fallara o dejara de estar disponible.”
¿Qué os parece? Seguro que algunos de vosotros ya lo habéis captado. La respuesta que acabáis de leer fue redactada con ayuda de la misma IA que utilizó el joven estudiante para obtener sus altas calificaciones. Quizá sea realmente el momento de preguntarse ¿ya podemos decir que la IA es más presente que futuro?
¿Puede tener copyrihgt la inteligencia artificial?
Pero estos no son todos los sucesos sobre IA de las últimas semanas. Hace poco se daba a conocer la historia de Kris Kashtanova, una artista a quien la Oficina de derechos de autor de Estados Unidos concedió el registro de la obra “Zarya of the Dawn” creada con el apoyo de la IA Midjourney.
Se trata de un hecho que puede ser histórico, ya que se reconoce los derechos de autor de una obra (en este caso una novela gráfica o cómic si lo preferís) creada con ayuda de inteligencia artificial. Midjourney genera imágenes a través de textos, lo que se podría percibir como una manera de atribuirse méritos que no fueron realmente para su autora, pero Kris Kashtanova aseguró que desde el primer momento fue clara sobre el uso de dichas herramientas y que incluso, lo terminó por añadir a la portada.
Posiblemente tuvo que ver en el reconocimimento del copyright de su obra el hecho de que la IA contribuyó de forma parcial y no total, dandole simplemente el toque final. Podéis leer el artículo que lo explica en Ars Technica, una publicación web especializada de noticias e información sobre tecnología del conocido grupo editorial Condé Nast.
La polémica está servida: ¿se merece la artista los derechos de autor? Algunos portales especializados en imágenes, como el famoso Getty Images prohíbe este tipo de obras, precisamente por los problemas de derechos de autor que generan. Sin lugar a duda el tema subirá de tono en los próximos años, ya que la problemática sobre los derechos de autor aumentará con otras tecnologías, como puede ser el caso de las imágenes o incluso personas generadas con metadatos.
Otro caso, que lleva ya un recorrido de muchos años pero que está lejos de haber dicho la última palabra, es el de los diferentes tipos de videoarte que han ido surgiendo desde la década de los 60.
¿Qué opináis vosotros? ¿Queréis dejarnos vuestros comentarios?
Imagen principal: Gerd Altmann en Pixabay.
- Publicado en General, Inteligencia Artificial, Noticias, Productos, Tecnología
Cuando el teclado es el ciberdelincuente
Muchos de los avances tecnológicos para luchar contra la ciberdelincuencia se han centrado en aplicaciones, smartphones o dispositivos varios, como los asistentes de voz conectados. Pero ¿qué pasa con los ordenadores que siguen siendo vulnerables a acciones un tanto sofisticadas? ¡Cuidado con el teclado!
Seguramente muchos de vosotros no habéis prestado demasiada atención al teclado que usáis. Quizá, como mucho, os habéis preocupado de que sea ergonómico. Pero nada más. Pues tenéis que saber que el teclado os puede delatar y que los ciberdelincuentes han encontrado un sistema de escuchas a través de las pulsaciones en el teclado.
Hace ya un tiempo publicamos un artículo titulado ¿La ciberseguridad supera a la ciencia ficción? en el que os explicábamos algunas técnicas surrealistas usadas por delincuentes. Entre ellas os hablábamos de un algoritmo capaz de averiguar las palabras escritas por una persona en una videoconferencia, sin verle las manos ni el teclado.
Ahora parece que han dado un paso más, porque la empresa Panda Security ha explicado la posibilidad de robo de contraseñas a través de escuchas en el teclado. Hervé Lambert, gerente de operaciones de consumo global de la empresa, ha explicado que esta nueva técnica se basa en las pulsaciones que realizamos sobre el teclado. Incluso es posible diferenciar tipologías de pirateo informático relacionadas con el teclado.
¡Esos eran totalmente ciberseguros!
Imagen de Valerio Errani en Pixabay
- Keylogger. A través de un malware se monitoriza cada tecla y a través de ello se puede obtener lo que uno escribe de un modo bastante fácil. Así se pueden obtener contraseñas o datos bancarios.
- Acoustic Keyboard Eavesdropping Keylogging attack, o ataques de espionaje a través del teclado acústico. Es un poco más sofisticado que el anterior. Esta técnica reconoce el sonido que produce cada pulsación de las teclas. Para ello se usa un programa que usa un algoritmo al que se le ha “enseñado” a diferenciar pulsaciones mediante diversos escritos. Además se precisa un micrófono que recoja los sonidos y que no interfiera con los ruidos ambientales. Aun así los delincuentes son capaces de obtener información, que, sin ser completa, permite ir probando las opciones que faltan hasta obtener el “¡bingo!”.
Quizá os preguntaréis de dónde sale el micrófono. La respuesta es clara: a través de las escuchas de dispositivos como Alexa, el Asistente de Google, Meta o Siri. No en vano alguna de estas grandes empresas ya han admitido haber grabado escuchas con el desconocimiento de sus propietarios. - Altavoces y ventiladores. Hace ya unos cuantos años de eso, pero hubo escuchas y filtraciones de información a través de los altavoces de los ordenadores de sobremesa, que lograron a distancia cambiar la polaridad de los mismos, y claro, un altavoz… ¡no deja de ser un micro, pero al revés!
También existió el caso de transmisión de datos a través de ultrasonidos, con el mismo sistema.
Y para rizar más el rizo, a través de los ventiladores, como podéis leer AQUÍ. Como ya se sabe, las modas vuelven, así que ¡estad atentos también a estas posibilidades! - Teclados inalámbricos. Panda Security también habla de este tipo de teclados que funcionan a través de una antena conectada al puerto USB. Los delincuentes pueden captar sin demasiados problemas la radiofrecuencia usada, a una distancia de hasta 250 metros.
La empresa desarrolladora de software de seguridad, en su informe, también incluye algunas recomendaciones para evitar que el teclado sea una fuente más de problemas de ciberseguridad.
Podéis leer su artículo AQUÍ.
Si todavía pensáis que todo esto es pura ciencia ficción y no os acabáis de creer lo que puede ocurrir cuando el teclado es el ciberdelincuente, os invitamos a ver uno de los vídeos tutoriales que Marcelo Vázquez, un popular creador de contenido de hacking y ciberseguridad, conocido como @S4vitar, tiene en su canal de YouTube. AQUÍ.
Imagen principal: Gerd Altmann en Pixabay.
- Publicado en Ataques / Incidencias, General, Noticias, Privacidad, Seguridad
Ni siquiera los automóviles con más de diez años son ciberseguros
El coche del futuro debe ser ciberseguro. Pero en España tenemos un parque móvil muy envejecido, con una media de trece años y medio. Así las cosas podríamos pensar que todos estos vehículos no pueden ser ciberatacados porque no disponen de dispositivos que lo permitan. Craso error.
Estamos teniendo una verdadera semana negra, con incidentes en Rockstar Games, el neobanco Revolut y Uber. Este gigante de la movilidad, enfrentado al medio mundo que le quiere cortar sus alas, ha sufrido un ciberataque a través de un dispositivo infectado de un proveedor de la empresa. El incidente ha hecho renacer el interés por la situación de la ciberseguridad en automóviles, un tema del que ya nos hemos ocupado en otros artículos, como el titulado “En el 2022, ¿coche eléctrico, híbrido o de gasolina? ¡Coche ciberseguro!” que podéis recordar AQUÍ. O el que publicamos en el pasado mes de febrero titulado “¿Se roban más coches por culpa de la cibertecnología?” que tenéis en este enlace.
La realidad es que los datos del Informe Anual de ANFAC, la Asociación Española de Fabricantes de Automóviles y Camiones, la edad media del parque automovilístico en nuestro país es de 13,5 años, dos más que el conjunto de la Unión Europea. Además los turismos sin ningún tipo de etiqueta medioambiental son el 64,7% del total.
Uno podría pensar que esos automóviles no pueden ser ciberatacados. Pero eso no es así, como constata Eurocybcar, el primer test que mide la ciberseguridad de un vehículo. Su CEO es Azucena Hernández. Los coches con 13 años de vida ya disponen de suficientes elementos que pueden ser vulnerables. Entre ellos destaca el OBD, un dispositivo que utilizan los talleres para conectar sus equipos de diagnosis. No está en un lugar destacado, por lo que pasa muy desapercibido, pero cualquier persona podría conectar un dispositivo que le permitiría tener acceso al control de muchas de las funciones del vehículo.
¡Cuidado con la USB que conectas! Eurocybcar también recuerda que muchos de los modelos fabricados entonces tenían la opción de conectar una llave USB. Y por lo tanto, el peligro es el mismo que cuando conectamos una USB en el ordenador.
Estos dos ejemplo son solo algunos de los que existen. Os invitamos a leer el artículo de HackerCar para encontrar más ejemplos: bluetooth, sistemas de control de la presión de neumáticos, etc. HackerCar es un medio de comunicación especializado en el mundo del motor, la ciberseguridad y las cosas conectadas. Su director es Javier García y el jefe del área de ciberseguridad es Javier Muñoz de la Torre.
HackerCar ha sido creado por el Grupo Cybentia, una consultora de investigación, concienciación y comunicación estratégica de la ciberseguridad y la movilidad.
Imagen principal: DonnaSenzaFiato en Pixabay
- Publicado en Ataques / Incidencias, General, Medios de comunicación, Noticias, Seguridad
La UE quiere que los dispositivos sean más ciberseguros
Adquirir teléfonos móviles, televisores, cámaras o frigoríficos que sean ciberseguros es lo que pretende la nueva normativa común que está preparando la Unión Europea. Se busca que todos los consumidores estén protegidos al adquirir un dispositivo electrónico. La responsabilidad será de los fabricantes y durará toda la vida útil de los aparatos.
Hace ya tiempo que se trabaja en esta nueva normativa, anunciada en septiembre de 2021. La novedad más interesante de la propuesta la encontramos en que la responsabilidad de los fabricantes no se circunscribirá al momento de la compra, sino que se deberá mantener durante toda la vida de los dispositivos.
La norma forma parte de la Estrategia de Ciberseguridad Europea y antes de que se convierta en ley aun tendrá que superar diversas etapas, que pueden durar años. La maquinaria europea no solo es lenta, sino que también es pesada. Pero no debemos menospreciarla por eso. Muy al contrario, lo que pretende es que los particulares y empresas dispongan de toda la información posible sobre la ciberseguridad de los dispositivos que se adquieran. Y va a tener un efecto importante en la industria, donde el IoT o Internet de las cosas afecta a dispositivos de muy larga vida.
El tema es importante, porque muchos de los ciberataques con ransomware en empresas comienzan precisamente a través de estos dispositivos. Y la Comisión Europea asegura que cada 11 segundos se produce un ataque de ransomware a una organización de cualquier parte del mundo. El coste de ello se eleva a 5,5 billones de euros.
Hace unos pocos meses ya publicamos el artículo “Ciberseguridad a golpe de ley” en el que explicábamos que la Comisión Europea había decidido reglamentar la seguridad de los rúters y dispositivos IoT conectados. Y lo hizo mediante la Ley de Resiliencia Cibernética.
Y ahora la Comisión da un paso más, interesándose por los dispositivos que más afectan al ciudadano de a pie. Podéis leer el documento en la web de la Comisión Europea AQUÍ. Pero si preferís un documento más asequible, os invitamos a enlazar ESTE ARTÍCULO de la web CyberSecurity News, como sabéis una revista líder en cibereguridad.
Imagen de OpenClipart-Vectors en Pixabay
En este contexto legal hay que recordar el interés creciente de la Unión Europea por todos los temas de ciberseguridad. Ya en diciembre de 2020 el portal de administración electrónica del Gobierno publicó un artículo con el título “La nueva Estrategia de Ciberseguridad de la UE”. Y podéis acceder a la resolución del Parlamento Europeo del 10 de junio de 2021 sobre la Estrategia de Ciberseguridad de la UE para la década digital AQUÍ.
También podéis leer un artículo sobre la directiva de los dispositivos inalámbricos publicado este año en la web de la Oficina de Seguridad del Internauta.
Nosotros no cesamos de repetiros que seáis cautos y toméis medidas para evitar en lo posible este tipo de acciones. En este blog de TECNOideas ya publicamos el año pasado el artículo “Ciberseguridad en dispositivos móviles” donde explicábamos el peligro que pueden representar si no actuamos con diligencia.
Y hoy os recordamos tres de las más sencillas y esenciales medidas de seguridad:
- Actualizar los programas. Las actualizaciones, que nos parecen tan pesadas, suelen llevar potentes herramientas de seguridad.
- Proteger las cuentas. No basta con proteger los dispositivos. Proteged vuestras cuentas con contraseñas seguras (más largas y complicadas, cambiarlas a menudo, etc.).
- Haced copias de seguridad de los datos importantes.
- Publicado en Ataques / Incidencias, General, Normativa, Noticias, Seguridad
El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar
Ya son muchos los usuarios que reportan una nueva ciberestafa, esta vez vía WhatsApp.
Se trata de una supuesta campaña que promete el álbum del Mundial de Fútbol de Catar de la conocida marca Panini con 400 cromos gratis.
No es un misterio que los ciberdelincuentes aprovechan hasta el más mínimo descuido para extraer datos de los usuarios de distintas plataformas. Llevan años ejerciendo estas prácticas y lo más preocupante es que, con el paso del tiempo, se van superando y mejorando sus técnicas.
Esta vez las víctimas son los entusiastas del coleccionismo de cromos y la excusa es el Mundial de Fútbol de Catar 2022. Como es tradicional, el grupo italiano Panini, líder mundial en el mercado de las colecciones y de las trading cards, ha puesto en el mercado el álbum de cromos del Mundial de la FIFA. Al contrario de lo que pueda pensarse, los verdaderos frikis del coleccionismo de cromos son adultos y no niños o chavales jóvenes. Esto es lo que ha motivado que los delincuentes hayan ingeniado una estafa vehiculizada a través de WhatsApp.
El engaño consiste enviar a los usuarios una imagen calcada de la oficial de Panini, con el mensaje “accede y gana el álbum con más de 400 cromos”. Si las personas clican en el enlace se encuentran con preguntas sobre el álbum y el editor. Además hay un contador muy visible que muestra la supuesta cantidad de álbumes que quedan a su disposición. Eso genera un sentimiento de urgencia que hace que las victimas rellenan el cuestionario cuanto antes.
Una vez se ha realizado correctamente el cuestionario, los ciberdelincuentes solicitan que la víctima comparta con sus contactos. Con ello el delito crece exponencialmente. Al fin, se redirige a varios sitios que requieren los datos personales de las víctimas. En realidad son webs de apuestas deportivas que funcionan con afiliados, con lo que también ganan comisiones.
Son muchas las personas afectadas por esta estafa que descubrieron los expertos de la empresa Kaspersky, como es sabido, una de las compañías líderes en seguridad informática del mundo.
Los fraudes cibernéticos relacionados con eventos deportivos son una práctica bastante extendida porque aglutinan a un gran número de personas. En noviembre de 2021, Kaspersky ya alertó de que la Copa del Mundo de Fútbol de 2022 era un gancho para difundir estafas. Miles de correos fraudulentos y archivos maliciosos buscaban robar datos de particulares y empresas y,por supuesto, su dinero. Imaginamos que no hace falta deciros que básicamente se trataba de phishing y spam. Podéis leer el comunicado que Kaspersky publicó en su momento sobre este tema AQUÍ.
Como podéis comprobar entre esos primeros fraudes de hace un año hasta el que os contamos hoy ha habido una sofisticación del delito considerable. El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar ha sido neutralizado, pero algunos coleccionistas ya han picado.
Os recordamos que la mejor manera de prevenir este tipo de estafas es no confiar en enlaces externos hacia fuentes principales. O facilitar los datos en ocasiones y lugares que no son realmente necesarias… ¡y sin comprobación alguna previa!
Imagen principal: Tayeb MEZAHDIA en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Protección de datos, Redes sociales
Las filtraciones de datos no van de vacaciones
Brechas y filtraciones de datos, ataques… los ciberdelincuentes no hacen vacaciones y durante agosto ha habido algunos casos singulares, como los que se han producido en empresas tan populares como Twitter o Signal.
Cada vez hay más empresas que no cierran por vacaciones. Hacer turnos o como máximo cerrar una semana se ha convertido en algo frecuente que viene a contradecir el tradicional “Cerrado por vacaciones”, que venía a significar que la empresa en cuestión “desaparecía” todo agosto. Sin embargo las filtraciones de datos no van de vacaciones. Y los ciberdelincuentes tampoco. Es más, suelen aprovechar que las empresas ralentizan su actividad para tener más opciones de éxito.
Signal es una aplicación de mensajería instantánea y llamadas que usa código abierto y se esfuerza en la privacidad y seguridad. Como se lee en su web, “es un programa de chat simple, potente y seguro”. Usa el cifrado de extremo a extremo “en todos tus mensajes, todas tus llamadas, para siempre”.
A pesar de todo ello ha tenido una brecha de datos debido a un phishing de ingeniería social que ha sufrido la empresa Twilio. Se trata de una compañía que ofrece una plataforma de comunicaciones y de servicios en la nube ubicada en San Francisco. Y resulta que Signal es cliente de Twilio, por lo que el ataque a esta compañía afectó a un par de miles de usuarios de Signal.
Según Signal, la brecha de datos ha afectado “a un porcentaje muy pequeño” de usuarios de la aplicación. Se han puesto en contacto con ellos y les han pedido que vuelvan a registrarse. Podéis ver el comunicado que emitió la empresa AQUÍ. Es un buen ejemplo de reacción e información sobre lo sucedido, ofreciendo soluciones concretas a sus usuarios.
También Twitter
También la popular red social del pajarito sufrió un ciberataque debido a una vulnerabilidad ocurrida un año antes, cuando efectuó una actualización de su código. Twitter solucionó esta vulnerabilidad, pero… alguien había aprovechado el tema para recopilar direcciones de correos electrónicos y teléfonos en la versión de Twitter para Android. Este verano estaba intentando vender esta filtración de datos que alcanzaba a más de cinco millones de usuarios de Twitter.
Restore Privacy, una web que se encarga de crear conciencia sobre privacidad y seguridad online y brindar a todo el mundo herramientas para mantenerse seguros en el entorno digital, dio la voz de alarma y por eso Twitter tuvo conocimiento de la filtración.
Como en el caso anterior, reaccionó correctamente. Notificó a los propietarios de las cuentas afectadas el error y publicó en su blog ESTE ARTÍCULO porque no podían confirmar todas las cuentas que potencialmente podían haberse visto afectadas y así alertar a todos sus usuarios. En el post también explicaban como proteger las cuentas, recomendando a los usuarios que habilitaran la autenticación de dos factores y ofrecían un formulario de contacto.
Está claro que las filtraciones de datos no van de vacaciones. De hecho los ciberdelincuentes están siempre atentos. Podéis comprobarlo si leéis dos artículos publicados en este blog. Uno de ellos habla de filtraciones en Safari y el otro de filtraciones en Telefónica Chile, Apple y Phone House. Lo podéis leer AQUÍ. Lo dicho: ¡nadie se libra!
Imagen principal: James Osborne en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Privacidad, Redes sociales, Seguridad
Buzoneo maldito y llave USB maliciosa
El ser humano es curioso por naturaleza. Pero a veces nos olvidamos que la curiosidad mató al gato. Recibir en el buzón una memoria USB que no hemos pedido nos llevará ineludiblemente a ponerla en nuestro ordenador para ver el contenido. ¡Cuidado! Seguramente albergará un ransomware. Y el falso remitente será un avispado ciberdelincuente.
Esta práctica, que parece sacada de una película de Bond, James Bond, acaba de ser una realidad en el Reino Unido. El tema es como sigue: uno recibe un paquete en su buzón. Al abrirlo hay una supuesta copia nueva y original de Microsoft Office Professional Plus (valorado en unos 400 euros) con una llave USB. Al poner el USB aparece un mensaje en el que se informa que tienes un virus. Y aparece un número de teléfono. Se bloquea el ordenador. El ransomware ha cumplido con su razón de ser. Solo queda llamar al teléfono en cuestión. Se piden los datos y la estafa es un hecho.
Martin Pitman es un experto consultor de la empresa especializada en seguridad cibernética, defensa y sector nuclear Atheniem. Pitman ha examinado el USB y el estuche de Microsoft y ha manifestado su sorpresa por lo bien que han copiado todos los elementos del paquete. Lo que implica que los ciberdelincuentes se han molestado en crear un producto de alta calidad y por lo tanto bastante caro. Pero con solo un puñado de estafados ya les sale a cuenta. Por su parte Microsoft declaró que la estafa era real.
Hay que decir que este método no es nuevo. El buzoneo con trampas varias ya había sido usado hace años por ciberdelincuentes. Esta práctica fue cayendo en desuso, porque los buzones cada vez están más vacíos. Sin embargo, la locura de comprar por internet en plataformas tipo Amazon, ha hecho que los delincuentes la recuperen. Para saber más sobre esta estafa, podéis leer un artículo de Sky News donde explican lo que ha sucedido en Gran Bretaña. Y si lo preferís, en nuestro país ha sido Computer Hoy la que le ha dedicado un artículo que podéis leer AQUÍ.
La curiosidad mata al gato decíamos al inicio. Y es que lo sabemos a ciencia cierta porque lo hemos probado. Hace unos años, esta empresa se dedicó a dejar en las oficinas de algunos de nuestros clientes una memoria USB con el título “Importe nóminas dirección”. La tasa de apertura fue del 98%. Debemos decir que esa actuación nuestra contaba con el beneplácito de la dirección. Fue una prueba para ver el grado de sensibilización de los trabajadores ante memorias desconocidas. Y por supuesto, no había el contenido anunciado.
Una vez más insistimos en la necesidad de usar el sentido común. Pensar unos segundos antes de realizar cualquier acción desconocida como abrir correos electrónicos o sus adjuntos es una práctica que debemos recomendar.
Imagen principal: Esa Riutta en Pixabay
- Publicado en Ataques / Incidencias, General, Malos hábitos, Noticias, Seguridad
Hoy es el Día Internacional del Hashtag y el Día del Internauta
En el inmenso calendario de conmemoraciones y celebraciones del “dia de…” tenemos marcado en fosforito el 23 de agosto. Es la fecha en que coinciden dos celebraciones que nos afectan a todos. Porque un internauta no es más que una persona que navega por internet, según la definición de la RAE. Y un hashtag nos lleva directamente a redes sociales y más específicamente a Twitter. ¿Quién se cree exento de ambas?
Empecemos por el Día del Internauta, porque conmemora uno de los avances tecnológicos más importantes de la historia de la humanidad. El 23 de agosto de 1991 un servidor web fue accesible a todo el mundo. O lo que es lo mismo, se publicó la primera página web a nivel mundial. Detrás de todo ello se hallaba la Organización Europea para la Investigación Nuclear, el famoso CERN, que tiene su sede en Ginebra. En esta institución, un grupo de físicos encabezado por Tim Berners-Lee, habían creado el código o lenguaje HTML. Poco después tuvieron el primer cliente web, el famoso World Wide Web, que todos conocemos como www y el primer servidor web. Su idea era intercambiar información entre científicos de distintas universidades. Y en poco tiempo se convirtió en un fenómerno de masas.
Según el informe Digital Report 2022 el mundo cuenta en la actualidad con 4.950 millones de internautas. Este informe, que mide las tendencias digitales, redes sociales y mobile, lo elaboran conjuntamente We Are Social, una agencia creativa guiada por el pensamiento social y Hootsuite, líder mundial en gestión de redes sociales.
Si estáis interesados en la historia de la creación de internet, podéis leerla en este artículo de la Wikipedia.
Día Internacional del Hashtag (#)
Por su parte, el inocente y simpático Hashtag, celebra su día el 23 de agosto desde el año 2018, cuando Twitter propuso con éxito que así fuera.
Nos lo recuerda el artículo de la web Dia Internacional De que tenéis AQUÍ. En él nos explican que, aunque todos relacionamos el hashtag con Twitter, no fue esta red su inventor, sino uno de sus usuarios llamado Chris Messina. Y es que Messina tuvo la idea de compartir un mensaje con esta etiqueta, que escribió junto a la palabra barcamp. El éxito fue total, se viralizó rápidamente y dos años después Twitter lo incluyó como una de sus funciones. Es interesante recuperar la entrevista que TreceBits publicó tal día como hoy del año 2019, cuando se cumplían 12 años de la creación del hashtag. Messina comenta que “en Twitter me dijeron que el hashtag era muy complicado y que la gente nunca lo iba a usar”. Sin comentarios…
Podéis leer la entrevista AQUÍ.
El símbolo o etiqueta # representaba anteriormente al numeral en los teclados telefónicos y luego también en el de los ordenadores. Como es sabido, hoy es un símbolo que es utilizado en redes sociales, pero especialmente en Twitter, para identificar mensajes de un tema concreto.
Para finalizar os diremos que el origen etimológico es la unión de la palabra inglesa hash (función, numeral) y un nombre o etiqueta (tag). Y que en el Diccionario de la RAE no se encuentra el anglicismo. La Real Academia recomienda que se sustituya por su equivalente en español: etiqueta. Parece que la vieja denominación almohadilla ha caído en desuso.
Imagen principal: GraphicsSC en Pixabay
- Publicado en General, Historia, Noticias, Redes sociales, Tecnología
Herramientas de IA para abogados
Poco a poco la Inteligencia Artificial (IA) se va colando en nuestra vida y en nuestro trabajo. Ahora la colaboración de dos empresas ha posibilitado la creación de dos soluciones de software que, mediante la IA, automatizan tareas en despachos de abogados y les hace la vida mucho más fácil.
Si sois de los que visitáis con cierta frecuencia despachos de abogados, quizá habréis advertido en alguno de ellos un cierto caos organizativo. Esto puedo terminar gracias a la Inteligencia Artificial y más concretamente a dos soluciones de software denominadas Smart Tags y Legal Review.
Smart Tags clasifica de forma automática millones de documentos. Además los identifica con etiquetas, lo que hace que los abogados pueda realizar búsquedas de calidad en segundos. Esto que parece tan sencillo es una solución muy importante, ya que la búsqueda y localización de documentación e información ocupa muchas horas de trabajo a lo largo del año.
Legal Review es capaz de realizar un extenso análisis jurídico del documento del cliente y avisa de los temas de más interés para el cliente o para un compañero del bufete.
Las dos herramientas se integran, además, en el gestor documental y de correo electrónico iManage, una plataforma de trabajo muy usado por los abogados.
Detrás de estas dos herramientas está el acuerdo de dos empresas que han sabido actuar como socios estratégicos. Por un lado Lefebvre, una editorial líder en España en información jurídica y práctica para abogados. Y por otro lado la empresa Lexsoft Systems, también empresa líder en España pero en procesos de negocio y soluciones Legaltech para todo el sector de la abogacía.
La Inteligencia Artificial se va imponiendo poco a poco y sus increíbles ventajas llegan a prácticamente todos los niveles y sectores. Si estáis interesados en conocer mejor esta tecnología, que es exactamente y como se usa, os invitamos a leer este artículo publicado en la web del Parlamento Europeo.
También os queremos informar que TECNOideas está preparando, por petición de varios clientes abogados, un software que compila varias herramientas que también ayudan en el día a día de los bufetes de abogados. Entre ellas podemos citar la transcripción de audio y video a texto, búsquedas automatizadas o análisis de datos entre otras.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en General, Noticias, Productos, Servicios, Sobre TECNOideas, Tecnología
Español 
Català