Primeros malos usos de ChatGPT
Dos meses han tardado los ciberdelincuentes en usar ChatGPT para crear campañas de malware. La herramienta de Inteligencia Artificial de moda, ChatGPT, que fue presentada en noviembre del año pasado, ya ha sido usado para recopilar archivos de Office, PDF o imágenes.
ChatGPT es una nueva herramienta de Inteligencia Artificial que ha sido desarrollada por la compañía OpenAI. Esta empresa, especializada en investigación de IA y que dice que no tiene ánimo de lucro, desarrolló la herramienta y la ofrece gratuitamente a toda persona que tenga una cuenta con ellos.
Se está hablando mucho de ChatGPT, porque puede entablar una conversación en texto, ya que tiene una importante capacidad de generar y enlazar ideas. Además recuerda las conversaciones previas, por lo que va “aprendiendo” a medida que se utiliza.
El hecho de que cualquier persona puede hacer uso (bueno o malo) de esta herramienta es precisamente lo que ha hecho saltar las alarmas de diferentes compañías de seguridad. Por ejemplo la empresa Check Point.
Desde principios de diciembre, investigadores de esta empresa hicieron una serie de estudios y seguimientos. En ellos encontraron indicios de usos maliciosos a través ChatGPT. Además y en paralelo, apareció un hilo sobre el tema en un foro clandestino de piratería. En el se hablaba de las opciones que ofrecía para insertar campañas de malware. Para ello se había utilizado un software malicioso basado en Python para buscar archivos, copiarlos en una carpeta, comprimirlos y subirlos a un servidor FTP codificado. Posteriormente se ha comprobado que, efectivamente, es capaz de crear un malware que recopila archivos de Microsoft Office, PDF o imágenes del sistema.
No solo eso, en caso de encontrar un archivo que le interese y se lo quiera guardar, lo podrá hacer sin ningún tipo de problema. Simplemente tendrá que comprimirlo y compartirlo a través de la web. ¿Lo peor? Que todo eso se haría sin añadir cifrado, por lo tanto, estos archivos podrán terminar en manos de terceros por el hecho de no utilizar ese tipo de sistema de seguridad.
Esa no fue la única evidencia de mal uso del ChatGPT. También han podido crear scripts (secuencia de comandos que se usa para manipular las instalaciones de un sistema existente) con la herramienta. La misma empresa terminó concretando que se trataba de un script con diferentes finalidades como encriptado y cifrado, aunque también tiene una utilidad maliciosa.
Si queréis saber más sobre esta herramienta, podéis obtener más información AQUÍ.
Ya en este blog os hemos hablado de algunas de las opciones que han generado cierta controversia sobre la Inteligencia Artificial. Os recordamos el caso de los autógrafos de Bob Dylan en el artículo “La “estafa” de las dedicatorias
Anteriormente ya nos habíamos interesado por todo lo relacionado con la Inteligencia Artificial, a raíz del proyecto MarIA en el artículo ¿Ya podemos decir que la IA es más presente que futuro?
Imagen principal de: Alexandra_Koch en Pixabay
- Publicado en Ataques / Incidencias, General, Inteligencia Artificial, Noticias, Productos, Seguridad
Brecha en el gestor de contraseñas LastPass
No dejamos de insistir en la conveniencia de trabajar con un gestor de contraseñas. Prácticamente son la única opción de tener el acceso a nuestras fuentes con seguridad. Y también son la única opción contra nuestra desmemoria y sencillez en el momento de escoger contraseñas. Todo lo que no sea trabajar con ellos es aumentar las posibilidades de que sean los ciberdelincuentes los que trabajen… ¡contra nosotros!
También decimos que la seguridad al 100% nunca existe. Por eso queremos hablaros hoy de LastPass, un buen gestor de contraseñas multilingüe que desarrolló la empresa Marvasol Inc. en 2008. Pero este gestor ha estado en boca de muchos en el último trimestre de 2022. Algunos de nuestros clientes nos han preguntado acerca de un incidente de seguridad que LastPass tuvo en agosto. La compañía lo anunció oportunamente, diciendo que “alguien” accedió a su entorno protegido de desarrollo, pero no afectaba a los datos y credenciales guardados por los usuarios de la plataforma.
Contraseñas bien protegidas
LastPass funciona a través de una contraseña maestra, se encripta a nivel local y se sincronizan con los navegadores que lo aceptan, que son prácticamente todos. Además posee un complementador automático de formularios web, que utiliza para la autenticación, generar nuevas altas en sitios web y la contraseña automática.
A todo ello añade una política de empresa de total transparencia. Esa transparencia es lo que motivó que el pasado 22 de diciembre, el CEO de la empresa, Karim Toubba, firmara un comunicado explicando con detalle el resultado de la investigación que abrieron sobre el suceso.
En él reconocen que se robaron códigos fuente e información técnica y que copiaron información de la copia de seguridad. Esta copia tenía datos básicos de las cuentas de los clientes, nombres de empresas y de usuarios finales, direcciones de facturación y de correo electrónico, números de teléfono y las direcciones IP con las que los clientes accedían al servicio de LastPass.
El comunicado explica que no existen evidencias de acceso a datos de ninguna tarjeta de crédito sin cifrar. Eso se debe a que LastPass no almacena números completos de las tarjetas de crédito y no se almacenan en la nube.
En un nuevo apartado titulado ¿Qué deben hacer los clientes de LastPass? Karim Toubba explica algunas ventajas de LastPass. Se exige un mínimo de 12 caracteres para las contraseñas maestras, que usan una implementación más segura de lo normal y otras recomendaciones generales. Todo ello lo podéis leer en ESTE COMUNICADO que se encuentra en la web de la empresa.
¿Qué enseñanza podemos sacar de todo ello?
Lo primero es lo ya sabido: no existe la seguridad al 100%. Pero sí buenas barreras, alternativas y soluciones. Además una empresa seria, como es el caso, ha explicado detenidamente el resultado de su investigación, lo que da credibilidad y seriedad a la empresa. Creemos que la brecha en el gestor de contraseñas LastPass y todo lo que explica su CEO deja bien a las claras que sus barreras han funcionado y difícilmente los delincuentes han podido acceder a los datos finales de sus clientes.
Lo segundo es insistir en que los gestores de contraseñas son seguros y fáciles de usar. O por lo menos son lo más seguro que existe para gestionar al acceso a nuestras fuentes habituales.
Y lo tercero es que nos hagáis un poco más de caso. Nosotros hemos escrito algunos artículos relacionados con las contraseñas. Por ejemplo, con ocasión del Día Mundial de la Contraseña (5 de mayo) publicamos ESTE POST en el que, además, sugeríamos algunos gestores de contraseñas que hemos probado en TECNOideas. Entre ellos estaba LastPass, que seguimos recomendando.
En octubre también os hablamos del futuro de las contraseñas, que, sin duda serán los datos biométricos y las claves criptográficas, lo que se llama genéricamente passkeys. Lo podéis leer AQUÍ.
Todo el mundo puede tener un problema de seguridad. Lo que diferencia a unos de otros es la forma de tratar el problema, la rapidez en la respuesta y las garantías que se ofrecen a los usuarios, proveedores, clientes, etc.
Una buena forma de demostrar esta eficiencia es tener las certificaciones de la seguridad de la información, como la ISO 27001 o el Esquema Nacional de Seguridad (ENS).
Imagen principal: Mohamed Hassan en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Productos, Seguridad
La “estafa” de las dedicatorias
Nos gusta tanto que nuestros artistas preferidos nos dediquen sus obras que podemos estar horas haciendo cola para conseguirlo. Pero la tecnología permite autografiar de manera automática. ¿Es el fin del encanto de que nuestros ídolos nos personalicen un libro, un disco o cualquier otra obra? ¿Estamos delante de una nueva estafa?
El inefable Bob Dylan, una de las personalidades más influyentes de las últimas décadas, ha sido el responsable de destapar una presunta estafa relacionada con dedicatorias.
El cantautor, que también fue Premio Nobel de Literatura en 2016 con polémica por la designación de un cantante para ese premio, vuelve a estar en el ojo del huracán tras la publicación de su nueva obra literaria, The Philosophy of Modern Song.
El problema ha sido que, con el lanzamiento, se ha puesto a la venta una edición limitada de 900 unidades al precio de 599 dólares (unos 578 euros). El precio tan alto se justificaba por el hecho de ir firmados por el propio autor. Pero al compartir en redes sociales esas supuestas firmas únicas, se ha visto que todas eran iguales. Y es que los ejemplares no han sido firmados de puño y letra por el autor, sino por un bolígrafo automático llamado autopen. Probablemente no ha sido solo Bob Dylan el responsable final de esta acción, sino que su editorial, Simon & Schuster, también ha tenido mucho que ver. Sin embargo sí ha tenido que ser Dylan el que ha pedido disculpas y lamentar “profundamente” lo que ha sucedido, argumentando, además, que ha sido algo ocasional motivado por las complicaciones derivadas de la pandemia.
El lío ha sido considerable en Estados Unidos, ya que algunos compradores han hablado de estafa. Según la RAE, estafa es “Delito consistente en provocar un perjuicio patrimonial a alguien mediante engaño y con ánimo de lucro”. Esta definición es compatible con lo ocurrido, por lo que ya se habla de la “estafa” de las dedicatorias.
La editorial ha tenido que reembolsar el dinero de su compra y ha anunciado que trabaja con el autor para que pueda firmar de su puño y letra los ejemplares.
¿Qué es el autopen?
Lo curioso del caso es que el autopen no es nada nuevo. No es la primera vez que se ha usado para hacer dedicatorias masivas. En Estados Unidos ya se había utilizado en firmas de Ronald Reagan o Barak Obama. Pero esta vez se ha usado para “solo” 900 libros de una edición especial y no tan masivamente como en el caso de los presidentes estadounidenses. De hecho, su uso está bastante extendido. Tanto es así que existen varias marcas que fabrican el autopen. Ya en enero de 2018, la European Agency of Digital Trust (EAD Trust) publicó un pequeño artículo sobre autopen que podéis leer AQUÍ. La EAD es un prestador de servicios de certificación, con sede en Madrid. Presta servicios a toda Europa de digitalización, de todo tipo de firmas digitalizadas, de certificados electrónicos, etc.
El bolígrafo automático utiliza una técnica relativamente sencilla. Primero se introduce el modelo de firma real. Para ello tienen unos brazos mecánicos que sostienen una pluma, lápiz o bolígrafo. Algunos poseen, además, unas ranuras que leen tarjetas SD, de modo que captan incluso la presión o velocidad del lápiz usado para escribir. Una vez captado todo esto, la máquina es capaz de reproducir lo que se ha escrito imitando perfectamente los movimientos de la mano de la persona que lo ha usado.
Pero lo que se está perdiendo en realidad es el encanto. ¿Vamos a tener dentro de poco una diada de Sant Jordi o un Día del Libro llena de máquinas firmando obras mientras los autores están en sus casas?
¿Conversaremos con una máquina?
No debe extrañarnos que la tecnología permita cada vez más excentricidades de este tipo. Con la Inteligencia Artificial (IA) estamos descubriendo unas opciones de interacción jamás pensadas anteriormente. Una de las que más suena en la actualidad es el ChatGPT. Se trata de un prototipo de chatbot de IA desarrollado este mismo año por OpenAI, una compañía de investigación de inteligencia artificial fundada por Elon Musk y otros emprendedores en 2015. Si hasta ahora nos conformábamos con dar órdenes a una máquina para que nos diera una serie de servicios relativamente sencillos, la IA del ChatGPT va mucho más allá y permite que mantengamos una conversación.
Se trata de un sistema que se basa en el modelo de lenguaje por IA GPT-3, lo que le posibilita realizar múltiples acciones relacionadas con el lenguaje, desde generar textos hasta traducirlos. Ya os hemos hablado aquí en alguna ocasión de estas opciones relacionadas con el lenguaje, como el proyecto MarIA.
Como buena “inteligencia”, va entrenándose con el tiempo, por lo que poco a poco es capaz de mantener conversaciones con personas, hablando de cualquier tipo de tema y respondiendo de forma coherente. Y por supuesto en muchos idiomas diferentes.
Si queréis saber más cosas sobre ChatGPT, como funciona o como utilizarlo, os recomendamos leer este artículo de Yúbal Fernández, un editor de contenidos publicado en Xataca Basics AQUÍ.
Imagen principal de: todabasura en Pixabay
- Publicado en Certificaciones, General, Inteligencia Artificial, Noticias, Productos
WhatsApp tampoco se libra
Nos encanta esta aplicación de mensajería instantánea, formar grupos, explicar nuestra vida, enviar fotos de todo tipo, la inmediatez que supone. Vale, pero… ¿alguien ha pensado qué pasaría con toda esa información que regalamos alegremente en caso de filtración de datos?
Pues esa fuga que teóricamente nunca iba a pasar, ya ha pasado. Al menos así lo asegura la publicación CyberNews. No es cualquier medio. Se trata de una publicación online que se basa en investigaciones para ayudar a las personas a vivir su vida digital de forma segura. Por eso sus noticias nos merecen toda la confianza.
Los investigadores de CyberNews utilizan técnicas de hacking de sombrero blanco para encontrar amenazas y vulnerabilidades de seguridad en todo el mundo. Y recientemente han denunciado que un grupo de ciberdelincuentes supuestamente ha robado los datos de millones de teléfonos móviles con cuenta en WhatsApp, en todo el mundo. Hablamos de nada menos que 487 millones de números de teléfonos. De ellos casi 11 millones serían de números españoles. En este perverso ranking por países se encuentran Egipto (45 millones), Estados Unidos (32 millones), Italia (35 M) o Francia (20 M). Y así hasta 84 países. España ocuparía el puesto 15.
El robo de estos datos tendría el objetivo de realizar ataques de smishing (simular un mensaje de SMS) y vishing (suplantar una llamada) y así exponer a sus legítimos dueños a diversos ciberriesgos suplantando también su identidad.
Meta, empresa propietaria de WhatsApp, aseguró que todo esto no tenía ninguna razón de ser porque la publicación no indica cómo se han obtenido esos datos y que hay más de 2.000 millones de usuarios de WhatsApp en todo el mundo, por lo que cualquier lista de teléfonos de países de todo el mundo incluiría inevitablemente números de WhatsApp.
Sin embargo CyberNews detectó que el pasado 16 de noviembre los ciberdelincuentes había puesto un anuncio en un foro de la comunidad de piratería BreachForums. En él ponían a la venta una supuesta base de datos de 2022 con 487 millones de números de teléfonos. El precio de los datos de Estados Unidos era de 7.000 doláres y el del Reino Unido 2.500 dólares.
Podéis leer la noticia de CyberNews AQUÍ.
Y como siempre prevención
Como podéis ver, WhatsApp tampoco se libra. Este tipo de ataques no es nada nuevo. De hecho, siempre que se acercan fechas clave de compras online (Navidad, Black Friday, Cyber Monday, San Valentín, etc.) suele haber ciberdelincuentes que intentan robar datos.
Por lo tanto debemos preguntarnos lo que debemos hacer cuando nuestros datos están comprometidos para evitar que el delito vaya a más.
Aunque en este blog ya hablamos profusamente de todo ello, os recordamos que lo primero debería ser el tema de las contraseñas. Una filtración con una contraseña igual para varios lugares significa que se multipliquen las opciones de robar datos de otras cuentas que tengamos. Así que:
- Una contraseña para cada cuenta que tengamos. Si eso es un problema para vosotros, la buena opción es la siguiente:
- Usar un gestor de contraseñas.
- Implementar el doble factor de autenticación en todos nuestros servicios. No siempre depende de nosotros, porque hay todavía muchos servicios que no lo tienen implementado. Pero si lo tienen, no dudéis en implementarlo.
- Sospechar siempre de un desconocido que quiera contactaros por WhatsApp.
- Sospechar de las llamadas recibidas de números infinitos, a no ser que tengamos un familiar viviendo en la India.
Y como más vale prevenir, lo más importante debería ser confiar en alguna empresa de ciberseguridad, como es el caso de TECNOideas. Como ejemplo, os pasamos unas ideas para que intentéis evitar que os pase todo esto.
1.- Averiguar si vuestro número de teléfono ha estado en una lista de filtración de datos. Escribid el número con el prefijo de país en ESTE ENLACE.
2.- Instalaros un software de seguridad en vuestro smartphone. La Oficina de Seguridad del Internauta recomienda varias aplicaciones. Tenéis el listado AQUÍ.
3.- Instalaros la aplicación CONAN MOBILE. Creemos que es imprescindible. Ha sido desarrollada por el INCIBE y se ofrece a través de la OSI (Oficina de Seguridad del Internauta). Es un software que no actúa como un antivirus, pero es capaz de revisar configuraciones, permisos, etc…y os ayudará, y os hará participes de la seguridad de vuestro dispositivo. Un gran poder, conlleva una gran responsabilidad, como diría…
4.- ¡¡CONTACTADNOS!! que para eso estamos.
Imagen principal: Imagen de 6519582 en Pixabay.
¿Vamos sobrados en temas de ciberseguridad?
¿Creemos que sabemos más de lo que realmente sabemos? En temas tan sensibles como la ciberseguridad parece que así es. Y por lo tanto es un grave peligro para las empresas. Lo demuestra un estudio de Kaspersky que indica que tan solo un 11% de los empleados testados demostraron un alto nivel de conciencia de ciberseguridad. Así que cabe preguntarse: ¿vamos sobrados en temas de ciberseguridad?
Coma ya sabéis, Kaspersky Lab es una compañía internacional global de seguridad informática con presencia en más de 190 países. Sus estudios aportan datos muy interesantes sobre ciberseguridad. Hoy os presentamos una herramienta llamada Kaspersky Gamified Assesment, que está diseñada para medir las habilidades cibernéticas de los trabajadores de una empresa. El objetivo final de la herramienta es cambiar el comportamiento y la conciencia de los trabajadores. De esta forma ayudan a los responsables de seguridad de la información y a los departamentos de recursos humanos a medir las habilidades de todos los empleados de una compañía.
¿En qué consiste Kaspersky Gamified Assesment?
En realidad es como un juego que mide las decisiones que toman los empleados ante situaciones comunes que ocurren mientras trabajan de forma remota y en la oficina. Se evalúan seis dominios de seguridad, como contraseñas y cuentas, correo electrónico, navegación web, redes sociales y mensajería o seguridad de los PC’s y dispositivos móviles. Según las decisiones que se van tomando se otorgan puntos.
Los resultados de este test fueron un tanto alarmantes:
- Solo uno de cada diez trabajadores obtuvo la excelencia (más del 90% de los puntos posibles).
- El 61% logró un resultado “medio” (entre 82 y 90% de los puntos posibles).
- El 28% no demostró un nivel suficiente de conocimientos de ciberseguridad (menos del 75% de los puntos).
- Entre las acciones evaluadas la más difícil resultó ser el de la navegación web: solo un 24% definió correctamente las acciones.
Podéis leer el artículo que explica este tema en IT Digital Security, una publicación de IT Digital Media Group, que se divide en tres publicaciones digitales interactivas orientadas siempre al B2B: IT User, IT Reseller y IT Digital Security. Además el grupo posee servicios de marketing y comunicación.
Más del 30% de los jóvenes no sabe gestionar su privacidad
Podríamos pensar que los jóvenes nacidos ya en plena efervescencia del entorno digital serían mucho más sensibles a los temas de ciberseguridad y privacidad. Pero un reciente estudio de la Universitat Oberta de Catalunya (UOC) lo desmiente, hasta el punto de llegar a preguntarse si “los nativos digitales no tiene habilidades digitales”.
El estudio, titulado Competencias digitales de la juventud en España: un análisis de la brecha de género ha sido financiado por el Ministerio de Ciencia e Innovación y forma parte del proyecto I+D Educación social digital: juventud, ciudadanía activa e inclusión. Para efectuarlo se han entrevistado a 600 jóvenes de entre 16 y 18 años, residentes en España y de ambos géneros.
Las principales conclusiones del estudio son las siguientes:
- Más del 30% de los encuestados de ambos géneros presenta disfunciones, tanto en el ámbito técnico (manejo de dispositivos y habilidades para acceder al entorno digital) como en el informacional (evaluación de los contenidos y sociabilidad online).
- Más del 30% de los jóvenes de ambos géneros desconoce como proceder a la configuración de servicios digitales o como utilizar herramientas para aumentar su privacidad y su anonimato online.
- El 71% de las chicas aseguran manejar bien los distintos perfiles de su identidad digital, frente al 66% de los chicos.
- Solo un 25% declaran que saben hacer el mantenimiento de sus dispositivos y que incluso saben repararlos. Pero en este caso hay grandes diferencias por género: solo el 18% de las chicas se manifestaron este sentido, frente al 32,6% de los chicos.
Podéis saber más sobre este estudio en el artículo de la Universitat Oberta de Catalunya AQUÍ.
Este estudio nos ha recordado un libro coral del año 2017 titulado Los nativos digitales no existen en el que colaboraron 17 autores y autoras y orientado a las personas que formaban a niños y adolescentes en las nuevas tecnologías. Y partían de una premisa interesante: los niños no son nativos digitales porque los niños no saben usar internet. Para los que os interese este punto de vista y este libro, os invitamos a leer ESTE ARTÍCULO publicado en Microsiervos. Como ellos mismos se presentan, es un proyecto que nació como un blog personal escrito por tres amigos con la idea de que fuera un blog de divulgación sobre tecnología, ciencia, Internet y muchas más cosas. En la actualidad está editado por Alvy y Wicho.
Como podéis observar con estos dos informes, cabría preguntarse más de una vez ¿vamos sobrados en temas de ciberseguridad? antes de empezar el trabajo del día a día. Y ya sabéis: aplicar el más común de los sentidos. Otra buena opción es apuntaros a alguna de las formaciones que TECNOideas os puede ofrecer y aumentar así vuestras opciones de trabajar más ciberseguros.
Imagen principal: StartupStockPhotos en Pixabay
¿Eres de los insensatos que paga con el móvil?
Si ese es tu caso, deberías saber que guardar tus tarjetas de débito y crédito en Google Pay para pagar con tu móvil es un riesgo importante. Kaspersky ha detectado que el malware Harly estaba detrás de 190 aplicaciones de Android. Se encargaba de suscribir a insensatos como tu a servicios de pago no deseados.
Bueno, no queremos que te sientas mal, pero todos y todas deberíais tener más cuidado. Los técnicos de la empresa de seguridad Kaspersky han informado de este truco tan aparentemente inocente que hasta se han efectuado 4,8 millones de descargas en Google Play Store. O sea 4,8 millones de víctimas, aunque la cifra podía ser bastante mayor.
Los ciberdelincuentes se encargaban de ofrecer servicios varios que se escondían detrás de aplicaciones legítimas inofensivas, como minijuegos o linternas. Este tipo de aplicaciones suelen ser las más descargadas del mundo, porque son gratuitas y los delincuentes saben perfectamente que la gente se pirra por descargarse cosas gratuitas. Es por eso que, en total, este malware consiguió casi 5 millones de descargas durante los dos años en los que ha estado en funcionamiento.
Hay que puntualizar que Harly ataca solo a los usuarios de Android.
Este troyano, como recuerda Kaspersky, imitan aplicaciones legítimas. Los estafadores descargan estas App de Google Play, insertan el código malicioso y las vuelven a subir con otro nombre. La conclusión es que al final el usuario adquiere una suscripción de pago sin darse cuenta. Además el troyano permite la suscripción cuando el proceso está protegido por un mensaje de texto. Pero también cuando lo está mediante una llamada telefónica: Harly llama a un número concreto y confirma la suscripción.
Una vez que el usuario descargaba y abría la aplicación infectada, el troyano empezaba a recopilar toda la información posible sobre su dispositivo electrónico. El teléfono cambiaba de red móvil y el troyano hacía el resto para configurar la lista de suscripciones a las que tenía que apuntarse.
Una vez el malware ya estaba instalado y abierto en un dispositivo, abría portales de suscripción en una ventana oculta. De esta manera, los estafadores, lograban llevar a cabo toda la operación sin levantar ni un solo tipo de sospechas.
Podéis leer toda la información sobre este troyano, como funciona o cómo protegerse en ESTE ARTÍCULO publicado en la web de Kaspersky.
También podéis consultar el soporte de Google, donde explican como introducir automáticamente la información de pagos en aplicaciones. Y también como minimizar los riesgos, ya que tienen unos apartados titulados “Desactivar las solicitudes para guardar los datos de pago” y “Cambiar dónde se guardan tus datos”. Lo podéis leer AQUÍ.
Como bien recomiendan los investigadores de Kaspersky, debemos ir con mucho ojo a la hora de navegar por internet y no descargar todas las aplicaciones que nos resulten interesantes. Antes de hacerlo es recomendable leer reseñas, verificar cualificaciónes en Google Play… Sí, sí, ya sabemos que nadie lo hace. Pero nuestra misión es pediros que lo hagáis, porque… ¡somos una empresa de ciberseguridad! Y también debemos deciros que aún así, puede ser que hasta las mismas reseñas no sean reales, así que os recomendamos instalar un antivirus fiable para curaros de espantos.
Imagen principal: Imagen de Gerd Altmann en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Productos, Servicios, Sistemas operativos
Entrevista a José Manuel Ortega, ingeniero de software e investigador de seguridad (2ª parte)
Publicamos hoy la segunda parte de la entrevista que realizamos a José Manuel Ortega, un ingeniero de software e investigador de seguridad apasionado por las nuevas tecnologías. Es un autodidacta que se atreve con todo: artículos, docencia, charlas y conferencias, libros…
La semana pasada nos dabas algunos consejos para los jóvenes que quieran iniciarse en este cibermundo. Y acabábamos mencionando tu manual práctico de ciberseguridad. Así que hoy empezamos con eso. Hablas de la seguridad en la nube, en internet, en aplicaciones web, etc. ¿Dónde crees que fallamos más para que los ciberdelitos están creciendo de esta forma?
Por una parte tenemos el usuario, que sigue siendo el eslabón más débil y hay que continuar la labor de divulgación para que cada vez se sienta más seguro y minimizar el éxito de los ataques que se producen. Desde el punto de vista de las empresas también hay un largo recorrido por hacer, relacionado con mantener la integridad de la infraestructura de las organizaciones, sobre todo por las nuevas amenazas que salen cada día.
“Las empresas necesitan aumentar sus recursos
en cuanto a realizar auditorías de seguridad
y mantenimiento de la infraestructura.”
Creo que la evolución a nivel complejidad de las aplicaciones, sistemas e infraestructura en los últimos años, hace que muchas veces las empresas necesitan aumentar sus recursos en cuanto a realizar auditorías de seguridad y mantenimiento de la infraestructura y muchas veces esto no es posible en algunas empresas, sobre todo en las pymes.
Al final la ciberseguridad es una labor de todos y cada uno de nosotros, desde el usuario final, proveedores de servicios de internet, empresas especializadas y administración pública. Lo más importante es perderle el miedo a los ciberdelincuentes y desde el punto de vista de la seguridad hacer un esfuerzo entre todos para que cada día que pase ponérselo un poco más difícil.
La ciberseguridad es dinámica y continuamente cambia, avanza… ¿Habrá una segunda parte de tu guía de ciberseguridad actualizada?
Es posible que en unos años se pueda hacer una revisión e incluir temas que no se han tratado como criptografía o inteligencia artificial, donde el campo de la ciberseguridad cada vez está recurriendo más a este tipo de técnicas para la detección de amenazas.
José Manuel Ortega.
Otra de tus especialidades es el lenguaje Python. ¿Por qué crees que está de moda en el hacking ético y en la ciberseguridad?
Python es uno de los lenguajes más versátiles que se viene utilizando desde hace algunos años en la creación de herramientas orientadas al pentesting y hacking ético. La gran cantidad de módulos y paquetes para el desarrollo de este tipo de soluciones la hacen una de las mejores plataformas.
Con Python puedes desarrollar herramientas orientadas a la extracción de información de diferentes fuentes de internet como redes sociales, conexión con bases de datos de diferentes tipos, realizar auditorías a aplicaciones web, uso de aprendizaje automático para la detección de ataques y anomalías en una red.
También permite el desarrollo de herramientas desde el punto de vista defensivo y ofensivo gracias a capacidad para interactuar con los sistemas operativos para la ejecución de comandos o la obtención una shell reversa por poner algunos ejemplos.
Desde el punto de vista de la detección de amenazas y vulnerabilidades también podemos utilizar Python como lenguaje de scripting para obtener información sobre vulnerabilidades que puedan surgir en nuestra infraestructura y aplicaciones y correlacionar esta información con diferentes bases de datos de vulnerabilidades como CVE Y NVD para tener una primera visión de aquellas que pueden ser más críticas.
También haces conferencias a nivel internacional y alguno de tus libros se ha publicado en inglés. Teniendo en cuenta que es la eterna asignatura pendiente de nuestro país, ¿cómo has conseguido esto?
Pues la editorial me contactó a raíz de una conferencia que impartí en la EuroPython, que es una conferencia internacional de Python. Me ofrecieron escribir un libro tomando como base lo que había explicado en la conferencia y bueno, la decisión fue fácil ya que me gusta bastante escribir.
“Lo más importante es perderle el miedo a los ciberdelincuentes
y, desde el punto de vista de la seguridad, hacer un esfuerzo entre todos
para que cada día que pase ponérselo un poco más difícil.”
En mi caso, lo que más me ha costado han sido los procesos de revisión y estoy bastante contento, ya que publicar en inglés no es nada fácil. El tema del inglés cuesta un poco al principio, pero gracias al apoyo y al trabajo de la editorial al final el proyecto acaba saliendo y queda un buen trabajo que tiene mayor público objetivo que si lo publicara en español.
Eres un hombre muy dinámico. Vamos, que no paras. Es imprescindible que nos digas en qué estás metido en la actualidad, ¿qué estás preparando ahora mismo?
Pues ahora mismo sigo escribiendo y tengo previsto publicar un libro sobre Python con temas de Big data, ciencia de datos e inteligencia artificial que es otra temática que me atrae bastante y probablemente escriba una nueva edición del libro de seguridad en Python.
A nivel de conferencias, estoy viendo la posibilidad de presentar alguna ponencia relacionada con arquitecturas y seguridad en la nube a raíz de los estudios que estoy realizando en ciberseguridad.
Hasta aquí la entrevista a José Manuel Ortega, esperamos que os haya resultado interesante todo lo que dice y hace.
Si queréis recordar la primera parte de la entrevista, podéis leerla AQUÍ.
- Publicado en Congresos, Entrevistas, General, Noticias, Productos
¿Ya podemos decir que la IA es más presente que futuro?
Cada vez hablamos más de la Inteligancia Artificial (IA). Si ya la teníamos presente en nuestro día a día, ¿que pasará ahora, que se ha desarrollado la primera IA de la lengua española? Os presentamos a MarIA, un proyecto de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
Solemos llamar a la gente que se pasa horas consultado libros y archivos “ratas de biblioteca”. Pero ahora quizá deberemos cambiar la popular expresión, porque es gracias a los archivos de la Biblioteca Nacional que se ha desarrollado el proyecto MarIA. Se trata del primer sistema de IA experto en comprender y escribir en lengua española. ¡Sí, habéis leído bien, en nuestra propia lengua! Ha sido desarrollado por el Centro Nacional de Supercomputación y forma parte del Plan de Impulso de las Tecnologías del Lenguaje que pretende fomentar el desarrollo del procesamiento del lenguaje natural y la traducción automática en lengua española y lenguas cooficiales.
Para que os hagáis una idea, MarIA es capaz de gestionar más de 135.000 millones de palabras, generar textos nuevos a partir de un ejemplo previo o incluso detectar los sentimientos que se expresan en textos.
Tenéis más información en la web del Ministerio de Asuntos Económicos y Transformación Digital.
MarIA es el primer sistema en IA en lengua española.
MarIA, nos facilitará la vida en varios aspectos. Será capaz de proporcionarnos múltiples facilidades a la hora de desarrollar asistentes inteligentes, traductores simultáneos, búsquedas y clasificación de documentos…
Entonces, ¿estaríamos hablando de que la IA es un hecho que solo puede conllevar mejoras en la sociedad? La verdad es que todavía no lo sabemos a ciencia cierta. Seguramente nos ayudará tanto como necesitemos, pero a la vez, puede tener sus puntos negativos, como por ejemplo en el ámbito estudiantil.
Nos explicamos: un joven estudiante aseguró haber tenido sobresalientes en todo con ayuda de una inteligencia artificial llamada OpenAI. Lo publicó, para explicarlo a la comunidad, seguramente alardeando de ello y pensando que sería un nuevo referente. Pero hubo una interesante respuesta a su publicación. Aquí la tenéis:
“Existen algunos problemas morales y sociales potenciales con el uso de la IA para hacer los deberes. En primer lugar, si los estudiantes utilizan la IA para que les haga los deberes, puede que no estén aprendiendo el material tan bien como deberían. Esto podría acarrear problemas en el futuro cuando se espera que conozcan el material para los exámenes o las aplicaciones del mundo real. Además, utilizar la IA para hacer los deberes podría llevar a que hicieran trampas. Si los estudiantes son capaces de utilizar la IA para que haga los deberes por ellos, podría darles una ventaja injusta sobre otros estudiantes que hacen los deberes por sí mismos. Por último, el uso de la IA para hacer los deberes podría llevar a una dependencia de la tecnología que podría ser perjudicial si la tecnología fallara o dejara de estar disponible.”
¿Qué os parece? Seguro que algunos de vosotros ya lo habéis captado. La respuesta que acabáis de leer fue redactada con ayuda de la misma IA que utilizó el joven estudiante para obtener sus altas calificaciones. Quizá sea realmente el momento de preguntarse ¿ya podemos decir que la IA es más presente que futuro?
¿Puede tener copyrihgt la inteligencia artificial?
Pero estos no son todos los sucesos sobre IA de las últimas semanas. Hace poco se daba a conocer la historia de Kris Kashtanova, una artista a quien la Oficina de derechos de autor de Estados Unidos concedió el registro de la obra “Zarya of the Dawn” creada con el apoyo de la IA Midjourney.
Se trata de un hecho que puede ser histórico, ya que se reconoce los derechos de autor de una obra (en este caso una novela gráfica o cómic si lo preferís) creada con ayuda de inteligencia artificial. Midjourney genera imágenes a través de textos, lo que se podría percibir como una manera de atribuirse méritos que no fueron realmente para su autora, pero Kris Kashtanova aseguró que desde el primer momento fue clara sobre el uso de dichas herramientas y que incluso, lo terminó por añadir a la portada.
Posiblemente tuvo que ver en el reconocimimento del copyright de su obra el hecho de que la IA contribuyó de forma parcial y no total, dandole simplemente el toque final. Podéis leer el artículo que lo explica en Ars Technica, una publicación web especializada de noticias e información sobre tecnología del conocido grupo editorial Condé Nast.
La polémica está servida: ¿se merece la artista los derechos de autor? Algunos portales especializados en imágenes, como el famoso Getty Images prohíbe este tipo de obras, precisamente por los problemas de derechos de autor que generan. Sin lugar a duda el tema subirá de tono en los próximos años, ya que la problemática sobre los derechos de autor aumentará con otras tecnologías, como puede ser el caso de las imágenes o incluso personas generadas con metadatos.
Otro caso, que lleva ya un recorrido de muchos años pero que está lejos de haber dicho la última palabra, es el de los diferentes tipos de videoarte que han ido surgiendo desde la década de los 60.
¿Qué opináis vosotros? ¿Queréis dejarnos vuestros comentarios?
Imagen principal: Gerd Altmann en Pixabay.
- Publicado en General, Inteligencia Artificial, Noticias, Productos, Tecnología
¿Por qué celebrar el Día del Software Libre?
Estamos en un mundo global donde la tecnología reina sin rubor para mayor concentración de ganancias de las grandes plataformas que proporcionan servicios. En este contexto, la libertad, tantas veces gritada por la historia, se convierte en una especie de aldea gala que resiste al invasor. Por eso es necesario reivindicar el software libre y agradecer a sus impulsores un trabajo que beneficia a toda la sociedad.
Esta semana ha llegado la noticia de que el Tribunal General de la Unión Europea ratificó la sanción a Google que había sugerido la Comisión Europea en 2018: nada menos que ¡4.125 millones de euros! El motivo: el abuso de la posición dominante en el mercado. Es la multa más alta en la historia impuesta por una autoridad de la competencia y nos da una idea de las ganancias a nivel mundial que este gigante tecnológico obtiene. Y no solo Google. La Comisión también está batallando contra otras empresas globales como Microsoft, Amazon, Meta o Apple. Podéis leer la noticia que publicó El País AQUÍ.
Esta batalla de David contra Goliat es, seguramente, la respuesta más contundente a la pregunta ¿por qué celebrar el Día del Software Libre?
Desde 2006, el tercer sábado del mes de septiembre
se celebra el Día Mundial del Software Libre o de la Libertad del Software.
Hoy lo celebran más de 300 equipos de un centenar de países.
El Día Mundial del Software Libre o Día Mundial de la Libertad del Software, es un evento que se impulsó en el año 2004 y se celebró el 28 de agosto. Posteriormente se fijó la fecha del tercer sábado de septiembre. Este año, por lo tanto, se celebra mañana, 17 de septiembre.
El impulsor de este día y organizador principal del evento es la Software Freedom International, una entidad sin ánimo de lucro. En este enlace tenéis toda la información sobre la celebración del evento 2022, en el que participan más de 300 equipos de un centenar de países y cuenta entre sus patrocinadores Linode.com, Canonical Ltd, Free Software Foundation, Free Software Foundation Europe, FreeBSD, Joomla!, Creative Commons y Open Clip Art Library.3
¿Qué significa Software Libre?
Un software libre, no es más que un programa informático cuyo código fuente puede ser estudiado, copiado, modificado, mejorado y redistribuido sin costo alguno. Eso significa que se puede alterar y compartir, sin la necesidad de tener el permiso de su creador. Ya os podéis imaginar que gracias a ello no hay problemas legales con su uso, ni siquiera si se copia, distribuye o se altera (dentro de un orden; hay cláusulas de la comunidad de creadores que se deben respetar).
Entre las ventajas más destacadas hay que mencionar que el lenguaje lo puede entender cualquier programador y a partir de él ir escalando lo que precise su cliente. Muy distinto a lo que ocurre con programas de copyright, que solo sus técnicos pueden acceder a los códigos del lenguaje.
El Día Mundial es una oportunidad para reivindicar, realizar charlas y debates educativos y ampliar el acceso al software libre en todo el mundo. El objetivo final es facilitar el acceso a la tecnología para reducir la brecha digital y el analfabetismo tecnológico.
En este sentido es interesante recordar las críticas que recibió la Unesco por no haber sido capaz de crear herramientas libres para facilitar el acceso a la tecnología de los países en vías de desarrollo.
Para saber algo más de este tema, podéis leer este artículo del movimiento Somos Libres en el que traza un poco de historia.
Desde TECNOideas, y dentro de nuestra visión de la empresa y del mundo tecnológico, puesto en el hacking ético, el libre y compartido conocimiento, y todo lo que conlleva, hemos promovido el software libre, tanto en sistemas operativos, como en software alternativo (que hay para todos los gustos), y tanto para nosotros, como recomendado para ciertos clientes nuestros.
Cierto que no es del gusto de todos, y que va por delante la mala enseñanza que se da de la tecnología y la informática en general, con el software propietario como asignatura, en lugar de enseñar a usar cualquier tipo de software. De ahí que todo el mundo quiera comprar marcas, y no soluciones.
Por suerte no somos los únicos, y asociaciones de hacking, reciclaje, o comunidades de formación y divulgación, como nuestros amigos de HackMadrid%27 (y todos sus asociados en diferentes puntos de la geografía mundial), luchan arduamente en esta labor.
Precisamente esta organización está preparando la World.Party2K22 una conferencia con charlas y mesas redondas dedicada a compartir el conocimiento y la cultura hacker. Será del 10 al 16 de octubre. Tenéis más información y la opción de registaros AQUÍ.
Y como vuelve a salr en un artículo nuestrola palabra hacker, os recordamos que reivindicamos desde hace tiempo que no es sinónimo de ciberdelincuente. Por ello os invitamos a leer la historia de esta palabra en este artículo de junio de 2021.
Imagen principal: Génesis Gabriella en Pixabay.
- Publicado en Evento, General, Historia, Productos, Programacion, Sistemas operativos
Herramientas de IA para abogados
Poco a poco la Inteligencia Artificial (IA) se va colando en nuestra vida y en nuestro trabajo. Ahora la colaboración de dos empresas ha posibilitado la creación de dos soluciones de software que, mediante la IA, automatizan tareas en despachos de abogados y les hace la vida mucho más fácil.
Si sois de los que visitáis con cierta frecuencia despachos de abogados, quizá habréis advertido en alguno de ellos un cierto caos organizativo. Esto puedo terminar gracias a la Inteligencia Artificial y más concretamente a dos soluciones de software denominadas Smart Tags y Legal Review.
Smart Tags clasifica de forma automática millones de documentos. Además los identifica con etiquetas, lo que hace que los abogados pueda realizar búsquedas de calidad en segundos. Esto que parece tan sencillo es una solución muy importante, ya que la búsqueda y localización de documentación e información ocupa muchas horas de trabajo a lo largo del año.
Legal Review es capaz de realizar un extenso análisis jurídico del documento del cliente y avisa de los temas de más interés para el cliente o para un compañero del bufete.
Las dos herramientas se integran, además, en el gestor documental y de correo electrónico iManage, una plataforma de trabajo muy usado por los abogados.
Detrás de estas dos herramientas está el acuerdo de dos empresas que han sabido actuar como socios estratégicos. Por un lado Lefebvre, una editorial líder en España en información jurídica y práctica para abogados. Y por otro lado la empresa Lexsoft Systems, también empresa líder en España pero en procesos de negocio y soluciones Legaltech para todo el sector de la abogacía.
La Inteligencia Artificial se va imponiendo poco a poco y sus increíbles ventajas llegan a prácticamente todos los niveles y sectores. Si estáis interesados en conocer mejor esta tecnología, que es exactamente y como se usa, os invitamos a leer este artículo publicado en la web del Parlamento Europeo.
También os queremos informar que TECNOideas está preparando, por petición de varios clientes abogados, un software que compila varias herramientas que también ayudan en el día a día de los bufetes de abogados. Entre ellas podemos citar la transcripción de audio y video a texto, búsquedas automatizadas o análisis de datos entre otras.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en General, Noticias, Productos, Servicios, Sobre TECNOideas, Tecnología
Español 
Català