Archivo mensual noviembre 2019

Pormalwarebytes

Una semana en seguridad informatica (del 18 al 24 de noviembre)

Una semana en seguridad (del 18 al 24 de noviembre)

Una semana en seguridad (del 18 al 24 de noviembre)

Al corriente: por 

La semana pasada en Malwarebytes Labs, analizamos el problema de cumplimiento legal de stalkerware , anunciamos nuestra cooperación con otros proveedores de seguridad y grupos de defensa para lanzar Coalition Against Stalkerware , publicamos nuestra revisión de otoño de 2019 de kits de exploits , observamos cómo Deepfake en LinkedIn hace campañas de interferencia maligna , resumimos nuestro conocimiento sobre los problemas de seguridad y servicio de Disney + , explicamos el consumo de zumos , analizamos cómo un skimmer web roba datos de tarjetas de crédito a través de una plataforma de servicio de pago fraudulenta y, por último, analizamos las próximas facturas y pautas de IoT .

Otras noticias de ciberseguridad

  • Los delincuentes cibernéticos que golpean a los gobiernos de ciudades y estados de los Estados Unidos con ransomware se han vuelto cada vez más populares en los últimos tiempos. Nuevamente, Louisiana ha sido atacado. (Fuente: TechSpot)
  • National Veterinary Associates fue golpeado por un ataque de ransomware a fines del mes pasado que afectó a más de la mitad de esas propiedades. (Fuente: KrebsOnSecuirty)
  • Después de que se venció un plazo para recibir un pago de rescate, el grupo detrás de Maze Ransomware ha publicado datos y archivos robados de la firma de personal de seguridad Allied Universal . (Fuente: BleepingComputer)
  • Una falla de WhatsApp que podría permitir a los piratas informáticos robar mensajes de chat, imágenes e información privada de los usuarios al permitir que los usuarios descarguen un archivo de video que contiene código malicioso. (Fuente: The DailyMail UK)
  • Está activa una campaña maliciosa que falsifica un correo electrónico de actualización urgente de Microsoft para infectar los sistemas de los usuarios con el ransomware Cyborg . (Fuente: TechRadar)
  • Microsoft ha invertido $ 1 mil millones en la empresa de inteligencia artificial fundada por Elon Musk que planea imitar el cerebro humano usando computadoras. (Fuente: Reino Unido independiente)
  • La filtración de datos única contiene información personal y social de 1.200 millones de personas que parecen originarse en 2 compañías de enriquecimiento de datos diferentes. (Fuente: DataViper)
  • La sucursal estadounidense del gigante de telecomunicaciones T-Mobile reveló una violación de seguridad que, según la compañía, impactó a un pequeño número de clientes de su servicio prepago. (Fuente: SecurityAffairs)
  • Un hacker ha publicado más de 2 TB de datos del Banco Nacional de Caimán . Esto incluye más de 640,000 correos electrónicos y los datos de más de 1400 clientes. (Fuente: HeadLeaks)
  • Un brote de ransomware ha asediado una empresa de TI con sede en Wisconsin que proporciona alojamiento de datos en la nube, seguridad y gestión de acceso a más de 100 hogares de ancianos en todo Estados Unidos. (Fuente: KrebsOnSecuirty)
Pormalwarebytes

Deepfakes y LinkedIn: campañas de interferencia maligna

Deepfakes y LinkedIn: campañas de interferencia maligna

Deepfakes y LinkedIn: campañas de interferencia maligna

Al corriente: por 

Deepfakes no han bastante perdido la capacidad de sorpresa, pero dada su saturación de los medios al por mayor en el último año más o menos, hay una sospecha de que en algunos sectores que pueden haber perdido el autobús. Cuando la gente lanza un falso Boris Johnson o Jeremy Corbyn en línea en estos días, la respuesta parece estar bastante dividida entre «Wow, eso es gracioso» y apenas divertido .

Es muy probable que se ría de las personas que piensan que los videos populares de Bosstown Dynamics, falsos de Boston Dynamics, son reales, pero eso es exactamente lo que los ciberdelincuentes confían y dónde puede estar el verdadero potencial malicioso de los falsos profundos.

¿Qué sucede cuando un perfil de LinkedIn perfectamente común presenta una imagen generada de una persona que no existe? Todos creen la mentira.

¿Está cayendo el cielo? Probablemente no.

Los dos mercados principales  acorralados por las falsificaciones profundas en el momento de la escritura son los clips de pornografía falsos y una creciente industria de efectos digitales, que son una imitación razonable de las películas de televisión de bajo presupuesto. En algunos casos, ha surgido un esfuerzo local y se ha solucionado un intento fallido de Hollywood en la magia CGI . De alguna manera, en una era de personas terribles que pagan falsos desnudos de cualquiera que elijan, y la posibilidad de travesuras políticas a menudo prometidas pero aún no materializadas, el punto crítico ético actual es si traer o no a James Dean de la muerte .

A pesar de esto, la combinación de política y tecnología continúa a un segundo plano. En este punto, es extremadamente improbable que veas algún tipo de gran evento mundial (o incluso varios pequeños pero significativos) que se vean afectados por clips falsos de líderes mundiales que hablan como locos: serán desacreditados casi al instante. Ese barco ha navegado. El hecho de que las falsificaciones profundas se volvieron prominentes principalmente a través de subreddits de pornografía y personas sentadas en su casa sugiere que les cayó a cualquiera a nivel de estado-nación.

Cuando se trata de deepfakes, personalmente he sido de la persuasión «Es malo, pero en términos de ingeniería social, es mucho trabajo por poca ganancia». Ciertamente no me suscribo al modelo del cielo está a punto de derrumbarse. Las peores áreas de deepfakery que tiendo a ver son donde se usa como base para impulsar las estafas de Bitcoin . Pero eso no significa que no hay potencial para peor.

LinkedIn, deepfakes y campañas de influencia maligna

Con esto en mente, me fascinó ver » El papel de los deepfakes en las campañas de influencia maligna » publicado por StratCom en noviembre, que se centró principalmente en la forma más reservada pero potencialmente devastadora de travesuras de deepfakes. No es falso Trump, no es fingir que Boris Johnson declara que los extraterrestres están invadiendo; Es una interferencia de nivel de ruido de fondo diseñada para funcionar silenciosamente en una cadena de mando.

Me sorprendió especialmente el comentario de que las evaluaciones «pesimistas» de los expertos habían dado paso a un enfoque más moderado y escéptico. En otras palabras, a medida que los especialistas en marketing de momento, los fanáticos de los efectos visuales de YouTube y otros trataban de alejar la tecnología falsa de los impulsores de la pornografía, se volvió algo insostenible hacer falsificaciones grandes y llamativas con intenciones siniestras. En cambio, la batalla se libró detrás de escena.

Y ahí es donde Katie Jones se acercó al plato.

Quien es Katie Jones?

En el gran esquema de las cosas, nadie. Otra cuenta falsa en una ola interminable de cuentas falsas que se extiende a través de años de clones de Facebook y «sesiones de horneado» de trolls de Myspace, donde cientos de personas saldrían por la puerta sobre la marcha. La única diferencia clave es que la foto de perfil de Katie en LinkedIn era una obra de ficción generada por computadora.

Las personas a las que «Katie» se había conectado eran un poco inconsistentes, pero incluían a un montón de personas que trabajaban en y alrededor del gobierno, las políticas, la academia y … eh … una empresa de congeladores frigoríficos. No es un mal Rolodex para el espionaje internacional.

Nadie admitió haber hablado con Katie, aunque esto plantea la pregunta de si alguien que se enamoró de la artimaña levantaría la mano después del evento.

Si bien podemos especular sobre por qué se creó el perfil: campaña de ingeniería social, prueba de espionaje de estado-nación (rápidamente abandonado una vez descubierto, similar a muchas estafas de malware), o incluso algún tipo de broma práctica, lo que realmente me divierte es el posibilidad de que alguien haya seleccionado al azar una cara de un sitio como este y no tuviera idea del caos que seguiría.

Entrevista con un detective falso

De cualquier manera, aquí viene Munira Mustaffa, la analista de contrainteligencia que descubrió por primera vez la sensación de falsedad profunda de LinkedIn conocida como Katie. Mustafa se tomó un tiempo para explicarme cómo se desarrollaron las cosas:

Un contacto mío, un conocido experto británico en defensa y ejército de Rusia, sospechó inmediatamente de un intento de conexión con LinkedIn. Él escaneó su perfil, e hizo una búsqueda inversa en su foto de perfil, que arrojó cero resultados. Se volvió hacia mí para pedirme que la mirara, y yo tampoco encontré nada.

Esto es inusual para alguien que dice ser becario de Rusia y Eurasia para una organización como el Centro de Estudios Estratégicos e Internacionales (CSIS), porque es de esperar que alguien en su papel tenga al menos un historial de publicaciones. El mundo de la seguridad es pequeño para nosotros, especialmente si eres un experto en políticas trabajando en asuntos de Rusia. Los dos ya sabíamos que Katie Jones no existía, y esta sospecha se confirmó cuando verificó con CSIS.

Seguí volviendo a la foto. ¿Cómo podrías tener una foto como esa pero no tener ningún tipo de huella digital? Si hubiera sido robado de un recurso en línea, sería casi imposible. En este punto, comencé a notar las anormalidades: debes entender mi proceso de pensamiento como alguien que hace fotografías para un pasatiempo y usa mucho Photoshop.

Por un lado, había una mancha gaussiana en el lóbulo de la oreja. Inicialmente, pensé que se había retocado la oreja con Photoshop, pero eso no se verificó. ¿Por qué alguien Photoshop su lóbulo de la oreja? 

Una vez que comencé a notar las anomalías, fue como si todo de repente comenzara a encajar justo delante de mis ojos. Empecé a notar el halo alrededor de sus mechones de cabello. Cómo sus ojos no estaban alineados. Las extrañas estrías y el desenfoque. Luego había moldes y artefactos en el fondo. Para los observadores casuales, se verían como bokeh . Pero si tiene alguna experiencia haciendo fotografía, sabría instantáneamente que no eran bokeh.

Parecían tirados, como si alguien hubiera jugado con la herramienta Licuar en Photoshop, pero marcó el pincel al extremo. Inmediatamente me di cuenta de que lo que estaba mirando no era una foto de una mujer con Photoshop. De hecho, fue una combinación casi perfecta de una persona compuesta digitalmente y superpuesta a partir de diferentes elementos.

Ingresé a www.thispersondoesnotexist.com y comencé a generar mis propias falsificaciones. Después de examinar media docena más o menos, comencé a seleccionar patrones y anomalías, y volví a «Katie» para estudiarlo más a fondo. Todos estuvieron presentes.

¿Realmente importa?

De alguna manera, posiblemente no. El único beneficio real de utilizar una imagen de perfil falso es que las personas sospechosas no obtendrán un resultado en la búsqueda inversa de Google, TinEye o cualquier otro servicio similar. Pero cualquiera que haga eso por las conexiones de LinkedIn u otros puntos de contacto probablemente no estará derramando los granos sobre algo que no debería ser de todos modos.

Para todos los demás, el riesgo está ahí y es suficiente para que todo sea convincente. Siempre ha sido bastante fácil detectar a alguien usando fotografías de modelos de fotografía para fotos de perfil falsas. La amenaza de las instantáneas profundas proviene de su normalidad pura, completa y absoluta. Usar toda esa potencia de procesamiento y tecnología para tallar lo que esencialmente parece un ser humano no notable casi suena revolucionario en su mundanalidad.

Pero pregúntele a cualquier ingeniero social experimentado, y le dirán ventas mundanas. Creemos en la realidad que se nos presenta. Es más probable que ingreses a un edificio vestido como ingeniero, o llevando tres cajas y una taza de café, luego vestido como un payaso o con un abrigo de espía y gafas de novedad asombrosamente abiertas.

Descubriendo un falso

Una vez que pasa un poco de tiempo mirando a las personas falsas generadas en sitios como este, hay múltiples significantes reveladores de que la imagen ha sido construida digitalmente. Volvemos a Mustaffa:

Busque signos de manipulación en la foto comenzando con el fondo. Si parece ser algo neutral en apariencia, entonces es hora de buscar ruidos / perturbaciones extrañas como el pelo o los lóbulos de las orejas.

Decidí abrir  un sitio donde adivinas cuál de las dos caras es real y cuál es falsa. En mi primer lote de disparos, notarás el ruido / perturbación tan común con los disparos a la cabeza generados por IA: se asemeja al tipo de efecto de frotis de aspecto líquido que obtendrías en fotografías antiguas que no has desarrollado correctamente. Mira el cuello en la imagen de abajo:

En una nota similar, mire la deformación al lado de la línea del cabello del hombre generado por computadora:

Estos efectos también aparecen en fondos con bastante regularidad. Mira a la derecha de su oreja:

Los fondos son definitivamente una lucha para estas imágenes. Mire el extraño efecto peludo que corre por el borde de este árbol:

A veces, el técnico simplemente no puede manejar lo que está tratando de hacer correctamente, y terminas con … lo que se supone que es … a la derecha:

También son notables las líneas bien definidas en las caras alrededor de los ojos y las mejillas. No siempre es un regalo, pero es útil para observar junto con otros errores.

¿Recuerdas en los viejos tiempos cuando levantabas ciertos controles deslizantes en las herramientas de edición de imágenes como la nitidez al máximo y terminabas con efectos similares a los de este oído?

Los niños pequeños tienden a causar problemas, y también lo hacen cosas que involucran pliegues de piel, especialmente cuando se trata de hacer que una persona falsa se vea de cierta edad. Otra señal reveladora de que estás tratando con una falsificación son pequeños conjuntos de líneas verticales increíblemente rectas en o alrededor de las áreas de la mejilla o el cuello. Mientras tanto, aquí hay algunos pliegues de bebé completamente poco convincentes:

Hay casos extremos, pero en mi prueba no científica más reciente sobre Qué cara es real , pude adivinar correctamente no menos de 50 veces seguidas quién era real antes de aburrirme y rendirme. Una vez gané 50 juegos de Tekken seguidos en un bar de la universidad y déjame decirte que fue muchísimo más difícil. O soy una especie de maravilla imparable de detección de falsificaciones profundas, o realmente es bastante fácil detectarlos con un poco de práctica.

Eliminando a los falsificadores

Deepfakes, entonces, definitivamente están aquí para quedarse. Sospecho que continuarán causando la mayor cantidad de problemas en sus terrenos familiares: clips porno falsos de celebridades y clips pagados de no celebridades que también se pueden usar para amenazar / chantajear a las víctimas. Ocasionalmente, veremos a otro robot ingrávido que enciende a sus captores humanos y algunas personas caerán en él.

En otros lugares, en el terreno de los perfiles de redes conectadas, ocasionalmente nos encontraremos con perfiles falsos y luego nos corresponde a nosotros usar todo ese conocimiento de inteligencia de amenazas / OPSEC que hemos desarrollado para analizar el tipo de roles que esperaríamos ser. objetivo: gobierno, política, aplicación de la ley y similares.

No podemos deshacernos de ellos, y pronto llegará algo más para robar lo que queda del trueno, pero no debemos temerles. En cambio, para disminuir su impacto potencial, necesitamos entrenarnos para detectar lo ordinario de lo real.

Pormalwarebytes

Una semana en seguridad informática (del 11 al 17 de noviembre de 2019)

Una semana en seguridad (del 11 al 17 de noviembre)

Una semana en seguridad informatica (del 11 al 17 de noviembre de 2019)

Al corriente: por 

La semana pasada en Malwarebytes Labs, ofrecimos estadísticas e información sobre un nuevo y astuto malware troyano para Android , inspeccionamos un grupo de estafas actuales de Facebook y explicamos la importancia de asegurar la infraestructura de alimentos y agricultura .

También publicamos nuestro último informe sobre tácticas y técnicas de cibercrimen , que ofrece una nueva telemetría sobre las numerosas amenazas de ciberseguridad que enfrenta la industria de la salud. Puedes leer el informe completo aquí .

Otras noticias de ciberseguridad

Pormalwarebytes

Estafas de Facebook: anuncios malos, subvenciones falsas y promociones falsas acechan en las redes sociales

Estafas de Facebook: anuncios malos, subvenciones falsas y boletos falsos acechan en las redes sociales

Estafas de Facebook: anuncios malos, subvenciones falsas y promociones falsas  acechan en las redes sociales

Al corriente: por 

Recientemente destacamos nuevos pasos que Instagram está tomando para tratar de reprimir a los estafadores que envían mensajes falsos en su plataforma. Resulta que otros gigantes de las redes sociales están caminando por un camino similar para una variedad de anuncios falsos y otros ataques. Las estafas de Facebook en particular han despegado, a pesar de los esfuerzos de la compañía para eliminarlas.

Facebook ahora está extendiendo un despliegue de su herramienta de informes de anuncios falsos a Australia , después de que una variedad de celebridades australianas populares siguieran apareciendo en anuncios falsos. Los lectores habituales pueden recordar que la génesis de esta herramienta de informes es un incidente similar en el Reino Unido que involucra al popular experto en asesoramiento al consumidor Martin Lewis.

La herramienta de informes publicitarios de Facebook permitirá a los usuarios australianos marcar esquemas de inversión dudosos o pruebas de productos difíciles de cancelar, esto junto con las afirmaciones de la corporación de haber cerrado ya unos 2.200 millones de cuentas falsas en todo el mundo.

Si bien esta es una buena noticia para los usuarios de la plataforma de redes sociales, todavía hay una gran cantidad de anuncios malos actualmente en circulación fuera de estas ofertas y anuncios falsos. A continuación, lo guiaremos a través de algunas de las estafas más populares y actuales de Facebook, como los esfuerzos para secuestrar su cuenta de redes sociales, deslizar información personal y, por supuesto, separarlo de su dinero.

Campañas publicitarias rebeldes

Los estafadores comprometerán felizmente las cuentas de redes sociales y luego las usarán para comprar miles de dólares en espacio publicitario antes de que puedan cerrarse. En los ejemplos dados, una víctima solo tuvo que cerrar la campaña publicitaria porque su tarjeta de crédito venció; de lo contrario, temía haber sido golpeado por $ 10,000 en deuda de tarjeta de crédito. Otro tenía anuncios publicitarios por alrededor de $ 1,550 por día hasta que PayPal lo notificara. Irónicamente, una de las víctimas dirige un negocio centrado en anuncios con temas de privacidad.

Algunos de los anuncios falsos enumeran ciertos artículos a un precio barato para que parezca que tuvo que ser un error de precios de algún tipo. Esta es una táctica común que se remonta a muchos años, pero el giro aquí es que las páginas de destino contenían skimmers de tarjetas de crédito, por lo que cualquier persona que pagara una ganga tenía sus detalles de pago en su lugar.

Fakeouts de entradas para conciertos

Facebook es un lugar popular para algunos eventos sociales, especialmente en grupos dedicados y páginas de fans. Resulta que los mensajes falsos que anuncian boletos inexistentes también son, lamentablemente, bastante populares.

Así es como funciona: los estafadores de Facebook esperan a que se produzca un evento, cuanto más pequeño mejor volarán por debajo del radar. En este punto, cortan y pegan el mismo mensaje falso «Tengo entradas gratis pero no puedo» y esperan que lleguen las respuestas. Ellos enumerarán las razones típicas por las que no pueden ir: » Estoy fuera de la ciudad «,» Me someteré a una cirugía «o» hay una emergencia familiar «.

Si pasa suficiente tiempo cavando, probablemente verá la misma misiva de cortar y pegar publicada por varias cuentas supuestamente independientes. Una transferencia de dinero dudosa y rápida más tarde y se quedará sin dinero para comprar entradas. Hacer un seguimiento de las páginas del organizador del evento cuando busca entradas es imprescindible para asegurarse de no caer en la misma estafa.

Clones, estafas de subvenciones de mensajería y travesuras de lotería

El viejo problema de las cuentas «clonadas» vuelve a tener su fea cabeza . La clonación ocurre cuando un estafador no puede obtener el control de una cuenta genuina en las redes sociales, por lo que hace lo siguiente mejor: robar la foto, la biografía y cualquier otra información pertinente para replicar la cosa real. A partir de ahí, intentan hacer ingeniería social para llegar al saldo bancario de la víctima.

La parte más inteligente de estas estafas de Facebook es la clonación y el mapeo de contactos potenciales para intentar engañar. Después de eso, las tácticas vuelven a ser más mundanas. Los estafadores enviarán mensajes a los contactos con: «He estado en un accidente y necesito ayuda» o «Estoy en el extranjero y he perdido mi billetera» pidiendo ayuda. En este caso, «Una subvención está disponible» es una técnica común y bastante antigua. Las palabras clave actuales para activar las alarmas incluyen tarjetas de regalo, banco mundial y subvenciones. Si ves que alguno de esos se dejó caer de repente en una conversación, seguramente será una estafa.

En caso de duda, verifique que la persona que habla con usted esté realmente en su lista de amigos; los clones no lo estarán. Además, si es realmente tu amigo, eso no significa que el peligro haya pasado. Lo que realmente significa es que probablemente estaban comprometidos y no lo saben. En ambos casos, encuentre un medio alternativo para ponerse en contacto y verificar quién, qué, cuándo, dónde y por qué.

Las estafas de mensajería de lotería funcionan en líneas similares. Ellos afirman que has ganado un premio , pero una vez que haya contactado a un tercero para reclamar sus ganancias, encontrará lo que necesita para enviarlos dinero para una variedad de razones no del todo plausibles. A menudo, los perfiles que te dicen que has ganado imitarán a Mark Zuckerberg.

No te dejes engañar en Facebook

Volviendo a nuestro problema inicial falso de anuncios de Facebook, puede leer un poco más sobre cómo funcionan bajo el capó en BuzzFeed . Hemos cubierto muchas falsificaciones de Facebook a lo largo de los años, siendo la más reciente la ola de perfiles falsos de Ellen que impulsan los servicios de transmisión de películas.

La buena noticia es que la mayoría, si no todas, de estas estafas de Facebook se han hecho antes. Si no está seguro, una búsqueda rápida revelará ejemplos anteriores cubiertos en sitios de noticias, blogs de seguridad o publicaciones en foros.

Siempre tenga cuidado, recuerde la vieja rutina «si es demasiado bueno para ser verdad, probablemente lo sea», y manténgase libre de estafas en las redes sociales.

Pormalwarebytes

Una semana en seguridad Informatica

Una semana en seguridad (4 de noviembre - 10 de noviembre)

Una semana en seguridad (4 de noviembre – 10 de noviembre)

Al corriente: por 

La semana pasada en Malwarebytes Labs, anunciamos el lanzamiento de Malwarebytes 4.0 , abordamos la legislación de privacidad de datos y exploramos algunas de las formas en que las llamadas automáticas vienen a buscar sus datos y su dinero . También presentamos los pasos involucrados en los ataques de compromiso de correo electrónico de proveedores populares .

Otras noticias de ciberseguridad

  • Bonanza de recompensas de errores: Rockstar Games abre su programa de recompensas para incluir el recientemente lanzado Red Dead Redemption 2 para PC. (Fuente: The Daily Swig)
  • El problema de las noticias falsas: un estudio muestra que son malas noticias para las personas que piensan que pueden evitar información falsa en los portales de redes sociales. (fuente: Ayuda Net Security)
  • A juicio por hackear … ¿tú mismo? Una historia muy confusa que involucra a un juez, la computadora de su oficina y una lección aprendida en informática forense en el lugar de trabajo. (Fuente: The Register)
  • ¿Quién está ahí? Una falla de seguridad: un timbre conectado a Internet causa dolores de cabeza a los propietarios . (Fuente: CyberScoop)
  • Más anuncios falsos en Facebook: una vieja estafa vuelve a imitar a la BBC y engaña a los entusiastas clickers. (Fuente: Naked Security)
  • Juegos de espionaje en redes sociales: un ex empleado de Twitter está acusado de espiar para Arabia Saudita. (Fuente: Reuters)
  • El poder de las ciudades se apaga: Johannesburgo en funcionamiento después de un ciberataque . (Fuente: BusinessTech)
  • Los ataques de sextortión siguen causando problemas: un nuevo informe afirma que estas estafas insidiosas todavía están causando dolor a las masas . (Fuente: noticias de Tricity)
  • Infosec basado en el espacio: si se preguntaba cómo influye el espacio en la estrategia cibernética nacional de EE. UU., Este artículo probablemente será útil . (Fuente: Quinto Dominio)
Pormalwarebytes

La Ley ACCESS podría mejorar la privacidad de los datos a través de la interoperabilidad

La Ley ACCESS podría mejorar la privacidad de los datos a través de la interoperabilidad

La Ley ACCESS podría mejorar la privacidad de los datos a través de la interoperabilidad

Al corriente: por 
Última actualización:

La privacidad de los datos está de vuelta en la mira de los legisladores del Congreso, ya que una nueva propuesta legislativa se enfoca no en la recolección, almacenamiento y venta de datos, sino en la idea de que los estadounidenses deberían poder empacar más fácilmente sus datos de usuario y llevarlos a una competencia servicio, tal vez uno que respete mejor la privacidad de sus datos.

El nuevo proyecto de ley también requeriría que ciertas compañías tecnológicas, incluidas Facebook , Google y Twitter, introduzcan «interoperabilidad» en sus productos, permitiendo a los usuarios interactuar a través de diferentes plataformas de competidores directos.

Estas reglas, referidas en el proyecto de ley como portabilidad e interoperabilidad de datos, presumiblemente permitirían a los estadounidenses, por ejemplo, descargar todos sus datos de Facebook y transferirlos a la red social centrada en la privacidad Ello . O hable directamente con los usuarios de Twitter mientras usa el competidor más pequeño y descentralizado de la compañía con sede en San Francisco, Mastodon . O incluso, tal vez, inicie sesión en su cuenta de Vimeo para comentar en los videos de YouTube.

La portabilidad e interoperabilidad de los datos no son nada nuevo: los usuarios de teléfonos móviles pueden mantener su número de teléfono cuando cambian de proveedor de servicios inalámbricos; El software empresarial puede leer hoy los archivos creados en programas de la competencia, como los diversos documentos creados por Apple Pages, Microsoft Word y Google Docs.

Pero pocos, si alguno, ejemplos notables de portabilidad e interoperabilidad de datos llegaron a instancias de la legislación federal. Queda por ver si este nuevo proyecto de ley tendrá éxito, de paso, en mejorar la portabilidad e interoperabilidad de los datos, y en su propósito declarado de mejorar la seguridad de los datos.

Avery Gardiner, investigador principal de competencia, datos y poder del Centro para la Democracia y la Tecnología, dijo que el proyecto de ley tiene algunas buenas ideas, pero al tratar de mejorar la privacidad de los datos, extrañamente no se centra en el tema en sí.

«Si tenemos un problema de privacidad, que tenemos en Estados Unidos, arreglemos eso con la legislación de privacidad», dijo Gardiner.

Cory Doctorow, escritor, activista y afiliado de investigación del MIT Media Lab, agradeció el enfoque del proyecto de ley en la interoperabilidad, un tema que podría usar la formulación inteligente de reglas y que está recibiendo poca atención en el Congreso, en oposición a los intentos constantes y posiblemente inútiles. para regular estrictamente a los delincuentes de Big Tech, como Facebook.

«Esto tiene como objetivo arreglar Internet», dijo Doctorow, «para que el comportamiento de Facebook ya no sea tan estándar».

La Ley de acceso

El 22 de octubre, los senadores de los EE. UU. Mark Warner (D-VA), Josh Hawley (R-MO) y Richard Blumenthal (D-CT) presentaron la Ley de aumento de compatibilidad y competencia al habilitar la Ley de cambio de servicio o la Ley ACCESS.

El proyecto de ley regularía lo que llama «grandes plataformas de comunicaciones», que son productos y servicios en línea que hacen dinero con la recolección, procesamiento, venta o intercambio de datos de usuarios, y que tienen más de 100 millones de usuarios activos mensuales en los Estados Unidos. . El proyecto de ley llama a los propietarios de estos productos «proveedores de comunicaciones».

Claramente, el proyecto de ley se aplica tanto a las compañías de Big Tech como a las plataformas que poseen y operan, incluidas Facebook y sus plataformas Messenger, WhatsApp e Instagram, Google y su plataforma de YouTube, y los principales productos de LinkedIn y Pinterest.

Pero en lugar de imponer nuevas reglas a estos gigantes tecnológicos en un esfuerzo por romperlos, un grito de guerra para algunos candidatos presidenciales demócratas, el proyecto de ley apunta a abrir la competencia contra ellos, creando potencialmente un campo de juego nivelado donde los usuarios pueden dejar fácilmente un plataforma que traiciona su confianza , entra en conflicto con los acuerdos federales o simplemente deja de proporcionar una experiencia agradable .

«El dominio exclusivo de Facebook y Google ha desplazado a la competencia significativa que se necesita para proteger la privacidad en línea y promover la innovación tecnológica», dijo el senador Blumenthal, quien ayudó a presentar el proyecto de ley, en un comunicado preparado . «La Ley ACCESS bipartidista empoderaría a los consumidores para finalmente hacer frente a Big Tech y mover sus datos a servicios que respeten sus derechos».

La Ley ACCESS tiene tres puntos: portabilidad de datos, interoperabilidad y «delegabilidad», que discutiremos a continuación.

Primero, en cuanto a la portabilidad de datos, cualquier empresa que opere una gran plataforma de comunicaciones necesitaría desarrollar una forma para que los usuarios puedan obtener sus datos de usuario y transferirlos a un competidor en un formato seguro, «estructurado, de uso común y legible por máquina». «

Si bien algunas empresas ya ofrecen una manera para que los usuarios descarguen sus datos ( un reportero de Verge descargó 138 GB de sus propios datos luego de la aprobación del Reglamento General de Protección de Datos de la Unión Europea), el potencial de transferirlos sin problemas a un competidor podría reducir las barreras para dejando atrás las compañías de Big Tech que dominan el ecosistema de redes sociales de hoy.

Gardiner de CDT dijo que el intento del proyecto de ley de introducir la portabilidad de datos es bueno, pero si será efectivo depende de un panorama robusto y competitivo en el que los advenedizos puedan aceptar los datos de un usuario de manera significativa. En este momento, dijo, ese paisaje no existe.

«La forma en que sus datos serían útiles es bastante específica de la forma en que ya está en la plataforma de alguien», dijo Gardiner. «No vas a transferir tus datos de Facebook a Twitter porque no te ayudaría a hacer nada, como usuario».

Gardiner dijo que entendía lo que el proyecto de ley está tratando de lograr, pero cuestionó si era la ruta más efectiva.

«Cuando leo las declaraciones de prensa, creo que parte de lo que dicen es que las fallas de privacidad de algunas de las compañías de Big Tech se deben, en parte, a la falta de competencia, por lo que debemos facilitar la competencia por las plataformas de comunicaciones». Dijo Gardiner. «Tengo un enfoque más simple para resolver ese problema, y ​​eso es aprobar una legislación de privacidad».

Sobre las demandas de interoperabilidad del proyecto de ley, las empresas deben desarrollar una «interfaz de interoperabilidad» para cada gran plataforma de comunicaciones que posean. Para una empresa como Facebook, que significaría que permite la interoperabilidad con sus plataformas Messenger, WhatsApp, Instagram y, como CEO, Mark Zuckerberg prom SED a principios de este año , así como con los competidores de fuera que quieren entrar en el campo.

Finalmente, en «delegabilidad», el proyecto de ley pide que los estadounidenses tengan la oportunidad de seleccionar un tercero para administrar su privacidad y la configuración de la cuenta en las diversas plataformas que utilizan. Esos terceros, que el proyecto de ley llama «agentes de custodia de terceros», deben registrarse en la Comisión Federal de Comercio de los EE. UU. Y cumplir con las normas que la Comisión necesitaría emitir después de la aprobación del proyecto de ley.

Los agentes de custodia de terceros podrían cobrar una tarifa por sus servicios, según el proyecto de ley, y deben proteger la privacidad y la seguridad de los datos de sus usuarios.  

Importancia de la interoperabilidad

La Ley ACCESS busca un tipo de interoperabilidad en el que los competidores puedan atraer nuevos usuarios a sus plataformas al hacer que sus servicios sean compatibles con un jugador dominante en el mercado. Si los usuarios no necesitan usar el Messenger de Facebook para mantenerse en contacto con sus amigos, por ejemplo, puede que les resulte más fácil dejar atrás Messenger por completo, aflojando el control de Facebook sobre los usuarios de hoy.

Este tipo de interoperabilidad ya ha ayudado a desalojar los casi monopolios de Microsoft e IBM de sus respectivos mercados: las aplicaciones de software empresarial Word, Excel y Powerpoint; y la PC en sí.

Pero la interoperabilidad podría hacer más que vigilar a las grandes empresas tecnológicas. De hecho, podría conducir a una Internet más segura para los usuarios, dijo Doctorow.

Doctorow contó una anécdota sobre su amigo, un escritor de cómics que recibe acoso selectivo de un grupo de usuarios predominantemente masculinos de Twitter. Las usuarias, enojadas por las opiniones feministas de la escritora, le envían mensajes directos amenazantes. Pero, después de que ella lee los mensajes directos, los eliminan.

Esto es por dos razones, dijo Doctorow. Uno, los usuarios no pueden informar un mensaje directo a Twitter a menos que ese mensaje directo todavía esté disponible y no se elimine. Twitter no acepta capturas de pantalla en informes de acoso debido a la posibilidad de reclamos falsos.

Dos, una vez que se ha eliminado el mensaje directo, los mismos acosadores comentarán públicamente en el feed de Twitter de la escritora de cómics, y a varias otras mujeres en su comunidad en línea. Estos comentarios públicos, dijo Doctorow, hacen referencia al mismo contenido de los mensajes directos amenazantes, retraumatizando al escritor.

Este es un ciclo de acoso en el que las amenazas directas sortean las consecuencias, solo para reaparecer en contenido similar, aumentando la sensación de impotencia para la víctima.

Curiosamente, dijo Doctorow, podría haber una oportunidad para que la interoperabilidad ayude.

La escritora de cómics y su pequeña comunidad de amigos podrían usar un competidor externo (o desarrollar uno ellos mismos) para continuar sus discusiones, que generalmente tienen lugar en Twitter, al tiempo que establecen reglas que evitarían que los mensajes directos y los Tweets de los acosadores aparecieran en sus alimentaciones y bandejas de entrada.

Es más que una lista de bloqueo, dijo Doctorow. Está dando poder a los usuarios para interactuar con comunidades significativas en línea que ya existen de una manera que los respalde y proteja.

La interoperabilidad, entonces, podría ofrecer una solución potencial para que los usuarios eviten el acoso en línea, hasta que los agresores los encuentren en una nueva plataforma. ¿Pero la interoperabilidad realmente servirá al objetivo declarado de la Ley ACCESS de mejorar la privacidad de los datos?

Cómo regular la privacidad de los datos.

La Ley ACCESS es al menos el sexto proyecto de ley federal propuesto en el último año que tiene como objetivo mejorar la privacidad de los datos de los estadounidenses.

Como ha informado Malwarebytes Labs, cada proyecto de ley federal busca mejorar la privacidad de los datos a través de diversos medios. Un proyecto de ley del Senador impondría una lista de «No rastrear», otro crearía un «deber de cuidar» los datos del usuario y otro requeriría acuerdos de términos de servicio claros y concisos.

La Ley ACCESS, por otro lado, es la primera ley de privacidad de datos que se enfoca en la portabilidad e interoperabilidad de datos. Ambos conceptos han proporcionado mejores experiencias comprobadas para usuarios de tecnología en múltiples sectores. Los estudiantes universitarios pueden llevar sus transcripciones a una nueva universidad cuando deseen transferir escuelas. Los pacientes de atención médica pueden llevar sus registros a un nuevo proveedor.

Pero con el Congreso tomando un receso de invierno en solo seis semanas, es esencialmente cero la posibilidad de que cualquiera de estos proyectos de ley de privacidad de datos se apruebe en 2019.

Quizás 2020 sea mejor para los usuarios y su privacidad de datos.

Pormalwarebytes

Las pymes carecen de recursos para defenderse de los ataques cibernéticos, además de pagar más después

Las pymes carecen de recursos para defenderse de los ataques cibernéticos, además de pagar más después

Las pymes carecen de recursos para defenderse de los ataques cibernéticos, además de pagar más después

Publicado: 31 de octubre de 2019 por 
Última actualización: 5 de noviembre de 2019

Los ataques cibernéticos, muchos han notado, son el crimen económico de más rápido crecimiento no solo en los Estados Unidos, sino también en todo el mundo. Esta tendencia al alza se ha observado desde 2014, según PricewaterhouseCoopers (PwC) , y es probable que no se desacelere en el corto plazo.

Los ciberataques, al igual que el avance de la tecnología, el entretejido de vidas digitales entre familiares y extraños a través de las redes sociales y la ampliación de la adopción de Internet, están aquí para quedarse.

Por mucho que Internet haya cambiado la vida de las personas en el planeta, para bien o para mal, ha cambiado aún más la forma de hacer negocios. La realidad actual es que un negocio no es un gran negocio si no está en línea. Incluso las pequeñas empresas locales, como restaurantes, empresas de renovación de viviendas o estudios de baile, requieren algún tipo de presencia en Internet para prosperar.

Sin embargo, entrar en el reino en línea como negocio es, en sí mismo, una espada de doble filo. Si bien la visibilidad que Internet brinda a los empresarios casi garantiza el crecimiento, por otro lado, las organizaciones también se exponen a riesgos de amenazas a través de Internet. Los minoristas en línea pueden entrar en conflicto con las tácticas de descremado web . Los editores y blogueros en línea que usan sistemas de gestión de contenido pueden ser pirateados, o sus anuncios envenenados por publicidad maliciosa . Incluso simplemente abrir correos electrónicos puede poner en riesgo a una empresa.

Las organizaciones de todos los tamaños deben entender que en el mundo de hoy, los ataques cibernéticos son inevitables.

Desafortunadamente, la mayoría de las pequeñas y medianas empresas (PYMES) no están preparadas para ninguna forma de asalto digital, mucho menos conscientes de su inevitabilidad. Al final, algunas organizaciones afectadas emergen de un ataque con pérdidas tan excesivas que se cierran permanentemente.

Entonces, ¿qué tan poco preparados están las pymes para un eventual ciberataque? Para ayudar a pintar una imagen de su postura actual de seguridad cibernética, reunimos algunas estadísticas notables. Basta decir que no son buenos.

Postura de ciberseguridad de las pymes

Echamos un vistazo a varios factores que afectan la seguridad cibernética de las PYMES, desde la tasa de incidentes y la escasez de personal hasta los costos asumidos después de un ataque. Así es como funcionan:

Ciber incidentes

Las empresas no empresariales informaron más incidentes cibernéticos en 2019 en comparación con el año anterior, según el Informe de preparación cibernética de Hiscox .

  • Para las pequeñas empresas que informan al menos uno o más incidentes cibernéticos, la proporción ha aumentado del 33 por ciento de los encuestados al 47 por ciento.
  • Para las empresas medianas, el aumento es aún mayor, pasando del 36 por ciento en 2018 al 63 por ciento en 2019.
  • El Informe de investigaciones de violación de datos de 2019 de Verizon encontró que el 43 por ciento de todas las víctimas de violaciones eran pequeñas empresas.

Falta de recursos

Las pequeñas y medianas empresas generalmente tienen menos recursos para la protección de la seguridad cibernética, ya sea un presupuesto más pequeño para soluciones de software o personal de TI sobrecargado o poco capacitado. Esto puede resultar en negligencia que en última instancia conduce a una violación.

  • En promedio, una SMB puede enfrentar hasta 5,000 alertas de seguridad por día, sin embargo, solo el 55.6 por ciento de ellas investiga estas alertas, según Cisco .
  • Según el informe del Instituto Keeper Security-Ponemon mencionado anteriormente, 6 de cada 10 PYMES informan que los ataques contra ellos son más selectivos, sofisticados y perjudiciales; sin embargo, el 47 por ciento de ellos no tiene idea de cómo proteger a sus empresas del ataque cibernético.
  • El 52 por ciento de las PYMES afirman que no tienen un profesional de TI interno en el personal, según el Informe de seguridad de TI de SMB 2019 de Untangle .
  • Untangle también descubrió que el 48 por ciento de las organizaciones afirman que el presupuesto limitado es una de las pocas barreras que enfrentan cuando se trata de seguridad de TI.

Costo de un ataque.

  • Las pequeñas y medianas empresas asumen un costo más alto en relación con su tamaño en comparación con las organizaciones más grandes, según el Informe de costo de violación de datos de IBM .
  • Las organizaciones con una plantilla de entre 500 y 1,000 desembolsaron un promedio de US $ 2,65 millones en costos totales de violación de datos.
  • El costo total para las organizaciones con más de 25,000 empleados promedió $ 204 por empleado, mientras que las organizaciones con entre 500 y 1,000 empleados tuvieron un costo promedio de $ 3,533 por empleado.

Curiosamente, dos informes publicados de forma independiente, a saber, el informe especial de Cisco Small and Mighty [PDF] sobre pequeñas y medianas empresas y Keeper Security y el estado de ciberseguridad en pequeñas y medianas empresas del Instituto Ponemon, reflejaron un rango similar de costos.

En el mismo informe de Small and Mighty, Cisco también revela que las pymes tienen más probabilidades de ceder a los actores de amenazas que pagan sus demandas de rescate, ya que no pueden operar sin acceso a datos críticos y no pueden permitirse las usuales 8+ horas de tiempo de inactividad.

Principales amenazas a las pymes y formas de combatirlas

¿Significa esto que las pymes deben mantenerse alejadas de Internet? Claramente, esa no es la respuesta. Sin embargo, si las organizaciones grandes y pequeñas no toman medidas para proteger sus negocios contra los ataques cibernéticos, no solo se están poniendo en riesgo de pérdida de ganancias, sino que pueden estar obstaculizando el crecimiento económico global. Según Accenture , una economía digital confiable podría estimular un crecimiento adicional de 2.8 por ciento en las organizaciones durante los próximos cinco años, lo que se traduciría en $ 5.2 billones en oportunidades de creación de valor para la sociedad en general.

Sin embargo, las pymes se enfrentan a sofisticados métodos de ciberataque con muchos menos recursos que las grandes organizaciones empresariales para combatirlos. A continuación, enumeramos algunas de las principales amenazas para las PYMES, así como nuestras recomendaciones sobre las mejores formas de combatirlas, teniendo en cuenta las limitaciones presupuestarias y de personal.

Malware

En lo que respecta a las amenazas en línea, los ataques maliciosos de los ciberdelincuentes a través del malware siguen siendo el principal desafío para las PYMES en varios informes. En la mayoría de los casos, el malware no solo es difícil de detectar, sino que también es costoso remediarlo y mitigarlo. Cualquiera que sea la amenaza, no olvidemos que los actores potenciales de la amenaza están motivados para obtener ganancias financieras mediante extorsión, coerción, fraude o robo de información confidencial y clasificada que puede venderse al mejor postor.

En 2019, las pymes se han visto especialmente afectadas por ransomware y troyanos, como Emotet y TrickBot, de acuerdo con nuestra telemetría de productos.

Recomendaciones: Para abordar el desafío de los sofisticados ataques de malware, las pymes deben crear ante todo un plan de respaldo para que no pierdan datos críticos en caso de un ataque de ransomware. Los datos se pueden almacenar de forma segura en la nube y acceder a ellos desde cualquier lugar, en caso de que las máquinas se congelen en un ataque. Además, la compra de una solución de protección de punto final económica que bloquea ataques sofisticados puede ayudar a llevar parte de la carga en lugar de un personal de TI altamente capacitado.

Ataques basados ​​en la web

Según el informe El costo del delito cibernético de Accenture , los ataques basados ​​en la web se encuentran entre las principales razones por las cuales las empresas pierden ingresos. Tales ataques normalmente utilizan un navegador de Internet y el sitio web oficial de una PYME como plataforma de ataque para realizar actos delictivos, como acceder y robar información confidencial del cliente o comprometer el sitio para que infecte a los visitantes. Ejemplos de ataques basados ​​en la web son cross-scripting (XSS) , descargas automáticas e inyección SQL (SQLi) .

Recomendaciones: La mayoría de los ataques basados ​​en la web comienzan cuando los actores de amenazas intentan manipular o alterar la funcionalidad de un sitio web utilizando el código como entrada para los campos de entrada. Evitar la representación de dicho código es una medida de seguridad general que las PYMES podrían comenzar a adoptar. De esta forma, las empresas pueden tener un mejor control sobre los tipos de entrada de usuarios que sus sitios web aceptan y procesan cuando alguien interactúa con ellos.

Para las PYMES, mitigar los ataques y amenazas basados ​​en la web puede implicar invitar a un profesional de seguridad a auditar el código de su sitio web para detectar posibles lagunas que los delincuentes pueden explotar, y asesorar sobre la mejor manera de abordarlos. Mientras estamos en el tema de la codificación, las pymes, como los desarrolladores de aplicaciones u otras personas con personal de programación, querrán priorizar la capacitación sobre cómo codificar bien teniendo en cuenta la seguridad .

Ataques distribuidos de denegación de servicio (DDoS)

Los ataques DDoS a menudo resultan en un tiempo de inactividad extendido para los sitios web de negocios, y eso nunca es bueno para la organización objetivo. Esto significa que a los clientes se les niega el acceso al sitio, lo que les impide realizar transacciones con el negocio, y el negocio pierde valiosas oportunidades, dinero y productividad.

Recomendaciones: Quizás la forma más fácil en que una empresa puede evitar los ataques DDoS es hacer uso de los servicios de una buena red de entrega de contenido (CDN). Sin embargo, la prevención también se puede hacer internamente sin romper el banco . Espere que suceda un DDoS en el futuro y planifique con anticipación. Establezca protocolos en el lugar de trabajo sobre qué hacer en caso de un ataque DDoS al sitio web de su empresa. Si puede, incluya en la fase de planificación qué, cómo y cuándo se comunicaría con sus clientes sobre una interrupción del sitio web causada por este ataque.

Ataques de phishing e ingeniería social

Un sorprendente 85 por ciento de las organizaciones experimentan este tipo de ataque, especialmente ahora que las principales amenazas para las empresas, Emotet, Trickbot y varias familias de ransomware, a menudo se envían por correo electrónico de phishing. Con los estafadores y los ingenieros sociales cada vez más descabellados, sus tácticas se vuelven más sofisticadas y pulidas. Y podemos esperar que esto aumente a menos que las empresas comiencen a tomar en serio estas amenazas.

Recomendaciones: Capacitar a todos los miembros del personal . Existen algunos métodos simples que puede usar para ayudar a los empleados a identificar correos electrónicos de phishing en lugar de los legítimos. Muchos ejemplos de correos electrónicos de phishing y estafas actuales existen en línea. Convierta la conciencia de ciberseguridad en una prioridad. Avance creando una cultura intencional de seguridad dentro de la empresa.

Amenazas internas

Los peligros planteados por empleados actuales y anteriores con intenciones maliciosas siempre se ciernen sobre los ejecutivos de las PYMES. Sin embargo, las amenazas internas no se limitan solo a lo obvio. A menudo, es el personal negligente, desatento y abusa de sus privilegios lo que se convierte en una persona con información accidental y provoca una violación de datos.

Recomendaciones: El tema de las amenazas internas debe incluirse en cada entrenamiento de seguridad cibernética que el personal se someta. Si lo hace, es probable que disminuya la probabilidad de información privilegiada accidental, pero no se aborde a los expertos deliberadamente laxos o profesionales. En este caso, la implementación de controles puede minimizar aún más los incidentes de amenazas internas .

Trabajadores remotos

Ya sea que a los trabajadores remotos les guste o no, son un riesgo para sus organizaciones. Es triste decir que muchas organizaciones desconocen esto, ni se dan cuenta de la magnitud del riesgo que representan los trabajadores remotos sobre los activos de la empresa, incluida la propiedad intelectual, así como la información de los clientes, el personal y los proveedores. Como tales, no cumplen con las mejores prácticas establecidas por la Administración de Pequeñas Empresas de EE. UU . Y no implementan las medidas más básicas de ciberseguridad.

Recomendaciones: La educación y las políticas, una vez más, juegan un papel en la seguridad de los trabajadores remotos de una PYME .

Efectos a largo plazo de los ciberataques

Muchos de los que miran desde afuera pueden asumir que una vez que las organizaciones vuelvan a funcionar después de una violación de datos, además de algunos inconvenientes, los negocios continuarán normalmente. Nada mas lejos de la verdad.

Dependiendo de la cantidad de daño que una violación de datos ha causado a un negocio en total, puede llevarles un tiempo recuperar lo que perdieron y volver a ser rentables. A veces, años de larga consecuencias después de una violación son sentidas por pequeñas y medianas empresas. Esto incluye daños a la reputación del negocio y pérdida de confianza de clientes actuales y potenciales.

El mejor curso de acción que las PYMES pueden tomar después de un ataque cibernético es aprender de su experiencia mejorando su postura general de seguridad cibernética y el estado de preparación cibernética en el futuro. Haga de la seguridad cibernética y la privacidad una prioridad. Cree múltiples copias de seguridad de sus datos más confidenciales. Monitorear y realizar evaluaciones de riesgos regularmente. Educar a los trabajadores. Por último, asegúrese de que todos los dispositivos que se conectan a su red estén configurados y protegidos adecuadamente con software antimalware y protocolos de cifrado sólidos.