Archivo mensual abril 2020

Pormalwarebytes

Los ciberdelincuentes lanzan claves de descifrado de Troldesh

Los actores de amenazas lanzan claves de descifrado de Troldesh

Los ciberdelincuentes lanzan claves de descifrado de Troldesh

Al corriente: por 

Un usuario de GitHub que afirma representar a los autores del Troldesh Ransomware que se hacen llamar el «equipo de Shade» publicó esta declaración el domingo pasado:

“Somos el equipo que creó un encriptador de troyanos conocido principalmente como Shade, Troldesh o Encoder.858. De hecho, detuvimos su distribución a fines de 2019. Ahora tomamos la decisión de poner el último punto en esta historia y publicar todas las claves de descifrado que tenemos (más de 750 mil). También estamos publicando nuestro descifrado suave; También esperamos que, teniendo las claves, las compañías de antivirus emitan sus propias herramientas de descifrado más fáciles de usar. Todos los demás datos relacionados con nuestra actividad (incluidos los códigos fuente del troyano) se destruyeron irrevocablemente. Pedimos disculpas a todas las víctimas del troyano y esperamos que las claves que publicamos les ayuden a recuperar sus datos «.

¿Son estas las verdaderas claves de descifrado de Troldesh?

Si. Desde que se publicaron la declaración y las claves, las claves se han verificado ya que nuestros amigos de Kaspersky han confirmado la validez de las claves y están trabajando en una herramienta de descifrado . Esa herramienta se agregará al proyecto No More Ransom . El sitio web «No More Ransom» es una iniciativa de la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa, el Centro Europeo de Delitos Cibernéticos de Europol, Kaspersky y McAfee con el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagarles a los delincuentes.

En el pasado, algunas herramientas de descifrado para algunas de las variantes de Troldesh ya se habían publicado en el sitio web «No More Ransom». Actualizaremos esta publicación cuando se libere el descifrador de Kaspersky y nos gustaría advertir que no se sigan las instrucciones en GitHub a menos que sea un usuario muy hábil. Los pocos días adicionales de espera no deberían doler tanto y un intento fallido puede hacer que los archivos sean completamente inútiles.

¿Cuándo es útil usar la herramienta de descifrado de Troldesh?

Antes de salir y ejecutar esta herramienta esperada en su computadora victimizada tan pronto como salga, verifique si sus archivos cifrados tienen una de estas extensiones:

  • xtbl
  • ytbl
  • hacerse malo
  • Heisenberg
  • Mejor llamar a Saul
  • los_pollos
  • Código da Vinci
  • magic_software_syndicate
  • windows10
  • windows8
  • no_more_ransom
  • Tyson
  • crypted000007
  • crypted000078
  • rsa3072
  • descifrarlo
  • diestro
  • miami_california

Si las extensiones de archivo de su (s) sistema (s) afectado (s) no coinciden con una en la lista anterior, entonces sus archivos están fuera del alcance de esta herramienta de descifrado. Si encuentra una coincidencia, debe esperar a que se publique la herramienta de descifrado.

¿Por qué esta pandilla publicaría las claves de descifrado de Troldesh?

La razón de todo esto es desconocida y está sujeta a especulación. Podemos imaginar algunas razones diferentes. De poco probable a creíble.

  • Tal vez su conciencia los alcanzó. Después de todo, se disculpan con las víctimas. Pero estas son solo las víctimas que no pagaron o no pudieron recuperar sus archivos a pesar de pagar el rescate.
  • El equipo de Shade puede sospechar que alguien ha violado su bóveda de claves y se vio obligado o decidió por su propia cuenta publicar las claves por ese motivo. Pero no hemos visto reclamos para apoyar esa posibilidad.
  • La rentabilidad del ransomware había alcanzado su límite. Ransom.Troldesh existe desde 2014 y vimos un fuerte aumento de detección una vez que los actores de la amenaza se aventuraron fuera de los objetivos rusos en febrero de 2019. Pero después de ese aumento inicial, el número de detecciones se desvaneció gradualmente. Sin embargo, todavía estaba activo y generaba dinero.
Ransom.Troldesh detecciones con el tiempo
Número de detecciones de Malwarebytes de Ransom.Troldesh desde julio de 2018 hasta abril de 2020
  • El desarrollo de este ransomware ha alcanzado su límite técnico y el equipo se centrará en un nuevo proyecto de software. El equipo declaró haber detenido la distribución a fines de 2019, pero no pudo revelar en qué están trabajando actualmente.

Lo que sabemos

Todo lo que sabemos con certeza es que las claves han sido verificadas y una herramienta de descifrado está en proceso. Todo lo demás son especulaciones basadas en una declaración hecha en GitHub por una cuenta con el nombre de “sombra-equipo” que se unió a GitHub el 25 de abril ª , justo antes de la declaración.

Las víctimas pueden mantener los ojos bien abiertos para el lanzamiento de la herramienta de descifrado. Nos mantendremos informados.

Pormalwarebytes

El error de correo de iOS permite ataques remotos de clic cero

El error de correo de iOS permite ataques remotos de clic cero

El error de correo de iOS permite ataques remotos de clic cero

Al corriente: por 

El lunes, ZecOps lanzó un informe sobre un par de vulnerabilidades con la aplicación Mail en iOS . Estas vulnerabilidades permitirían a un atacante ejecutar código arbitrario en la aplicación Mail o en el proceso de maild que ayuda a la aplicación Mail detrás de escena. Sin embargo, lo más preocupante es el hecho de que incluso la versión más actual de iOS, 13.4.1, es vulnerable.

La forma en que funciona el ataque es que el actor de la amenaza envía un mensaje de correo electrónico diseñado para causar un desbordamiento del búfer en Mail (o maild). Un desbordamiento del búfer es un error en el código que permite que ocurra un ataque si el actor de la amenaza puede llenar un bloque de memoria más allá de su capacidad. Esencialmente, el atacante escribe datos basura que llenan la memoria, luego escribe código que sobrescribe el código existente en la memoria contigua, que luego es ejecutado por el proceso vulnerable.

Las malas noticias

Las vulnerabilidades reveladas por ZecOps permitirían a un atacante usar un desbordamiento de búfer para atacar un dispositivo iOS de forma remota, en dispositivos con iOS 6 a través de iOS 13.4.1. (ZecOps escribe que puede funcionar incluso en versiones anteriores de iOS, pero no lo probaron).

En iOS 12, el ataque no requiere nada más que ver un mensaje de correo electrónico malicioso en la aplicación Correo. No requeriría tocar un enlace o cualquier otro contenido dentro del mensaje. En iOS 13, la situación es peor, ya que el ataque puede llevarse a cabo contra el proceso maild en segundo plano, sin requerir ninguna interacción del usuario (es decir, es una «vulnerabilidad de clic cero»).

En el caso de infección en iOS 13, no habría signos significativos de infección, aparte de la lentitud temporal de la aplicación de correo. En algunos casos, la evidencia de un ataque fallido puede estar presente en forma de mensajes que no tienen contenido y no se pueden mostrar.

Los mensajes, que se muestran en la imagen de arriba del blog de ZecOps, pueden estar visibles por un tiempo limitado. Una vez que un ataque tiene éxito, el atacante presumiblemente usaría el acceso a la aplicación de Correo para eliminar estos mensajes, de modo que el usuario nunca los vea.

Las buenas noticias

Sé cómo suena esto. Este es un ataque que puede ser realizado por cualquier actor de amenazas que tenga su dirección de correo electrónico, en la última versión de iOS, y la infección ocurre en segundo plano sin requerir la acción del usuario. ¿Cómo hay buenas noticias aquí?

Afortunadamente, la hay. Las vulnerabilidades reveladas por ZecOps solo permiten un ataque de la aplicación de correo en sí. Usando esas vulnerabilidades, un atacante podría capturar sus mensajes de correo electrónico, así como modificar y eliminar mensajes. Presumiblemente, el atacante también podría realizar otras operaciones normales de correo, como enviar mensajes desde su dirección de correo electrónico, aunque esto no se mencionó. Si bien esto no es exactamente reconfortante, está lejos de comprometer todo el dispositivo.

Para lograr un compromiso total del dispositivo, el atacante necesitaría tener otra vulnerabilidad. Esto significa que si tiene la versión 13.4.1, requeriría una vulnerabilidad públicamente desconocida, lo que en su mayor parte restringiría dicho ataque a un adversario a nivel de estado-nación.

En otras palabras, alguien tendría que estar dispuesto a arriesgarse a quemar una vulnerabilidad de día cero, con un valor potencial de un millón de dólares o más, para infectar su teléfono. Esto significa que es poco probable que se infecte a menos que algún gobierno hostil u otro grupo poderoso esté interesado en espiarlo.

Si usted es, por ejemplo, un defensor de los derechos humanos que trabaja contra un régimen represivo, o un miembro de una minoría oprimida en ese país, puede ser un objetivo. Del mismo modo, si usted es un periodista que cubre tales noticias, puede ser un objetivo. También podría estar en riesgo si es una persona de negocios importante, como un CEO o CFO en una corporación importante, o si desempeña un papel importante en el gobierno. La persona promedio no estará en riesgo significativo de este tipo de ataque.

¿Por qué revelar ahora?

Es una práctica común como parte de la «divulgación responsable» evitar la mención pública de una vulnerabilidad importante hasta después de que se haya solucionado, o hasta que haya pasado el tiempo suficiente para creer que el proveedor de software o hardware no tiene la intención de corregir la vulnerabilidad en un de manera oportuna. La publicación de este tipo de información antes de que haya una solución disponible puede generar un mayor peligro para los usuarios, ya que los piratas informáticos que descubren que existe una vulnerabilidad pueden encontrarla por sí mismos.

Por supuesto, esto debe equilibrarse con el riesgo de ataques existentes que no se detectan. La divulgación puede ayudar a las personas que están bajo ataque activo a descubrir el problema, y ​​puede ayudar a las personas que aún no están bajo ataque a aprender cómo prevenir un ataque.

Con esto en mente, ZecOps mencionó tres razones por las que eligieron divulgar ahora:

  1. Dado que las vulnerabilidades reveladas no se pueden utilizar para comprometer todo el dispositivo sin vulnerabilidades adicionales, el riesgo de divulgación es menor.
  2. Apple ha lanzado una versión beta de iOS 13.4.5, que aborda el problema. Aunque una solución en beta no es exactamente lo mismo que una solución en una versión pública, un atacante podría analizar los cambios en la versión beta, lo que conduciría al descubrimiento de las vulnerabilidades. Esencialmente, las vulnerabilidades ya se han revelado a hackers maliciosos, pero el público no lo sabía.
  3. Al menos seis organizaciones estaban bajo ataque activo usando estas vulnerabilidades. (Las organizaciones no fueron nombradas).

Que deberias hacer

Primero, no se asuste. Como se mencionó, este no es un ataque generalizado contra todos los que usan un iPhone. En el pasado, se han utilizado otras vulnerabilidades de clic cero para enviar malware a los iPhones, pero ninguna se ha generalizado. Esto se debe a que cuanto más se generaliza un ataque de este tipo, es más probable que sea detectado y luego reparado por Apple.

Para proteger su inversión en vulnerabilidades de día cero de iOS de un millón de dólares, las organizaciones poderosas usan esas vulnerabilidades con moderación, solo contra individuos o grupos específicos. Por lo tanto, a menos que seas alguien que podría ser el objetivo de una nación hostil u otra organización poderosa, es probable que no estés en peligro.

Sin embargo, el riesgo aumenta después de la divulgación, ya que los piratas informáticos malintencionados pueden descubrir y utilizar la vulnerabilidad para atacar al correo, al menos. Por lo tanto, tampoco debe ignorar el riesgo.

Por mucho que me gustaría decir: «Instalar Malwarebytes, ejecutar un análisis y eliminar el malware», no puedo. A diferencia de macOS, la instalación de software antivirus no es posible en iOS, debido a las restricciones de Apple. Por lo tanto, no hay software que pueda escanear un iPhone o iPad en busca de malware.

Esto, más la falta de síntomas notables, significa que será difícil determinar si ha sido afectado. Como siempre con iOS, si tiene razones para creer que ha sido infectado, su única opción es restablecer su dispositivo al estado de fábrica y configurarlo desde cero como si fuera un dispositivo nuevo.

En cuanto a las precauciones para evitar la infección, hay un par de cosas que puede hacer. Una sería instalar el iOS 13.4.5 beta, que contiene una solución para el error. Sin embargo, esto no es algo fácil de hacer, ya que necesita una cuenta de desarrollador de Apple para descargar la versión beta. Además, el uso de una versión beta de iOS, que puede tener errores, no se recomienda para todos los usuarios.

La otra posible medida de seguridad sería deshabilitar Mail hasta que se publique públicamente la próxima versión de iOS. Para hacerlo, abra la aplicación Configuración y desplácese hacia abajo hasta Contraseña y cuentas. Toque eso, luego mire la lista de cuentas.

Puede tener varias cuentas, como se muestra arriba, o solo una. Para cualquier cuenta que diga «Correo» debajo, eso significa que está usando Correo para descargar el correo de esa cuenta. Toque en cada cuenta y, en la siguiente pantalla, busque la alternancia de Correo.

La imagen de arriba muestra que Mail está habilitado. Mueva el interruptor a apagado. Haga esto para cada una de sus cuentas y no vuelva a activar el correo hasta que haya actualizado a una versión de iOS más reciente que 13.4.1.

Pormalwarebytes

Nueva variante AgentTesla que roba credenciales de WiFi

Nueva variante AgentTesla roba credenciales de WiFi

Nueva variante AgentTesla que roba credenciales de WiFi

Al corriente: por 

AgentTesla es un infostealer basado en .Net que tiene la capacidad de robar datos de diferentes aplicaciones en máquinas víctimas, como navegadores, clientes FTP y descargadores de archivos. El actor detrás de este malware lo mantiene constantemente agregando nuevos módulos. Uno de los nuevos módulos que se ha agregado a este malware es la capacidad de robar perfiles WiFi.

AgentTesla fue visto por primera vez en 2014, y desde entonces ha sido utilizado frecuentemente por ciberdelincuentes en varias campañas maliciosas. Durante los meses de marzo y abril de 2020, se distribuyó activamente a través de campañas de spam en diferentes formatos, como ZIP, CAB, MSI, archivos IMG y documentos de Office.

Las variantes más recientes de AgentTesla que se ven en la naturaleza tienen la capacidad de recopilar información sobre el perfil WiFi de una víctima, posiblemente para usarlo como una forma de propagarse a otras máquinas. En este blog, revisamos cómo funciona esta nueva característica.

Análisis técnico

La variante que analizamos fue escrita en .Net. Tiene un ejecutable incrustado como un recurso de imagen, que se extrae y ejecuta en tiempo de ejecución (Figura 1).

Figura 1. Extraiga y ejecute la carga útil.

Este ejecutable (ReZer0V2) también tiene un recurso que está encriptado. Después de realizar varias comprobaciones de anti-depuración, anti-sandboxing y anti-virtualización, el ejecutable descifra e inyecta el contenido del recurso en sí mismo (Figura 2).

Figura 2. Descifrar y ejecutar la carga útil.

La segunda carga útil (owEKjMRYkIfjPazjphIDdRoPePVNoulgd) es el componente principal de AgentTesla que roba credenciales de navegadores, clientes FTP, perfiles inalámbricos y más (Figura 3). La muestra está muy ofuscada para dificultar el análisis a los investigadores.

Figura 3. Segunda carga útil

Para recopilar credenciales de perfil inalámbrico, se crea un nuevo proceso «netsh» al pasar «wlan show profile» como argumento (Figura 4). Los nombres de WiFi disponibles se extraen luego aplicando una expresión regular: “Todos los perfiles de usuario *: (? <perfil>. *)”, En la salida estándar del proceso.

Figura 4 Crear proceso de netsh

En el siguiente paso para cada perfil inalámbrico, se ejecuta el siguiente comando para extraer la credencial del perfil: «netsh wlan show profile PRPFILENAME key = clear» (Figura 5).

Figura 5. Extraer credenciales de WiFi

Cifrado de cadenas

Todas las cadenas utilizadas por el malware están cifradas y descifradas por el algoritmo de  cifrado simétrico Rijndael en la función «<Module>. \ U200E». Esta función recibe un número como entrada y genera tres conjuntos de bytes que contienen la entrada a descifrar, clave y IV (Figura 6).

Figura 6. Fragmento de función

Por ejemplo, en la Figura 5, «119216» se descifra en «wlan show profile name =» y «119196» se descifra en «key = clear».

Además de los perfiles WiFi, el ejecutable recopila información extensa sobre el sistema, incluidos clientes FTP, navegadores, descargadores de archivos e información de la máquina (nombre de usuario, nombre de la computadora, nombre del sistema operativo, arquitectura de la CPU, RAM) y los agrega a una lista (Figura 7 )

Figura 7. Lista de información recopilada

La información recopilada forma la sección del cuerpo de un mensaje SMTP en formato html (Figura 8):

Figura 8 Datos recopilados en formato html en el cuerpo del mensaje

Nota: Si la lista final tiene menos de tres elementos, no generará un mensaje SMTP. Si todo se verifica, finalmente se envía un mensaje a través de smtp.yandex.com, con SSL habilitado (Figura 9):

Figura 9. Crear mensaje Smtp

El siguiente diagrama muestra todo el proceso explicado anteriormente, desde la extracción de la primera carga útil del recurso de imagen hasta la exfiltración de la información robada a través de SMTP:

Figura 10. Diagrama de proceso

Ladrón popular que busca expandirse

Dado que AgentTesla agregó la función de robo de WiFi, creemos que los actores de la amenaza pueden estar considerando usar WiFi como un mecanismo de propagación, similar a lo que se observó con Emotet . Otra posibilidad es usar el perfil WiFi para preparar el escenario para futuros ataques.

De cualquier manera, los usuarios de Malwarebytes ya estaban protegidos de esta nueva variante de AgentTesla a través de nuestra tecnología de protección en tiempo real.

Indicadores de compromiso

Muestras de AgentTesla:

91b711812867b39537a2cd81bb1ab10315ac321a1c68e316bf4fa84badbc09b 
dd4a43b0b8a68db65b00fad99519539e2a05a3892f03b869d58ee15fdf5aa044 
27939b70928b285655c863fa26efded96bface9db46f35ba39d2a1295424c07b

Primera carga útil:

249a503263717051d62a6d65a5040cf408517dd22f9021e5f8978a819b18063b

Segunda carga útil: 

63393b114ebe2e18d888d982c5ee11563a193d9da3083d84a611384bc748b1b0
Pormalwarebytes

La vigilancia masiva por sí sola no nos salvará del coronavirus

La vigilancia masiva por sí sola no nos salvará del coronavirus

La vigilancia masiva por sí sola no nos salvará del coronavirus

Al corriente: por 

A medida que la verdad que rompe los patrones de nuestras nuevas vidas se agota, a medida que el coronavirus desgarra las rutinas, ataca nuestro bienestar y nos agita entre la ansiedad y el miedo, no debemos mirar a la vigilancia digital masiva para volver a la normalidad.

Los gobiernos ya han lanzado grandes redes digitales . Los surcoreanos son rastreados a través del historial de ubicación de GPS, transacciones de tarjetas de crédito y filmaciones de cámaras de vigilancia. Los israelíes supieron el mes pasado que sus ubicaciones de dispositivos móviles fueron recolectadas subrepticiamente durante años. Ahora, el gobierno hurga en esta enorme base de datos a plena luz del día, esta vez para rastrear la propagación de COVID-19. Los rusos no pueden salir de casa en algunas regiones sin escanear códigos QR que restringen el tiempo que pasan afuera: tres horas para comprar comestibles, una hora para pasear al perro, la mitad para sacar la basura.

Los defensores de la privacidad en todo el mundo han dado la voz de alarma. Este mes, más de 100 organizaciones de derechos civiles y digitales instaron a que los mecanismos de vigilancia dirigidos a los coronavirus de cualquier gobierno respeten los derechos humanos. Los grupos, que incluían Privacy International, Human Rights Watch, Open Rights Group y la organización sin fines de lucro chilena Derechos Digitales, escribieron en una carta conjunta :

“La tecnología puede y debe desempeñar un papel importante durante este esfuerzo para salvar vidas, como difundir mensajes de salud pública y aumentar el acceso a la atención médica. Sin embargo, un aumento en los poderes estatales de vigilancia digital, como la obtención de acceso a los datos de ubicación de los teléfonos móviles, amenaza la privacidad, la libertad de expresión y la libertad de asociación, en formas que podrían violar los derechos y degradar la confianza en las autoridades públicas, socavando la efectividad de cualquier público respuesta de salud «.

Los grupos tienen razón en preocuparse.

Particularmente en los Estados Unidos, la historia de vigilancia de emergencia habilitada en nuestro país no ha respetado el derecho de los estadounidenses a la privacidad y no ha brindado una mayor seguridad medible. La autorización de vigilancia rápida en los EE. UU. No solo permitió la recopilación, en un momento dado, de casi todos los registros detallados de llamadas de los estadounidenses, sino que también creó un programa gubernamental difícil de manejar que dos décadas después se volvió ineficaz, económicamente costoso y repetidamente incumplido por la ley .

Además, algunas de las propuestas actuales de seguimiento de la tecnología, incluidas las capacidades Bluetooth recientemente anunciadas por Apple y Google, carecen de la evidencia para demostrar su eficacia o requieren un grado de adopción masiva que ningún país ha demostrado que sea posible. Otras propuestas privadas también provienen de actores no confiables.

Finalmente, las soluciones centradas en la tecnología no pueden por sí solas llenar brechas físicas severas, incluida la falta de equipo de protección personal para profesionales médicos, pruebas universales inexistentes y una selección potencialmente fatal de camas de unidades de cuidados intensivos que quedan para sobrevivir a un brote en todo el país.

Entendemos cómo se siente hoy. En menos de un mes, el mundo se ha vaciado. Iglesias, aulas, teatros y restaurantes yacían vacíos, a veces cerrados por tablones de madera sujetos a las puertas. Lamentamos la pérdida de familiares y amigos, de 17 millones de empleos estadounidenses y los beneficios de atención médica que proporcionaron, de redes nacionales de apoyo en persona desplazadas al ciberespacio, donde el tipo de vulnerabilidad para una sala física ahora está en línea .

Durante un tiempo aparentemente interminable en casa, nos acurrucamos y esperamos, vaciados de todos modos.

Pero la vigilancia masiva y digital por sí sola no nos hará completos.

Los gobiernos amplían la vigilancia para rastrear el coronavirus

Detectado por primera vez a fines de 2019 en la provincia china de Hubei, COVID-19 ahora se ha extendido por todos los continentes, excepto la Antártida.

Para limitar la propagación del virus y prevenir sistemas de salud sobrecargados, los gobiernos impusieron una variedad de restricciones físicas. California cerró todos los negocios no esenciales, Irlanda restringió el ejercicio al aire libre a 1.2 millas de distancia de su hogar, El Salvador colocó cuarentenas de 30 días a los salvadoreños que ingresan al país desde el extranjero, y Túnez impuso un horario nocturno de 6:00 p.m. a 6:00 a.m. toque de queda.

Un puñado de gobiernos tomó medidas digitales, aspirando los datos de los teléfonos celulares de los ciudadanos, a veces incluyendo su historial de ubicación aproximada.  

El mes pasado, Israel desabotonó un programa de vigilancia que alguna vez fue secreto, lo que le permitió acceder a los teléfonos móviles de los israelíes no para proporcionar medidas contra el terrorismo, como se reservaba anteriormente, sino para rastrear la propagación de COVID-19 . El gobierno planea usar los datos de ubicación del teléfono celular que había estado recolectando de manera privada de los proveedores de telecomunicaciones para enviar mensajes de texto a los propietarios de dispositivos que potencialmente entren en contacto con los proveedores de coronavirus conocidos. Según The New York Times, el subcomité parlamentario destinado a aprobar las restricciones relajadas del programa en realidad nunca votó .

La región italiana de Lombardía, que, hasta hace poco, sufrió la mayor ola de coronavirus fuera de China, está trabajando con una importante empresa de telecomunicaciones para analizar los datos de ubicación de teléfonos celulares anonimizados para comprender si las medidas de bloqueo físico están demostrando ser eficaces para combatir el virus. El gobierno austriaco está haciendo lo mismo . Del mismo modo, el gobierno paquistaní depende de la información de ubicación proporcionada por el proveedor para enviar mensajes SMS específicos a cualquier persona que haya entrado en contacto físico cercano con pacientes confirmados de coronavirus. El programa solo puede ser tan efectivo como grande, ya que requiere datos sobre grandes extensiones de población del país.

En Singapur, el gobierno del país publica información extremadamente detallada sobre pacientes con coronavirus en su sitio web público del Ministerio de Salud. Las edades, los lugares de trabajo, las direcciones de los lugares de trabajo, el historial de viajes, las ubicaciones de los hospitales y las calles residenciales se pueden encontrar con un simple clic.

La estrategia de detección de coronavirus de Singapur también incluyó un componente clave separado.

El mes pasado, el gobierno lanzó una nueva aplicación móvil voluntaria para que los ciudadanos la descarguen llamada TraceTogether. La aplicación se basa en las señales de Bluetooth para detectar cuando un paciente confirmado de coronavirus se acerca físicamente a los propietarios de dispositivos que usan la misma aplicación. Es esencialmente un enfoque de alta tecnología para el trabajo de detective de baja tecnología de «rastreo de contactos», en el que los expertos médicos entrevistan a las personas con enfermedades infecciosas y determinan con quién hablaron, qué lugares visitaron y qué actividades realizaron durante varios días antes de presentar síntomas.

Estos ejemplos de mayor vigilancia y seguimiento del gobierno están lejos de ser excepcionales.

Según un análisis de Privacy International, al menos 23 países han implementado alguna forma de seguimiento de telecomunicaciones para limitar la propagación del coronavirus, mientras que 14 países están desarrollando o ya han desarrollado sus propias aplicaciones móviles, incluidas Brasil e Islandia , junto con Alemania y Croacia, que intentan crear aplicaciones compatibles con GDPR .

Mientras que algunos países han confiado en los proveedores de telecomunicaciones para suministrar datos, otros están trabajando con actores privados mucho más cuestionables.

La vigilancia rápida exige una infraestructura rápida e inestable

El mes pasado, el impulso para rastrear digitalmente la propagación del coronavirus provino no solo de los gobiernos, sino de las compañías que construyen tecnología potencialmente invasiva de la privacidad.

La semana pasada, Apple y Google anunciaron un esfuerzo conjunto para proporcionar capacidades de rastreo de contactos Bluetooth entre miles de millones de dispositivos iPhone y Android en el mundo.

Las dos compañías prometieron actualizar sus dispositivos para que los expertos en salud pública puedan desarrollar aplicaciones móviles que permitan a los usuarios identificar voluntariamente si han dado positivo por coronavirus. Si un usuario confirmado de la aplicación de coronavirus entra en contacto lo suficientemente cercano con los usuarios de la aplicación no infectados, estos últimos usuarios podrían ser notificados sobre una posible infección, ya sea que posean un iPhone o Android.

Tanto Apple como Google prometieron un enfoque de protección de la privacidad. Los usuarios de la aplicación no podrán rastrear sus ubicaciones, y Apple, Google y los gobiernos no podrán acceder a sus identidades. Además, los dispositivos cambiarán automáticamente los identificadores de los usuarios cada 15 minutos, un paso para evitar la identificación de los propietarios de los dispositivos. Los datos que se procesan en dispositivos nunca abandonarán un dispositivo a menos que un usuario decida compartirlo.  

En términos de protección de la privacidad, el enfoque de Apple y Google es una de las mejores opciones hoy en día.

Según Bloomberg , la firma israelí NSO Group lanzó una variedad de gobiernos en todo el mundo sobre una nueva herramienta que supuestamente puede rastrear la propagación del coronavirus. A mediados de marzo, alrededor de una docena de gobiernos comenzaron a probar la tecnología.

Una investigación de seguimiento realizada por VICE reveló cómo funciona la nueva herramienta, con nombre en código «Fleming» :

“Fleming muestra los datos de lo que parece una interfaz de usuario intuitiva que permite a los analistas rastrear a dónde van las personas, a quién se encuentran, por cuánto tiempo y dónde. Todos estos datos se muestran en mapas de calor que se pueden filtrar según lo que el analista quiera saber. Por ejemplo, los analistas pueden filtrar los movimientos de un determinado paciente por su última ubicación o si visitaron algún lugar de reunión como plazas públicas o edificios de oficinas. Con el objetivo de proteger la privacidad de las personas, la herramienta rastrea a los ciudadanos asignándoles identificaciones aleatorias, que el gobierno, cuando sea necesario, puede anonimizar [.] «

Estos son poderes peligrosos e invasivos que cualquier gobierno puede usar contra sus ciudadanos. Las preocupaciones de privacidad solo crecen cuando se mira la historia reciente de NSO Group. En 2018, la compañía fue demandada por acusaciones de que utilizó su poderosa tecnología de software espía para ayudar al gobierno de Arabia Saudita a espiar y planear el asesinato del ex escritor del Washington Post y disidente saudí Jamal Khashoggi. El año pasado, NSO Group fue golpeado con una importante demanda de Facebook, alegando que la compañía envió malware a más de 1,400 usuarios de WhatsApp , que incluyeron periodistas, activistas de derechos humanos y funcionarios del gobierno.  

Las cuestionables asociaciones público-privadas no terminan ahí.

Según The Wall Street Journal , la startup de reconocimiento facial Clearview AI, que afirma tener la mayor base de datos de imágenes digitales públicas, está trabajando con agencias estatales de EE. UU. Para rastrear a aquellos que dieron positivo por coronavirus.

La startup con sede en Nueva York se ha jactado repetidamente de su tecnología, diciendo anteriormente que ayudó al Departamento de Policía de Nueva York a identificar rápidamente a un sospechoso de terrorismo. Pero cuando Buzzfeed News le preguntó al departamento de policía sobre ese reclamo, negó que Clearview participara en el caso .

Además, según una investigación del Huffington Post , la historia de Clearview involucra la coordinación con extremistas de extrema derecha, uno de los cuales marchó en la manifestación «Unite the Right» en Charlottesville, otro que promovió teorías de conspiración desacreditadas en línea, y otro que es un neoconocido declarado. Nazi. Uno de los primeros asesores de la startup vio una vez su tecnología de reconocimiento facial como una forma de «identificar a todos los extranjeros ilegales en el país».

Aunque Clearview le dijo a The Huffington Post que se separó de estos extremistas, su fundador Hoan Ton-That parece no estar equipado para lidiar con las preguntas de privacidad más amplias que invita su tecnología. Cuando fue entrevistado a principios de este año por The New York Times, Ton-That se vio con los pies abiertos ante preguntas obvias sobre la capacidad de espiar a casi cualquier persona con presencia en línea. Como el periodista Kashmir Hill escribió:

“Incluso si Clearview no hace que su aplicación esté disponible públicamente, una compañía imitadora podría hacerlo, ahora que el tabú está roto. Buscar a alguien por la cara podría ser tan fácil como buscar un nombre en Google. Los extraños podrían escuchar conversaciones delicadas, tomar fotos de los participantes y conocer secretos personales. Alguien caminando por la calle sería inmediatamente identificable, y la dirección de su casa estaría a solo unos clics de distancia. Anunciaría el fin del anonimato público.

Cuando se le preguntó sobre las implicaciones de traer tal poder al mundo, Ton-That pareció desconcertado.

«Tengo que pensar en eso», dijo. «Creemos que este es el mejor uso de la tecnología».

Las creencias de una compañía acerca de cómo «utilizar» mejor la tecnología invasiva es una barra demasiado baja para que podamos construir un mecanismo de vigilancia.

¿Deberíamos desplegar vigilancia masiva?

En medio de la actual crisis de salud, varias organizaciones de derechos digitales y privacidad han intentado responder a la pregunta de si los gobiernos deberían desplegar vigilancia masiva para combatir el coronavirus. Lo que ha surgido, en lugar de las aprobaciones u objeciones al por mayor a los programas de vigilancia individuales en todo el mundo, es un marco para evaluar los programas entrantes.

Según Privacy International y más de 100 grupos similares , la vigilancia del gobierno para combatir el coronavirus debe ser necesaria y proporcionada, solo debe continuar durante el tiempo de la pandemia, solo debe usarse para responder a la pandemia, debe tener en cuenta la posible discriminación causada por artificial tecnologías de inteligencia, y debe permitir a las personas desafiar cualquier recopilación, agregación, retención y uso de datos, entre otras restricciones.

Electronic Frontier Foundation, que no firmó la carta de Privacy International, publicó una lista algo similar de restricciones de vigilancia y redujo aún más su evaluación a una simple rúbrica de tres preguntas :  

  • Primero, ¿ha demostrado el gobierno que su vigilancia sería efectiva para resolver el problema?
  • En segundo lugar, si el gobierno muestra eficacia, preguntamos: ¿La vigilancia haría demasiado daño a nuestras libertades?
  • Tercero, si el gobierno muestra eficacia y el daño a nuestras libertades no es excesivo, preguntamos: ¿Hay suficientes barandas alrededor de la vigilancia? (Que la organización detalla aquí .)

No reclamamos una visión más aguda que nuestros pares de privacidad digital. De hecho, gran parte de nuestra investigación se basa en la suya. Pero al centrarnos en los tipos de vigilancia instalados actualmente y en la vigilancia anterior instalada hace años, erramos con cautela contra cualquier régimen de vigilancia masiva desarrollado específicamente para rastrear y limitar la propagación del coronavirus.

De plano, el despliegue rápido de vigilancia masiva para proteger al público rara vez, si es que alguna vez, ha funcionado según lo previsto. La vigilancia masiva no ha «resuelto» una crisis, y en los Estados Unidos, un régimen de vigilancia de emergencia se convirtió en un buque de guerra hinchado, ineficaz y no conforme, aparentemente sin timón hoy.

No debemos tomar estos mismos riesgos nuevamente.

Las lecciones de la Sección 215

El 4 de octubre de 2001, menos de un mes después de que Estados Unidos sufriera el peor ataque en suelo estadounidense cuando los terroristas derribaron las torres del World Trade Center el 11 de septiembre, el presidente George W. Bush autorizó a la Agencia de Seguridad Nacional a recopilar ciertos contenidos y metadatos del teléfono sin primero obteniendo warrants.

Según el borrador del informe de trabajo del Inspector General de la NSA , la autorización del presidente Bush se tituló «Autorización para actividades específicas de vigilancia electrónica durante un período limitado para detectar y prevenir actos de terrorismo dentro de los Estados Unidos».

En 2006, los poderes descritos de «período limitado» continuaron, ya que el Fiscal General Alberto González argumentó ante un tribunal secreto que el tribunal debería legalizar retroactivamente lo que la NSA había estado haciendo durante cinco años: recopilar los metadatos de llamadas telefónicas de casi todos los estadounidenses, potencialmente reveladores los números que llamamos, la frecuencia con que los marcamos y por cuánto tiempo hablamos. El tribunal luego aprobó la solicitud.

Los argumentos del Fiscal General citaron parcialmente una ley separada aprobada por el Congreso en 2001 que introdujo una nueva autoridad de vigilancia para la NSA titulada Sección 215, que permite la recopilación de «registros de detalles de llamadas», que son registros de llamadas telefónicas, pero no llamadas telefónicas. contenido. Aunque la Sección 215 recibió reformas significativas en 2015, aún persiste. Solo recientemente el público se enteró de las fallas de cobranza bajo su autoridad.

En 2018, la NSA borró cientos de millones de registros detallados de llamadas y textos recopilados en la Sección 215 porque la NSA no pudo conciliar su recopilación con los requisitos reales de la ley . En febrero, el público también se enteró de que, a pesar de recopilar innumerables registros a lo largo de cuatro años, solo la NSA descubrió información que el FBI aún no tenía . De esas dos ocasiones, solo una vez la información condujo a una investigación.

Para complicar el asunto es el hecho de que la NSA cerró el programa de registro de detalles de llamadas en el verano de 2019, pero la autoridad legal del programa permanece en el limbo, ya que el Senado aprobó una extensión de 77 días a mediados de marzo , pero la Cámara de Representantes No está previsto que regrese al Congreso hasta principios de mayo.

Si esto suena frustrante, lo es, y los senadores y representantes de ambas partes han cuestionado cada vez más estos poderes de vigilancia.

Recuerde, así de difícil es desmontar una máquina de vigilancia con fallas comprobadas. Dudamos que sea más fácil desmantelar cualquier régimen que instale el gobierno para combatir el coronavirus.

Aparte de nuestra historia reciente de vigilancia demasiado extendida, está la cuestión de si la recopilación de datos realmente funciona para rastrear y limitar el coronavirus.

Hasta ahora, los resultados varían de poco claros a mixtos.

Los problemas de localización y seguimiento de proximidad.

En 2014, funcionarios gubernamentales, tecnólogos y grupos humanitarios instalaron grandes regímenes de recopilación de datos para rastrear y limitar la propagación del brote de ébola en África occidental.

La Escuela de Salud Pública de Harvard utilizó los «pings» de los teléfonos celulares para trazar estimaciones aproximadas de las ubicaciones de las personas que llaman en función de las torres celulares a las que se conectaban al hacer llamadas. Los Centros para el Control y la Prevención de Enfermedades de EE. UU. Analizaron de manera similar las torres celulares que recibieron un gran número de llamadas telefónicas de emergencia para determinar si se estaba produciendo un brote casi en tiempo real.

Pero según Sean McDonald, del Centro Berkman Klein para Internet y Sociedad de la Universidad de Harvard, existe poca evidencia que muestre si el rastreo de ubicación ayuda a prevenir la propagación de enfermedades.

En un prólogo de su artículo de 2016 » Ébola: un gran desastre de datos «, McDonald analizó la respuesta de Corea del Sur en 2014 al Síndrome Respiratorio del Medio Oriente (MERS), un coronavirus separado. Para limitar la propagación, el gobierno de Corea del Sur obtuvo información de individuos de los proveedores de telefonía móvil del país e implementó una cuarentena en más de 17,000 personas en función de su ubicación y las probabilidades de infección.

Pero el gobierno de Corea del Sur nunca habló sobre cómo usaba los datos de los ciudadanos, escribió McDonald.

«Lo que no sabemos es si esa captura de información resultó en un bien público», escribió McDonald. «Todo lo contrario, hay evidencia limitada que sugiere que la información de migración o ubicación es un predictor útil de la propagación de MERS».

Además, los esfuerzos recientes para proporcionar el rastreo de contactos a través de la conectividad Bluetooth, que no es lo mismo que el rastreo de ubicación, no se han probado en una escala lo suficientemente grande como para demostrar su eficacia.

Según un informe de The Economist de mediados de marzo, solo el 13 por ciento de la población de Singapur había instalado la aplicación de rastreo de contactos del país, TraceTogether. El número bajo se ve peor cuando se mide el éxito en la lucha contra el coronavirus.

Según The Verge, si los estadounidenses instalaran una aplicación de rastreo de contactos Bluetooth a la misma velocidad que los singapurenses, la probabilidad de recibir una notificación porque un encuentro casual con otro usuario de la aplicación sería solo del 1.44 por ciento .  

Peor aún, según el Dr. Farzad Mostashari, ex coordinador nacional de tecnología de información de salud del Departamento de Salud y Servicios Humanos, el rastreo de contactos por Bluetooth podría crear muchos falsos positivos. Como le dijo a The Verge:

“Si estoy a la intemperie, mi Bluetooth y tu Bluetooth pueden hacer ping entre sí, incluso si estás a más de seis pies de distancia. Podrías atravesarme la pared en un apartamento, y podría hacer ping que estamos teniendo un evento de proximidad. Podrías estar en  un piso diferente del edificio  y podría hacer ping ”.

Esto no significa que el rastreo de contactos Bluetooth sea una mala idea, pero no es la bala de plata que algunos imaginan. Hasta que sepamos si el seguimiento de ubicación funciona, podríamos suponer lo mismo.

Mantenerse a salvo

Hoy es agotador y, lamentablemente, mañana también lo será. No tenemos las respuestas para que las cosas vuelvan a la normalidad. No sabemos si esas respuestas existen.

Lo que sí sabemos es que, comprensiblemente, ahora es un momento de miedo. Eso es normal. Eso es humano.

Pero debemos evitar dejar que el miedo dicte decisiones con un significado como este. En el pasado, la vigilancia masiva se volvió difícil de manejar, duró más de lo planeado y resultó ineficaz. Hoy en día, está siendo impulsado por actores privados oportunistas en los que no debemos confiar como los únicos guardianes de los poderes ampliados del gobierno.

No tenemos pruebas de que la vigilancia masiva por sí sola resuelva esta crisis. Solo el miedo nos permite creer que lo hará.

Pormalwarebytes

Esquema de etiquetado de ciberseguridad introducido para ayudar a los usuarios a elegir dispositivos IoT seguros

Esquema de etiquetado de ciberseguridad introducido para ayudar a los usuarios a elegir dispositivos IoT seguros

Esquema de etiquetado de ciberseguridad introducido para ayudar a los usuarios a elegir dispositivos IoT seguros

Al corriente: por 

Internet de las cosas (IoT) es un término utilizado para describir una amplia variedad de dispositivos que están conectados a Internet para mejorar la experiencia del usuario. Por ejemplo, un timbre se convierte en parte del IoT cuando se conecta a Internet y permite a los usuarios ver a los visitantes fuera de su puerta.

Pero la forma en que algunos de estos dispositivos IoT se conectan genera serias preocupaciones de seguridad y privacidad . Esto ha llevado a peticiones de leyes y regulaciones en la producción y comercialización de dispositivos IoT, que incluyen características de seguridad mejoradas y una mejor visibilidad de la seguridad de esas características.

Nuestros leales lectores han visto nuestras quejas habituales sobre la seguridad integrada de los dispositivos IoT y saben lo preocupados que estamos por los productos que están diseñados para optimizar la funcionalidad y el costo sobre la seguridad. Muchos fabricantes esperan que los consumidores se preocupen más por la facilidad de uso que por la seguridad.

Pero si bien esto puede ser cierto para muchos consumidores, la aparente indiferencia también puede explicarse por la falta de opciones comparables. Si los consumidores tuvieran la opción de elegir entre un dispositivo que sea barato, fácil de usar e inseguro y un dispositivo que sea un poco más costoso pero que mantenga a los usuarios protegidos, nuestra apuesta es que habría una buena parte de los consumidores que seleccionarían el más seguro opción.

Si bien algunos estados y países tienen leyes que exigen que los fabricantes produzcan productos «seguros», esto no ayuda a los consumidores a tomar una decisión. En el mejor de los casos, limita su elección ya que algunos productos inseguros no llegarán al mercado. Para ayudar a los usuarios a tomar una decisión informada, algunos países han decidido introducir un nuevo esquema de etiquetado de ciberseguridad (CLS) que proporciona a los consumidores información sobre la seguridad de los dispositivos inteligentes conectados.

Países que introducen un esquema de etiquetado de ciberseguridad

En noviembre de 2019, Finlandia se convirtió en el primer país de Europa en otorgar certificados de seguridad de la información a dispositivos que pasaron las pruebas requeridas. Su razonamiento fue que el nivel de seguridad de los dispositivos en el mercado varía mucho, y no hay una manera fácil para que los consumidores sepan qué productos son seguros y cuáles no. Como servicio al público, se lanzó un sitio web para facilitar la búsqueda de información sobre los dispositivos que han recibido la etiqueta.

El 27 de enero de 2020, el ministro digital del Reino Unido, Matt Warman, anunció una nueva ley para proteger a millones de usuarios de IoT de la amenaza de ciberataque. El plan es asegurarse de que todos los dispositivos inteligentes de consumo vendidos en el Reino Unido cumplan con rigurosos requisitos de seguridad para Internet de las cosas (IoT).

Poco después del Reino Unido, la Agencia de Seguridad Cibernética de Singapur (CSA) anunció planes para introducir un nuevo Esquema de etiquetado de seguridad cibernética (CLS) a finales de este año para ayudar a los consumidores a tomar decisiones de compra informadas sobre dispositivos inteligentes conectados a la red.

Como parte de la iniciativa, CLS abordará la seguridad de los dispositivos IoT, un área creciente de preocupación. El CLS, que es el primero en la región de Asia y el Pacífico, se presentará por primera vez a dos tipos de productos: enrutadores WiFi y concentradores domésticos inteligentes.


Lectura recomendada: 8 formas de mejorar la seguridad en dispositivos domésticos inteligentes


Los objetivos de un esquema de etiquetado de ciberseguridad

El esquema de etiquetado de ciberseguridad se alineará con los estándares de seguridad aceptados globalmente para los productos de Internet de las cosas para consumidores. Significará que se introducirán estándares de seguridad sólidos desde la etapa de diseño y no se atornillarán como una ocurrencia tardía.

El esquema propone que dichos dispositivos deben llevar una etiqueta de seguridad para ayudar a los consumidores a navegar por el mercado y saber en qué dispositivos confiar, y para alentar a los fabricantes a mejorar la seguridad. La idea es que, de forma similar a cómo las etiquetas Bluetooth y WiFi ayudan a los consumidores a sentirse seguros de que sus productos funcionarán con protocolos de comunicación inalámbrica, una etiqueta de seguridad infundirá confianza en los consumidores de que su dispositivo fue construido de acuerdo con los estándares de seguridad.

El CLS de Singapur es el primer sistema de calificación de ciberseguridad de su tipo en la región APAC, y está dirigido principalmente a ayudar a los consumidores a tomar decisiones informadas. La calificación de un producto se decidirá en una serie de evaluaciones y pruebas que incluyen, entre otras:

  • Cumplir con los requisitos básicos de seguridad (por ejemplo, contraseñas predeterminadas únicas)
  • Adhesión a los principios de seguridad por diseño de software y hardware
  • Las vulnerabilidades comunes de seguridad del software deberían estar ausentes
  • Resistente a la actividad básica de pruebas de penetración.

Lo mismo es cierto para la ley que se está preparando para el Reino Unido. Sus requisitos de seguridad principales son:

  • Todas las contraseñas de dispositivos conectados a Internet del consumidor deben ser únicas y no reiniciables a ninguna configuración de fábrica universal.
  • Los fabricantes de dispositivos de IoT para consumidores deben proporcionar un punto de contacto público para que cualquiera pueda informar una vulnerabilidad, y se actuará de manera oportuna.
  • Los fabricantes de dispositivos de IoT para consumidores deben indicar explícitamente el período mínimo de tiempo durante el cual el dispositivo recibirá actualizaciones de seguridad en el punto de venta, ya sea en la tienda o en línea.

Como puede ver en ambos casos, la principal preocupación era la omnipresencia de contraseñas predeterminadas que eran las mismas para toda una serie de dispositivos. Y además de eso, los usuarios no fueron informados claramente de que necesitaban cambiar la contraseña predeterminada, y a menudo era difícil cambiarla para el usuario promedio.

Optimizando el CLS

Aplaudimos los esfuerzos realizados por los gobiernos para mejorar la seguridad general de los dispositivos IoT, pero hay algunas mejoras que nos gustaría sugerir.

  • El sitio finlandés está disponible en finlandés y sueco. Para un extraño, es difícil saber qué productos están aprobados y por qué. Una versión en inglés sería un gran paso adelante.
  • Las leyes en el Reino Unido y California son un buen comienzo, pero podrían haber sido más restrictivas. Y no informan a un cliente sobre la seguridad de un dispositivo cuando buscan comprar en una tienda web que podría estar en el extranjero.
  • El CLS de Singapur por ahora se enfoca en enrutadores y centros de hogares inteligentes porque los consideran las puertas de entrada al resto de la familia. Si bien esto tiene sentido, es un alcance limitado.

Lo que todas estas regulaciones tienen en común es que solo informan al cliente si un dispositivo ha pasado la lista en un determinado estado o país. Ciertamente, podemos llegar a un esquema global que ofrezca a los clientes un nivel de seguridad entre «no compre esto» y «muy seguro» como lo tenemos para la eficiencia energética en la UE.

Etiquetas energéticas de la UE

Pero alegrémonos por ahora de que estos gobiernos están comenzando en un esfuerzo muy necesario para mejorar los dispositivos e informar a los clientes. Esperemos que los diversos esquemas de etiquetado de seguridad ayuden a los consumidores a tomar una decisión informada e impulsen a los fabricantes a centrarse más en la seguridad. Y que otros gobiernos seguirán sus ejemplos.

Pormalwarebytes

El descremado de tarjetas de crédito en línea aumentó un 26 por ciento en marzo

El descremado de tarjetas de crédito en línea aumentó un 26 por ciento en marzo

El descremado de tarjetas de crédito en línea aumentó un 26 por ciento en marzo

Al corriente: por 

Se sabe que los delincuentes aprovechan los eventos que captan la atención de las personas. Esto es cierto para cualquier tipo de ataque que se base en la ingeniería social, como los correos electrónicos de phishing que explotan la pandemia de Covid-19 .

Ciertos eventos, como la crisis actual, no solo llaman la atención de los actores de amenazas, sino que también conducen a cambios en los hábitos. Caso en cuestión, con las medidas de confinamiento impuestas en muchos países, las compras en línea se han disparado .

Si bien muchos comerciantes permanecen seguros a pesar del aumento en el volumen de transacciones procesadas, la exposición a tiendas de comercio electrónico comprometidas es mayor que nunca.

En esta publicación de blog, publicamos algunos datos recientemente obtenidos que muestran que el número de personas expuestas a skimmers digitales ha aumentado en un 26% de febrero a marzo. Si bien este no es un salto dramático, la oferta de tarjetas de crédito robadas ya ha aumentado y es probable que continúe en esta tendencia.

El cambio en los hábitos se traduce en intentos adicionales de descremado web

El descremado web, también conocido bajo diferentes términos, pero popularizado gracias al apodo de ‘Magecart’, es el proceso de robo de datos de clientes, incluida información de tarjetas de crédito, de tiendas en línea comprometidas.

Realizamos un seguimiento activo de los skimmers web para proteger a nuestros clientes que ejecutan Malwarebytes o Browser Guard (la extensión del navegador) cuando compran en línea.

Las estadísticas que se presentan a continuación excluyen cualquier telemetría de nuestra extensión Browser Guard y reflejan una parte del panorama general de navegación web, según nuestra propia visibilidad. Por ejemplo, los skimmers del lado del servidor no serán contabilizados, a menos que el sitio del comerciante se haya identificado como comprometido y esté en la lista negra.

Una tendencia que hemos notado durante un tiempo es cómo la cantidad de bloques de descremado es más alta los lunes, bajando en la segunda mitad de la semana y estando en su punto más bajo los fines de semana.

La segunda observación es cómo el número de bloques de descremado web aumentó moderadamente de enero a febrero (2.5%) pero luego comenzó a aumentar de febrero a marzo (26%). Si bien esto sigue siendo un aumento moderado, creemos que marca una tendencia que será más evidente en los próximos meses.

El cuadro final muestra que registramos los intentos más desnatadores en los EE. UU., Seguidos de Australia y Canadá. Esta tendencia coincide con las medidas de cuarentena que comenzaron a implementarse a mediados de marzo.

Minimizar riesgos: una responsabilidad compartida

Como vemos con otras amenazas, no hay una respuesta para mitigar el descremado web. De hecho, se puede luchar desde muchos lados diferentes, comenzando con los comerciantes en línea, la comunidad de seguridad y los propios compradores.

Un gran número de comerciantes no mantienen sus plataformas actualizadas y tampoco responden a las divulgaciones de seguridad. Muchas veces, el último recurso para denunciar una violación es hacer público y esperar que la atención de los medios dé frutos.

Muchos proveedores de seguridad rastrean activamente los skimmers web y agregan capacidades de protección a sus productos. Este es el caso de Malwarebytes, y la protección web está disponible tanto en nuestro producto de escritorio como en la extensión del navegador . Compartir nuestros hallazgos e intentar alterar la infraestructura de descremado es eficaz para abordar el problema a escala, en lugar de hacerlo individualmente (por sitio).

Comprar en línea es conveniente pero no está libre de riesgos. En última instancia, los usuarios son los que pueden tomar decisiones inteligentes y evitar muchas trampas. Aquí hay algunas recomendaciones:

  • Limite la cantidad de veces que tiene que ingresar manualmente los datos de su tarjeta de crédito. Confíe en plataformas donde esa información ya esté almacenada en su cuenta o use opciones de pago únicas.
  • Compruebe si la tienda en línea se muestra correctamente en su navegador, sin ningún error o ciertas banderas rojas que indiquen que se ha descuidado.
  • No tome sellos de confianza u otros indicadores de confianza al pie de la letra. El hecho de que un sitio muestre un logotipo que dice que es 100% seguro no significa que realmente lo sea.
  • Si no está seguro acerca de un sitio, puede usar ciertas herramientas para escanearlo en busca de malware o para ver si ya está en una lista negra.
  • Los usuarios más avanzados pueden querer examinar el código fuente de un sitio usando las Herramientas para desarrolladores, por ejemplo, que como efecto secundario puede apagar un skimmer que se da cuenta de que está siendo verificado.

Esperamos que la actividad de navegación en la web siga una tendencia al alza en los próximos meses, ya que los hábitos de compra en línea forjados durante esta pandemia continúan mucho más allá. Para obtener más consejos, consulte Consejos importantes para realizar compras seguras en línea después de COVID-19 .

Pormalwarebytes

Windows 7 esta sin soporte: ¿Qué sigue?

Windows 7 es EOL: ¿Qué sigue?

Windows 7 esta sin soporte: ¿Qué sigue?

Al corriente: por 

End-of-life (EOL) es una expresión comúnmente utilizada por los vendedores de software para indicar que un producto o versión de un producto ha llegado al final de su utilidad a los ojos del vendedor. Muchas compañías, incluida Microsoft, anuncian las fechas de EOL para sus productos con mucha anticipación.

Cada producto de Windows tiene un ciclo de vida. El ciclo de vida comienza cuando se lanza un producto y termina cuando ya no es compatible. Conocer las fechas clave en este ciclo de vida lo ayuda a tomar decisiones informadas sobre cuándo actualizar, actualizar o realizar otros cambios en su software.

Windows 7 EOL

Para aquellos que no lo sabían, Windows 7 llegó a EOL el 14 de enero de 2020. Cuando un sistema operativo (SO) de Windows llega al final de su ciclo de vida, ya no recibe actualizaciones de Microsoft.

Eso significa que Microsoft ya no es compatible con los usuarios de Windows 7, y Windows 7 ya no recibirá actualizaciones, aunque se sabe que Microsoft hace excepciones para vulnerabilidades urgentes. Y si bien las organizaciones pueden extender el soporte pagándolo, se aconseja a los usuarios domésticos que pasen a sistemas operativos más modernos.

O como dice Microsoft:

«Ahora es el momento de cambiar a Windows 10. Obtenga características de seguridad sólidas, un rendimiento mejorado y una administración flexible para mantener a sus empleados productivos y seguros».

Y, por supuesto, tienen un punto. Si los cibercriminales descubren una vulnerabilidad en Windows 7, no hay garantía de que Microsoft repare esta vulnerabilidad. Y aunque todavía hay una gran base de usuarios de Windows 7, vale la pena que los ciberdelincuentes usen esa vulnerabilidad y la usen en su beneficio. Tenga en cuenta que la mayoría de los kits de exploits activos en la naturaleza se centran en vulnerabilidades antiguas, que no se corregirán si está utilizando el software EOL.

¿Windows 10 es más seguro?

Si bien la llamada de Microsoft a pasar a Windows 10 hace que parezca muy seguro, ¿cuáles son exactamente estas características de seguridad que Windows 10 tiene sobre Windows 7? Sabemos que será compatible con Microsoft y, por lo tanto, se corregirá cualquier vulnerabilidad conocida. Sus otras características de seguridad son las siguientes:

  • Windows 10 incluye Windows Defender de forma predeterminada, que proporciona un nivel básico de protección antivirus.
  • SmartScreen es un sistema de reputación que intenta bloquear descargas de archivos dañinas y desconocidas.
  • Windows 10 incluye Microsoft Edge en lugar de Internet Explorer, que es el objetivo más frecuente de los exploits.

En el lado negativo, podría argumentar que Windows 10 tiene muchas características nuevas que tienden a presentar nuevos problemas y riesgos. Sin embargo, Windows 10 ha existido desde hace un tiempo, por lo que los peores problemas deberían haberse abordado.

Sin embargo, queremos enfatizar: pasar a un nuevo sistema operativo, aunque es más seguro que quedarse con un sistema heredado, no es un sustituto de una solución de seguridad sólida. Incluso las máquinas con Windows 10 necesitan protección antimalware .

Según un portavoz de nuestro personal de eliminación de malware, la correlación entre el uso del navegador y el malware es en realidad mayor que la que existe entre la versión del sistema operativo y el malware. Significado: El navegador que usa tiene un impacto mucho mayor en la probabilidad de ser infectado que el sistema operativo que usa. Entonces, incluso si cambia a Windows 10 pero sigue usando Google Chrome, aún puede infectarse fácilmente. Ahora que Windows 10 se ha cambiado a Edge, muchos ciberdelincuentes se están centrando en exploits para Google Chrome , uno de los navegadores más populares en la actualidad.

Otros sistemas operativos

Para evitar una posible infección, o porque están buscando un cambio, algunos usuarios de Windows podrían considerar cambiar a sistemas operativos completamente diferentes, como Mac o Linux. Pero la protección integrada en capas con software de seguridad es importante, incluso si decide cambiar.

Por ejemplo, se ha demostrado que el antiguo mito de que las Mac son más seguras que los sistemas Windows. Como puede leer en nuestro Informe de estado de malware de 2020 , las amenazas de Mac aumentaron exponencialmente en comparación con las de las PC con Windows en 2019, con casi el doble de amenazas por punto final de Mac que Windows. Y aunque las Mac no reciben virus, el adware de Mac es más sofisticado y peligroso que el malware tradicional de Mac .

En algunos casos, las personas pueden considerar cambiar a un Chromebook, que sin duda es una opción más barata si ofrece suficientes capacidades para reemplazar su computadora de escritorio o portátil con Windows actual. Pero incluso los Chromebooks pueden, y lo hacen, infectarse .

No esperamos que muchos usuarios cambien a un sistema operativo Linux más duro, ya que pueden esperar una gran curva de aprendizaje (otro concepto erróneo) o su software favorito no está disponible (desafortunadamente, no es un mito). Sin embargo, incluso si lo hacen, los sistemas operativos Linux no están libres de malware. Simplemente son atacados con menos frecuencia porque los cibercriminales entienden que su base de usuarios no es tan grande (y, por lo tanto, su día de pago no es tan grande).

Base de usuarios de Windows 7

Actualmente, más del 23 por ciento de los usuarios de Windows en todo el mundo todavía usan Windows 7, y solo el 69 por ciento ya se ha cambiado a Windows 10. El resto está usando Windows 8 o versiones menos populares de Windows que han sido EOL mucho antes de Windows 7.

Por extraño que parezca, el porcentaje de usuarios de Windows 7 apenas ha disminuido después de alcanzar la fecha de EOL en enero (de aproximadamente 24 por ciento a 23 por ciento). Con esta gran cantidad de sistemas potencialmente no parcheados aún activos en el mercado, cualquier vulnerabilidad explotable resultará en un desastre generalizado.

¿WannaCry habría tenido un impacto tan enorme si Windows XP y Windows Server 2003 hubieran sido abandonados antes de que se extendiera? Nunca sabremos. Lo que sí sabemos es que Windows 8 y 10 no necesitaron ser reparados por la vulnerabilidad que se usó para difundir WannaCry . No estaban contribuyendo al coro de sistemas que intentaban infectar a sus vecinos. Se lanzaron parches de emergencia para varias versiones anteriores de Windows, incluido Windows 7. En ese momento, Windows 7 todavía era compatible.

Pormalwarebytes

GDPR: un impacto en todo el mundo

GDPR: un impacto en todo el mundo

GDPR: un impacto en todo el mundo

Al corriente: por 
Última actualización:

Un poco más de un mes después de que la Unión Europea promulgara el Reglamento General de Protección de Datos (GDPR) para extender los nuevos derechos de privacidad de datos a su gente, el gobernador de California firmó una ley de protección de datos separada y amplia que tomó prestadas varias ideas del GDPR, lo que provocó Soplete en una tendencia legislativa de privacidad de datos que ahora ha abarcado al menos 10 países.

En Chile, los legisladores están actualizando la legislación de décadas para garantizar que sus protecciones de datos constitucionales incluyan los derechos de solicitar, modificar y eliminar datos personales. En Argentina, los legisladores están actualizando un conjunto de protecciones de privacidad de datos que ya le otorgaron al país un estado de «lista blanca», lo que le permite transferir datos de manera más fluida a la Unión Europea. En Brasil, el presidente firmó una ley de protección de datos que entra en vigencia este agosto que crea un marco similar al GDPR, establece reglas para los «controladores» y «propietarios» de datos e instala una autoridad de protección de datos para regular y revisar posibles violaciones.

Más allá de América del Sur, India está considerando una nueva ley que restringiría la forma en que las empresas internacionales usan los datos personales, pero la ley incluye una laguna masiva para las agencias gubernamentales. Canadá aprobó su primera ley nacional de notificación de violación de datos, y en los Estados Unidos, múltiples proyectos de ley estatales y federales han tomado prestados generosamente de las ideas de GDPR para extender los derechos de acceso, eliminación y portabilidad de datos al público.

El RGPD entró en vigencia hace dos años y su impacto es claro: la privacidad de los datos es la ley del país, y muchos países buscan inspiración en el RGPD.

Amy de La Lama, socia de Baker McKenzie que enfoca su práctica legal en la privacidad global, la seguridad de los datos y la ciberseguridad, dijo que el mundo está experimentando cambios importantes en la privacidad de los datos y que GDPR ayudó a estimular muchas de las conversaciones actuales.

«A un alto nivel, hay una gran cantidad de movimiento en el mundo de la privacidad», dijo De La Lama, «y, sin lugar a dudas, el GDPR ha sido un gran impulsor».

Las siguientes leyes y proyectos de ley son una muestra de los muchos esfuerzos globales para llevar la privacidad de los datos a casa. A menudo, las leyes y leyes más nuevas están influenciadas por GDPR, pero varios países que aprobaron leyes de privacidad de datos antes de GDPR todavía están trabajando para actualizar sus propias reglas para integrarse con la UE.

Este es el RGPD en todo el mundo.

Sudamerica

Varios países de América del Sur ya otorgan derechos de protección de datos más fuertes a su público que en los Estados Unidos, y varios consagran el derecho a la protección de datos en sus constituciones.

En 2018, Chile se unió a ese último club, complementando su antiguo derecho constitucional a la privacidad con un nuevo derecho a la protección de datos. La constitución ahora dice:

«La Constitución garantiza a todas las personas: … El respeto y la protección de la vida privada y el honor de la persona y su familia, y, además, la protección de los datos personales. El tratamiento y la protección de estos datos se aplicarán en la forma y condiciones que determine la ley «.

Esa última referencia a «condiciones determinadas por la ley» es muy importante para los derechos reales de protección de datos de los chilenos porque, aunque la Constitución protege los datos, no especifica cómo deben protegerse esos datos.

Piense en ello como la Constitución de los Estados Unidos, que, por ejemplo, protege a las personas de los Estados Unidos contra registros irrazonables. Sin embargo, solo en las últimas décadas, los tribunales y los legisladores han interpretado si las “búsquedas irrazonables” incluyen, por ejemplo, búsquedas de correos electrónicos enviados a través de un proveedor externo o búsquedas de datos históricos de GPS rastreados por un teléfono móvil.

Ahora, Chile está trabajando para determinar qué incluirán realmente sus derechos de protección de datos, con un impulso para derogar y reemplazar una ley de protección de datos de décadas llamada «Ley de Protección de Datos Personales», o Ley N ° 19.628. Los últimos esfuerzos legislativos incluyen un impulso para incluir los derechos para solicitar, modificar y eliminar datos personales, junto con el derecho a retirar el consentimiento de cómo una empresa recopila, almacena, escribe, organiza, extrae, transfiere y transmite datos personales.

La renovación de las protecciones de datos anteriores no es exclusiva de Chile.

Argentina implementó su Ley de Protección de Datos Personales (PDPL) en 2000. Pero esa ley, a diferencia de la de Chile, se inspiró en la Unión Europea mucho antes de la aprobación del GDPR. En cambio, los legisladores argentinos alinearon su legislación con la ley que GDPR derogó y reemplazó , la Directiva de Protección de Datos de 1995.

Esta estrecha relación entre la ley de protección de datos argentina y europea convirtió a Argentina en un lugar cercano para la llamada «lista blanca» del GDPR, una lista de países fuera de la Unión Europea que han sido aprobados para facilitar las transferencias de datos entre países debido a esos países. ‘»Nivel adecuado de protección de datos». Este estado puede resultar vital para innumerables empresas que mueven datos por todo el mundo.

Según la Comisión Europea , los países que actualmente disfrutan de este estado incluyen Andorra, Argentina, Canadá (para organizaciones comerciales), las Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay. También se incluye a los EE. UU., Siempre que las transferencias de datos se realicen bajo el marco limitado del Escudo de Privacidad, un acuerdo que reemplazó al anterior acuerdo de transferencia de datos separado llamado «Puerto Seguro», que el Tribunal de Justicia de la Unión Europea consideró inválido. .

(Privacy Shield también enfrenta desafíos propios , por lo que tal vez Estados Unidos no debería sentirse demasiado cómodo con su estado).

A pesar del estado actual de la lista blanca de Argentina con la Comisión Europea, el país todavía está tratando de actualizar su marco de protección de datos con una nueva legislación.

El nuevo proyecto de ley, Bill No. MEN-2018-147-APN-PTE , se presentó al Congreso de Argentina en septiembre de 2018. Sus cambios propuestos incluyen permitir el procesamiento de datos sensibles con el consentimiento aprobado de una persona, ampliando el alcance territorial de los datos personales. protecciones, creando nuevas reglas sobre cuándo reportar violaciones de datos al regulador de datos del país y aumentando drásticamente las sanciones por violar la ley.

Dentro de América del Sur, todavía hay al menos un país más influenciado por el RGPD.

En agosto de 2018, el entonces presidente de Brasil, Michel Temer, firmó la Ley General de Privacidad de Datos del país («Lei Geral de Proteção de Dados Pessoais» o LGPD). La ley entra en vigencia en agosto de 2020.

Las similitudes con GDPR son muchas, dijo De La Lama.

«Al igual que el RGPD, la nueva ley, cuando entra en vigencia, se aplica extraterritorialmente, contiene requisitos de notificación y consentimiento y transferencia transfronteriza, así como obligaciones con respecto a los derechos de los sujetos de datos y la designación del oficial de protección de datos», dijo de La Lama. «Las cláusulas contractuales estándar de la UE pueden reconocerse bajo la nueva ley, pero este paso aún no se ha dado».

La LGPD define «datos confidenciales» como datos personales que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas y afiliación sindical, junto con datos genéticos, datos biométricos utilizados para identificar de forma única a una persona física, información médica y de salud, y los datos se refieren a la vida sexual u orientación sexual de una persona.

Similar al GDPR, el LGPD de Brasil también crea una distinción entre los controladores o propietarios de datos y los procesadores de datos, un marco que se ha implementado rápidamente en las leyes propuestas en todo el mundo, incluido Estados Unidos. La LGPD de Brasil también se aplica más allá de las fronteras del país. La ley se aplica a las empresas y organizaciones que ofrecen bienes o servicios a las personas que viven dentro de Brasil, al igual que la forma en que GDPR se aplica a las empresas que dirigen el marketing hacia las personas que viven dentro de la Unión Europea.

La ley también, después de las enmiendas, incluye la creación de la Autoridad Brasileña de Protección de Datos. Ese organismo tendrá la autoridad exclusiva para emitir regulaciones y sanciones para las organizaciones que violen la ley debido a una violación de datos.

India

A fines de 2019, los legisladores de la India introdujeron una ley de protección de datos dos años después, que incluía pequeñas similitudes con el RGPD de la UE. La Ley de Protección de Datos Personales de 2019, o PDPB, requeriría que las compañías internacionales busquen el consentimiento del público de la India para muchos usos de los datos personales, y otorguen a las personas un nuevo derecho a que se borren sus datos.

Las similitudes se detienen ahí.

Si bien partes de la ley fingen el objetivo principal de GDPR, las protecciones de datos incluidas en realidad sufren de una laguna enorme. Tal como está escrito, aunque las restricciones de datos de la ley se aplican a las agencias gubernamentales, la ley también permite que la autoridad de protección de datos recientemente creada elija cualquier agencia gubernamental que quiera eximir.

La ley permitiría a Nueva Delhi «eximir a cualquier agencia del gobierno de la aplicación de la Ley en interés de la soberanía e integridad de la India, la seguridad del estado, las relaciones amistosas con los estados extranjeros, el orden público», según un borrador preliminar. de la ley obtenida por TechCrunch .

Este lenguaje excepcionalmente amplio es similar a cualquier laguna en los Estados Unidos que se aplica a la «seguridad nacional», y es uno de los que luchan los activistas de derechos digitales en la India.

«Esto es particularmente preocupante en India dado que el gobierno es el mayor recolector de datos», dijo Apar Gupta, director ejecutivo de la Internet Freedom Foundation, al hablar con el New York Times .

Salman Waris, quien dirige la práctica de tecnología en el bufete de abogados de Nueva Delhi TechLegis, también le dijo al New York Times que la nueva ley india pretende proteger al público mientras en realidad está logrando algo más.

«Da la apariencia de ser dueño de sus datos y de tener el derecho de saber cómo se usan, para el individuo», dijo Waris, «pero al mismo tiempo proporciona carta blanca al gobierno».

GDPR en los Estados Unidos

Aunque nos hemos centrado en el impacto de GDPR a escala global, es imposible negar la influencia que se siente en casa en los Estados Unidos.

Si bien los esfuerzos del Congreso para aprobar una ley integral de privacidad de datos se remontan al escándalo de Cambridge Analytica de 2018, algunas de las ideas integradas en la legislación de privacidad de datos más actual se relacionan directamente con GDPR.

Un claro ejemplo es la Ley de Privacidad del Consumidor de California (CCPA), dijo Sarah Bruno, socia de Reed Smith que trabaja en la intersección de la propiedad intelectual, la privacidad y la publicidad. Aunque la ley se firmó menos de un mes después de que GDPR entró en vigencia en la UE, fue redactada con tiempo más que suficiente para pedir prestado a GDPR después de la aprobación anterior de esa ley, en 2016.

«GDPR tuvo un impacto en CCPA», dijo Bruno, «y tiene muchos componentes en CCPA».

CCPA otorga a los californianos los derechos de acceso y eliminación de datos, el derecho de llevar sus datos y portarlos a un proveedor separado, junto con el derecho de saber qué datos se recopilan sobre ellos. Los californianos también disfrutan del derecho explícito de optar por que sus datos no se vendan, lo que no está incluido literalmente en el RGPD, aunque esa ley sí brinda a los residentes protecciones que podrían tener un resultado similar. Y aunque CCPA no otorga derechos a los «interesados», como está escrito en GDPR, tiene un alcance de efecto similar. Gran parte de la ley trata de dar a los consumidores acceso a su propia información.

«Los consumidores pueden escribir a una empresa, similar a GDPR, para averiguar qué información [la empresa] está recopilando sobre ellos, a través de cookies, sobre su historial de compras, lo que están viendo en los sitios web cuando están allí», Bruno dijo. Agregó que CCPA sostiene que «toda esa información, un consumidor de California debería tener acceso a eso, y eso es nuevo en los Estados Unidos, pero similar al GDPR».

Pero California es solo un estado inspirado en GDPR. También está Washington, que, a principios de este año, presentó una versión remodelada de su Ley de Privacidad de Datos.

«También es similar a CCPA», dijo Bruno sobre el proyecto de ley renovado de Washington. «Como lo llamo, CCPA plus».

La Ley de Privacidad de Datos tiene un puntaje cercano al GDPR, ya que toma prestado parte del lenguaje de la ley de la UE sobre «controladores» y «procesadores» de datos, que recibirían nuevas restricciones sobre cómo se recopilan y comparten los datos personales. La ley, al igual que GDPR, también otorgaría a los habitantes de Washington los derechos de acceso, control, eliminación y transferencia de sus datos. Al igual que CCPA, la Ley de privacidad de datos también permitiría a los residentes optar específicamente por la venta de datos.

Aunque el proyecto de ley inicialmente recibió una cálida bienvenida de Microsoft y el Foro del Futuro de la Privacidad , poco después, Electronic Frontier Foundation se opuso a la legislación, calificándola como un » esfuerzo débil y simbólico para controlar el uso indebido desenfrenado de datos personales «.

El proyecto de ley, presentado el 13 de enero de este año, no ha avanzado.

El legado de GDPR: ¿multas o fatiga?

La aprobación de GDPR llegó con una clara señal de advertencia a los posibles infractores: violar la ley y enfrentar multas de hasta el 2 por ciento de los ingresos mundiales. Para un conglomerado de Internet como Alphabet, propietario de Google, dicha acción de cumplimiento significaría pagar más de mil millones de dólares. Lo mismo es cierto para Apple, Facebook, Amazon, Verizon y AT&T, solo por nombrar algunos.

A pesar de tener las herramientas para imponer multas de miles de millones de dólares, las autoridades de toda Europa inicialmente fueron tímidas para usarlas. A principios de enero de 2019, la Comisión Nacional de Protección de Datos de Francia (CNIL) impuso una multa de 50 millones de euros contra Google después de que los investigadores encontraron una «falta de transparencia, información inadecuada y falta de consentimiento válido con respecto a la personalización de anuncios». Fue la pena más grande en ese momento, pero palideció en comparación con lo que GDPR permitió: según los ingresos de Alphabet en 2018, podría haber recibido una multa de aproximadamente € 2,47 mil millones, o $ 2,72 mil millones en dólares de hoy.

Seis meses después, los reguladores se inclinaron más en sus poderes. En julio de 2019, el Comisionado de Información del Reino Unido (que en ese momento todavía era miembro de la Unión Europea) multó a British Airways con 230 millones de dólares debido a una violación de datos anterior que afectó a 500,000 clientes. La multa representó el 1.5 por ciento de los ingresos de la aerolínea en 2018.

Pero las multas regulatorias cuentan solo un lado de la historia de GDPR, porque, como dijo De La Lama, después de la aprobación de la ley, sus clientes le dicen que está fatigada al tratar de cumplir con cada nueva ley.

Los matices entre las leyes de protección de datos de cada país han producido guía tras guía de múltiples firmas de abogados globales, cada una atacando el tema con su propio tomo de información enorme. El propio bufete de abogados de De la Lama, Baker McKenzie, lanzó su guía anual de protección de datos global el año pasado, registrando 886 páginas. Un vistazo rápido revela las diferencias sutiles pero importantes entre las leyes del mundo: países que adoptan un marco que separa las restricciones de datos entre «controladores» y «procesadores», países que protegen a los «consumidores» versus «sujetos de datos», países que requieren violaciones de datos para se informará a las autoridades de protección de datos, a los países que crean autoridades de protección de datos y a los países que difieren exactamente en lo que incluye la información personal.

Cumplir con una ley de protección de datos puede ser bastante difícil, dijo De La Lama, y ​​hay pocas garantías de que el movimiento actual de privacidad de datos esté llegando a su fin.

«Hay dificultades para intentar que una empresa cumpla con una amplia variedad de especificaciones técnicas y de privacidad y encontrar recursos internos para hacerlo es una tarea desalentadora», dijo de la Lama. “Y cuando intentas replicar eso en varias jurisdicciones, vemos que muchas compañías simplemente intentan entender cómo hacerlo, sabiendo que GDPR no es el juego final, sino realmente el comienzo. »

Pormalwarebytes

Consejos importantes para una compra segura en línea después de COVID-19

Consejos importantes para una compra segura en línea después de COVID-19

Consejos importantes para una compra segura en línea después de COVID-19

Al corriente: por 

A medida que más y más países ordenan el ingreso de sus ciudadanos en respuesta a COVID-19, las compras en línea, que ya son una práctica generalizada, han aumentado en popularidad , especialmente para artículos prácticos como desinfectantes para manos, comestibles y productos de limpieza. Cuando las personas no se sienten seguras afuera, es natural que prefieran comprar tanto como sea posible desde la seguridad de sus propios hogares. Desafortunadamente, puede apostar su último rollo de papel higiénico a que los ciberdelincuentes anticiparon el apuro y estaban listos para aprovechar nuestra necesidad de comprar suministros de todo tipo en línea.

Como sabemos cómo piensan los cibercriminales y ya hemos visto un aumento en los estafadores web y las estafas de coronavirus , queríamos preparar a nuestros lectores para una experiencia de compra en línea más segura. Hemos reunido algunos consejos para mantenerse seguro, así como algunas minas terrestres para evitar durante su juerga de compras en línea.

Peligros a evitar al comprar en línea

Hay algunos peligros que siempre acechan a los compradores en línea, y algunos de ellos aumentan en severidad durante eventos particulares, como las vacaciones o la temporada de viajes de verano , períodos de compras conocidos como el lunes cibernético o el día de los solteros , o incidentes trágicos, incluidos desastres naturales y La actual pandemia mundial . Aquí hay algunas banderas rojas a tener en cuenta:

Precios elevados

Es natural esperar un pequeño aumento en los precios, ya que algunas empresas hacen frente a las consecuencias económicas del cierre de las tiendas físicas y la falta de personal. Combine eso con un aumento en la demanda de artículos específicos, más el aumento en el costo de entrega para compensar el peligro adicional, y los totales al momento del pago probablemente estén aumentando en todo el lugar. Pero una cosa es aumentar los precios de manera responsable. Otra muy distinta es la fijación de precios, y los cibercriminales y estafadores están optando por que estos últimos se beneficien de la desgracia.

En momentos como estos, es fácil hacer clic en «comprar» en la primera página web que vende productos escasos o muy buscados. Por ejemplo, dos hermanos intentaron hacer una fortuna vendiendo desinfectante para manos por $ 70 por botella. La gente estaba lo suficientemente desesperada como para comprar antes de que el fiscal general cerrara el sitio. Pero no caigas en la exageración. Respire hondo e investigue un artículo antes de saltar a la primera oportunidad de comprar.

Consejo profesional: si un precio parece fuera de lugar, abra una nueva pestaña en su navegador y busque el nombre del artículo y los precios. También puede consultar sitios como Tom’s Guide o Consumer Reports para obtener precios justos.

Retrasos en el tiempo de entrega

Si los artículos son escasos, puede haber un largo tiempo de espera antes de la entrega. Conozca sus derechos en caso de que un proveedor no pueda entregar dentro del plazo acordado, y no se deje engañar por los estafadores que prometen que pueden ayudarlo a cortar la línea. Por lo general, puede reclamar un reembolso si el artículo no llega en la fecha prometida. Pero a un estafador no le pueden importar menos sus reclamos de reembolso. Se asegurarán de que no se encuentren en ninguna parte cuando lleguen los reclamos y las cosas se pongan difíciles.

Consejo profesional: busque en la página de servicio al cliente de un sitio web para conocer las políticas de entrega y devolución antes de comprar, especialmente artículos en almacenamiento corto. Por lo general, estas políticas se encuentran en las páginas web de envío, soporte, ayuda o preguntas frecuentes.

Productos falsificados

La venta de productos falsificados es otro tipo común de crimen en la web que probablemente verá un repunte durante la pandemia de coronavirus. De una fotografía es casi imposible saber si un artículo es falso o es real. Por lo que sabemos, el estafador podría poner una imagen del original en su sitio y enviarle una réplica barata, o nada en absoluto. Una buena regla general es: si es demasiado bueno para ser verdad, generalmente no lo es.

Consejo profesional: verifique las reseñas del vendedor, revendedor y producto, no solo en el sitio, sino en una búsqueda separada. Si alguien ha sido engañado antes, lo más probable es que publiquen fotos o una reseña.

Skimmers web

Desde que los pedidos de refugio en el lugar han enviado a millones de compradores en línea, el equipo de inteligencia de amenazas de Malwarebytes ha notado un aumento en la cantidad de skimmers de tarjetas de crédito digitales, también conocidos como skimmers web . Los skimmers web se colocan en las páginas del carrito de compras y recopilan los datos de pago que los clientes ingresan cuando compran un artículo en línea.

Los ciberdelincuentes pueden piratear los sitios web de marcas legítimas para insertar skimmers web, por lo que evitar revendedores o boutiques poco conocidas no protegerá a los compradores de los skimmers web. En cambio, considere usar un antivirus con protección web o extensiones de navegador que bloqueen contenido malicioso.

Jérôme Segura , Director de Inteligencia de amenazas de Malwarebytes, es un experto internacionalmente reconocido en skimmers web. Él tuvo la amabilidad de compartir algunos de sus conocimientos con nosotros:

“La gran mayoría de las personas, incluidas las que están familiarizadas con las computadoras, no podrían ver que un comerciante en línea ha sido pirateado y que un skimmer va a recolectar su información.

Pero hay ciertas cosas que puede hacer para minimizar los riesgos. Por ejemplo, verifique que el sitio esté actualizado mirando cosas como la información de copyright. Si dice algo como Copyright 2015, esto puede ser una indicación de que el propietario del sitio no está prestando atención a los detalles.

También creo que es esencial usar algún tipo de protección web. Con base en nuestra telemetría, detenemos cientos de intentos de robo de datos de tarjetas de crédito diariamente al bloquear dominios maliciosos y direcciones IP asociadas con la infraestructura de skimming web «.

Consejo profesional: Esté atento a su cuenta bancaria para pagos inesperados y sepa qué hacer cuando le roben su información .


Lectura recomendada: cómo proteger sus datos de Magecart y otros ataques de comercio electrónico


Precauciones y posibles dificultades.

Si bien no son peligros directos, hay algunos comportamientos algo turbios que podrían indicar más problemas en el futuro. Aquí hay algunos que quizás desee evitar o tener en cuenta cuando considere comprar en línea.

Certificados de seguridad

Un aumento significativo en el número de certificados de seguridad solicitados indica que se están creando sitios web más fraudulentos. Como mencionamos anteriormente en el blog, el candado verde por sí solo no garantiza un sitio seguro. Los certificados de seguridad gratuitos o baratos son una indicación de que el sitio podría ser fraudulento o construido sin prestar atención a la seguridad real.

Use sitios de confianza y visítelos directamente, no a través de una búsqueda. El uso de sitios legítimos con buena reputación tiene ventajas obvias. Sabes que es una tienda real y cumplen lo que prometen.

Consejo profesional: Marque las URL favoritas para guardarlas al escribir manualmente. Al guardar la URL en lugar de buscar el nombre de una tienda, es menos probable que te engañen los imitadores.

Anuncios dirigidos

La publicidad dirigida no debe ser recompensada. Por lo general, es mejor ignorarlo. Casi por las mismas razones que arriba. Visite el sitio directamente en lugar de hacer clic en un enlace en su feed de Facebook. Dado que muchas tiendas usan cookies para publicidad dirigida, pronto descubrirán que está buscando un determinado artículo e intentarán atraerlo al sitio ofreciéndolo en su línea de tiempo.

Consejo profesional: considere comprar un seguro para productos de alto valor. Con el seguro, al menos puede recuperar su dinero si su compra nunca llega o se daña o por lo demás está por debajo de las expectativas. El seguro no tiene que ser costoso. PayPal y muchas tarjetas de crédito ofrecen este servicio de forma gratuita.

Sobrecarga de información

Tenga cuidado con las tiendas web que le solicitan información que no necesitan para atenderlo. Puede que no estén haciendo nada bueno. E incluso si no lo son, no tienen derecho a pedirle detalles innecesarios para el proceso de compra y entrega. Incluso si no planean vender sus datos a terceros, pueden experimentar una violación y divulgar su información personal de todos modos.

Consejo profesional: solo complete las secciones requeridas de cualquier formulario de datos para una compra en línea. Y si un formulario comienza a solicitar números de seguridad social, nombres de mascotas u otra información extrañamente personal, no ingrese el contenido y salga de la compra.


Lectura recomendada: 10 consejos para comprar en línea de manera segura el lunes cibernético


Medidas preventivas

Como siempre, es importante tomar las precauciones de seguridad normales al comprar en línea. Estos incluyen lo siguiente:

  • Utilice un software actualizado, especialmente su sistema operativo y su navegador. Compruebe que ambos estén actualizados antes de aventurarse en línea.
  • Haga caso omiso de las ventanas emergentes demasiado agresivas, las notificaciones automáticas y otros gritos molestos para llamar la atención. Por lo general, los consejos no solicitados en forma de anuncios persistentes, descargas de extensiones del navegador, programas de cupones y otros tipos de spam no deseados son un truco y no intentan ayudar.
  • Preste especial atención cuando use Wi-Fi público y evite realizar pagos mientras esté usando Wi-Fi sin protección.
  • Siempre que sea posible, use una VPN durante las compras en línea. Una buena VPN cifrará el tráfico entre usted y la tienda en línea, para que nadie pueda espiarlo.